Bürgernetz Isar-Loisach e.V.Komfortables Webinterface zum Antrag auf Mitgliedschaft
Probleme mit Email? Lösungen dazu im Supportbereich
Zertifikate ausführlicher Artikel zum Thema Sicherheitszertifikate
Webmail Unser Webinterface zum Emailversand und -empfang
Home Aktuelles Region Homepages Support Intern
 

Sicherheitszertifikate

Immer wieder erreichen uns Anfragen besorgter Mitglieder, die in ihrem Browser vor einem ungültigen Zertifikat gewarnt werden, wenn sie in unseren internen Bereich wechseln. Dieser Beitrag soll Dir beim Installieren unseres Bürgernetz-Zertifikats helfen und geizt auch nicht mit der Darstellung einiger Hintergrundinformationen, die Du in diesem Zusammenhang wissen solltest.

WarnungUnser interner Mitgliederbereich enthält eine ganze Reihe an individuellen Einstellmöglichkeiten und hilfreichen Tools. Alle Seiten in diesem Bereich werden daher nicht im Klartext übertragen, sondern verschlüsselt über das sogenannte HTTPS. Diese Übertragungsart verlangt nach einem Schlüssel, das sogenannte ´Zertifikat´, der vor Beginn der Übertragung zwischen Browser und Webserver ausgetauscht werden muß. Falls Dir die rechts gezeigte Warnmeldung Deines Browsers bekannt vorkommen sollte, dann solltest Du diesen Beitrag gründlich studieren.

Nebenbei - alle Bilder werden durch einen Klicks darauf in Originalgröße gezeigt.
 

Was ist eine Verschlüsselung?

Wenn sich die Jungs und Mädchen in einer Schulklasse untereinander Nachrichten schicken wollten, die Du und die anderen Klassenkameraden nicht mitbekommen sollten, haben sie untereinander einen Code vereinbart, Buchstaben vertauscht, Abkürzungen oder scheinbar sinnlose Worte verwendet. Auf diesem Wege konnte die Nachricht auf einem kleinen Zettel von einem Schüler zum nächsten wandern. Jeder konnte lesen, was auf dem Zettel steht, aber nur Absender und Empfänger wußten, um was es wirklich geht. Die Nachricht war verschlüsselt.

Doch wie können sich nun zwei Schüler eine verschlüsselte Nachricht zukommen lassen, die sich vorher noch nie gesehen haben und deshalb keinen Code vereinbaren konnten? Der Trick lautet: Man nehme eine mathematische Funktion, die sich in einer Richtung ganz leicht und in der anderen Richtung furchtbar schwer berechnen läßt.

Ein Beispiel wäre f(x,y) = x * y. Wenn Du x und y kennst, kannst Du f(x,y) (zur Not mit einem Taschenrechner) sofort ausrechnen. Wenn Du nun für x und y sehr große Primzahlen nimmst, die sich bekanntlich nur durch eins und sich selbst teilen lassen, wirst Du selbst mit Computerhilfe sehr lange brauchen, bis Du zum Beispiel 817 in seine beiden Primfaktoren zerlegt hast. (Die Lösung steht ganz unten. ...)

Das geniale an dieser Multiplikation zweier Primzahlen ist, daß Du daraus mit etwas mathematischen Fingerspitzengefühl ein System bauen kannst, bei dem Du eine der Primzahlen nimmst, um den Text zu verschlüsseln, und die andere, um den Text wieder zu entschlüsseln. Die zur Ver- und Entschlüsselung notwendigen Zahlenkombinationen nennt man Schlüssel. Den einen Schlüssel kannst Du einfach allgemein veröffentlichen, der andere bleibt streng geheim. (Genauso, wie das Kennwort beim Bürgernetz keineswegs in eine Mail hineingehört!) Wenn Dir jemand eine verschlüsselte Nachricht schicken will, verwendet er den öffentlichen Schlüssel zum Verschlüsseln. Weil nur Du das geheime Gegenstück kennst, kannst nur Du den Text der Nachricht wieder lesbar machen. Umgekehrt kann sich jeder sicher sein, daß die Nachricht von Dir stammt, wenn sie sich mit Deinem öffentlichen Schlüssel entschlüsseln läßt. Denn nur Du bist in der Lage, die Nachricht mit Deinem geheimen Schlüssel zu verschlüsseln.

Ok, zurück zu unserem Webbrowser: Der baut also eine Verbindung zum Bürgernetz-Server auf und übermittelt dem seinen eigenen öffentlichen Schlüssel. Von nun an kann der Bürgernetz-Server die Daten mit diesem öffentlichen Schlüssel verschlüsseln und nur der Webbrowser kann die Daten wieder in Klartext zurückverwandeln. Der Bürgernetz-Server schickt nun auch seinen eigenen öffentlichen Schlüssel. Nun kann der Webbrowser die Daten zunächst mit seinem geheimen Schlüssel und dann nochmal mit dem öffentlichen Schlüssel des Bürgernetz-Servers verschlüsseln. Nur der Bürgernetz-Server kann die Daten jetzt noch lesbar machen, denn nur er hat den geheimen Schlüssel, um den zweiten Verschlüsselungsvorgang rückgängig zu machen. Weil er aber auch den öffentlichen Schlüssel des Webbrowsers kennt, kann er auch den ersten Verschlüsselungsvorgang meistern. Beide, Webbrowser und Bürgernetz-Server wenden jetzt diese zweifache Verschlüsselung an und wissen nun: Mit wem auch immer ich am anderen Ende kommuniziere, nur dieser eine kann meine Nachricht lesen.

