Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Digitale Schlüssel und Zertifikate auf dem Weg in die Praxis

Veröffentlicht von:Guido Klein Geändert vor über 5 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Digitale Schlüssel und Zertifikate auf dem Weg in die Praxis"—  Präsentation transkript:

1 Digitale Schlüssel und Zertifikate auf dem Weg in die Praxis
Theoretische Grundlagen und Erfahrungen aus konkreten Projekten Jürgen Hartmann, SEC, FIDUCIA IT AG & Christof Söhngen, SYRACOM AG | JBFOne 2008

2 Ziele dieses Vortrags Etablierung von Hintergrundwissen
Anreize zum Einsatz der vorgestellten Technologien Anreize zur Nutzung der FIDUCIA PKI Lessons Learned aus den Web Service-Projekten Wissen Verbesserung der Sicherheit durch Kryptografie, Hemmschwellen senken, Vorurteile abbauen Zertifikate müssen verwaltet werden, das ist viel Arbeit schon getan Welche Fehler müssen Sie nicht mehr machen?

3 Agenda Theorie der digitalen Zertifikate FIDUCIA PKI
Lessons Learned aus den Web Service-Projekten

4 Ziele der IT-Security Verfügbarkeit Vertraulichkeit Unveränderbarkeit
Nicht blockierbarer Zugriff Vertraulichkeit Keine unbefugten Leser Unveränderbarkeit Keine unbefugten Schreiber Nicht-Abstreitbarkeit Nachweisbarer Urheber

5 Kryptografie Chiffre Chiffre Klartext Geheimtext Klartext

6 Kryptografie Chiffren ohne Schlüssel
Klartext Geheimtext Klartext = feste geheime Rechenregel

7 Kryptografie Chiffren mit symmetrischen Schlüsseln
Klartext Geheimtext Klartext = feste öffentliche Rechenregel = beliebiger geheimer Schlüssel

8 Kryptografie Chiffren mit asymmetrischen Schlüsseln
Klartext Geheimtext Klartext = feste öffentliche Rechenregel = beliebiges Schlüsselpaar (geheim und öffentlich)

9 Kryptografie Verwendung von asymmetrischer Kryptografie
Verschlüsselung n:1 Klartext Geheimtext Klartext Signatur 1:n Klartext Geheimtext Klartext

10 Kryptografie Verwendung von asymmetrischer Kryptografie
Verschlüsselung n:1 Klartext Geheimtext Klartext Signatur 1:n + + + Klartext + Hash Klartext + v. Hash Klartext + Hash

11 Authentifizierung Identifikation Verifikation besondere Merkmale
einmalig einzigartig gesicherte Identität Authentifizierung Beispiele: Name und Passwort Fingerabdruck Asymmetrisches Schlüsselpaar

12 Authentifizierung Problem: Verteilung der Schlüssel
= Signatur Benutzer Anwendung Szenario: Ein Benutzer will sich bei einer Anwendung authentifizieren Er verwendet dazu die Signatur (asymmetrische Kryptografie) Wie kommt der öffentliche Schlüssel zur Anwendung?

13 Authentifizierung Problem: Verteilung der Schlüssel
? = Benutzer Man-In-The-Middle Anwendung Szenario: Unsicherer Transportweg bei der Verteilung des Schlüssels Man-In-The-Middle schleust sich mit eigenem Schlüsselpaar ein Er kann dadurch beliebig unter der Identität von X auftreten

14 Provisioning Schlüssel verwalten
Sicherheit bedingt korrekte Zuordnung von privaten und öffentlichen Schlüsseln zu einer Identität Wie kann ich Schlüssel verteilen prüfen erneuern zurückziehen ? Also Sicherheit bedingt die nichtabstreitbare Zuordnung Schlüssel <-> Identitäten Wir müssen davon ausgehen, dass nicht immer gesicherte Transportwege zur Verfügung stehen oder einfach zu teuer sind Transport über potentiell unsichere Wege ermöglichen

15 Digitale Zertifikate Strukturierte Daten bestätigt durch eine Zertifizierungsstelle (CA)
Aussteller Anfrage Prüfung Zertifikat Dritte Instanz einführen. Und jetzt sind wir beim Begriff „digitalen Zertifikate“ Zertifikat: Bestätigte Korrektheit der Daten durch einen vertrauenswürdigen Dritten Besitzer Anwendung

