Informationsveranstaltung 22. 05. 2001 Detmold, Leopoldstr. 13-15 Digitale Signatur / PKI TeleSec Dipl.-Ing. Helmut Stolz Pz TeleSec, Tel.: 0271 708 1601; Fax: 0271 708 1625 e-mail: Helmut.Stolz@telekom.de!" == 2001; 1
Grundsätzliche Szenarien Bürger Internet Companies andere Verwaltungen sicher und preiswert kommunizieren Intranet der Verwaltung 2001; 2
Zielvorstellung Bank Bürger Company Internet 300 Millionen Internet-User Intranet-Stadt Auskünfte über Bürger, etc. Ausschreibungen, Grundbuchauszüge, Bauantrag-online, etc. Flurkartenbestellungen, Liegenschaftsbuchauszüge, etc. Kennzeichenreservierung, etc. Ummeldung innerhalb der Stadt, etc. Workflow (Müllabfuhr, Mülleimer, Grobmüll, Steuer, Hundesteuer, Parkausweise, etc.) Büchereidienste, Kartenbestellungen für Veranstaltungen, etc. Auskünfte über Sitzungsprotokolle (für Bürger, für Stadträte) 2001; 3
Empfindungen / Vorstellungen der beteiligten Kommunikationspartner Bedarf an Sicherheit sehr hoch hoch mittel gering Verwaltung Internet Bürger Company Bank??? and. Verw.? 2001; 4
Bedrohungen / Gefahren Externe Angriffe Interne Angriffe Viren Viren Bürger,Bank, Comp. u. a.v. Internet 300 Millionen Internet-User Intranet-Stadt 2001; 5
Angriffsfolgen = Risiken Die Informationen können vom Angreifer manipuliert werden (Schaden sehr hoch??). Diese Manipulation ist nicht beweisbar (Wer trägt den Schaden??). Die Information ist nicht integer (Was soll man damit anfangen??). Der Angreifer könnte die Informationen weitergeben oder selbst benutzen (Es gibt mehrere Geschädigte, es können Gesetze verletzt werden!!!). Ggfs. Verletzung des BDSG (Da gibt es Haftstrafen,wen trifft es???). etc. 2001; 6
Bürger, Bank, Company, a.v.? Verwaltung Ist nur der Wert der Information wichtig? Auch Integrität und Vertraulichkeit sind wichtig! Bürger e-mail Wert: gering? Integrität - ja Vertraulichkeit - ja Verwaltung Internet Intranet andere Verwaltung oder Company oder... Wert: sehr hoch?? Integrität - ja Vertraulichkeit - ja Intranet Verwaltung 2001; 7
Forderungen der Beteiligten im Hinblick auf Integrität - elektronische Signatur Was will der Bürger? Was will eine Bank? Was will eine Company? Was wollen die Verwaltungen? Was will die Landesregierung? Was will die Bundesregierung? Was will die EU? Preiswerte Lösung 0, 00 EURO Pragmatische Lösung weltweit einsetzbar Pragmatische Lösung weltweit einsetzbar... Nur SigG 2001 Stufe 3 für Verwaltungen?. Nur SigG 2001 Stufe 3 für Verwaltungen? Länderregierungen-entscheiden 2001; 8
Kategorien elektronischer Signaturen Andere elektr. Signaturen 1 Abs. 2 1.SigGÄndG-Entwurf Qualifizierte elektr. Signaturen Qualifizierte elektr. Signaturen mit nachgewiesener Sicherheit 1 Abs. 2 1.SigGÄndG-Entwurf 15 1.SigGÄndG-Entwurf Gleichstellung mit Unterschrift Gleichstellung mit Unterschrift Beweissicherheit Nur Überprüfung der Signaturerstellungseinheit Keine gesetzlichen Sicherheitsanforderungen Wie altes SigG Nur allgemeine Aufsicht über Zertifizierungsstellen und nur partielle Überprüfung der Produkte Umfassende Überprüfung der Zertifizierungsstellen und Produkte vor Inbetriebnahme sowie garantierte Überprüfbarkeit der Signaturen über mindestens 30 Jahre Einheitliche gesetzliche Sicherheitsanforderungen an Zertifizierungsstellen und Produkte für qualifizierte elektronische Signaturen 2001; 9
2001; 10
Informationsanalyse Wert der Information Sicht Unternehmen monetär ideell in DM Sicht Angreifer monetär ideell in DM Kosten Verlust in DM Klass. p k u n Bedarf an: Authentikation Integrität Intern extern Nr Q S Infoart Vertraulichkeit im im Intran. WAN Intern. km PW 9 13 43 I 32 10 3 hoch 10 3 hoch entf x X X X X z.b Signatur mit Zertifikat von T-Online z.b Signatur mit Zertifikat von Stadt-CA z.b Signatur mit Zertifikat von Stadt-CA entspr.stufe 2 SigG2001 z.b Signatur mit Zertifikat entspr.stufe 3 SigG2001- u. RegTP 2001; 11
Ergebnisse der Informationsanalyse Informationsgruppe Bedarf an Bedarf an Integrität Bedarf an Vertraulichkeit Authentikation Intra WAN/Inter L1 L2 L3 L4 L5 km PW 125 X X X X 355 X X X 2001; 12
