Z1 Backbone of Trust Server- und XML-basierte Lösung zentrales Zertifikatsmangement der Königsweg zur anwenderfreundlichen eBusiness-Infrastruktur
Bestandteile einer sicheren eBusiness-Infrastruktur Angriffe Ausspähung Verlust der Integrität Identitätsfälschung Ableugnung Organisation IT-Infrastruktur Zugangs-kontrolle Kryptographie Zu schützende Informa- tionen
Typische PKI-Anwendungen Sichere eMail Verschlüsselung, Digitale Signatur Sicheres Web Verschlüsselung, Authentisierung, Digitale Signatur Sichere Endgeräte Verschlüsselung, Authentisierung Signatur von Formularen, Verträgen, etc. Digitale Signatur, Keine Verleugnung Sichere Workflow-Prozesse Verschlüsselung, Digitale Signatur, Authentisierung Zugangskontrolle Authentisierung, Autorisierung, künftig Attributzertifikate
Aufgaben einer eBusiness / Public Key Infrastruktur Zweifelsfreie Identifikation der Geschäftspartner Authentizität / Echtheit Integrität der übermittelten Informationen / Daten Integrität / Dokumenten-Echtheit Geheimhaltung der übermittelten Informationen / Daten Datenschutz / Vertraulichkeit Nachweisbarkeit von stattgefundener Kommunikation Verbindlichkeit eines Geschäftsvorgangs / Non-Repudiation / Unleugbarkeit Ziel: Vertrauen in eBusiness-Infrastrukturen !
Aufgaben einer eBusiness / Public Key Infrastruktur Bereitstellung und Verwaltung der Private Keys = internes Zertifikats-Management private keys werden benötigt z.B. für die Entschlüsselung von eingehenden E-Mails das Signieren ausgehender E-Mails Bereitstellung der Private Keys z.B. über SmartCards
Aufgaben einer eBusiness / Public Key Infrastruktur Bereitstellung und Verwaltung der Public Keys = externes Zertifikats-Management public keys werden benötigt z.B. für die Verschlüsselung von ausgehenden E-Mails das Überprüfen der Signaturen eingehender E-Mails Bereitstellung der Public Keys in vielen Projekten nicht geklärt !
Asymmetrische Verschlüsselung Klartext Chiffrat Chiffrat Klartext Hallo Bob JhRzl Pqz JhRzl Pqz Hallo Bob Öffentlicher Schlüssel von Bob Privater Schlüssel von Bob Alice (Sender) Bob (Empfänger)
Asymmetrische Verschlüsselung Asymmetrische Verfahren entwickelt von Withfield Diffie und Martin Hellmann gibt es erst seit 20 Jahren lösen die Schwierigkeiten beim Schlüsseltausch arbeiten mit einem Schlüsselpaar (also mit zwei Schlüsseln) beruhen auf rein mathematischen Funktionen Vorteile: Durch Verwendung von Public und Private Key einfache Schlüsselverteilung System einfach skalierbar Nachteil: Verschlüsselung von großen Datenmengen ist zeitaufwendig
Briefkastenvergleich Hallo Bob Hallo Bob Alice (Sender) Bob (Empfänger)
Symmetrische Verschlüsselung Symmetrische Verfahren sind schon lange bekannt s. griech. Skyla oder Cäsar-Chiffre verwenden einen einzigen Schlüssel => Secret Key erfordern, dass der Secret Key sowohl dem Sender als auch dem Empfänger einer Nachricht bekannt sein Basieren auf der Geheimhaltung des Secret Key Vorteil: Schnelle Verschlüsselung von großen Datenmengen möglich Nachteile: Schlüsselaustausch schwierig System nur schwer zu skalieren
Symmetrische Verschlüsselung Klartext Chiffrat Chiffrat Klartext Hallo Bob JhRzl Pqz JhRzl Pqz Hallo Bob Alice (Sender) Bob (Empfänger) Identische Schlüssel
Probleme jeder PKI-basierten Anwendung Benötigt werden alle gültigen Zertifikate jedes externen Email-Kommunikationspartner ! 1. Woher bekommen? 2. Echtheit / Gültigkeit? external Cert 3. Zertifikatsverwaltung?