16 Digitale Zertifikate Technik und Formate
Ein Zertifikat könnte so aussehen: Datenstruktur entsprechend X.509v3 Schlüssellänge: 2048 Bit Signaturalgorithmus: SHA1/RSA Zeitintervall für Gültigkeit: 10 Jahre X.509v3 Erweiterungen: CA: FALSE Key Usage: Digital Signature Key Encipherment Zertifikate sind strukturierte Daten durch CA singniert

17 Digitale Zertifikate Mehrstufige Hierarchie von Zertifizierungsstellen (CAs)
Stamm-CA Certificate Revocation List (CRL) Selbst signiertes Zertifikat Zwischen-CAs Wir hatten Besitzer und Aussteller, aber wie prüfe ich den Aussteller? Vertrauenskette, das Ende ist Stamm-CA. Sie signiert ihr Zertifikat selbst. Verteilung der Zertifikate kann auf wenige Stamm-CAs zurück geführt werden. Zurückziehen von Schlüsseln war noch offen: CRL CA oder End-Zertifikat End-Zertifikate

18 Digitale Zertifikate Provisioning
Erstellen: Besitzer erstellt den privaten Schlüssel - niemals weitergeben! Verteilen: Öffentlichen Schlüssel (CSR) von einer geeigneten CA signieren lassen und Zertifikat verschicken oder zum Herunterladen bereitstellen Prüfen: Die CA veröffentlicht ihren öffentlichen Schlüssel als Zertifikat und bei Bedarf Sperrinformationen für durch sie signierte Zertifikate Certificat Revocation List (CRL) Online Certificate Status Protokoll (OCSP) ! Erneuern: siehe „Verteilen“ Ein neuer privater Schlüssel ist oftmals nicht notwendig! Jetzt sind wir in der Lage effektiv mit Schlüsseln zu arbeiten Zurückziehen: siehe „Prüfen“

19 Digitale Zertifikate Reifegrad einer Public Key Infrastructure (PKI)
Eine PKI stellt Technik und Prozesse zum Ausstellen und Verwalten von Zertifikaten über deren gesamten Lebenszyklus bereit Wer ist die Zielgruppe? Wie wird die PKI betrieben? OpenSource Software auf Entwickler-PC Trust Center für qualifizierte Signaturen Ist veröffentlicht, nach welchen Regeln Zertifikate ausgegeben werden? Sind über die veröffentlichten Kontaktdaten kompetente Ansprechpartner erreichbar? Wie werden Sperrinformationen veröffentlicht? Ist die Parametrisierung der Zertifikate praxisgerecht? Definition PKI Was will ich, was will ich bezahlen? Wenn ich ein Stammzertifikat einspiele sollte eine gewisse Hemmschwelle vorhanden sein

20 Digitale Zertifikate Vorteile gegenüber Passwörtern
passwd Vorteile von Zertifikaten gegenüber Passwörtern Das „Geheimnis“ wird nicht geteilt Leicht archivierbare, nichtabstreitbare Transaktionen (Journal) Geringe Verwaltungsaufwände eine CA für beliebig viele Zertifikate lange Schlüssel ermöglichen lange Laufzeiten In „unsicheren Umgebungen“ einsetzbar

21 Agenda Theorie der digitalen Zertifikate FIDUCIA PKI
Lessons Learned aus den Web Service-Projekten

22 FIDUCIA PKI Ziele Verbesserung der IT-Sicherheit bei gleichzeitiger Verringerung der Kosten Minimierung der Ausgaben für den Einkauf externer Zertifikate z. B. von VeriSign Verringerung der Betriebskosten durch die Verlängerung der Zertifikatslaufzeiten  Daraus ergibt sich eine besserer Durchdringung beim Einsatz von Kryptographie kosteneffizient flexibel dem jeweiligen Einsatzzweck angemessenes Sicherheits-Niveau Akzeptanz („Trust“) der PKI im FIDUCIA-Systemumfeld und bei Partnern

