Einsatz von Public Key Infrastrukturen in großen heterogenen Organisationen. Christoph Thiel

Transkript

1 Einsatz von Public Key Infrastrukturen in großen heterogenen Organisationen Christoph Thiel Stuttgart, 4. November 2014

2 Das extented enterprise SSL

3 Grundlegende Sicherheitsanforderungen Authentisierung Partner können sich gegenseitig eindeutig identifizieren. (Organistionen, Personen, Dienste, Systeme, Komponenten ) Verschlüsselung Informationen und Daten sind vor dem Zugriff Dritter gesichert. Integrität Unabstreitbarkeit Interoperabilität Datenmanipulationen während und nach der Transaktion sind ausgeschlossen bzw. werden transparent. Einzelne signierte Transaktionen können nicht geleugnet werden und sind somit (rechtlich) bindend. (Weltweit) einheitliche Systeme, Schnittstellen, Regeln, Prozesse und Verträge. Digitale Signaturen, Hashverfahren, (Asymmetrische) Verschlüsselungsverfahren Zertifikate

4 Digitale Signatur (asymmetrisch) Verfahren zum Schutz / Prüfen der Integrität der Daten und der Authentizität der Urheberschaft Alice Bob Daten im Klartext Hallo, wie... Hallo, wie... Daten mit Signatur Hallo, wie... Daten ohne Signatur Hashverfahren Hallo, wie... Hashverfahren Hashwert U7zdg?9*kl Fg$ j kh77t Hashwert U7zdg?9*kl Fg$ j kh77t Verschlüsselungsverfahren Verschlüsselungsverfahren? Alices privater Schlüssel Alices öffentlicher Schlüssel

5 Vertrauen in öffentliche Schlüssel Vertrauensanker Mit Hilfe des echten öffentlichen Schlüssels eines vertrauenswürdigen Dritten kann jeder das Zertifikat und damit die Echtheit von Alices öffentlichem Schlüssel prüfen. Zertifikat Eindeutiger Name Seriennummer Einsatzfeld des öffentlichen Schlüssels Identitätsinformationen zu Alice Alices öffentlicher Schlüssel signiert Vertrauenswürdiger Dritter bestätigt durch seine digitale Signatur

6 PKI-Grundlagen Zertifikate Wichtigster Standard: X.509, in verschiedenen Versionen vorhanden Versionsnummer 0 für X.509v1, 2 für X.509v3 Zertifikats-S/N eindeutig für alle von einem TC ausgestellten Zertifikate OID des Signaturverfahrens meist SHA256 mit RSA 2048 Bit Name der ausstellenden CA Name in X.500 Schreibweise Name des Inhabers ebenfalls in X.500 Öffentl. Schlüssel des Inhabers der eigentliche Inhalt, er wird dem Besitzer zugeordnet Gültigkeitsdauer der Zertifikats Anfangs- und Enddatum

7 PKI Struktur Certification Control Certificate Policy Sign Certificates & Revocation Lists (CRLs) Archive & Recover Keys Publication Certificates Certificate Revocation Lists (CRLs) Certificate Status (OCSP) Certificate Control Publish, Suspend and Revoke certificates Personalisation Pre-personalisation Card/Token Issuance Validation User Authentication & Authorisation Signature Verification Certificate Validation Registration Registration Pin Letter Printing Renewal Users Authentication Digital Signatures Hardware, Software, abgestimmte, unternehmensweite Richtlinien (Policies)

8 PKI-Grundlagen Zentrale Komponenten Zertifizierungsinstanz (CA) signiert das Zertifikat mit privatem CA-Schlüssel kritischste Komponente, muss in hochsicherer Umgebung betrieben werden Registrierungsinstanz (RA) Anmeldestelle, zentral bei CA, oder auch dezentral gelegen stellt Daten für das zu generierende Zertifikat zusammen Zertifikate-Server (DIR) enthält alle von der CA ausgestellten Zertifikate zum Abruf bereit verwaltet auch die Sperrung von Zertifikaten Zeitstempeldienst (TSS) optionale Komponente versieht die Signatur mit einer zuverlässigen Zeitangabe

9 PKI-Grundlagen Dezentrale Komponenten Lokale Registrierungsinstanz (LRA) dezentral betriebene RA Sperrinstanz (REV) Anlaufstelle für Sperraufträge, oft mit bestehender Hotline kombiniert Endeinheit (End Entity) PKI-Anwender, die Zertifikate nutzen können Personal Security Environment (PSE) Speicherort für private Schlüssel im Idealfall eine Chipkarte oder HSM, oft auch verschlüsselte Datei (Software-PSE)

