Digitaler Fingerprint

jno
BASIC-Programmierer
BASIC-Programmierer
Beiträge: 144
Registriert: 18. Mai 2007 09:41

Digitaler Fingerprint

Beitrag von jno »

Ich bin mir noch nicht ganz sicher, wofür man einen digitalen Fingerabdruck braucht. Also, so wie ich's verstanden habe, ist das ja ein Hash von einem Zertifikat, den der Besitzer des Public Keys dann auf einem sicheren Kanal an denjenigen überträgt, der den Schlüssel validieren möchte. Nun stellt sich mir die Frage, welcher Nachteil enstehen würde, wenn dieser den digitalen Fingerabdruck nicht hätte. Dann könnte es natürlich sein, dass es sich nicht um das echte Zertifikat handelt.
Das einzige was mir jetzt einfallen würde, wäre dass das Zertifikat derart gefälscht wurde, dass es im Namen des richtigen Issuers mit einer ungültigen Signatur ausgestellt wurde. Stimmt das so?

levitin
Kernelcompilierer
Kernelcompilierer
Beiträge: 435
Registriert: 7. Okt 2007 15:36
Wohnort: Darmstadt

Re: Digitaler Fingerprint

Beitrag von levitin »

jno hat geschrieben:Also, so wie ich's verstanden habe, ist das ja ein Hash von einem Zertifikat, den der Besitzer des Public Keys dann auf einem sicheren Kanal an denjenigen überträgt, der den Schlüssel validieren möchte.
Ja, das richtig

Der Fingerprint ist eigentlich nur für "Direct Trust Model" sinnvoll

z.B. mir wurde ein (selbstsignierter) Zertifikat per e-mail übertragen. Angenommen hat der Angreifer unterwegs irgendeine Kleinigkeit des Zertifikats verändert (neue Extension hinzugefügt oder so), oder sogar Public Key ersetzt und die Signatur neue berechnet. Wenn das Zertifikat nur aus Public Key und Inhaber bestehen würde, käme Fingerprint gar nicht zum Einsatz, denn man per Telefon den Public Key selbst verifizieren könnte. Die Idee ist anstatt dessen, jede einzige Extension per Telefon zu überprüfen, nur den Hash-Wert des GANZEN Zertifikates zu vergleichen, welcher in dem Fall eines Angriffes ganz anders aussehen würde.

Antworten

Zurück zu „Archiv“