Unser letzter Artikel gab einen Überblick darüber, wie die Infrastruktur der asymmetrischen Kryptographie aussieht. Es unterscheidet sich stark von einer symmetrischen Kryptografieinfrastruktur, da zwei Schlüsselsätze verwendet werden. im Gegensatz zu nur einem Satz. In dieser Hinsicht wird die Kombination öffentlicher Schlüssel / privater Schlüssel verwendet. Somit bietet es eine viel höhere Sicherheit als eine symmetrische Kryptografieinfrastruktur.
Außerdem wurde ein Überblick über die technischen Details der Public-Key/Private-Key-Kombinationen sowie einige der Nachteile der Verwendung einer Asymmetrie-Kryptographie-Infrastruktur gegeben. Der größte Nachteil ist, dass es viel langsamer zu bedienen sein kann. Der Hauptgrund dafür ist die Anzahl der Public-Key / Private-Key-Kombinationen, die generiert werden können, und die schiere Anzahl der sendenden und empfangenden Parteien, die sie verwenden können.
In diesem Artikel setzen wir das Thema asymmetrische Kryptographie fort und konzentrieren uns auf die folgenden Themen:
- Die verwendeten mathematischen Algorithmen.
- Die Public-Key-Infrastruktur.
Klicken Sie hier für eine Einführung in die Public-Key-Infrastruktur.
Die verwendeten mathematischen Algorithmen
Es gibt eine Reihe von mathematischen Schlüsselalgorithmen, die als Kern für die asymmetrische Kryptographie dienen und natürlich sehr unterschiedliche mathematische Algorithmen verwenden als die, die bei der symmetrischen Kryptographie verwendet werden. Die in der asymmetrischen Kryptographie verwendeten mathematischen Algorithmen umfassen Folgendes:
- Der RSA-Algorithmus
- Der Diffie-Hellman-Algorithmus
- Der Elliptische Wellentheorie-Algorithmus
Der RSA-Algorithmus
In Bezug auf den RSA-Algorithmus ist dies wahrscheinlich der bekannteste und am weitesten verbreitete asymmetrische Kryptografiealgorithmus. Tatsächlich dient dieser Algorithmus als Grundlage für die Werkzeuge der Biokryptographie, in denen die Prinzipien der Kryptographie verwendet werden können, um eine biometrische Vorlage weiter zu schützen. Der RSA-Algorithmus stammt von der RSA Data Corporation und ist nach den Erfindern Ron Rivest, Ali Shamir und Leonard Adelman benannt.
Der RSA-Algorithmus nutzt die Leistungsfähigkeit von Primzahlen, um sowohl die öffentlichen als auch die privaten Schlüssel zu erstellen. Die Verwendung solch großer Schlüssel zum Verschlüsseln großer Mengen von Informationen und Daten ist jedoch unter dem Gesichtspunkt der Verarbeitungsleistung und der zentralen Serverressourcen völlig undurchführbar.
Stattdessen erfolgt die Verschlüsselung ironischerweise mit symmetrischen Kryptografiealgorithmen. In dieser Hinsicht wird der private Schlüssel dann durch den öffentlichen Schlüssel, der von der sendenden Partei verwendet wird, weiter verschlüsselt.
Sobald die empfangende Partei ihren Chiffretext von der sendenden Partei erhält, wird der private Schlüssel, der durch die symmetrischen Kryptographiealgorithmen erzeugt wurde, dann entschlüsselt. Ab diesem Zeitpunkt kann der öffentliche Schlüssel, der durch den RSA-Algorithmus generiert wurde, anschließend zum Entschlüsseln des restlichen Chiffretextes verwendet werden.
Der Diffie-Hellman-Algorithmus
Der asymmetrische Diffie-Hellman-Algorithmus ist ebenfalls nach seinen Erfindern White Diffie und Martin Hellman benannt. Es wird auch als „DH-Algorithmus“ bezeichnet.“ Interessanterweise wird dieser Algorithmus jedoch nicht für die Verschlüsselung des Chiffretextes verwendet, sondern sein Hauptziel ist es, eine Lösung für das Senden der Kombination aus öffentlichem Schlüssel und privatem Schlüssel über einen sicheren Kanal zu finden.
So funktioniert der Diffie-Hellman-Algorithmus speziell:
- Die empfangende Partei besitzt den öffentlichen Schlüssel und den privaten Schlüssel, der generiert wurde, aber diesmal wurden sie durch den Diffie-Hellman-Algorithmus erstellt.