 

Wozu sind Zertifikate gut?

Nun, theoretisch könnte sich jemand in die Internetverbindung zwischen dem lokalen PC und dem Webserver einklinken, um einen sogenannten Man-In-The-Middle-Angriff durchzuführen, der ´digitale Lauschangriff´ also. Um das zu verhindern, bildet man eine Kette von Bürgschaften. Der Webmaster läßt sein Zertifikat von einer sogenannten Root-CA (CA: Certificate Authority) signieren, die damit bestätigt, daß sie geprüft hat, daß der Webmaster mit der Person oder Rolle identisch ist, die das Zertifikat ausweist. Die Root-CA hat nun ihrerseits ein Zertifikat, das allerdings mangels übergeordneter Authentifizierungsstelle von ihr selbst signiert wurde. ´Hiermit bestätige ich, daß ich ich bin.´ Die Root-Zertifikate der bekanntesten Zertifizierungsstellen werden direkt mit der Browser-Software verteilt.

 

Warnung Warum warnt Dich Dein Browser vor einem Zertifikat vom Bürgernetz?

Leider ist es sehr teuer, sich so ein Zertifikat ausstellen zu lassen - viel zu teuer um es mit unseren Vereinsmitteln bezahlen zu können. Weiterhin muß das Zertifikat regelmäßig erneuert werden, womit die Kosten auch noch regelmäßig anfallen. Deshalb greift das Bürgernetz Isar-Loisach auf die Firma Engert Netzwerkdienste zurück, die dem Bürgernetz den Schlüssel signiert hat. Weil Engert Netzwerkdienste aber leider keine 100 Millionen Kunden hat, wird das Root-Zertifikat aber nicht gleich in den Browser mit integriert. Stattdessen muß man diesen sogenannten selbst-zertifizierten Schlüssel nachträglich in den Browser installieren. Das ist nicht sonderlich schwer und soll in den nächsten Absätzen am Beispiel des Browsers Firefox erklärt werden.

Die Sicherheitswarnung enthält ganz unten den klickbaren Satz ´Ich kenne das Risiko´. Ein Klicks darauf erweitert diese Meldung wie rechts gezeigt.
 

Ausnahme hinzufügen Ausnahmen hinzufügen

Ein Klicks auf die Schaltfläche ´Ausnahmen hinzufügen´ führt auf den rechts gezeigten Dialog. Gleich der erste Absatz, der dort zu lesen ist, klingt richtig böse und gefählich. Ist er auch!

Selbstverständlich solltest Du kein x-beliebiges Zertifikat dauerhaft in Deinem Browser speichern, dessen Herkunft Du nicht genau kennst! Denn damit würdest Du Phishing-Attacken und weiterem Ungemach Tür und Tor öffnen. In diesem speziellen Fall geht es aber um das Zertifikat Deines Vereins.
 

Einstellungen Gespeicherte Zertifikate anschauen

Die gespeicherten Zertifikate kannst Du Dir übrigens jederzeit anschauen, ist ja schließlich kein Geheimnis. Über das Menü Extras/Einstellungen gelangst Du auf den rechts gezeigten Dialog. Dort oben rechts auf ´Erweitert´ und dann auf den Reiter ´Verschlüsselung´ klicken.

Über die Schaltfläche ´Zertifikate anzeigen´ kommst Du zum sogenannten...
 

Zertifikatmanager Zertifikatmanager

Hier solltest Du nach einem Klicks auf den Reiter ´Server´ unsere Zertifikate sehen können. Details dazu werden nach einem Klicks auf ´Ansehen´ angezeigt, ist aber eher nur für die ´Profis´ wirklich aufschlußreich.

Sollte Dir ein dort aufgelistetes Zertifikat etwas seltsam vorkommen - weder die Angaben in der Spalte Name noch diejenigen unter Server sagen Dir irgendwas - dann kannst Du das Zertifikat hier gleich löschen.
 

Fazit:

Keine Angst vor unserem ´Bürgernetz-Zertifikat´ - dieses kannst Du ohne Bedenken auf die gezeigte Art installieren. Es erhöht letztlich Deine Sicherheit, mit dem Bürgernetzserver zu kommunizieren, und es schützt Deine Privatsphäre, wenn Du die Tools im internen Bereich benutzt. Äußerste Vorsicht ist aber bei solchen Zertifikaten geboten, deren Herkunft Du nicht zweifelsfrei kennst.

 

Die Lösung der o.g. Aufgabe:

f(x) = 817 = x * y; x und y sind Primzahlen.
Lösung: x=19, y=43

 

Dieser Text beruht auf der Beantwortung einer Support-Anfrage an das Support-Team des Bürgernetz und stammt in seiner Urfassung von Michael Engert, Inhaber der Fa. Engert Netzwerkdienste. Dieser Text wurde von Klaus Hohmann erweitert und ergänzt. Wir nutzen ihn hier mit Genehmigung der Urheber.

Hier geht´s zur tintensparenden Druckversion.

© 1996-2017 Bürgernetz Isar-Loisach e.V. | Stand: 2013-05-24 | unbekannt unbekannt / unbekannt | Programmierung: Hohmann-EDVnach oben