Eine Infrastruktur öffentlicher Schlüssel (Public Key Infrastructure,
PKI) verwaltet Zertifikate, die als Grundlage verschiedener sicherer
Kommunikationsverfahren dienen. Die PKI bildet hierbei alle Funktionen
ab, die innerhalb eines Lebenszyklus von Zertifikaten notwendig sind:
Identitätsprüfung, Ausstellung, Erneuerung, Validierung und Widerruf.
Die Zertifikate selbst basieren auf Schlüsselpaaren, die aus einem
öffentlichen, bekannten Schlüssel und einem privaten, geheimen Schlüssel
bestehen. Ein Zertifikat ist die elektronische Repräsentation dieses
öffentlichen Schlüssels zusammen mit Informationen über den Inhaber
sowie andere Eigenschaften des Schlüsselmaterials, die durch eine
digitale Signatur der ausstellenden Instanz bestätigt werden.
Schlüssel und Algorithmen
Über
das zugrunde liegende asymmetrische Verschlüsselungsverfahren und
dessen Kombination mit symmetrischer Verschlüsselung oder Hash-Verfahren
ergeben sich vielfältige Anwendungsfälle von der Identitätsfeststellung
von Personen, Geräten oder Services bis hin zur Verschlüsselung von
Daten mit einem sicheren Schlüsselaustausch. So finden sich Zertifikate
in Verfahren wie Identifizierung und Verschlüsselung von Webservices
(SSL), Signatur und Verschlüsselung von E-Mails (S/MIME),
Benutzeranmeldung an Rechnersystemen und Webservices (SAP) oder
digitales Rechtemanagement von Informationen (DRM).
Von
wesentlicher Bedeutung für die Sicherheit der eingesetzten Zertifikate
sind die Algorithmen der Signatur und das eingesetzte Hash-Verfahren.
Ersteres wird in Regel fast immer mit RSA und Schlüssellängen von 1.024
oder 2.048 Bit abgebildet. Alternativen wie DSA (Digital Signature
Algorithm) und Modifikationen davon unter Verwendung elliptischer
Verfahren (EC-DSA, EC-KDSA) finden sich zwar schon lange in Standards
wie Common PKI 2.0 oder Empfehlungen des BSI wieder, jedoch ist die
Verbreitung noch recht gering. Im Bereich der Hash-Algorithmen werden
die weitläufig eingesetzten SHA1-Varianten (160 Bit) sukzessive gegen
längere Hash-Werte (SHA-224, -256, -384 und -512, auch bezeichnet als
SHA2-Gruppe) getauscht. Hintergrund ist ein bereits 2005 dokumentiertes
erfolgreiches Angriffsverfahren gegen SHA1.
Aufbau einer PKI
Die
Hauptaufgabe einer PKI besteht in der Erzeugung der oben beschriebenen
Zertifikate. Dazu verfügt sie über ein eigenes Schlüsselpaar: den
geheimen privaten Schlüssel der PKI, der entsprechend sicher aufbewahrt
werden muss und zur Signierung aller Anträge weiterer Teilnehmer
verwendet wird. Der zweite Schlüssel ist der öffentliche Schlüssel, der
zur Verifizierung der ausgestellten Zertifikate genutzt wird. Diese
Kernkomponente wird als CA (Certificate Authority) bezeichnet.
Zur
organisatorischen Umsetzung einer PKI gehört auch eine
Registrierungsstelle (RA, Registration Authority), bei der die
benötigten Zertifikate beantragt werden. Für die Einreichung eines
Antrags zum Ausstellen eines Zertifikates, dem sogenannten Certificate
Signing Request (CSR), gibt es verschiedene Verfahren wie
Self-Enrollment (manuelle Einreichung durch den Antragssteller),
Auto-Enrollment (Einreichung und Signierung ohne manuelle Interaktion)
oder die Ausstellung unter Einbeziehung eines sogenannten RA-Officers.
Neben der Prüfung des CSR auf Richtigkeit der enthaltenen Angaben ist
die wichtigste Funktion, der RA die Identitätsfeststellung des
Antragsstellers, denn diese Identität stellt der Antragssteller nach
erfolgter Signatur durch die CA anderen Kommunikationsteilnehmern
gegenüber dar. Er nutzt damit die Vertrauensstellung der ausstellenden
PKI für seinen eigenen Identitätsnachweis.
Ausgestellte
Zertifikate einer PKI sind solange gültig, wie durch die im Zertifikat
definierten Gültigkeitsdaten angegeben ist oder aber das Zertifikat aus
einem bestimmten Grund zurückgezogen wird. Diese Sperrung (Revocation)
wird in sogenannten Widerrufslisten (CRL, Certificate Revocation List)
veröffentlicht. Teilnehmer innerhalb einer zertifikatsgestützten
Kommunikation überprüfen diese Listen zusätzlich zur Validierung der
Zertifikatseigenschaften. Online-Verfahren ermöglichen die
Gültigkeitsprüfung in Echtzeit beispielsweise im Rahmen von OCSP (Online
Certificate Status Protocol) oder SCVP (Server-Based Certificate
Validation Protocol). Als letzte erforderliche Komponente der
technischen Infrastruktur ist die Enrollment Entity (EE) zu nennen, die
das Interface zur Annahme eines CSRs darstellt.
Aus der
Erfahrung heraus sollten IT-Verantwortliche beim Entwurf einer PKI
darauf achten, dass das Setup so stringent und effizient wie möglich zu
halten, da jede einzelne Komponente Einfluss auf die Sicherheit der
gesamten Installation hat. Eine Beschreibung der Anforderungen an die
PKI wird in Form der sogenannten Certificate Policy (CP) erstellt und
durch ein Certification Practise Stratement (CPS) ergänzt. Das CPS
beschreibt alle technischen Komponenten sowie auch organisatorischen
Prozesse innerhalb der PKI. Je komplexer eine PKI geplant wird, desto
umfangreicher wird auch eine Umsetzung die dem CP entspricht.
Vertrauensbeziehungen erhöhen signifikant die Komplexität
Diese
Komplexität lässt sich insbesondere durch das Vertrauensmodell zwischen
verschiedenen PKI soweit steigern, dass der Betrieb einer eigenen PKI
kaum noch handhabbar ist. Zu den einfacheren und am häufigsten
anzutreffenden Vertrauensmodellen zählen hierarchische Strukturen, in
denen die oberste Hierarchieebene durch die Root-CA dargestellt wird.
Diese CA bildet innerhalb der Hierarchie den gemeinsamen Vertrauensanker
zu allen unterhalb betriebenen CAs und ist somit auch durch besondere
Sicherheitsmaßnahmen zu schützen.
Weiterhin ist das Modell "Web
of Trust" (oder meshed PKI) zu nennen, das zum Beispiel bei OpenPGP
anzutreffen ist. Des Weiteren gibt es Cross- und Bridge-Architekturen.
Während bei einer Cross-PKI alle CAs untereinander vertrauen müssen,
verlagert man diese Vertrauensfeststellung bei der Bridge-CA auf eine
einzelne CA, die keine Zertifikate ausstellt, sondern nur als
Vertrauensanker dient. In Unternehmen sind in der Regel hierarchische
Strukturen anzutreffen, ein Standard-Design geht von zwei bis maximal
drei Ebenen aus. Dies wird im Wesentlichen bestimmt durch die Größe des
Unternehmens, unterschiedliche Verwaltungseinheiten oder auch
regulatorischen Anforderungen.
Grundlagen
Public Key-Infrastrukturen
In unserer Grundlagen-Rubrik erklären wir wichtige Aufgaben und Technologien aus dem Arbeitsalltag eines Netzwerk- und Systemadministrators. Hier erfahren Sie anhand prägnanter Erklärungen zu den wichtigsten Begriffen des jeweiligen Themenfeldes Hintergründe und Zusammenhänge in kompakter, praxisnaher Form.
Nachrichten
Flowmon 12 erweitert Multicloud-Monitoring [7.07.2022]

