Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München SEP Antrittsvortrag Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP (T)TLS Michael Bothmann Betreuer: Holger Kinkelin / Corinna Schmitt 19. November 2008
Übersicht Motivation Basics TPM / TC Funktionalität TTLS TLS Verfahren Zertifikatgenerierung SEP Erzeugung und Verwaltung von Zertifikaten Authentisierung im Netz Grafische Oberfläche Projektablauf Zusammenfassung Michael Bothmann Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP (T)TLS 2
Motivation Schutz von Netzwerken vor unbefugten Zutritten ist grundlegend für Netzwerksicherheit Basiert meist auf Username + Passwort und/oder Zertifikaten Probleme: Missbrauch gestohlener Zertifikate + private Key / Passwort möglich Zudem: Vertrauenswürdigkeit des Clients beim Erstellen der Zertifikate sicherstellen Sichere Übertragung des Zertifikats an den Client zu garantieren Zusätzliches Problem: Integrität des Geräts bei Login Ziele: Sichere und vertrauenswürdige Erzeugung und Auslieferung von Zertifikaten Michael Bothmann Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP (T)TLS 3
Trusted Platform Module TPM dient als Vertrauensanker Speichert Hard und Software Integritätsmesswerte nachprüfbar Leistungsangebot: Sealing, Wrapping, Schutz von Schlüsseln, etc. Zufallsgenerator RSA Kryptographie Platform Configuration Register RSA Schlüsselgenerator SHA1 Engine RSA Schlüssel Endorsement Key Besitzerdaten Storage Root Key Michael Bothmann Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP (T)TLS 4
Benötigte TPM / TC Funktionalität PCR (Platform Configuration Register) Enthalten Messwerte über Hard und Software PCR Werte nicht allgemein modifizierbar TPM Quote Abfrage bestimmter Werte aus dem PCR Sichert PCR Werte durch Signatur TPM seitige Erzeugung von Schlüsseln Attestation Identity Key (AIK) Binding Key (BK) basierend auf Werten der PCRs Binding Key Verwendung erlaubt, wenn keine Veränderung des Urzustandes vorhanden Sicherheit gewährleistet durch das TPM Wird zur Zertifikatanfrage benötigt Michael Bothmann Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP (T)TLS 5
EAP TTLS/EAP TLS Verfahren EAP TTLS für äußere Methode zum Tunnelaufbau EAP TLS für innere Methode zur gegenseitigen Authentisierung basierend auf Zertifikaten EAP TNC für Attestation beim Netzzutritt ( Simon Stauber) Michael Bothmann Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP (T)TLS 6
Zertifikatgenerierung Clientanfrage an Zertifikatsserver mit Binding Key (BK) und TPM Quote Michael Bothmann Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP (T)TLS 7
Erzeugung und Verwaltung von Zertifikaten Generierung der Zertifikate mit OpenSSL Mögliche Zustände: Valid Gültige Zertifikate Revoked Ungültige Zertifikate Hold Sonderzustand von Revoke um Zertifikate temporär zu sperren Verwaltung über Zertifikatdatenbank der Certificate Authority (CA) Michael Bothmann Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP (T)TLS 8
Authentisierung im Netz Tunnelaufbau via EAP TTLS Clientauthentizierung via EAP TLS (innere Methode) Michael Bothmann Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP (T)TLS 9
Grafische Oberfläche (Client) Michael Bothmann Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP (T)TLS 10
Grafische Oberfläche (Netzwerk Administrator) Michael Bothmann Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP (T)TLS 11
Zusammenfassung Ziele: Sichere Erzeugung von Zertifikaten Sichere Auslieferung von Zertifikaten Anwendung von: Trusted Platform Module OpenSSL Aufgaben: Implementierung der Zertifikatverteilstelle Implementierung der Methoden zur Clientauthentisierung Michael Bothmann Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP (T)TLS 12
Zeitplan Michael Bothmann Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP (T)TLS 13
Gibt es noch Fragen? Michael Bothmann Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP (T)TLS 14
Literatur Bundesamt für Sicherheit in der Informationstechnik: TSS Studie Trusted Computing Systeme, Thomas Müller, Springer Verlag Michael Bothmann Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP (T)TLS 15