Verschlüsselung & fortgeschrittene elektronische Signatur
Dieses Kapitel informiert Sie über die Konfiguration sowie verschiedenen Funktionen des *CRYPT Moduls in i-effect. Entsprechend der möglichen Funktionen unterteilt sich das Kapitel in die Teile „Signieren/Verfizieren von PDF's", „Verschlüsselung/Entschlüsslung von Dateien" und „Dateien qualifiziert signieren".
Um zu den Signatur- und Verschlüsselungsaufgaben zu gelangen geben Sie bitte die Auswahlziffer „12" im i-effect Hauptmenü ein. Diese Auswahl verzweigt in ein Menü, in dem alle Aufgaben des *CRYPT Moduls zusammengefasst sind. Von dort aus können die entsprechenden Funktionen ausgeführt werden.
Hier einige Definitionen zum Thema:
| Keystore | Ein Keystore ist eine geschützte Datenbank, die Schlüssel und Zertifikate beinhaltet. Der Zugriff auf den Keystore erfolgt über ein Passwort, das beim Anlegen eines neuen Keystore von der Person, die ihn erstellt, vergeben werden muss. Ein bereits vergebenes Passwort kann nur geändert werden, wenn es zuvor zur Authentifizierung eingegeben worden ist. |
| Schlüssel | Ein Schlüssel ist eine Zeichenkette von Bits, die in der Kryptographie Verwendung findet. Ein Schlüssel erlaubt es, Daten zu verschlüsseln, entschlüsseln sowie andere mathematische Operationen durchzuführen. |
| Private/Public Schlüsselpaar | Ein Public/Private Schlüsselpaar ist eine mathematisch verwandte Zusammenstellung von zwei Zeichenketten, bei denen die eine „Privater Schlüssel" und die andere „Öffentlicher Schlüssel" genannt wird. Der öffentliche Schlüssel ist dabei der Teil des Schlüsselpaares, der typischer Weise allen Partnern zugänglich gemacht wird, mit denen man verschlüsselte Kommunikation betreiben will. Der private Schlüssel ist dagegen der sensible Teil des Schlüsselpaares und sollte nur für seinen Besitzer zugänglich sein. Daten, die mit einem öffentlichen Schlüssel verschlüsselt worden sind, können ausschließlich mit dem zum öffentlichen Schlüssel zugehörigen privaten Schlüssel entschlüsselt werden. Die Umkehrung gilt hier ebenfalls. Daten, die mit einem öffentlichen Schlüssel verschlüsselt worden sind, können nicht wieder mit dem gleichen öffentlichen Schlüssel entschlüsselt werden. |
| Privater Schlüssel | Unter geheimen Schlüsseln (private key) versteht man in asymmetrischen Kryptosystemen solche Schlüssel, die nur denjenigen bekannt sein dürfen, denen sie gehören. In symmetrischen Kryptosystemen ist ein solcher Schlüssel den vertrauten Kommunikationspartnern bekannt. |
| Öffentlicher Schlüssel | Unter einem öffentlichen Schlüssel (public key) versteht man in Kryptosystemen Schlüssel, die jedem bekannt sein dürfen und zur Verschlüsselung eines Klartextes in einen Geheimtext genutzt werden können, der für den Eigner des korrespondierenden geheimen Schlüssels bestimmt ist. |
| Symmetrisches Kryptosystem | Ein symmetrisches Kryptosystem ist ein Kryptosystem, das im Gegensatz zu einem asymmetrischen Kryptosystem denselben Schlüssel für Ver- und Entschlüsselung verwendet. |
| Asymmetrisches Kryptosystem | Ein asymmetrisches Kryptosystem ist ein Kryptosystem, das im Gegensatz zum symmetrischen Kryptosystem verschiedene Schlüssel zur Ver- und Entschlüsselung verwendet, nämlich den öffentlichen und den privaten Schlüssel. |
| Zertifikat | In einem asymmetrischen Kryptosystem dient ein Zertifikat dem Nachweis, dass ein öffentlicher Schlüssel zu der angegebenen Person, Institution oder Maschine gehört. Dadurch können Authentizität, Vertraulichkeit und Integrität von Daten gegenüber Dritten garantiert werden. Ein Zertifikat enthält Informationen über den Namen des Inhabers, dessen öffentlichen Schlüssel, eine Seriennummer, die Gültigkeitsdauer und den Namen der Zertifizierungsstelle. Diese Daten sind in der Regel mit dem privaten Schlüssel der Zertifizierungsstelle signiert und können somit mit dem öffentlichen Schlüssel der Zertifizierungsstelle überprüft werden. Zertifikate für Schlüssel, die nicht mehr sicher sind, können über eine sogenannte Certificate Revocation List gesperrt werden. |
| Zertifikatskette (certificate chain) | Eine Zertifikatskette ist die Liste der Zertifikate vom Benutzerzertifikat bis hin zum Wurzel-Zertifikat (root-Certificate) einer CA (Certificate Authority). Mit der Prüfung der Zertifikatskette wird sichergestellt, dass ein Zertifikat von der jeweiligen Zertifizierungsstelle ausgestellt wurde und damit die Identität des Benutzers gesichert ist. |
| Certificate Authority (CA) | Eine Zertifizierungsstelle (engl. Certificate Authority, kurz CA) ist eine Organisation, die digitale Zertifikate herausgibt. Ein digitales Zertifikat ist das elektronische Äquivalent eines Personalausweises und dient dazu, einen bestimmten öffentlichen Schlüssel einer Person oder Organisation zuzuordnen. Diese Zuordnung wird von der Zertifizierungsstelle beglaubigt, indem sie diese mit ihrer eigenen digitalen Unterschrift versieht. Die Zertifikate enthalten „Schlüssel" und Zusatzinformationen, die zur Authentifizierung sowie zur Verschlüsselung und Entschlüsselung sensitiver oder vertraulicher Daten dienen, die über das Internet und andere Netze verbreitet werden. Als Zusatzinformationen sind zum Beispiel Lebensdauer, Verweise auf Sperrlisten, etc. enthalten, die durch die CA mit in das Zertifikat eingebracht werden. |
Standardkeystore von i-effect
Den mitgelieferten Standard-Keystore von i-effect finden Sie nach der erfolgreichen Installation im Verzeichnis /i-effect/<version>/crypt unter dem Namen certificates.p12 (VERSION entspricht hierbei der von Ihnen installierten i-effect Version, z.B. v1r4m0). Das Standardkennwort des Keystores lautet „ieffect".
Es wird empfohlen dieses Kennwort vor der ersten Verwendung des Keystores zu ändern. Dazu können Sie das mitgelieferte Tool „i-effectKeyManager" verwenden.
Das Tool befindet sich in Verzeichnis /i-effect/<version>/CRYPT/tools/i-effectKeyManager.jar.
Es bietet alle Funktionen zum Im- und Export von Schlüsseln und Zertifikaten, sowie weitere im Zusammenhang mit dem Keystore nützliche Funktionen.
Die genaue Verwendung des i-effectKeyManagers wird in Kapitel 14 „Graphische Zusatzanwendungen" erklärt.
Grundkonfiguration des CRYPT Moduls
Die Grundkonfiguration des CRYPT Moduls entnehmen Sie bitte Kapitel 12 „Verwaltung in i-effect". Der dortige Unterpunkt „Erweiterte Parameter zum Modul *CRYPT" erklärt die Grundeinstellungen für das CRYPT Modul.