- Die sendende Partei empfängt den von der empfangenden Partei generierten öffentlichen Schlüssel und verwendet daher den DH-Algorithmus, um einen weiteren Satz öffentlicher Schlüssel zu generieren, jedoch vorübergehend.
- Die sendende Partei verwendet nun diese neu erstellte, temporäre Kombination aus öffentlichem und privatem Schlüssel, die von der empfangenden Partei gesendet wird, um eine zufällige, geheime Nummer zu generieren – dies wird speziell als „Sitzungsschlüssel“ bezeichnet.“
- Die sendende Partei verwendet diesen neu eingerichteten Sitzungsschlüssel, um die Chiffretextnachricht weiter zu verschlüsseln und sendet diese mit dem temporär erzeugten öffentlichen Schlüssel an die empfangende Partei weiter.
- Wenn die empfangende Partei schließlich die Chiffretextnachricht von der sendenden Partei empfängt, kann der Sitzungsschlüssel nun mathematisch abgeleitet werden.
- Sobald der obige Schritt abgeschlossen ist, kann die empfangende Partei nun den Rest der Chiffretext-Nachricht entschlüsseln.
Der Algorithmus der elliptischen Wellentheorie
Mit dem Algorithmus der elliptischen Wellentheorie handelt es sich um einen viel neueren Typ eines asymmetrischen mathematischen Algorithmus. Es kann verwendet werden, um eine sehr große Datenmenge zu verschlüsseln, und sein Hauptvorteil ist, dass es sehr schnell ist und daher nicht viel zentralen Server-Overhead oder Rechenleistung erfordert. Wie der Name schon sagt, beginnt die elliptische Wellentheorie zunächst mit einer parabolischen Kurve, die sich über eine normale „x“ -, „y“ -Koordinatenebene zusammensetzt.
Nachdem die Reihe von „x“ – und „y“ -Koordinaten gezeichnet wurde, werden verschiedene Linien durch das Bild der Kurve gezeichnet, und dieser Vorgang wird fortgesetzt, bis viele weitere Kurven erstellt werden und die entsprechenden interessanten Linien ebenfalls erstellt werden.
Sobald dieser spezielle Prozess abgeschlossen ist, werden die geplotteten „x“ – und „y“ -Koordinaten jeder der geschnittenen Linien und parabolischen Kurven extrahiert. Sobald diese Extraktion abgeschlossen ist, werden alle Hunderte von „x“ – und „y“ -Koordinaten addiert, um den öffentlichen und den privaten Schlüssel zu erstellen.
Der Trick beim Entschlüsseln einer mit dem Algorithmus der Elliptischen Wellentheorie verschlüsselten Chiffretextnachricht besteht jedoch darin, dass die empfangende Partei die besondere Form der ursprünglichen elliptischen Kurve und alle „x“ – und „y“ -Koordinaten der Linien kennen muss, wo Schneiden Sie sich mit den verschiedenen Kurven und dem tatsächlichen Ausgangspunkt, an dem die Addition der „x“ – und „y“ -Koordinaten zuerst erstellt wurde.
Die Public-Key-Infrastruktur
Da der öffentliche Schlüssel sowohl bei der Verschlüsselung als auch bei der Entschlüsselung der verschlüsselten Textnachrichten zwischen der sendenden und der empfangenden Partei und angesichts der Art seiner öffentlichen Rolle im gesamten Kommunikationsprozess so wichtig geworden ist, wurden umfangreiche Untersuchungen durchgeführt.
Dies war in erster Linie darauf ausgerichtet, eine Infrastruktur zu schaffen, die den Prozess des Erstellens und Sendens der Kombination aus öffentlichem Schlüssel und privatem Schlüssel viel robuster und sicherer macht. Tatsächlich handelt es sich bei dieser Art von Infrastruktur um eine sehr ausgeklügelte Form der asymmetrischen Kryptographie, die als „Public Key Infrastructure“ oder kurz „PKI“ bezeichnet wird.
Die grundlegende Prämisse der PKI besteht darin, die öffentlichen Schlüssel zu erstellen, zu organisieren, zu speichern und zu verteilen sowie zu verwalten. In dieser Infrastruktur werden jedoch sowohl der öffentliche als auch der private Schlüssel als „digitale Signaturen“ bezeichnet und nicht von der sendenden und der empfangenden Partei erstellt. Sie werden vielmehr von einer separaten Entität erstellt, die als „Zertifizierungsstelle“ oder kurz „CA“ bezeichnet wird.
