Neues aus der DFN-PKI. Jürgen Brauckmann

Transkript

1 Neues aus der DFN-PKI Jürgen Brauckmann

2 Überblick Aktuelle Informationen Root-Integration Umbenennung von Einrichtungen Ergänzung der Policy MD5/CCC 50. Betriebstagung des DFN-Vereins Folie 2

3 Aktuelle Informationen 50. Betriebstagung des DFN-Vereins Folie 3

4 Aktuelles (1) Mehr als 240 Einrichtungen nutzen DFN-PKI Erste CA mit >10000 Zertifikaten Anbindung in Hochschul-IDM Zertifizierung über SOAP-Schnittstelle Nutzung auf Chipkarten SLCS Policy von EUGridPMA angenommen 50. Betriebstagung des DFN-Vereins Folie 4

5 Aktuelles (2) OCSP Test-System ist verfügbar Bei Interesse: Zeitstempeldienst: Stetige Nutzung ( pro Monat) Java RA-Oberfläche wird genutzt Integration Telekom Root in Sun Java ist erfolgt 50. Betriebstagung des DFN-Vereins Folie 5

6 Root-Integration 50. Betriebstagung des DFN-Vereins Folie 6

7 Root-Integration (1) Status der Integration Telekom Root CA2 Windows: alle aktuellen Desktop Versionen Apple: seit Juni 2008 (Mac OS X, ipod, iphone) Opera: in aktueller Version Mozilla: Prozess läuft noch Übergangslösung Mozilla vorhanden Sun Java: Integration ab V6u11 erfolgt (11.08) Google Chrome: OK, da abhängig vom OS Alle Informationen zur Integration unter Betriebstagung des DFN-Vereins Folie 7

8 Root-Integration (2) Zustand Mozilla: Wechsel der Verantwortung bei Mozilla zu Kathleen Wilson 01/09: Kommentare durch Mozilla Klarstellung Policy DFN-PKI ist notwendig Anfang Februar Entwurf zu Mozilla geschickt Seitdem keine Reaktion, aber möglicherweise Bewegung in den nächsten Wochen 50. Betriebstagung des DFN-Vereins Folie 8

9 Root-Integration (3) 50. Betriebstagung des DFN-Vereins Folie 9

10 Root-Integration (4) Es gibt eine Übergangslösung für Mozilla basierend auf ServerPass Dienst der Telekom Serverzertifikate aus anderer Hierarchie, die in Mozilla verankert ist Bei Bedarf formlose Mail an: 50. Betriebstagung des DFN-Vereins Folie 10

11 Umbenennung von Einrichtungen 50. Betriebstagung des DFN-Vereins Folie 11

12 Umbenennung Fachhochschule Musterstadt Hochschule Musterstadt Umbenennung soll sich auch in Zertifikaten wiederspiegeln Vorgehen: Neues F-CA Einrichtung neue CA mit neuen Namen 50. Betriebstagung des DFN-Vereins Folie 12

13 Ergänzung der Policy 50. Betriebstagung des DFN-Vereins Folie 13

14 Ergänzung der Policy Motivation: Ergänzung für Mozilla Ohnehin notwendige (kleine) Änderungen Prozedur: DFN ändert CP und CPS, neue Version 2.2 DFN unterstützt ausgelagerte CAs bei der Adaption des neuen CP/CPS Vorlage Erklärung zum Zertifizierungsbetrieb Zeitrahmen: Frühjahr/Sommer 50. Betriebstagung des DFN-Vereins Folie 14

15 Policy - Domainnamen (1) Frage von Mozilla: For DFN, I could not find the text that demonstrates that reasonable measures are taken to verify the domain name. Bisher: Verantwortung der CA/RA, dass Domainnamen nur berechtigt verwendet werden Domainnamen in Servernamen und -Adressen Nun: Zusätzliche Verantwortung der PCA Policy-Ergänzung: Authentication of an organization identity: [...] If a domain name is used in a certificate, the organization's right to use the domain name is verified by DFN-Verein as the PCA. 50. Betriebstagung des DFN-Vereins Folie 15

16 Policy - Domainnamen (2) PCA muss Prüfung von Domainnamen strenger formalisieren Geplantes Verfahren: Übliche Domainnamen werden von der PCA sofort akzeptiert hochschule-musterstadt.de Abweichende Domainnamen müssen der PCA vorab benannt werden projectneurofuture.org Vorteil: Fehleingaben des Antragsstellers werden verhindert 50. Betriebstagung des DFN-Vereins Folie 16

17 Policy - Weitere Ergänzungen OCSP Ergänzung bei Identifizierung Kleinigkeiten: Neue Anschrift DFN-Verein EDUgain 50. Betriebstagung des DFN-Vereins Folie 17

18 MD5/CCC 50. Betriebstagung des DFN-Vereins Folie 18

19 MD5/CCC (1) Dezember 2008: Vortrag auf dem CCC- Congress Konkreter Angriff auf Zertifikate durch MD5 Schwäche DFN-PKI nicht betroffen, MD5 nie benutzt! Existierende MD5-Signaturen und Zertifikate nicht betroffen! (Kollisionsattacke, kein Preimage) Betriebstagung des DFN-Vereins Folie 19

20 MD5/CCC (2) Forscherteam nutzte Schwachstelle in MD5 zur Erstellung eines im Browser verankerten Zertifikats eigenen Inhalts Konkret: Forscher stellten Request bei kommerzieller CA CA stellte dazu Web-Server-Zertifikat aus Forscher bastelten daraus eine Sub-CA Diese im Browser verankert! Mechanismus: Request an CA enthielt manipulierten Public Key. Dadurch passt Signatur der CA unter mehr als ein Zertifikat. 50. Betriebstagung des DFN-Vereins Folie 20

21 MD5/CCC (3) Fazit: Sicherheit existierender MD5-Signaturen nicht beeinträchtigt DFN-PKI nicht betroffen Umstieg auf SHA-2 mittelfristig notwendig Aber: Windows XP SP2, Openssl können kein SHA-2! 50. Betriebstagung des DFN-Vereins Folie 21

22 Fazit Betrieb erfolgreich Browser-Integration macht Fortschritte Policy-Ergänzung steht an MD5 kein Problem, SHA-2 im Blick Betriebstagung des DFN-Vereins Folie 22