Navigation und Service

BSI - Bundesamt für Sicherheit in der Informationstechnik (Link zur Startseite)

BSI TR-02103 X.509-Zertifikate und Zertifizierungspfadvalidierung

X.509-Zertifikate bilden einen wichtigen Pfeiler der IT-Sicherheit, indem sie die Realisierung von Public-Key-Infrastrukturen ermöglichen. Die Technische Richtlinie TR-02103 enthält die wichtigsten Punkte, die bei dem Einsatz von X.509-Zertifikaten beachtet werden müssen.

Hintergrund

In der digitalen Kommunikation werden Zertifikate zur Authentifizierung und zur Verifizierung von öffentlichen Schlüsseln verwendet. Diese Zertifikate binden den öffentlichen Schlüssel an die Identität seines Eigentümers innerhalb einer Public-Key-Infrastruktur. Der am häufigsten verwendete Standard für digitale Zertifikate ist X.509v3. Ein X.509-Zertifikat hat die Funktion, den öffentlichen Schlüssel eines Inhabers als authentisch zu verifizieren und zu bestätigen, dass dieser zu dem Inhaber gehört. Dies erfolgt über den sogenannten Zertifizierungspfad. Über diesen kann eine Verbindung zu einem Vertrauensanker hergestellt werden, indem jedes ausgestellte Zertifikat im Pfad mit dem öffentlichen Schlüssel des vorhergehenden durch eine kryptografische Signatur verifiziert werden kann. Des Weiteren sind in jedem Zertifikat wichtige Informationen enthalten. Dies können zum Beispiel Verweise auf den Inhaber sein oder Informationen, die den Verwendungszweck oder die Gültigkeit des Zertifikats einschränken. Da die zugehörigen Felder ebenfalls in die Berechnung der vom Aussteller erzeugten kryptografischen Signatur des Zertifikats einfließen, sind diese Werte im Rahmen der Zertifikatsprüfung ebenfalls vertrauenswürdig.

Inhalte und Download der TR-02103

Die in der Technischen Richtlinie enthaltenen Hinweise beziehen sich auf die Wahl der Zertifikatsinhalte bei deren Erstellung sowie die korrekte und sichere Prüfung der Gültigkeit eines Zertifikats bzw. eines Zertifizierungspfades in bestimmten Anwendungskontexten. Diese Hinweise orientieren sich an RFC 5280 und anderen anwendungsspezifischen Spezifikationen. Sie gehen aber über diese hinaus.

BSI Technische Richtlinie TR-02103: X.509-Zertifikate und Zertifizierungspfadvalidierung

Abgrenzung

Im Zusammenhang mit der Erzeugung und Verwendung von Zertifikaten gibt es noch eine ganze Reihe weiterer sicherheitsrelevanter Aspekte, die nicht Gegenstand der TR-02103 sind. Dies umfasst zum Beispiel:

  • zuverlässige Identifikation von Entitäten als Voraussetzung der Zertifikatsausstellung
  • sichere Erzeugung und Speicherung der zugehörigen geheimen Schlüssel
  • angemessene Nutzeraktion zur Freigabe der Signierfunktion (z.B. PIN- oder Passwort-Eingabe)
  • Einhaltung von Empfehlungen bezüglich der Verwendung von kryptografischen Algorithmen

Nähere Informationen zum letzten Punkt bieten die folgenden Technischen Richtlinien:

BSI TR-02102-1 "Kryptographische Verfahren: Empfehlungen und Schlüssellängen" Version: 2024-01

BSI TR-02102-2 "Kryptographische Verfahren: Verwendung von Transport Layer Security (TLS)" Version: 2024-1

BSI TR-02102-3 "Kryptographische Verfahren: Verwendung von Internet Protocol Security (IPsec) und Internet Key Exchange (IKEv2)" Version: 2024-01

Ähnliche Themen

Zurück zu Technische Richtlinien

Kurz-URL:
https://www.bsi.bund.de/dok/TR-02103