Progress hat Flowmon 12 veröffentlicht, die neue Version seiner Lösung für Netzwerksichtbarkeit und -sicherheit. Sie unterstützt ab sofort auch das Monitoring nativer Flow Logs in der Google Cloud sowie Microsoft Azure und enthält neue Funktionen für die Anomalie-Erkennung. [mehr]
Hacker stehlen interne Daten von Hotelkette [6.07.2022]
Die Hotelkette Marriott wurde offenbar erneut Opfer eines Hackerangriffs. Den Tätern gelang es, rund 20 GByte an internen Daten zu stehlen, insbesondere Geschäftsunterlagen. Während die Hotelkette die Informationen als "nicht-sensibel" bezeichnet, sollen diese auch persönliche Daten von Mitarbeitern und Gästen enthalten. Rund 300 bis 400 Personen könnten von dem Leck betroffen sein. [mehr]
Die erfolgreichsten Phishing-Aufhänger [4.07.2022]
NoSpamProxy 14 unterstützt S/MIME 4 [1.07.2022]
Tipps & Tools
Studie: Unternehmen geben zu viel für Cloudservices aus [5.07.2022]

Couchbase hat die Kosten, die Unternehmen jährlich für ihre Cloudnutzung bezahlen, näher untersucht. Unter anderem aufgrund unflexibler Preisgestaltung und unzureichender Managementtools ermittelte die Studie unnötige Mehrkosten um etwa 35 Prozent. [mehr]
Online-Intensivseminar "Hyper-V unter Windows Server 2019" [13.06.2022]

Allen Public-Cloud-Trends zum Trotz: Die lokale Virtualisierung ist bei vielen Unternehmen nach wie vor die sicherere Basis des IT-Betriebs. Lernen Sie in unserem dreitägigen Intensivseminar deshalb, wie diese optimal mit Microsofts Hyper-V gelingt. Dabei führt Sie die Onlineveranstaltung durch die komplette Arbeit mit virtuellen Maschinen – vom Erstellen, dem Anbinden ans Netz bis hin zur Versorgung mit passendem Speicher – Hochverfügbarkeit und Replikation der VMs inklusive. Die Veranstaltung findet vom 19. bis 21. Oktober virtuell statt. Zögern Sie nicht, sich Ihren Platz zu sichern – und vergessen Sie nicht, dass für Abonnenten wie immer ein Sondertarif gilt. [mehr]