Netzsicherheit 16: PKI Teil 2

Transkript

1 Netzsicherheit 16: PKI Teil 2 Gliederung Einführung Zertifikate X.509-Zertifikatsprofile (S/MIME, SSL, SigG) Identität und LDAP Erweiterungen Key Usage, Extended Key Usage, und Netscape cert-type Basic Constraints Certificate Policies and Policy Mappings and Constraints Subject and Authority Key Identifiers Aktionen in einer PKI (S/MIME, SSL, SigG) Erzeugung von Schlüsseln Überprüfung der Identität Generierung des Zertifikats Publikation des Zertifikats Rückruf des Zertifikats (CRL, OCSP) Session 2 / 1

2 Wiederholung Zertifikate Wiederholung Zertifikate (2) Struktur eines Zertifikats Weiße Felder werden bitgenau spezifiziert Über diese Felder wird ein Hashwert (kryptographische Prüfsumme) gebildet Dieser wird signiert Versionsnummer (X.509v3) Seriennummer des Zertifikats Signaturalgorithmus (und Hashalg.) Name des Herausgebers Gültigkeit Nicht vor Nicht nach Name des Subjekts Öffentlicher Schlüssel des Subjekts Erweiterungen Erweiterung 1... Erweiterung n Signatur des Herausgebers Session 2 / 2

3 Wiederholung Zertifikate (3) Public Key Infrastrukturen Zertifikate können verkettet werden Vertrauen in das Root-Zertifikat muß mit anderen Mitteln hergestellt werden Hrsg. A Subjekt B Root = Wurzel Hrg. A = Subjekt A = Hrsg. A Subjekt C = Hrsg. C Subjekt D Wiederholung Zertifikate (4) Public Key Infrastrukturen: SSL Root-Zertifikate bereits im Browser/Betriebssystem integriert, Markt ist aufgeteilt Session 2 / 3

4 Wiederholung Zertifikate (5) Public Key Infrastrukturen: Signaturgesetz Root-Zertifikat wird im Amtsblatt veröffentlicht Gliederung Wiederholung Zertifikate X.509-Zertifikatsprofile (S/MIME, SSL, SigG) Identität und LDAP Erweiterungen Key Usage, Extended Key Usage, und Netscape cert-type Basic Constraints Certificate Policies and Policy Mappings and Constraints Subject and Authority Key Identifiers Aktionen in einer PKI (S/MIME, SSL, SigG) Erzeugung von Schlüsseln Überprüfung der Identität Generierung des Zertifikats Publikation des Zertifikats Rückruf des Zertifikats (CRL, OCSP) Session 2 / 4

5 X.509: Identität Zertifikat bindet Identität an öffentlichen Schlüssel X.509v3 definiert vier Felder subject subjectuniqueidentifier SubjectAltName Name Constraints X.509 als Teil des X.500-Directories X.500 als Verzeichnisdienst der nationalen Telekoms Jedes Ding auf der Welt sollte einen eindeutigen Namen bekommen X.500-Directory gibt es nicht, aber Reste des Namensraums Alternativbeispiel: XML-Namensräume X.509: Identität subject ist vom Typ Name ::= SEQUENCE OF RelativeDistinguishedName RelativeDistinguishedName ::= SET OF AttributeValueAssertion AttributeValueAssertion ::= SEQUENCE { attributetype OBJECT IDENTIFIER, attributevalue ANY } Mit dieser Definition kann man den ISO Distinguished Name (DN) verwenden, einen eindeutigen Pfad durch das X.500-Directory, in dem jedes Ding auf der Welt aufgelistet ist ist aber weitgehend alles erlaubt Normalerweise: Microsoft-Defaultwerte werden eingesetzt Session 2 / 5

6 X.509: Identität ASN.1-Object Identifier für CN subject ist oft ein Distinguished Name (DN) Bestandteile von DNs: countryname ::= SEQUENCE { { }, StringType( SIZE( 2 ) ) } organization ::= SEQUENCE { { }, StringType( SIZE( ) ) } organizationalunitname ::= SEQUENCE { { }, StringType( SIZE( ) ) } commonname ::= SEQUENCE { { }, StringType( SIZE( ) ) } localityname ::= SEQUENCE { { }, StringType( SIZE( ) ) } stateorprovincename ::= SEQUENCE { { }, StringType( SIZE( ) ) } address ::= SEQUENCE { { }, IA5String } Es gibt in der Praxis eine unüberschaubare Vielfalt von DN-Arten Es gibt keine X.500-Verzeichnisse, wohl aber immer mehr LDAP-Directories Beispiel: C=US, L=Area 51, O=Hanger 18, OU=X.500 Standards Designers, CN=John Doe X.509: Identität subjectuniqueidentifier Soll die Unterscheidung zweier Einheiten selbst dann ermöglichen, wenn sie nach einem bestimmten Vergabeschema für Namen (z.b. X.400) den gleichen Namen erhalten müssten. Session 2 / 6