Public Key Infrastructures (PKI) Beteiligte RA CA End Entity (EE) Registrierungsstelle (RA) Zertifizierungsstelle (CA) Verzeichnis (PKD) EE PKD 2001; 13
Public Key Infrastructures (PKI) End Entities (EE) Personen, Maschinen (z.b. Server) möchten Zertifikate nutzen sind i. d. R. alleiniger Inhaber ihres Secret Keys EE 2001; 14
Public Key Infrastructures (PKI) Registration Authority (RA) Autorisierungsinstanz bearbeitet Zertifikatsanfragen Überprüfung der Daten Identifikation des Users Zuordnung des Public Keys zum End Entity Freigabe zur Erstellung des Zertifikats Sperren, Verlängern von Zertifikaten 2001; 15
Public Key Infrastructures (PKI) Certification Authority (CA) Zertifizierungsinstanz im Trust Center alleiniger Inhaber des geheimen CA-Keys erhält Daten und Public Key der end Entities erstellt Zertifikate nach Freigabe der Daten durch die RA stellt die Zertifikate zur Verfügung 2001; 16
Public Key Infrastructures (PKI) Public Key Directory Telefonbuch für ausgestellte Zertifikate stellt die Zertifikate (öffentlich) zur Verfügung beinhaltet zusätzlich eine Liste der gesperrten zertifikate Certificate Revocation List (CRL) User können die Liste runterladen Gültigkeitsabfragen einzelner Zertifikate mittel OCSP (Online Certificate Status Protocol) 2001; 17
Public Key Infrastructures (PKI) CA - Strukturen Problemstellung Für einzelne isolierte Gruppen können alleinstehende CA s genutzt werden Überprüfung eines von einer fremden CA erstellten Zertifikats schlägt fehl, da der Public Key (bzw. Zertifikat) der fremden CA nicht bekannt ist Lösung CA-Hierarchien Cross-Zertifizierung Integration der Roots in gängige Browser 2001; 18
Public Key Infrastructures (PKI) CA-Hierarchien, Beispiel Wozu Hierarchien? CA - TIKS Root CA - T-online Rückführbarkeit auf eine gemeinsame Wurzel ( Root ) Root erstellt Zertifikate für untergeordnete CA s untergeordnete CA s erstellen Zertifikate für End-Entities Clients von T-Online und TIKS können ohne Probleme sicher miteinander kommunizieren 2001; 19
Public Key Infrastructures (PKI) Cross - Zertifizierung ROOT X ROOT Y Verschiedene Roots erstellen sich gegenseitig Zertifikate beide Roots sind somit beiden Hierarchien bekannt Beachtung verschiedener Policies der beiden Roots sehr wichtig funktioniert in der Praxis z.zt. Noch nicht, Theorie! 2001; 20
Public Key Infrastructures (PKI) Bsp. / Bank / andere A A B B A stellt B Zertifikat aus A gibt B signierte Liste vertrauenswürdiger Roots Bridge-CA andere -Root -Root DeuBa-Root andere -CA TIKS-CA T-Online-CA DeuBa-CA 2001; 21
Public Key Infrastructures (PKI) Bsp. RegTP / CA-Behörden / andere RegTP andere andere -Root -Root CA-Behörden 2001; 22
Public Key Infrastructures (PKI) Beispiel RA-Verfahren Zertifikatsantrag durch RA Directory Teilnehmer CA RA EE stellt Papierantrag an RA RA gibt Daten in Eingabemaske (PKI-Manager) RA stellt authentischen Zertifikatsrequest an CA CA überprüft, ob Eintrag für EE im Directory CA erstellt Zertifikat und übermittelt es online an RA RA übergibt EE die PSE (Soft- PSE oder Smardcard) 2001; 23
Public Key Infrastructures (PKI) Resümee PKI kann man nicht von der Stange kaufen viele Schnittstellen, viele Beteilgte unterschiedliche CA-Strukturen unterschiedliche RA-Verfahren unterschiedliche PKD-Anbindungen jede Firma/Organisation ist anders strukturiert, hat andere Anforderungen Integration der bestehenden Prozesse Anpassungsaufwand und Beratung erforderlich PKI ist 15-20 % Technik und 80-85 % Organisation, Prozesse etc. 2001; 24
Realisierungsszenarien zur Informationssicherheit Stufe L1 Bürger Virenschutz-Software Trust-Center Softwarezertifikate Zertifikat Zertifikat Stadtverwaltung Austausch von signierten und verschlüsselten Nachrichten 2001; 25
Realisierungsszenarien zur Informationssicherheit Stufe L2 Bürger Virenschutz-Software Trust-Center Softwarezertifikate Chipkarte Zertifikat Chipkartenleser Stadtverwaltung Austausch von signierten und verschlüsselten Nachrichten 2001; 26
Realisierungsszenarien zur Informationssicherheit Stufe L4 Bürger Virenschutz-Software Trust-Center Chipkarte Stadtverwaltung Chipkartenleser Chipkartenleser Austausch von signierten und verschlüsselten Nachrichten 2001; 27