23 FIDUCIA PKI Konzeption
Zertifikate für das FIDUICA Extranet Ausschließlich „Offline-CAs“ Einfacher und sicherer Schutz der Zertifizierungsstellen (CAs) Schnelles und flächendeckendes Sperren von Zertifikaten ist dennoch möglich (Arbeitsplätze und Server sind zentral verwaltet, Partner bekannt) Mehrstufige Zertifizierungsstellen-Hierarchie Lange Laufzeit der Zertifikate, große Schlüssellänge Keine Unterstützung von OCSP (RFC 2560) z. B. Stammzertifikat nicht von Software-Herstellern bei Auslieferung installieren lassen. Kein öffentliches TrustCenter Analog zur FIDUCIA PKI steht eine Test-PKI zur Verfügung

24 FIDUCIA PKI Implementierung
Rechnen der Zertifikate mit OpenSSL auf offline Laptop (Ubuntu) Laufzeiten Stammzertifikats bis 2031 (4096 Bit Schlüssel) ausstellende CAs: 20 Jahre Endzertifikate: 10 Jahre Verteilen des Stamm-Zertifikats und Sperrlisten (CRLs) über FSV und Windows-Domänen Bereitstellung relevanter Zertifikate an (Verbund-)Partner durch das jeweilige Produkt-Management („technischer Produktmanager“) Verantwortung der CAs verteilt, z.B. SSL-Server-Zertifikate im Benutzerrechte-Management ITB2SM CodeSigning von MS Office Makros in PM SYT2AM

25 FIDUCIA PKI Implementierung: Passwortsicherheit
Jeder private Schlüssel ist durch ein komplexes Passwort geschützt Ebene 0: 2 x 16 Zeichen (geteiltes Passwort) Ebene 1: 2 x 8 Zeichen (geteiltes Passwort) ab Ebene 2: 1 x 8 Zeichen Passwort und Schlüssel werden getrennt vorgehalten Passworte in Notes-DB über ACLs geschützt Ebene 0 und 1 in Tresoren, ab Ebene 2 spezifisch nach Anwendung Vertraulichkeit Zertifikatspassworte im Notes-Cluster und im versiegelten Umschlag bei der internen Revision der FIDUCIA (Bank-Tresor) Zertifikate Ebene 0 und 1 in getrennten Tresoren RZD und RZO Zertifikate ab Ebene 2 spezifisch nach Anwendung Verfügbarkeit Die Verantwortung für den Schutz der Vertraulichkeit und der Verfügbarkeit der Passwörter liegt beim Verantwortlichen für die jeweilige Zertifizierungsstelle!

26 FIDUCIA PKI Implementierung: Verteilung
Das Stammzertifikat der FIDUCIA PKI ist über die Systems-Management-Verfahren installiert auf agree FCSI: Windows Zertifikatsspeicher Server/Arbeitsplätze und Zertifikatsspeicher Firefox Integration in den Java Keystore ist beauftragt. FIDUDOM: Windows Zertifikatsspeicher Server/Arbeitsplätze und Zertifikatsspeicher Firefox Integration in die Java Keystores V 1.6 und 1.5 sind im Rollout (1.4 wird nicht mehr unterstützt) AEW-Domäne: Windows Zertifikatsspeicher Server und Arbeitsplätze Integration in den Java Keystore ist beauftragt. ORGA-Domäne: Windows Zertifikatsspeicher Server und Arbeitsplätze Integration in den Java Keystore ist beauftragt. Die CAs der produktiven FIDUCIA-PKI signieren Zertifikate für RIAT und Produktion (gleiche signierende CA, aber unterschiedliche Zertifikate!) Analog steht eine FIDUCIA Test-PKI zur Verfügung Ablaufüberwachung ausschließlich in der produktiven PKI

27 Agenda Theorie der digitalen Zertifikate FIDUCIA PKI
Lessons Learned aus den Web Service-Projekten Wir haben die Theorie, FIDUCIA-PKI, jetzt kommen die Erfahrungen aus der Praxis

28 Lessons Learned aus Web Service-Projekten Hintergründe
Partner-Unternehmen FIDUCIA IT AG Client Server agree® Servicenehmer Servicegeber Maschinelle B2B-Kommunikation: VR-Services für Verbundpartner agree Customer Interface (aCI) für Banken und Agenturen

