Cross-Zertifikat
Was ist ein Cross-Zertifikat?
Definition
Ein Cross-Zertifikat ist ein wichtiger Bestandteil der Public Key Infrastructure, oder PKI. Im Gegensatz zu hierarchischen Vertrauensmodellen stellen sich bei einem Cross-Zertifikat zwei gleichberechtigte Zertifizierungsstellen ein entsprechendes Zertifikat aus. Mithilfe des Cross-Zertifikats können mehrere hierarchische Systeme verbunden werden, wodurch erhebliche Synergieeffekte entstehen können.
Was ist die Public Key Infrastructure?
Hier handelt es sich um ein System, das in der Kryptologie im Internet verwendet wird. Hier werden zur Absicherung der Kommunikation zwischen zwei Rechnern digitale Zertifikate ausgestellt, welche dann von beiden Parteien geprüft werden. Es handelt sich hierbei um ein asymmetrisches Verschlüsselungssystem, da beide Parteien nicht einen gemeinsamen Schlüssel kennen, sondern jeweils einen Public und einen Private Key, mit dem dann die Nachrichten entschlüsselt werden können.
Dieses Verfahren ist heute der höchste Standard der Verschlüsselungstechnik und gilt als nicht knack bar, es sei denn, es gibt Einsicht in die Länge und Inhalte der Keys. Selbst wenn das verwendete Verschlüsselungsverfahren bekannt ist, kann der Code nicht geknackt werden.
Das häufigste Zertifizierungsverfahren ist dabei hierarchisch.
Es basiert auf einer obersten Instanz, der alle Zertifizierungsstellen vertrauen. Diese gibt es praktisch aber nicht, weshalb viele Länder oder Unternehmen für die Verschlüsselung ihrer Daten eigene oberste Zertifizierungsstellen bilden. Diese als Wurzelzertifikate bezeichneten Stellen müssen deshalb mit allen Mitteln geschützt werden, denn es können so alle mit ihr verschlüsselten Daten entsperrt werden.
Das stellt eine effiziente Verknüpfung zweier unabhängiger Systeme dar und führt zu erheblichen Synergieeffekten. Ein Cross-Zertifikat ist auch im Falle eines Datendiebstahl von Vorteil. Sollte eines der durch die Cross-Zertifizierung verbundenen Systeme gehackt worden sein und dessen oberster Schlüssel bekannt sein, muss nur das Cross-Zertifikat zwischen den Systemen gesperrt werden. In einem hierarchischen System dagegen müssten alle Keys gesperrt werden, da die obere Schicht immer einen Machtvorteil gegenüber der unter ihr liegenden Schicht besitzt.
Welche Probleme können auftreten?
Sollen auf diese Weise viele Verschlüsselungssysteme ineinander integriert werden, kommt es zu einem Austauschproblem. Die Anzahl der zu erstellenden Zertifikate steigt nämlich quadratisch zur Anzahl der vorhandenen Systeme, da jedes System ein Zertifikat aller anderen Systeme benötigt, um mit diesen zu kommunizieren.
Eine Lösung hierfür wäre ein sogenanntes Bridge-CA. Alle beteiligten Systeme würden dann nur mit dieser Bridge-CA ein Cross-Zertifikat erstellen. Da nun alle beteiligten Systeme hier verbunden sind, stellt die Bridge-CA eine zentrale Stelle für alle Systeme dar, von der aus alle anderen Systemen erreichbar sind. In diesem Fall kommt der Bridge-CA natürlich sehr viel Verantwortung zu, diese muss dann entsprechend geschützt werden.
Sie haben noch Fragen?