7 X.509: Identität SubjectAltName: subjectaltname EXTENSION ::= { SYNTAX GeneralNames IDENTIFIED BY id-ce-subjectaltname } GeneralNames ::= SEQUENCE SIZE (1..MAX) OF GeneralName GeneralName ::= CHOICE { othername [0] INSTANCE OF OTHER-NAME, rfc822name [1] IA5String, dnsname [2] IA5String, x400address [3] ORAddress, directoryname [4] Name, edipartyname [5] EDIPartyName, uniformresourceidentifier [6] IA5String, ipaddress [7] OCTET STRING, registeredid [8] OBJECT IDENTIFIER } X.509: Identität Name Constraints: Schränkt den zulässigen X.500-Namensraum ein Session 2 / 7

8 LDAP-Verzeichnisse Lightweight Directory Access Protocol (LDAP): Zugriff auf Datenbank (Directory), die für Leseoperationen optimiert ist. Anpassung von X.500 an das Internet Speicherung der Daten in Directory Information Tree (DIT) Wurzel des Baumes ist Servername/Portnummer Suche beginnt bei Search Root LDAP-Verzeichnisse An X.500 angelehnter Namensraum (Teile des DIT können auf andere Server ausgelagert werden) Session 2 / 8

9 LDAP-Verzeichnisse Auf Domainnamen basierender Namensraum LDAP-Verzeichnisse Aktionen in LDAP: Authentisierung Open: Client stellt die Verbindung zum Server her Bind: Client authentifiziert sich optional gegenüber dem Server Unbind Abfragemethoden Search base: DN des Verzeichnisobjektes, ab dem die Suche im Baum beginnt Search scope: Parameter zum Festlegen der Suchtiefe Filter: Markieren von Objekten, um sie in die Suche ein- bzw. von der Suche auszuschließen Selection: Parameter zum Festlegen der Attribute, welche im Falle eines Sucherfolges vom gefundenen Eintrag zurückgeliefert werden Datenmanipulation Session 2 / 9

10 LDAP-Verzeichnisse LDAP ist hervorragend geeignet, um Autorisierungsinformationen zu speichern Empfehlung für Unternehmen: Definition eines unternehmensweiten DIT, um die Vorteile von LDAP nutzen zu können Verwendung von Distinguished Names aus diesem DIT in den ausgestellten Zertifikaten (ggf. mit zusätzlichen Namensattributen wie -Adresse, Servername, IP-Adresse). X.509: Identitäten in der Praxis Distinguished Names sind nicht eindeutig z.b. CN=DE, L=Muenchen, CN=Hans Müller In der Praxis haben sich andere Namensräume durchgesetzt: Für Personen: -Adressen sind weltweit eindeutig Für Rechner: IP-Adressen (außer privaten) und Domainnamen sind weltweit eindeutig Für Objekte: Uniform Resource Identifiers (URI) sind weltweit eindeutig, und werden z.b. in XML-Namensräumen eingesetzt Session 2 / 10

11 X.509: Identität in S/MIME In der Praxis Kostenloses -Zertifikat Distinguished Name: E = joerg.schwenk@ruhr-uni-bochum.de CN = Dr. JÈorg Schwenk C = DE Kein SubjectAltName-Feld Distinguished Name: CN = namev CN = recipients OU = first administrative group O = informatik SubjectAltName RFC822-Name=vorname.nachname@informatik.fh-nuernberg.de X.509: Identität in S/MIME Mitarbeiter-Zertifikat Distinguished Name: CN = D O = SAP-AG C = DE SubjectAltName RFC822-Name=vorname.nachname@sap.com Mitarbeiter-Zertifikat Distinguished Name: CN = vornachname CN = recipients OU = centraleurope O = microsoft SubjectAltName: RFC822-Name=vornachname@microsoft.com Session 2 / 11