29 Lessons Learned aus Web Service-Projekten Frage: WER wird authentifiziert?
Betreiber Servicenehmer Servicegeber System Anwendung Mandant Benutzer agree® FIDUCIA IT AG Authentifizierungs-Kandidaten beim Servicenehmer: Benutzer Anwendung System Mandant Betreiber

30 Lessons Learned aus Web Service-Projekten Frage: WER wird authentifiziert?
Servicenehmer Servicegeber Betreiber Beispiel- Szenario Mandant agree® Benutzer / Anwendung / System FIDUCIA IT AG Authentifiziert wird der Betreiber, seinen Angaben wird vertraut („Federation“) Juristischer Partner ist derjenige, dessen Mitarbeiter die Zugriffe ausführen Servicegeber vergibt Zugriffs-Rechte, Servicenehmer nutzt „logische Profile“

31 Naheliegende Authentifizierungsform Risiken und Nebenwirkungen
Lessons Learned aus Web Service-Projekten Frage: WIE wird authentifiziert? Naheliegende Authentifizierungsform Risiken und Nebenwirkungen RACF (siehe Theorie) Bindung an natürliche Personen Gefahr für Single-Sign-On Gültigkeit auf 30 Tage begrenzt Kanalabhängigkeit zu agree BAP (revoke) GenoUserID + Passwort Vorteil: Etablierte … Identität Technik Prozesse Ressourcen Digitale Zertifikate

32 Lessons Learned aus Web Service-Projekten Wahl der Zertifikats-Hierarchie
Installation 0-stufig: Vorteil: Keine Aufwände für Hierarchien Nachteil: Pflegeaufwände immer auch beim Servicegeber m mal (Stufe 0) Laufzeit 1 mal (Stufe 0) n-stufig: Vorteil: Min. Pflegeaufwand durch max. Entkopplung Nachteil: Aufwändigere Prüfung auf Revocation Einschränkung bei Zertifikats-Identifizierung Installation 1 mal (Stufe 0) Laufzeit x mal (Stufe 1-x) n Installation 1-stufig: Vorteil: Sinnvolle Entkoppelung der internen Details Nachteil: Keine beliebige logische Hierarchie 0 (Haus) 1 mal (Stufe 0) 1 (System) Laufzeit 1 mal (Stufe 1)

33 Merkmal vom Aussteller Merkmal vom Servicegeber
Lessons Learned aus Web Service-Projekten Wahl des Identifizierungs-Merkmals bei Zertifikaten Ziel: Identifizieren eines Zertifikates Merkmal vom Aussteller Merkmal vom Servicegeber Distinguished Name Vollständig zur Laufzeit möglich Keine Kontrolle durch Servicegeber Gemeinsame Syntax notwendig Änderungen sind aufwändig Fingerprint Größtenteils zur Laufzeit möglich Kontrolle durch Servicegeber Keine Syntax notwendig Änderungen sind einfach möglich Alias im Keystore Nur für installierte Zertifikate möglich Kontrolle durch Installateur Rollentrennung Zertifikat / Identität

34 Lessons Learned aus Web Service-Projekten Weitere Punkte
Prozesse und Rollen von Anfang an Planen zu Ende denken Teststufen Test, Produktion und Vorproduktionstest Nicht überspringen! Notwendigkeit für passende Tools Keytool Keytool-GUI XCA Notwendigkeit für passende Skills Analyse und Design Umsetzung Administration

35 Zusammenfassung Zertifikate sind für maschinelle B2B-Kommunikation unverzichtbar Sie können allerdings nicht alle Probleme lösen z.B. Schutz des Geheimnisses beim Servicenehmer Es gibt keine „Silver Bullet“ für alle Situationen abhängig von Eigentümer, Betreiber, … Zertifikate sind ein nicht-triviales Thema sie benötigen die richtigen Skills und Tools Frühzeitiger „Proof of Concept“ mit Test-Zertifikaten wie verhält sich die konkret eingesetzte Software? Handling der Zertifikate in Test, Pilot und Produktion z. B. Administration der privaten Schlüssel Ablaufüberwachung der Zertifikate Zertifikate erzwingen Konsequenz Wer verantwortet den privaten Schlüssel (Verfügbarkeit, Vertraulichkeit) Wer ist Besitzer der Daten die verarbeitet werden, wer betreibt die Systeme, wer integriert und wer entwickelt die Systeme?

