Cross-Zertifikat

Was ist ein Cross-Zertifikat?

Definition

Ein Cross-Zertifikat ist ein wichtiger Bestandteil der Public Key Infrastructure, oder PKI. Im Gegensatz zu hierarchischen Vertrauensmodellen stellen sich bei einem Cross-Zertifikat zwei gleichberechtigte Zertifizierungsstellen ein entsprechendes Zertifikat aus. Mithilfe des Cross-Zertifikats können mehrere hierarchische Systeme verbunden werden, wodurch erhebliche Synergieeffekte entstehen können.

Was ist die Public Key Infrastructure?

Hier handelt es sich um ein System, das in der Kryptologie im Internet verwendet wird. Hier werden zur Absicherung der Kommunikation zwischen zwei Rechnern digitale Zertifikate ausgestellt, welche dann von beiden Parteien geprüft werden. Es handelt sich hierbei um ein asymmetrisches Verschlüsselungssystem, da beide Parteien nicht einen gemeinsamen Schlüssel kennen, sondern jeweils einen Public und einen Private Key, mit dem dann die Nachrichten entschlüsselt werden können.

Dieses Verfahren ist heute der höchste Standard der Verschlüsselungstechnik und gilt als nicht knack bar, es sei denn, es gibt Einsicht in die Länge und Inhalte der Keys. Selbst wenn das verwendete Verschlüsselungsverfahren bekannt ist, kann der Code nicht geknackt werden.

Welche Rolle spielen Zertifizierungsstellen?
Was sind die Besonderheiten einer Cross-Zertifizierung?

In diesem System nehmen die Zertifizierungsstellen eine zentrale Rolle ein. Hier werden die digitalen Zertifikate, also die Keys, erstellt, welche die Echtheit der verschlüsselten Daten beweisen. Auch die Signatur von Zertifikatsanträgen wird hier durchgeführt. Digitale Zertifikate lassen sich allgemein wie Beglaubigungen vorstellen. Die Basis für die Verwendung solcher digitalen Zertifikate bildet also das Vertrauen zwischen dem Prüfer und dem Aussteller des Zertifikates.
Das häufigste Zertifizierungsverfahren ist dabei hierarchisch.

Es basiert auf einer obersten Instanz, der alle Zertifizierungsstellen vertrauen. Diese gibt es praktisch aber nicht, weshalb viele Länder oder Unternehmen für die Verschlüsselung ihrer Daten eigene oberste Zertifizierungsstellen bilden. Diese als Wurzelzertifikate bezeichneten Stellen müssen deshalb mit allen Mitteln geschützt werden, denn es können so alle mit ihr verschlüsselten Daten entsperrt werden.

Eine Alternative zur hierarchischen Zertifizierung mit einer Wurzelstelle bildet die Cross-Zertifizierung. So ist es zum Beispiel auch möglich, zwei hierarchische Zertifizierungssysteme ineinander zu integrieren. Da beide Wurzelstellen gleichberechtigt sind, können diese mit einem Cross-Zertifikat verbunden werden, wodurch beide Zugriff auf die verschlüsselten Daten des anderen Systems erhalten können.

Das stellt eine effiziente Verknüpfung zweier unabhängiger Systeme dar und führt zu erheblichen Synergieeffekten. Ein Cross-Zertifikat ist auch im Falle eines Datendiebstahl von Vorteil. Sollte eines der durch die Cross-Zertifizierung verbundenen Systeme gehackt worden sein und dessen oberster Schlüssel bekannt sein, muss nur das Cross-Zertifikat zwischen den Systemen gesperrt werden. In einem hierarchischen System dagegen müssten alle Keys gesperrt werden, da die obere Schicht immer einen Machtvorteil gegenüber der unter ihr liegenden Schicht besitzt.

Welche Probleme können auftreten?

Sollen auf diese Weise viele Verschlüsselungssysteme ineinander integriert werden, kommt es zu einem Austauschproblem. Die Anzahl der zu erstellenden Zertifikate steigt nämlich quadratisch zur Anzahl der vorhandenen Systeme, da jedes System ein Zertifikat aller anderen Systeme benötigt, um mit diesen zu kommunizieren.

Eine Lösung hierfür wäre ein sogenanntes Bridge-CA. Alle beteiligten Systeme würden dann nur mit dieser Bridge-CA ein Cross-Zertifikat erstellen. Da nun alle beteiligten Systeme hier verbunden sind, stellt die Bridge-CA eine zentrale Stelle für alle Systeme dar, von der aus alle anderen Systemen erreichbar sind. In diesem Fall kommt der Bridge-CA natürlich sehr viel Verantwortung zu, diese muss dann entsprechend geschützt werden.

Sie haben noch Fragen?

Kontaktieren Sie uns