12 X.509: Identität in SSL SSL-Zertifikat Distinguished Name: CN = OU = IETF O = Foretec Seminars Inc. L = Reston S = Virginia C = US SubjectAltName: Nicht vorhanden SSL-Zertifikat Distinguished Name: CN = OU = Terms of use at (c)00 O = Commerzbank AG L = Frankfurt S = Hessen C = DE SubjectAltName: Nicht vorhanden X.509: Identität für Code Signing Signieren von downloadbarem Code garantiert die Herkunft, und vielleicht auch die Virenfreiheit Sun Microsystems, Inc. Distinguished Name: CN = Sun Microsystems, Inc. OU = Sun Microsystems OU = Digital ID Class 3 - Microsoft Software Validation v2 O = Sun Microsystems, Inc. L = Palo Alto S = California C = US SubjectAltName wird nicht verwendet, aber SpcFinanzielleKriterien: Finanzielle Informationen=Nicht verfügbar Session 2 / 12

13 Gliederung Wiederholung Zertifikate X.509-Zertifikatsprofile (S/MIME, SSL, SigG) Identität und LDAP Erweiterungen Key Usage, Extended Key Usage, und Netscape cert-type Basic Constraints Certificate Policies and Policy Mappings and Constraints Subject and Authority Key Identifiers Aktionen in einer PKI (S/MIME, SSL, SigG) Erzeugung von Schlüsseln Überprüfung der Identität Generierung des Zertifikats Publikation des Zertifikats Rückruf des Zertifikats (CRL, OCSP) X.509v3: Erweiterungen Zertifikatserweiterungen (eingeführt in Version 3 von X.509) bestehen aus einem Typ/Wertpaar Für jede Erweiterung gibt es ein Flag das angibt, ob diese Erweiterung kritisch ist Erweiterung kritisch: Anwendung MUSS diese Erweiterung auswerten; wenn sie dies nicht kann, muss das Zertifikat als ungültig verworfen werden. Erweiterung unkritisch: Anwendung kann damit machen, was sie will. Bedeutung kritischer Erweiterungen ist in der Praxis unklar Default-Bedeutung wird durch Microsoft-Produkte (und ihre Bugs) festgelegt; im Zweifelsfall: Test! Session 2 / 13

14 X.509v3: Erweiterungen Zertifikatserweiterungen sind entweder Informationen... Key Usage, Extended Key Usage, Private Key Usage Period Alternative Names (schon behandelt) Certificate Policies, Policy Mappings proprietäre Erweiterungen, z.b. von Netscape... oder Einschränkungen Basic Constraints, Name Constraints, Policy Constraints X.509v3: Erweiterungen Key Usage digitalsignature: Kurzzeitig gültige Signatur, oft und automatisch generiert (z.b. SSL) nonrepudiation: Bedeutung in der Praxis unklar, in der Theorie eine bindende Langzeitsignatur (z.b. S/MIME) keyencipherment: Austausch verschlüsselter Sitzungsschlüssel keyagreement: z.b. Diffie-Hellman keycertsign/crlsign: Schlüssel wird von CA eingesetzt Extended Key Usage serverauthentication, clientauthentication codesigning protection timestamping Netscape cert-type: Proprietäres Analogon dazu, oft notwendig für alte Netscape-Browser Session 2 / 14

15 X.509v3: Erweiterungen Basic Constraints Ist das Zertifikat ein CA-Zertifikat oder nicht? Nutzer dürfen nicht als CA auftreten Kann auch durch keyusage spezifiziert werden Name Constraints Einschränkung des DN-Teilbaumes, für den die CA Zertifikate ausstellen darf Sinnvoll für CAs mit eingeschränktem Nutzerkreis z.b. für die RUB-CA Beschränkung auf C=DE, L=Bochum, O=RUB Policy Constraints Einschränkung der Gültigkeit von Policy Mappings X.509v3: Erweiterungen Certificate Policies Information zur CA, die das Zertifikat ausgegeben hat Policy Identifier Policy Qualifier Expliziter Text ( Dieses Zertifikat ist den Speicherplatz nicht wert, den es auf Ihrer Festplatte einnimmt ) Beschreibt, was die CA getan hat, nicht was der Nutzer mit dem Zertifikat anstellt Semantik des Zertifikats wird erst aus der Policy ersichtlich Wichtigster Zweck: Haftungsausschluss Verisign disclaims any warranties... Verisign makes no representation that any CA or user to which it has issued a digital ID is in fact the person or organisation it claims to be... Verisign makes no assurances of the accuracy, authenticity, integrity, or reliability of information Policy Mappings: Zusammenhang zwischen Policies Session 2 / 15

