G 5.84 Gefälschte Zertifikate

Zertifikate dienen dazu, einen öffentlichen kryptographischen Schlüssel an eine Person zu binden. Diese Bindung des Schlüssels an den Namen der Person wird wiederum kryptographisch mittels einer digitalen Signatur einer vertrauenswürdigen dritten Stelle abgesichert. Diese Zertifikate werden von Dritten dann verwendet, um digitale Signaturen der im Zertifikat ausgewiesenen Person zu prüfen bzw. um dieser Person Daten mit dem im Zertifikat aufgezeichneten Schlüssel verschlüsselt zuzusenden.

Ist ein solches Zertifikat gefälscht, werden digitale Signaturen fälschlicherweise als korrekt geprüft und der Person im Zertifikat zugeordnet oder es werden Daten mit einem ggf. unsicheren Schlüssel verschlüsselt und versandt. Beide Angriffsmöglichkeiten können einen Täter bewegen, gefälschte Zertifikate in Umlauf zu bringen.

Gefälschte Zertifikate können auf verschiedene Weise erzeugt werden:

• Ein Innentäter der vertrauenswürdigen Stelle erstellt mit dem eigenen Signaturschlüssel ein Zertifikat mit gefälschten Angaben. Dieses Zertifikat ist authentisch und wird bei einer Prüfung als korrekt verifiziert.
• Ein Täter gibt sich als eine andere Person aus und beantragt ein Zertifikat, welches auf diese andere Person ausgestellt wird, obwohl der Täter im Besitz des geheimen Schlüssels ist, der mit dem öffentlichen Schlüssel im Zertifikat korrespondiert.
• Ein Täter erzeugt ein Zertifikat und signiert es mit einem eigenen Schlüssel. Die Fälschung fällt nur auf, wenn das Zertifikat geprüft wird und dabei festgestellt werden kann, daß das Zertifikat von einer nichtvertrauenswürdigen Stelle ausgestellt wurde.

Wenn ein Täter erst einmal ein Zertifikat mit falschen Angaben auf irgendeinem Weg erhalten hat, kann er sich gegenüber Kommunikationspartnern jederzeit als eine andere Person ausgegeben, und zwar sowohl beim Versand als auch beim Empfang von Nachrichten.

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000