10 Organisatorische Aspekte (1) Für welche Geschäftsvorfälle wird Public-Key-Infrastruktur benötigt? Authentifizierung, sichere , VPN, Netzzugangskontrolle über 802.1X, Benötige ich PKI-Dienste lediglich intern oder auch extern? Viel hilft viel! Welche Zertifikate sind erforderlich? Fortgeschrittene, qualifizierte, akkreditierte Signaturen, Hard- oder software-basiert, eigene Zertifikate (und Schlüssel) oder die eines Trustcenters, Zertifikatsprofile,? Welche Ressourcen sind erforderlich und verfügbar? Personal, Know-how, technische Infrastruktur Juristische Fachkenntnisse

11 Organisatorische Aspekte (2) Welche technischen Systeme sollen verwendet werden? Zertifikatserzeugung und -verwaltung, Verzeichnisdienste, Client-Software Welche Organisationsstrukturen und Abläufe sind festzulegen? Wer nimmt Registrierung, wer Zertifizierung vor? Richtlinien für Schlüsselerzeugung und -verwendung, Vertretungsregelungen Wie sollen Ausnahmesituationen und Notfälle geregelt werden? Zertifikats- oder Schlüsselwechsel, Widerrufe, Kompromittierung eines Schlüssels Seiteneffekte berücksichtigen Verschlüsselung unterläuft zentralen Schutz durch Firewall

12 PKI Struktur Certification Control Certificate Policy Sign Certificates & Revocation Lists (CRLs) Archive & Recover Keys Publication Certificates Certificate Revocation Lists (CRLs) Certificate Status (OCSP) Certificate Control Publish, Suspend and Revoke certificates Personalisation Pre-personalisation Card/Token Issuance Validation User Authentication & Authorisation Signature Verification Certificate Validation Registration Registration Pin Letter Printing Renewal Users Authentication Digital Signatures Hardware, Software, abgestimmte, unternehmensweite Richtlinien (Policies)

13 PKI Services Virtuelles Trustcenter Certification Control Certificate Policy Sign Certificates & Revocation Lists (CRLs) Archive & Recover Keys Publication Certificates Certificate Revocation Lists (CRLs) Certificate Status (OCSP) Certificate Control Publish, Suspend and Revoke certificates Personalisation Pre-personalisation Card/Token Issuance Validation User Authentication & Authorisation Signature Verification Certificate Validation Registration Registration Pin Letter Printing Renewal Users Authentication Digital Signatures Hardware, Software, abgestimmte, unternehmensweite Richtlinien (Policies).

14 Make or Buy? Sicherheit Durchsetzung eigener Richtlinien Kontrolle über die Dienstleistung Spezialisierung Integration in eigenen Verzeichnisdienst Anpassung von Prozessen und Arbeitsabläufen geringe Abhängigkeit Kosteneinsparung kurze Wege zur Registrierungsstelle Skalierung Anpassung der Dienstleistung bei Bedarf externes Risiko geringe Kosten bei kleinen Zertifikatszahlen (<10.000) Verfügbarkeit hohe Verfügbarkeit garantiert zügiger Auf- und Abbau Erfahrung Rückgriff auf eingespielte, optimierte Prozesse Erfahrungen aus unterschiedlichen Projekten

15 Erfolgsfaktoren für die Einführung Angemessene Sicherheit: Schafft Vertrauen und schützt das Eigentum. Standardkonformität und Interoperabilität: Sichert die Rentabilität der Investitionen. Nutzerfreundliche Anwendungsintegration: Bildet die Voraussetzung für die Kundenakzeptanz.

16 Erfolgsfaktoren Angemessene Sicherheit: Ganzheitliche Optimierung aller sicherheitsrelevanten Prozesse Nutzung von (Hoch-)Sicherheitsinfrastrukturen Kooperation mit marktführenden IT-Sicherheits-Partnern Nutzung der besten kryptologischen Komponenten Nutzung geeigneter Signaturniveaus: fortgeschritten, qualifiziert, akkreditiert. Akkreditierung nach Signaturgesetz seit Mai 2001 Beachtung der EU-Richtlinie Verlässliche Registrierungsinstanzen

17 Erfolgsfaktoren Standardkonformität und Interoperabilität: Verzicht auf eigenentwickelte Lösungen zugunsten der Internet-und Markt-Standards. Vollständige Umsetzung der Spezifikationen Zurückhaltung gegenüber der technikregulierenden nationalen Gesetzgebung. Bildung internationaler (pan-europäischer) Kooperationen. Nutzerfreundliche Anwendungsintegration: Partnerschaften mit den (führenden) Lösungsanbietern. Bereitstellung von Public-Key-Infrastrukturen nach Kundenwunsch (Nutzerwunsch): virtuelles Trustcenter, Gute Mitarbeiter!

18 Schritte zur Einführung Eigentlich wie es immer ist sein sollte Schritt 1: Bedarfsanalyse Schritt 2: Definition der Architektur Schritt 3: Betriebskonzept Schritt 4: Risikoanalyse Schritt 5: Pilotphase Schritt 6: Integration Schritt 7: Kontinuierliche Anpassungen

19 Lernkurve 1998 (Annahme) Bundesdruckerei GmbH

20 Lernkurve 2014 (Annahme) C. Thiel