16 X.509v3: Zertifikatsprofile Fast jedes Land und jede Organisation haben ein eigenes Zertifikatsprofil, die sich teilweise widersprechen Wichtig sind: PKIX: Internet PKI profile basicconstraints, keyusage muss kritisch sein nonrepudiation für digitale Signaturen mit dieser Eigenschaft definiert Internet-bezogene altnames ISIS: Interoperabilitätsspezifikation der deutschen Industrie Deutsches Signaturgesetz (extrem hohe Anforderungen) Microsoft de facto-profil Zertifikate, die von Microsoft-Produkten nicht verstanden oder eigenwillig interpretiert werden, kommen nicht zum Einsatz Gliederung Wiederholung Zertifikate X.509-Zertifikatsprofile (S/MIME, SSL, SigG) Identität und LDAP Erweiterungen Aktionen in einer PKI (S/MIME, SSL, SigG) Erzeugung von Schlüsseln Senden des Zertifizierungsrequests Überprüfung der Identität Generierung des Zertifikats Publikation des Zertifikats Überprüfung einer Signatur Rückruf des Zertifikats (CRL, OCSP) Session 2 / 16

17 Erzeugen von Schlüsseln In einem Public-Key-System wird immer ein Schlüsselpaar erzeugt: Der öffentliche Schlüssel wird ins Zertifikat geschrieben Der private Schlüssel darf nur dem jeweiligen Nutzer zugänglich sein und muss sicher abgespeichert werden. Der private Schlüssel darf niemals ungeschützt übertragen werden! Schlüsselpaare können erzeugt werden in einem Trustcenter (Schwierigkeit: privater Schlüssel muss sicher zum Nutzer transportiert und im Trustcenter gelöscht werden)... in Software im PC im Cryptographic Service Provider (CSP) SW-Modul (Microsoft) Im PKCS#11-SW-Modul (Netscape) von einer Applikation selbst (PGP)... auf einer Chipkarte oder einem anderen HW-Modul (Einbindung als CSP oder PKCS#11-HW-Modul) Erzeugen von Schlüsseln Internet Explorer ( Javascript: Kopiert Nutzereingaben in Objekte und übergibt diese an VBScript VBScript: Übergibt Eingaben an ActiveX-Objekt xenroll.cab ActiveX-Objekt: Verwendet Cryptographic Service Provider (CSP) von MS XP, um Schlüsselpaar und PKCS#10-Request zu erzeugen Netscape/Mozilla: <KEYGEN>-Tag macht die ganze Arbeit SPKAC statt PKCS#10: Enthält zufällige Server-Challenge Netscape Certificate Server uses a special HTML tag called <KEYGEN></KEYGEN> that causes Netscape Navigator to do the following: -Generate a public/private key pair. -Prompt the user to choose a password to protect the private key. -Extract the public key portion of that key pair. -Sign the public key along with a random string challenge presented by the server. -Deliver the signed (public key+challenge) to the server as an HTML name/value pair. Session 2 / 17

18 Senden des Zertifizierungsrequests Der öffentliche Schlüssel wird zusammen mit weiteren Zertifikatsinformationen (z.b. Name, Gültigkeit) im PKCS#10- Format (alternativ: SPKAC) an die CA geschickt Diese Daten werden mit dem privaten Schlüssel signiert Die Signatur kann mit dem im Request enthaltenen öffentlichen Schlüssel verifiziert werden Überprüfung der Identität Die CA überprüft in geeigneter Weise die Identität -Zertifikate: mit Zufallszahl oder zufällig generiertem http(s)- Link an die angegebene -Adresse SSL-Zertifikat: Schriftlicher Nachweis, dass die Firma oder die Privatperson den angegebenen Domainnamen wirklich besitzt IPSec-Zertifikat:? Zertifikat nach Signaturgesetz: Überprüfung der angegebenen Identität durch Vorlage des Personalausweises etc. Firmen-Zertifikat: Überprüfung, dass der Mitarbeiter wirklich in der angegebenen Abteilung angestellt ist. Höhe der Kosten für ein Zertifikat hängt im Wesentlichen von der Art der Überprüfung ab Neue Idee von MS/Verisign: Extended Verification- (EV-) Zertifikate Zertifikat kostet ein paar tausend Dollar Internet Explorer färbt dafür die URL-Zeile grün Session 2 / 18

19 Generierung des Zertifikats Die CA ergänzt die Angaben im PKCS#10-Request: Aussteller eindeutige Seriennummer X.509v3-Erweiterungen Der vollständige Datensatz (ASN.1-formatiert) wird mit dem privaten Schlüssel der CA signiert Publikation des Zertifikats Die CA publiziert in geeigneter Weise das Zertifikat -Zertifikate: Speicherung im -Client und Verteilung als Anhang jeder signierten Speicherung auf LDAP-Server, der in das Adressbuch von Clients eingebunden werden kann SSL-Zertifikat: Speicherung im Webserver und Übertragung in der Certificate-Nachricht des SSL-Handshakes IPSec-Zertifikat: Speicherung im IPSec-Hosts und Übertragung im Rahmen von IKE Zertifikat nach Signaturgesetz:? Firmen-Zertifikat: Speicherung in Active Directory, Datenbank oder LDAP. Mobile Anwender: Speicherung auf Chipkarte oder Kryptotoken Session 2 / 19