Die PKI-Herausforderungen für PC-Anwender Windows Screen-shot: Einstellungen / Systemsteuerung / Internetoptionen / Inhalte Herausgeber ... = Zwischen- zertifizierungsstellen !
Die PKI-Herausforderungen für PC-Anwender Windows Screen-shot: Einstellungen / Systemsteuerung / Internetoptionen / Inhalte Zertifikate ...
Die PKI-Herausforderungen für PC-Anwender Screen shots Outlook
PKI zu komplex für Endanwender CRL Trustcenter OCSP CA LDAP PKI Zertifikat S/MIME
Die innovative und einfache Lösung aus Berlin: Z1 Backbone of Trust - Server für Austausch, Validierung und Management von Zertifikaten - zentraler Meta-PKI-Server Benutzung interaktiv via Web-GUI integriert via Client SDK X.509 & PGP-Zertifikate Suchen Upload + Download Validierung Management integriert sich in jede Organisation ASP/SSP geeignet
Z1 Backbone of Trust
T/bone Backbone Client API
Automatisierte PKI-Anbindung I 1. Woher? Autoabfrage von externen LDAP- u. PGP-Servern Autoabfrage des DNS nach Domain-Zertifikaten Autoimport von „durchreisenden“ Zertifikaten und PGP-Keys man. Import von Zertifikaten und PGP-Key durch Admin LDAP & PGP-Key- Server Domain- Zertifikate Zertifikate/PGP-Keys aus „durchreisenden“ Emails DNS
Automatisierte PKI-Anbindung II 2. Gültig? in lokaler Datenbank: CA-Zertifikate CRLs PGP-Signer Zertifikate periodischer Auto-Update (download) von CRLs Autoabfrage von externen OCSP-Servern alternative Trustmodelle.... positive directory externe OCSP-Dienste externe CRL-Dienste
Automatisierte PKI-Anbindung III 3. Zertifikatsverwaltung? Lokale Datenbank für User-Zertifikate Unternehmens-Zertifikate PGP-Keys CA-Zertifikate PGP Signer Keys CRLs webbasiertes Admin-Interface für Meta-PKI-Management Admin WebConsole DB
Z1 BOT Anwendungsfeld: Managed eMail Security Geschäftsfeld für Internetdienstleister (ISP/SSP) : E-Mail als Managed Security Service hochverfügbar, skalierbar und mandantenfähig z.B. bei PSI Net Wir unterstützen Sie durch Sicherheits- und Betriebskonzepte, beraten Sie und realisieren ihre individuelle Lösung. In einzelnen Phasen oder für die gesamte Projektdauer. Dabei berücksichtigen wir: - Integration in Anwendungen und Geschäftsprozesse - Integration von Verzeichnisdiensten u.a. Active Directory - Skalierbarkeit & Hochverfügbarkeit - Verschlüsselung u. Signatur (S/MIME & OpenPGP) - WebMailer-Security - OpenSource und Drittprodukte - Anti Spam und Anti Virus Lösungen - individuelle Software-Entwicklung im Secure E-Mail-Umfeld - Lösungen im TKÜV-Umfeld ("lawful interception") So wird e-Mail Sicherheit hochverfügbar, skalierbar und mandantenfähig. typisches Szenario
Kontaktinformationen Vielen Dank für Ihre Aufmerksamkeit Weitere Informationen und Kontakt: Zertificon Solutions GmbH Landsberger Allee 117 10407 Berlin sales@zertificon.de www.zertificon.de tel 030 - 5900 300 – 0 fax 030 - 5900 300 – 99