Signaturen, Zertifikate und Zeitstempel

 

Was ist ein digitales Zertifikat?

Um eine Bindung zwischen den öffentlichen Schlüsseln und den zugehörigen Benutzern (Inhabern der privaten Schlüssel) zu schaffen, nutzen PKIs digitale Zertifikate. Digitale Zertifikate bilden die Credentials, welche die Überprüfung der Identitäten zwischen Benutzern in einer Transaktion erleichtern. Ähnlich wie ein Reisepass die Identität einer Person als Bürger eines Landes bescheinigt, stellt das digitale Zertifikat die Identität der Benutzer innerhalb des Ökosystems fest. Da digitale Zertifikate zur Identifizierung der Benutzer, an die verschlüsselte Daten gesendet werden, oder zur Verifizierung der Identität des Unterzeichners von Informationen verwendet werden, ist der Schutz der Authentizität und Integrität des Zertifikats unerlässlich, um die Vertrauenswürdigkeit des Systems aufrechtzuerhalten.

 

Was ist eine Zertifizierungsstelle?

Eine Zertifizierungsstelle (Certificate Authority, CA) ist die wichtigste Komponente einer PKI, die für den Aufbau einer hierarchischen Vertrauenskette zuständig ist. Cas stellen die digitalen Berechtigungsnachweise aus, mit denen die Identität von Benutzern bescheinigt wird. CAs untermauern die Sicherheit einer PKI und der von ihr unterstützten Dienste und können daher im Fokus raffinierter gezielter Angriffe stehen. Um das Risiko von Angriffen auf Zertifizierungsstellen zu verringern, sind physische und logische Kontrollen sowie Härtungsmechanismen, wie zum Beispiel Hardware-Sicherheitsmodule (HSMs), notwendig, um die Integrität einer PKI zu gewährleisten.

 

Was ist Codesignierung?

In der Public-Key-Kryptographie stellt die Codesignierung eine spezielle Verwendung zertifikatsbasierter digitaler Signaturen dar, die es einer Organisation ermöglicht, die Identität des Softwareherausgebers zu überprüfen und zu bescheinigen, dass die Software seit ihrer Veröffentlichung nicht verändert wurde.

Digitale Signaturen stellen einen bewährten kryptographischen Prozess für Softwareherausgeber und interne Entwicklungsteams bereit, mit dem ihre Endbenutzer vor Gefahren für die Cybersicherheit geschützt werden, einschließlich Advanced Persistent Threats (APTs) wie z. B. Duqu 2.0. Digitale Signaturen gewährleisten die Integrität und Authentizität der Software. Digitale Signaturen ermöglichen es Endbenutzern, die Identität des Herausgebers zu überprüfen und gleichzeitig zu validieren, dass das Installationspaket seit seiner Signierung nicht verändert wurde. Alle modernen Betriebssysteme suchen während der Installation nach digitalen Signaturen und validieren diese. Warnungen über nicht signierten Code können Endbenutzer dazu veranlassen, die Installation abzubrechen.

 

Was ist eine digitale Signatur?

Digitale Signaturen stellen einen bewährten kryptographischen Prozess für Softwareherausgeber und interne Entwicklungsteams bereit, mit dem ihre Endbenutzer vor Gefahren für die Cybersicherheit geschützt werden, einschließlich fortschrittlicher Malwareangriffe. Digitale Signaturen stellen die Integrität und Authentizität von Software und Dokumenten sicher, indem sie es Endbenutzern ermöglichen, die Identität des Herausgebers zu überprüfen und gleichzeitig validieren, dass der Code oder das Dokument seit der Signierung nicht verändert wurde.

Digitale Signaturen gehen über die elektronischen Versionen herkömmlicher Unterschriften hinaus, indem sie kryptographische Techniken einsetzen, um die Sicherheit und Transparenz deutlich zu erhöhen, die beide für die Schaffung von Vertrauen und Rechtsgültigkeit entscheidend sind. Als eine Anwendung der Public-Key-Kryptographie können digitale Signaturen in vielen verschiedenen Bereichen eingesetzt werden, von Bürgern beim Einreichen von Online-Steuererklärungen über Beschaffungsbeamten beim Abschluss von Lieferantenverträgen bis hin zu elektronischen Rechnungen und Softwareentwicklern beim Veröffentlichen von aktualisiertem Code.

Digitales Signieren ist auch für Organisationen nützlich, die ihre geschäftliche Integrität bewahren möchten, indem sie das Urheberrecht schützen und die Lizenzierung erleichtern. Ein Unternehmen wie Microsoft kann zum Beispiel mithilfe von Signaturen sicherstellen, dass seine Software nicht von einem anderen, nicht mit Microsoft verbundenen Unternehmen herausgegeben werden kann. Außerdem ist dies wichtig, um die Integrität der Lieferkette und die Herkunft der Komponenten sicherzustellen. In Verbindung mit der Public-Key-Infrastruktur (Public Key Infrastructure, PKI) wird das Signieren zu einem leistungsstarkem Tool, mit dem sichergestellt werden kann, dass Softwarekomponenten nicht manipuliert oder verfälscht werden, bevor sie in Produkten oder Systemen eingesetzt werden.

 

Was sind Zeitstempel?

Zeitstempel stellen zunehmend eine wertvolle Ergänzung zu digitalen Signierverfahren dar und ermöglichen Organisationen die Aufzeichnung des Zeitpunkts, zu dem ein digitales Element – z. B. eine Nachricht, ein Dokument, eine Transaktion oder Software – signiert wurde. Für einige Anwendungen ist der Zeitpunkt einer digitalen Signatur entscheidend, z. B. bei Aktiengeschäften, der Ausstellung von Lotterielosen und einigen Gerichtsverfahren. Auch wenn die Zeit keine wesentliche Rolle spielt, sind Zeitstempel für die Dokumentation und Auditprozesse hilfreich, da sie einen Mechanismus zum Nachweis der Gültigkeit des digitalen Zertifikats zum Zeitpunkt der Verwendung bieten. Die zunehmende Bedeutung digitaler Signierlösungen hat eine entsprechende Nachfrage nach Zeitstempeln geschaffen, sodass viele Softwareprogramme wie z. B. Microsoft Office Zeitstempelfunktionen unterstützen.

 

Bedeutung der Sicherheit

Wenn Zeitstempel einen echten Mehrwert bieten sollen, müssen sie sicher sein.

 

Risiken im Zusammenhang mit unsicheren Zeitstempeln

  • Ein fehlendes Vertrauen in elektronische Prozesse kann zu kostspieligen Belegen aus Papier zur Sicherung elektronischer Datensätze führen.
  • Durch die Manipulation einer Computeruhr kann ein Angreifer einen softwarebasierten Zeitstempelprozess leicht kompromittieren und so den gesamten Signierprozess ungültig machen.
  • Unsichere Zeitstempel- oder digitale Signierprozesse können Organisationen Compliance-Problemen und rechtlichen Herausforderungen aussetzen.
  • Auch nach dem Widerruf von privaten Signierschlüsseln und Zertifikaten können Benutzer weiterhin Zugriff darauf haben. Ohne Zeitstempel können Organisationen nicht nachweisen, ob Signaturen vor oder nach der Sperrung eines Zertifikats erstellt wurden.