20 Überprüfung einer Signatur Das Erzeugen einer Signatur ist abhängig von der verwendeten Applikation Die Überprüfung ist generisch darstellbar Beispiel: Signierte S/MIME- Überprüfung einer Signatur Dem verwendeten Zertifikat ist nebenstehender Zertifizierungspfad zugeordnet 1. Überprüfung der Signatur mit dem öffentlichen Schlüssel im E- Mail-Zertifikat für Dr. JÈorg Schwenk 2. Überprüfung der Signatur dieses Zertifikats mit dem öffentlichen Schlüssel aus dem Root-Zertifikat für TC TrustCenter Class 1 CA Session 2 / 20

21 Überprüfung einer Signatur 3. Überprüfung der CRL für Dr. JÈorg Schwenk (MS unterstützt das mittlerweile) 4. Überprüfung ob das Root- Zertifikat für TC TrustCenter Class 1 CA gültig ist (wie auch immer!) Überprüfung einer Signatur Zusammenfassung CRL CA-Root-Zertifikat CRL CA-Zertifikat prüfe gegen Nutzer-Zertifikat Session 2 / 21

22 Gliederung Wiederholung Zertifikate X.509-Zertifikatsprofile (S/MIME, SSL, SigG) Identität und LDAP Erweiterungen Aktionen in einer PKI (S/MIME, SSL, SigG) Erzeugung von Schlüsseln Senden des Zertifizierungsrequests Überprüfung der Identität Generierung des Zertifikats Publikation des Zertifikats Überprüfung einer Signatur Rückruf des Zertifikats (CRL, OCSP) Rückruf des Zertifikats (CRL, OCSP) DAS große Problem für öffentliche CAs (z.b. Verisign) Standardlösung: Schwarze Listen gesperrter Zertifikate (CRLs) Berühmteste Panne: Ausgabe zweier Authenticode-Zertifikate durch Verisign an einen Hacker unter dem Namen Microsoft Session 2 / 22

23 Rückruf des Zertifikats (CRL, OCSP) Im Zertifikat sollte angegeben sein, wo eine CRL geladen werden kann, bzw. wo eine OCSP-Anfrage stattfinden kann Eine CRL enthält eine Liste von Seriennummern von Zertifikaten, die nicht mehr gültig sind ( Schwarze Liste ) Diese Liste ist von der CA signiert Rückruf des Zertifikats (CRL, OCSP) Probleme mit CRLs: Größe RSASecureServer.crl 660 KB Class3InternationalServer.crl 770 KB ThawteServerCA.crl 225 KB Im Prinzip müssen diese CRLs, die einen Großteil der international eingesetzten SSL-Zertifikate abdecken, VON JEDEM Internet- Nutzer täglich geladen werden Session 2 / 23

24 Rückruf des Zertifikats (CRL, OCSP) Online Certificate Status Protocol (OCSP) Vor jeder Verwendung eines Zertifikats wird eine Anfrage an eine OCSP-Server generiert Dieser antwortet dann mit gültig, ungültig oder unbekannt Support durch Microsoft? Aktuelle Projekte NDS Selbstsignierte Client-Zertifikate OHNE PKI Benötigt wird nur der Public Key als weltweit eindeutige ID Anwendungen in SSL: Sichere Passworteingabe, Single-Sign-On (z.b. MS Cardspace) Anwendung in S/MIME: Default-Signatur für alle s zum Erschweren von SPAM (+Header-Protection) Partielle Malware-Resistenz bei Einsatz von Chipkarten PlugIn-Whitelists in SSL-Serverzertifikaten Malware agiert oft als Browser-PlugIn Bei bestehender SSL-Verbindung sollen nur die vom Server benötigten PlugIns ausgeführt werden Session 2 / 24

25 Aktuelle Projekte NDS (2) PKI für Strong Locked Same Origin Policy (Lastverteilung) Benötigt nur die Public Keys in den Zertifikaten Keine DN, keine Erweiterungen hash(pk_a) hash(pk_b) = PK_B = hash(pk_b) PK_C PK_D = hash(pk_d) PK_E Session 2 / 25