Wie prüft ein VPN-Router die Echtheit eines digitalen Zertifikats?

[necklickhia]

Ich schon wieder.

Sommer 2012 GA1 HS1:

Erläutern sie wie ein VPN-Router in der Zentrale die Echtheit eines digitalen Zertifikats des VPN-Gateways im Verkaufsbüro prüft.

Wir kamen bei der Besprechung auf keine zufriedenstellende Antwort.

Weiß jemand mehr?

[Zetsu]

Morgen,

also wir haben es damals so gelernt:

Im ersten Schritt kontaktiert der VPN-Router eine Validierungsstelle um die Gültigkeit/Echtheit des Zertifikats zu überprüfen. Der Validierungsdienst kontaktiert daraufhin eine Certification Authority (CA) z.B. VerySign um die Echtheit des Zertifikats zu überprüfen. Die CA prüft das Zertifikat und sendet die Antwort "gültig oder nicht gültig" an den Validierungsdienst, der dann die Antwort an den VPN-Router wieder zurück sendet.

Ich weiß, bei der IHK Antwort steht was ganz anderes, aber mein Lehrer, der auch im Ausschuss sitzt, meinte, dass er diese Antwort auch gelten lassen würde, weils richtig ist.

[necklickhia]

Puh, das ist aber sehr umständlich gelöst wenn das der Ablauf ist.

Again what learned, wie der Engländer niemals sagen würde.

Ich danke dir, Zetsu.

[SilentDemise]

eh...nein die antwort ist mitnichten richtig. Die ist ungenau. Das Stichwort nach dem ihr schauen wollt ist: CRL

[Zetsu]

dann klär uns doch mal auf ich gebe nur das wieder was ich gelernt habe, wenns falsch ist, dann bitte her mit der richtigen antwort^^

Edit: Die IHK schreibt das hier

Das digitale Zertifikat enthält die Signatur der CA. (1 Punkt)

Diese Signatur ist ein Hashwert über die allgemeinen Angaben des Zertifikats (Inhaber etc.). der mit dem privaten Key der CA

verschlüsselt wurde. (2 Punkte)

Diesen Hashwert kann der Gateway mit dem öffentlichen Schlüssel (public Key) der CA entschlüsseln, der im Stammzertifikat der CA

enthalten ist. (2 Punkte)

Der Gateway bildet ebenfalls einen Hashwert und vergleicht ihn mit dem entschlüsselten Hashwert. (2 Punkte)

Stimmen die Werte überein, ist das Zertifikat echt. (1 Punkt)

Bearbeitet 6. Mai 2013 von Zetsu

[SilentDemise]

wow. die ahnungslosigkeit der ihk ist wohl mal wieder grenzenlos.

[necklickhia]

SilentDemise, das fällt dir net erst jetzt auf, oder?

Uns wurde in letzter Zeit sehr oft vor Augen geführt dass die Lösungen die die IHK will nichts mit der Realität zu tun hatten in den Vorbereitungen.

Ich bin froh wenn ich ab morgen Nachmittag das meiste wieder vergessen kann.

[FISIYasmin]

In der Prüfung GA1 FISI Sommer 2016 kommt eine ähnliche Aufgabe:

Fortsetzung 4. Handlungsschritt

ae) Ergänzen Sie die folgende Beschreibung, wie der VPN-Gateway die Gültigkeit des Client-Zertifikats überprüfen kann. Beschreibung:

Der VPN-Gateway entschlüsselt die digitale Signatur der CA mit dem public key der CA.

4 Punkte.

Was sollte rein?

[RipperFox]

 

@SilentDemise Auch wenn deine Kritik an der Antwort der IHK von 2013 ist:

Zitat

Sommer 2012 GA1 HS1:

Erläutern sie wie ein VPN-Router in der Zentrale die Echtheit eines digitalen Zertifikats des VPN-Gateways im Verkaufsbüro prüft.

Die beschriebenen Schritte erfüllten doch den geforderten Zweck - die Echtheit zu prüfen. Mittels CRL/OCSP zu prüfen ob das Zertifikat zurückgezogen wurde war damals nicht Teil der Anforderung - man hat sicher keinen Abzug bekommen, wenn man das erwähnt hatte..

 

@FISIYasmin Ich denke an der von Zetsu schon genannten Lösung der IHK kann man sich orientieren. In 2016 wird allerdings von "Gültigkeit des Client-Zertifikats überprüfen" - in 2012 stand da nur "Echtheit" - da würde ich dann Prüfung von CRLs und OCSP auf jeden Fall mit reinnehmen - wie das Datum, Common Name, etc. auch..