Der folgende Text ist vornehmlich für weniger erfahrene Nutzer geschrieben. Er soll hauptsächlich dem Verständnis dienen und bedient sich deswegen Metaphern, die aus technischer Sicht eventuell nicht ganz übertragbar sind.

Am einfachsten ist es, sich ein digitales Zertifikat als Personalausweis für das Internet vorzustellen. Sie erhalten den Ausweis von einer offiziellen Stelle und er bestätigt Ihre Identität und Ihre Anschrift – im Internet ist dies ihre E-Mail-Adresse. Und genauso, wie Sie sich auf der Straße mit Ihrem Personalausweis identifizieren, können Sie dies mit einem digitalen Zertifikat im Internet tun. Hinzu kommt, dass neben natürlichen Personen auch Gruppen bzw. Organisationen und Webseiten derartige Ausweise besitzen können, um sich Ihnen gegenüber beispielsweise als Ihre tatsächliche Bank (-Webseite) zu identifizieren.

Wie beim Personalausweis erhält man ein Zertifikat nur von einer offiziellen Stelle. Die Universität Rostock betreibt eine solche Stelle und darf im Auftrag des DFN (Deutsches Forschungsnetz) Nutzerzertifikate ausstellen. Um die Echtheit eines Zertifikates zu überprüfen, ist in jedem Zertifikat fälschungssicher der Aussteller vermerkt. Nur wenn der Aussteller vertrauenswürdig ist, wird auch dem Zertifikat vertraut.

Auf diese Weise ergibt sich eine Kette von Vertrauensbeweisen: Die Firma Sectigo unterschreibt und erstellt das Zertifikat für die Europäische Dachorganisation der Forschungsnetze GÉANT. Im Namen dieser Dachorganissation erstellen wir wiederum Ihr Zertifikat. Die Firma Sectigo selbst hat sogenannte Wurzelzertifikate die gewöhnlich auf jedem Computer, Handy, Tablet vorinstalliert sind und somit jederzeit eine Überprüfung ermöglichen.

Je nach Zertfikatstyp stehen in einem Zertifikat unterschiedliche Informationen. Bei einem einfachen Zertifikat enthält das Zertfikat nur Ihre E-Mail-Adresse und den Aussteller. Es bestätigt ledlichlich, dass Ihre E-Mail-Adresse der Universität Rostock zugeordnet ist. Bei einem erweiterten Zertifikat enthält das Zertifikat zusätzlich Ihren Namen und ist damit prinzipiell auch für das Signieren von Dokumenten geeignet. In beiden Zertifikatstypen sind außerdem Ihre Organisation mit Sitz (Uni-Rostock, Germany) und ein Ablaufdatum hinterlegt. Damit diese Zertifikate von Ihnen zum Signieren und zum Verschlüsseln von E-Mails verwendet werden können, enthalten sie auch Ihren öffentlichen Schlüssel. Und weil es für das Verständnis der beiden genannten Anwendungen so wichtig ist, folgt eine ganz kurze (!) Erläuterung der öffentlichen und privaten Schlüssel.

Die Begriffe "öffentlicher Schlüssel" und "privater Schlüssel" stammen aus der Kryptographie. Sie bilden zusammen ein Schlüsselpaar für die Verschlüsselung und Entschlüsselung.

• Ihr öffentlicher Schlüssel wird von ANDEREN für das Verschlüsseln von Nachrichten an SIE verwendet. Er darf an jeden verteilt werden, damit Ihnen jeder eine verschlüsselte Nachricht schicken kann.
• Den privaten Schlüssel benötigten SIE für das Entschlüsseln der Nachrichten und er sollte NUR Ihnen bekannt sein.

Die Beziehung zwischen den Schlüsseln ist vergleichbar mit einem Briefkasten: Jeder der Ihnen einen Brief schicken will, kann diesen einfach in Ihren Briefkastenschlitz werfen – dies ist der öffentliche Schlüssel. Nur Sie haben jedoch den (privaten) Schlüssel, um den Briefkasten zu öffnen. Wie bei Ihrem Briefkastenschlüssel, sollten Sie auf Ihren privaten Schlüssel besonders acht geben und Ihn bspw. auf einem gesonderten USB-Stick abspeichern.

Ein Zertifikat speichert Ihren öffentlichen Schlüssel und bescheinigt, dass er auch tatsächlich Ihnen gehört – beides fälschungssicher.

Wie Sie zu Ihrem eigenen Schlüsselpaar und dem zugehörigen Zertifikat gelangen, zeigen wir Ihnen hier.

Eine digitale Signatur ähnelt einem altertümlichen Wachssiegel auf Briefen: Zum Einen kann der Absender überprüft werden und zum Anderen kann sichergestellt werden, dass der Inhalt der Nachricht nicht verändert wurde. Da die digitale Signatur vom Nachrichteninhalt und privaten Schlüssel des Absenders abhängt, kann eine Fälschung der Nachricht und des Absenders erkannt werden. Zur Überprüfung wird immer auch das Zertifikat des Absenders übermittelt. Eine erfolgreich geprüfte Signatur bedeutet also, dass die Nachricht im Original vorliegt und zu 100% vom Absender stammt.

Wie Sie Ihr E-Mail-Programm für digitale Signaturen einrichten und Ihre eigenen Mails signieren, zeigen wir Ihnen hier.

Mit einer Verschlüsselung kann sichergestellt werden, dass nur der Adressat einer Nachricht diese auch lesen kann. Hierfür wird der öffentliche Schlüssel zum Verschlüsseln und der private Schlüssel zum Entschlüsseln verwendet. Um sicherzustellen, dass der verwendete öffentliche Schlüssel auch tatsächlich dem beabsichtigten Empfänger gehört, sollte er aus dem Zertifikat des Empfängers genommen werden. Der aufmerksame Leser weiß, dass er dieses Zertifikat beispielsweise mit einer signierten E-Mail erhält ;)

Wichtig ist, auch abgelaufene private Schlüssel aufzubewahren, da alte verschlüsselte Nachrichten im Fall des Verlustes nicht mehr gelesen werden können - sie können den Briefkasten nicht mehr öffnen.

Wie Sie E-Mails mit Ihrem Mailprogramm verschlüsseln, erfahren Sie hier.

Zertifikatsservice
cauni-rostockde

Albert-Einstein-Str. 22
18059 Rostock

Martin Sievers-Luboschik
Tel: +49 381 498-5328

Martin Röhlig
Tel: +49 381 498-5327

Jörg Maletzky
Tel: +49 381 498-5339

Jörg Zerbe
Tel: +49 381 498-5320