Warum das Thema PKI im Forum VoIP? - Evaluierung von Public Key Infrastrukturen zum Einsatz in Unternehmensnetzen

Transkript

1 Warum das Thema PKI im Forum VoIP? - Evaluierung von Public Key Infrastrukturen zum Einsatz in Unternehmensnetzen B. Sc. Jochen Kunkel Hochschule für Technik und Wirtschaft des Saarlandes 20. Oktober 2008 JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

2 Inhalt 1 Warum das Thema PKI im Forum VoIP? 2 Grundlagen 3 OpenXPKI 4 MS-CA Vergleich 6 Weiterführende Literatur 7 Ende JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

3 Warum das Thema PKI im Forum VoIP? Warum das Thema PKI im Forum VoIP? JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

4 Warum das Thema PKI im Forum VoIP? Sicherheit im VoIP Was wird angestrebt... Vertraulichkeit durch Verschlüsselung Kein Abhören Authentifizierung Über Schlüsselpaare und nicht über IP Integrität Kein Packet Injection Anti Replay Kein erneuter Aufbau der Verbindung ohne das Wissen des originalen Senders JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

5 Warum das Thema PKI im Forum VoIP? Medienstrom End-to-End Lösungen Medienstrom End-to-End (RTP/RTCP) 1 SRTP/SRTCP (Applicationlayer) Hierfür wird ein Key Management Protokoll (KMP) benötigt. IETF schlägt MIKEY (RFC3830) vor. 2 IPsec (Networklayer) Verschlüsselung unter Verwendung von Zertifikaten. 3 RTP unter Verwendung von TLS/SSL nicht möglich da RT(C)P als Transportprotokoll UDP verwendet. JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

6 Warum das Thema PKI im Forum VoIP? Signalisierung Hop-by-Hop Lösungen Signalisierung Hop-by-Hop am Beispiel SIP 1 HTTP Basic und Digest Authentification PSK über Plaintext oder MD5 Challenge RFC SIPS Verschlüsselung unter Verwendung von Zertifikaten und Transportprotokoll TCP RFC3261 (Transportlayer) 3 S/MIME Verschlüsselung unter Verwendung von Zertifikaten RFC3261 (Applicationlayer) 4 IPsec Verschlüsselung unter Verwendung von Zertifikaten (Networklayer) JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

7 Grundlagen Kryptographische Grundlagen Kryptographie, Zertifikate und PKI JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

8 Grundlagen Kryptographische Grundlagen Übersicht der Methoden 1 Symmetrische Verschlüsselung 2 Asymmetrische Verschlüsselung 3 Hybride Verschlüsselung 4 Digitale Signatur JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

9 Grundlagen Kryptographische Grundlagen Symmetrische Verschlüsselung Verschlüsselungsfunktion f mit der Umkehrfunktion f 1 Abbildung: Modell der symmetrischen Verschlüsselung JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

10 Grundlagen Kryptographische Grundlagen Asymmetrische Verschlüsselung Asymmetrische Verschlüsselungmodell wird auch als Public-Key-Verfahren bezeichnet Abbildung: Modell der asymmetrischen Verschlüsselung JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

11 Grundlagen Kryptographische Grundlagen Hybride Verschlüsselung z.b. TLS Kombination aus symmetrischer und asymmetrischer Verschlüsselung. Asymmetrisch wird ein symmetrischer Session Key bereitgestellt. JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

12 Grundlagen Kryptographische Grundlagen Digitale Signatur Abbildung: Modell der asymmetrischen Signatur Integrität von Daten JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

13 Grundlagen Probleme: Woher weiß Bob dass x der öffentliche Schlüssel von Allice ist? Angriffsmuster "Man in the Middle" Wie kann man den Schlüssel mit der Identität von Allice verknüpfen? Lösung ist ein von einer PKI ausgestelltes Zertifikat JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

14 Grundlagen Zertifikate nach X.509 v.3 Aufbau eines X.509 v3 Zertifikates nach RFC3280 Öffentlicher Schlüssel + Namen bzw. System Identifikation Seriennummer Gültigkeitsdauer und weitere Der komplette Inhalt wird von einer vertrauenswürdigen Instanz digital signiert. JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

15 Grundlagen Zertifikate nach X.509 v.3 Zertifikatskette In Zertifikatsketten (eng. certificate chains) sind alle Zertifikate enthalten, die zur Validierung des Zertifikates benötigt werden. Abbildung: Zertifikatskette JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

16 PKI Grundlagen Einleitung Die Public Key Infrastruktur (PKI, engl. public key infrastructure) ist ein System, dass zum Ausstellen, Verteilen und Verifizieren von digitalen Zertifikaten verwendet wird. JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

17 Grundlagen Aufbau einer PKI Abbildung: Modell einer PKI CA Zertifizierungsstelle (Certificate Authority) RA Registrierungsstelle (Registration Authority) VA Validierungsdienst (Validation Authority) JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

18 Grundlagen Validierung von Zertifikaten Offline-Protokolle des Validierungsdienstes Lightweight Directory Access Protocol (LDAP) Hypertext Transfer Protocol (HTTP) File Transfer Protocol (FTP) Storing Certificates in the Domain Name System (DNS) nach RFC2538 Network File System (NFS) Server Message Block/Common Internet File System (SMB/CIFS) JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

19 Grundlagen Validierung von Zertifikaten Online-Protokolle des Validierungsdienstes Online Certificate Status Protocol (OSCP) RFC2560 Simple Certificate Validation Protokoll (SCVP) RFC5055 JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

