Was sind digitale Signaturen, Zertifikate und Zeitstempel?
Was ist ein digitales Zertifikat?
Um eine Bindung zwischen den öffentlichen Schlüsseln und den zugehörigen Benutzern (Inhabern der privaten Schlüssel) zu schaffen, nutzen PKIs digitale Zertifikate. Digitale Zertifikate bilden die Credentials, welche die Überprüfung der Identitäten zwischen Benutzern in einer Transaktion erleichtern. Ähnlich wie ein Reisepass die Identität einer Person als Bürger eines Landes bescheinigt, stellt das digitale Zertifikat die Identität der Benutzer innerhalb des Ökosystems fest. Da digitale Zertifikate zur Identifizierung der Benutzer, an die verschlüsselte Daten gesendet werden, oder zur Verifizierung der Identität des Unterzeichners von Informationen verwendet werden, ist der Schutz der Authentizität und Integrität des Zertifikats unerlässlich, um die Vertrauenswürdigkeit des Systems aufrechtzuerhalten.
Was ist eine Zertifizierungsstelle?
Eine Zertifizierungsstelle (Certificate Authority, CA) ist die wichtigste Komponente einer PKI, denn sie ist für den Aufbau einer hierarchischen Vertrauenskette zuständig. CAs stellen die digitalen Berechtigungsnachweise aus, mit denen die Identität von Benutzern bescheinigt wird. CAs untermauern die Sicherheit einer PKI und der von ihr unterstützten Dienste und können daher im Fokus raffinierter gezielter Angriffe stehen. Um das Risiko von Angriffen auf Zertifizierungsstellen zu verringern, sind physische und logische Kontrollen sowie Härtungsmechanismen, wie zum Beispiel Hardware-Sicherheitsmodule (HSMs), notwendig, um die Integrität einer PKI zu gewährleisten.
Was ist Codesignierung?
In der Public-Key-Kryptographie stellt die Codesignierung eine spezielle Verwendung zertifikatsbasierter digitaler Signaturen dar, die es einer Organisation ermöglicht, die Identität des Softwareherausgebers zu überprüfen und zu bescheinigen, dass die Software seit ihrer Veröffentlichung nicht verändert wurde.
Digitale Signaturen stellen einen bewährten kryptographischen Prozess für Softwareherausgeber und interne Entwicklungsteams bereit, mit dem ihre Endbenutzer vor Gefahren für die Cybersicherheit geschützt werden, einschließlich Advanced Persistent Threats (APTs) wie z. B. Duqu 2.0. Digitale Signaturen gewährleisten die Integrität und Authentizität der Software. Digitale Signaturen ermöglichen es Endbenutzern, die Identität des Herausgebers zu überprüfen und gleichzeitig zu validieren, dass das Installationspaket seit seiner Signierung nicht verändert wurde. Alle modernen Betriebssysteme suchen während der Installation nach digitalen Signaturen und validieren diese. Warnungen über nicht signierten Code können Endbenutzer dazu veranlassen, die Installation abzubrechen.
Was sind Zeitstempel?
Zeitstempel stellen zunehmend eine wertvolle Ergänzung zu digitalen Signierverfahren dar und ermöglichen Organisationen die Aufzeichnung des Zeitpunkts, zu dem ein digitales Element – z. B. eine Nachricht, ein Dokument, eine Transaktion oder Software – signiert wurde. Für einige Anwendungen ist der Zeitpunkt einer digitalen Signatur entscheidend, z. B. bei Aktiengeschäften, der Ausstellung von Lotterielosen und einigen Gerichtsverfahren. Auch wenn die Zeit keine wesentliche Rolle spielt, sind Zeitstempel für die Dokumentation und Auditprozesse hilfreich, da sie einen Mechanismus zum Nachweis der Gültigkeit des digitalen Zertifikats zum Zeitpunkt der Verwendung bieten. Die zunehmende Bedeutung digitaler Signaturlösungen hat eine entsprechende Nachfrage nach Zeitstempeln geschaffen, sodass viele Softwareprogramme wie z. B. Microsoft Office Zeitstempelfunktionen unterstützen.
Bedeutung der Sicherheit
Wenn Zeitstempel einen echten Mehrwert bieten sollen, müssen sie sicher sein.
Risiken im Zusammenhang mit unsicheren Zeitstempeln
- Ein fehlendes Vertrauen in elektronische Prozesse kann zu kostspieligen Belegen aus Papier zur Sicherung elektronischer Datensätze führen.
- Durch die Manipulation einer Computeruhr kann ein Angreifer einen softwarebasierten Zeitstempelprozess leicht kompromittieren und so den gesamten Signierprozess ungültig machen.
- Unsichere Zeitstempel- oder digitale Signierprozesse können Organisationen Compliance-Problemen und rechtlichen Herausforderungen aussetzen.
- Auch nach dem Widerruf von privaten Signierschlüsseln und Zertifikaten können Benutzer weiterhin Zugriff darauf haben. Ohne Zeitstempel können Organisationen nicht nachweisen, ob Signaturen vor oder nach der Sperrung eines Zertifikats erstellt wurden.
Erfahren Sie mehr über die Zeitstempelung von Code Signing-Zertifikaten.