Diese spezielle Entität ist normalerweise ein externer Dritter, der die technologische Infrastruktur hostet, die zum Initiieren, Erstellen und Verteilen der digitalen Zertifikate erforderlich ist. Auf einer sehr vereinfachten Ebene besteht die PKI aus den folgenden Komponenten:
- Die Zertifizierungsstelle
Dies ist der externe Dritte, der die digitalen Zertifikate erstellt, ausstellt und verteilt.
- Das digitale Zertifikat:
Wie erwähnt, besteht dieser sowohl aus dem öffentlichen Schlüssel als auch aus dem privaten Schlüssel, die von der jeweiligen Zertifizierungsstelle ausgestellt werden. Dies ist auch die Entität, zu der der Endbenutzer gehen würde, falls er ein digitales Zertifikat verifizieren lassen müsste. Diese digitalen Zertifikate werden in der Regel auf dem zentralen Server des Unternehmens oder der Gesellschaft aufbewahrt.
- Die LDAP- oder X.500-Verzeichnisse:
Dies sind die Datenbanken, die die digitalen Zertifikate von der Zertifizierungsstelle sammeln und verteilen.
- Die Registrierungsstelle, auch bekannt als „RA“:
Wenn der Geschäftssitz oder die Körperschaft sehr groß ist (z. B. der eines multinationalen Unternehmens oder Unternehmens), verarbeitet und verarbeitet diese Entität normalerweise die Anforderungen für die erforderlichen digitalen Zertifikate und überträgt diese Anforderungen dann an die Zertifizierungsstelle, um die erforderlichen digitalen Zertifikate zu verarbeiten und zu erstellen.
In Bezug auf die CA kann sie als das Leitungsgremium der gesamten Public-Key-Infrastruktur angesehen werden. Um die PKI für die Kommunikation mit anderen zu verwenden, stellt die Zertifizierungsstelle die digitalen Zertifikate aus, die sowohl aus dem öffentlichen als auch aus dem privaten Schlüssel bestehen.
Fazit
Jedes digitale Zertifikat, das von der Zertifizierungsstelle verwaltet wird, besteht aus den folgenden technischen Spezifikationen:
- Die Versionsnummer des digitalen Zertifikats
In der Regel sind dies entweder die Versionsnummern 1, 2 oder 3.
- Die Seriennummer
Dies ist die eindeutige ID-Nummer, die ein bestimmtes digitales Zertifikat von allen anderen trennt und unterscheidet (tatsächlich kann dies sogar mit jedem digitalen Zertifikat verglichen werden, das seine eigene Sozialversicherungsnummer hat).
- Die Signatur-Algorithmus-Kennung
Diese enthält die Informationen und Daten über den mathematischen Algorithmus, der von der Zertifizierungsstelle verwendet wird, um das jeweilige digitale Zertifikat auszustellen.
- Der Name des Ausstellers
Dies ist der tatsächliche Name der Zertifizierungsstelle, die das digitale Zertifikat an den Sitz des Unternehmens oder der Gesellschaft ausstellt.
- Die Gültigkeitsdauer
Enthält sowohl das Aktivierungs- als auch das Deaktivierungsdatum der digitalen Zertifikate, mit anderen Worten, dies ist die Lebensdauer des digitalen Zertifikats, wie von der Zertifizierungsstelle festgelegt.
- Der öffentliche Schlüssel
Dieser wird von der Zertifizierungsstelle erstellt.
- The Subject Distinguished Name
Dies ist der Name, der den Inhaber des digitalen Zertifikats angibt.
- Der alternative Name des Betreffs E-Mail
Dies gibt die E-Mail-Adresse des Besitzers des digitalen Zertifikats an (an diese Adresse gehen die tatsächlichen digitalen Zertifikate).
- Die Betreff-URL
Dies ist die spezifische Webadresse des Geschäfts- oder Unternehmensstandorts, an den die digitalen Zertifikate ausgestellt werden.
Unser nächster Artikel wird untersuchen, wie die Public-Key-Infrastruktur tatsächlich funktioniert, sowie die verschiedenen PKI-Richtlinien und -Regeln, die implementiert werden müssen.