Der Unterschied zwischen einer digitalen Signatur und einem digitalen Zertifikat

Sowohl digitales Zertifikat als auch digitale Signatur dienen der IT-Sicherheit. Bei Einsatzgebiet und Implementierung gibt es jedoch Unterschiede.

Sind digitale Zertifikate und digitale Signaturen nicht zwei verschiedene Paar Schuhe? Selbst unterschriebene Zertifikate können nicht nachgewiesen werden, richtig? Ist es korrekt, dass XML-Signaturen und digitale Signaturen auf einem höheren Security-Niveau angesiedelt sind als einfache Zertifikats-basierte Authentifizierung?

In der Tat sind digitale Zertifikate und digitale Signaturen sehr verschieden. Digitale Zertifikate verwendet man, um die Vertrauenswürdigkeit einer Website zu verifizieren. Digitale Signaturen setzt man hingegen ein, um die Vertrauenswürdigkeit von Informationen zu validieren.

Digitale Zertifikate

Bei digitalen Zertifikaten vertraut eine Organisation einer Website möglicherweise nur dann, wenn das Zertifikat von der Organisation selbst oder von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. Dazu gehören zum Beispiel Verisign Inc. und so weiter. Das bedeutet aber nicht zwangsläufig, dass der Inhalt der Website vertrauenswürdig ist. Möglicherweise ist eine als vertrauenswürdig eingestufte Website von böswilligen Hackern infiltriert, die die Inhalte darauf modifizieren.

Digitale Signaturen

Digitale Signaturen bilden eine Checksumme für die Informationen, die sich innerhalb eines Objekts befinden. So kann der Empfänger sicherstellen, dass der empfangene Inhalt nicht verändert wurde. Verschicken Sie zum Beispiel ein unterzeichnetes Microsoft-Word-Dokument als Anhang einer E-Mail, könnte ein böswilliger Hacker als Man-in-the-Middle den Anhang abfangen und modifizieren. 

Eventuell schleust er böswilligen Code ein. Überprüft der Empfänger die Checksumme und diese stimmt nicht mit dem modifizierten Word-Dokument überein, löst das einen Alarm aus. Man weiß in diesem Fall, dass der Inhalt nicht mit dem Original übereinstimmt.

Was Sie noch beachten sollten

Sie sollten außerdem noch etwas anderes berücksichtigen: Verwenden Organisationen digitale Zertifikate, müssen diese nicht zwingend etwas mit der Remote-Site in Beziehung stehen. Sie benötigen lediglich eine Identifikations-Möglichkeit, welche Zertifizierungsstelle für die Verifizierung der Website eingesetzt wurde.

Bei den digitalen Signaturen ist es aber so, dass der Empfänger irgendwie in einer Wechselbeziehung mit dem Sender oder der Hosting-Site stehen muss. Diese Beziehung ist notwendig, um festzustellen, wo und wie man die Checksummen-Informationen austauscht. 

Idealerweise geschieht das durch einen Kommunikations-Kanal, der sich vom Transportweg des Inhalts unterscheidet. Somit reduziert man die Gefahr einer Modifizierung. Sie wollen einem potenziellen Cyberkriminellen nicht die Möglichkeit geben, sowohl den Inhalt als auch die digitale Signatur-Checksumme verändern zu können. 

In einer nicht vertrauenswürdigen Umgebung, wie bei Geschäftsbeziehungen via Internet, würden Sie sich im Idealfall zu einer Seite verbinden, die ein vertrauenswürdiges digitales Zertifikat verwendet. Außerdem würde jeder Transfer digital signiert, damit man sicherstellen kann, dass die Inhalte nicht modifiziert wurden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Identity and Access Management (IAM)