36 Links FIDUCIA Security Portal (Extranet) WESPE-Tools / Security-Paket XCA Cryptool-Projekt RFC 3280 (X.509v3 Zertifikate)

37 Fragen? – Diskussion? Jürgen Hartmann Christof Söhngen
Zentrale Security (SEC) 0721 / Christof Söhngen SYRACOM AG 0160 / Danke für Ihre Aufmerksamkeit

38 Ihr IT-Partner Vielen Dank

Herunterladen ppt "Digitale Schlüssel und Zertifikate auf dem Weg in die Praxis"

Ähnliche Präsentationen

Sicherheit in Netzwerken

Sicherheit in Netzwerken
Fachhochschule Südwestfalen

Fachhochschule Südwestfalen
Systemverwaltung wie es Ihnen gefällt.

Systemverwaltung wie es Ihnen gefällt.
Verschlüsselungsverfahren Gruppe 3/ Judith Neu / Stephanie Czichon

Verschlüsselungsverfahren Gruppe 3/ Judith Neu / Stephanie Czichon
Sicherheit und Personalisierung Internet Portal der Universität München.

Sicherheit und Personalisierung Internet Portal der Universität München.
Konzeption und prototypische Implementierung eines zentralen Informationssystems für Systemmanagement Motivation Oft wird es schwierig, die benötigten.

Konzeption und prototypische Implementierung eines zentralen Informationssystems für Systemmanagement Motivation Oft wird es schwierig, die benötigten.
Verteidigung von Michael Brinke Zum Thema Certificate Chain Validation.

Verteidigung von Michael Brinke Zum Thema Certificate Chain Validation.
Grundlagen der Kryptologie

Grundlagen der Kryptologie
Information und Technik Nordrhein-Westfalen Single Sign On mit CAS Düsseldorf, 30.10.2009 1 Single Sign On für Webanwendungen am Beispiel von CAS.

Information und Technik Nordrhein-Westfalen Single Sign On mit CAS Düsseldorf, Single Sign On für Webanwendungen am Beispiel von CAS.
Z1 Backbone of Trust Server- und XML-basierte Lösung zentrales Zertifikatsmangement der Königsweg zur anwenderfreundlichen eBusiness-Infrastruktur.

Z1 Backbone of Trust Server- und XML-basierte Lösung zentrales Zertifikatsmangement der Königsweg zur anwenderfreundlichen eBusiness-Infrastruktur.
eXtreme Programming (XP)

eXtreme Programming (XP)
Virtual Private Networks

Virtual Private Networks
Aufbau einer Sicherheitsinfrastruktur an der HU Berlin

Aufbau einer Sicherheitsinfrastruktur an der HU Berlin
Public-Key-Infrastruktur

Public-Key-Infrastruktur
Die Bank von morgen - eine neue Welt für IT und Kunden? 23. Oktober 2001.

Die Bank von morgen - eine neue Welt für IT und Kunden? 23. Oktober 2001.
IBM Workplace Forms - In Kürze © 2007 IBM Corporation XML basierte elektronische Formulare: Effizienzsteigerung und Kostenreduktion durch Automatisierung.

IBM Workplace Forms - In Kürze © 2007 IBM Corporation XML basierte elektronische Formulare: Effizienzsteigerung und Kostenreduktion durch Automatisierung.
Elektronische Signatur

Elektronische Signatur
Michael Haverbeck System Engineer

Michael Haverbeck System Engineer
Präsentation von: Tamara Nadine Elisa

Präsentation von: Tamara Nadine Elisa
Proof of Concept (POC) oder DeskTop Virtualisierung mit XenApp von Citrix Erziehungsdepartement Th. Anliker.

Proof of Concept (POC) oder DeskTop Virtualisierung mit XenApp von Citrix Erziehungsdepartement Th. Anliker.

Ähnliche Präsentationen

Google-Anzeigen