20 Grundlagen PKI Management- und Anforderungsprotokolle Certificate Management Protocol (CMP) RFC2510 Simple Certificate Enrollment Protocol (SCEP) aktuell RFC Vorlage "draft-nourse-scep-17" JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

21 Grundlagen PKI Management- und Anforderungsprotokolle Aufgaben Zertifikatsanfragen Verteilung (eng. Enrollment) von Zertifikaten Sperrung von Zertifikaten Erneurungsintervall und Veröffentlichungspunkt von Sperrlisten und weitere... JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

22 Grundlagen PKI Anbieter kostenfreier Produkte OpenCA (DFN) TinyCA OpenXPKI und andere JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

23 Grundlagen PKI Anbieter kostenpflichtiger Produkte Novell mit dem Produkt Novell Certificate Server Entrust mit dem Produkt Entrust Authority CyberTrust mit dem Produkt TrustedCA. Microsoft mit dem Produkt MS-CA RSA Security mit dem Produkt Keon und Andere JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

24 OpenXPKI OpenXPKI irc.freenode.net#openxpki OpenXPKI is not yet another one of those projects for setting up the self-signed CA of the geek next door... JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

25 OpenXPKI Was kann OpenXPKI? PKI Realms / Multimandantenfähigkeit CA Rollover Speicherung privater Schlüssel in Hardware und Software Datenbanksupport Verschiedene Schnittstellen (engl. Interfaces) Web, SCEP und Perl Flexibilität durch Workflows Self-Service Anwendung für Smartcard/-token Personalisierung Template-basierende Zertifikatserweiterungen i18n (gettext) Ticketing-Software Support (z.z. Request Tracker) JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

26 Aufbau OpenXPKI Abbildung: Architektur der OpenXPKI JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

27 OpenXPKI Vorteile hinsichtlich VoIP Erstellen von Workflows, welcher die ENUM und DNS Einträge automatisiert anlegt Erstellen spezieller Zertifikatstemplates für VoIP Telefone (vordefinierter CN...)... JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

28 OpenXPKI Zukunft des Projektes erste stabile Version 1.0 (Ende 2008) Schnittstelle für CMP über DCOM oder HTTP Gedanken über Private Key Backup Lastverteilung / Redundance JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

29 MS-CA MS-CA 2003 Microsoft Windows Server 2003 PKI JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

30 MS-CA 2003 Was kann MS-CA? 1 Zertifikate anhand von vordefinierten Templates ausstellen 2 Integration in das ADS 3 Automatisches Zertifikatsrollout 4 SCEP (über kostenfreie Zusatzsoftware) 5 CMP über DCOM RFC viel kostenpflichte Drittanbietersoftware (Aladdin TMS...) JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

31 Aufbau MS-CA 2003 Abbildung: Architektur der MS PKI JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

32 Versionen MS-CA 2003 Leistungsmerkmale der MS-CA Versionen Bearbeiten Templates von Schlüssel Archivierung und Backup Auto- Enrollment Delta CRL Server 2003 Enterprise nur Enterprise Ja User + Computer Ja Ja CA Server 2003 Standard Computer Ja Ja 2000 Server Computer Eingeschränken der SubCA JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

33 MS-CA 2003 Änderungen von MS-CA in der Serverversion 2008 neuer Name ADCS Onlinevalidierung mit OCSP verbesserte Administration durch Powershell und neuen übersichtlicheren Tools??? JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

34 Vergleich Vergleich OpenXPKI vs. MS-CA JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

35 OpenXPKI vs. MS-CA Vergleich + OpenXPKI Microsoft CA Sicherheit der Privaten Schlüssel einfache Automatisierung (CRL und Zertifikate) Modular Konfiguration über einfaches Benutzerinterface (MMC) einfach erweiterbar einfaches Backup viele Add-Ons ADS-Integration anpassbarer Workflow gute Dokumentation und Literatur PKI Realms und CA Rollover einfache Installation (Erweiterung des Schalenmodells) kostenfreie Software Key Recovery und Key Backup - Anbindung an Ticketingsystem komplexe Konfiguration und Installation nicht geschützter CA-Key keine Automatisierung tief im Betriebssystem verankert kein Key-Backup Closed Source Produkt nicht zertifiziert schlechte Einbindung neuer Module kaum Dokumentation keine PKI Realms Unterstützung Produkt im Betastadium kostenpflichtig komplexe Lizenzierung reines Schalenmodell JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

36 Weiterführende Literatur Literaturverzeichnis ADAMS, Carlisle ; LLOYD, Steve: Understanding PKI: Concepts, Standards, and Deployment Considerations. Boston, MA, USA : Addison-Wesley Longman Publishing Co., Inc., ISBN BARTOSCH, Martin ; BARTOSCH, Martin (Hrsg.): Architecture White Paper OpenXPKI v0.2 / Cynops GmbH Forschungsbericht. KLINK, Alexander ; BELL, Michael: Building an Open Source PKI using OpenXPKI / Chaosradio Podcast Network. CCC, Forschungsbericht. KOMAR, Brian: Microsoft Windows Server 2003 Pki and Certificate Security (Pro - One-Offs). Redmond, WA, USA : Microsoft Press, ISBN KUNKEL, Jochen: Evaluierung von Public Key Infrastrukturen zum Einsatz in Unternehmensnetzen / HTWdS. jkunkel, Forschungsbericht. JK (HTWdS) Evaluierung von PKI 20. Oktober / 37

37 Ende Ende Fragen? Kommentare? Anmerkungen? Jochen Kunkel JK (HTWdS) Evaluierung von PKI 20. Oktober / 37