2. Sichere digitale Signatur und Verschlüsselung

Ähnliche Dokumente
Allgemeine Erläuterungen zu

Programmiertechnik II

-Signierung und Verschlüsselung mit Zertifikaten

Digitale Signaturen in Theorie und Praxis

Extrahieren eines S/MIME Zertifikates aus einer digitalen Signatur

Installationsanleitung für die h_da Zertifikate

RWTH DFN Zertifizierungsdienst. Antrag, Einrichtung und Verwendung mit Firefox und Thunderbird

Beantragen und installieren eines Nutzerzertifikats der CA HS-Bochum - Basic

New Secure Mail Gateway

Signieren und Verschlüsseln mit Outlook 2013

Allgemeine Zertifikate und Thunderbird

Beantragen und Einrichten eines Nutzerzertifikates. Registrierungsstelle der Ernst Moritz Arndt Universität Greifswald (UG-RA)

Das beantragte persönliche Zertifikat wird standardmäßig in den Zertifikatspeicher des Browsers abgelegt, mit dem es beantragt wurde.

-Verschlüsselung mit GPG. Von der Key-Erzeugung zur verschlüsselten . Chemnitzer Linux-Tage März 2010 Vortrag

Benutzerhandbuch für die Beantragung und Verwendung von Zertifikaten mit Firefox /Thunderbird

Whitepaper. EDIFACT-Signatur-, Verschlüsselungs- und Mailcockpit

Benutzerhandbuch für die Beantragung und Verwendung von Zertifikaten mit Firefox /Thunderbird

Aktivierung der digitalen Signatur für Apple Mac

Zertifizierungsrichtlinie der BTU Root CA

Erklärung zum Zertifizierungsbetrieb der FH Lübeck CA in der DFN-PKI. - Sicherheitsniveau: Global -

Office Standardization. Encryption Gateway. Kurzinformation für externe Kommunikationspartner.

Verwendung von S/MIME zur Verschlüsselung und Signatur von s

Attribut Kürzel Beispiele Bemerkungen Country Name C DE bitte Großbuchstaben State or Province Name ST Nordrhein-Westfalen

Informationen zur sicheren -Kommunikation. Unternehmensgruppe ALDI SÜD

Linux-Info-Tag Dresden - 8. Oktober 2006

Erklärung zum Zertifizierungsbetrieb der RUB-Chipcard CA in der DFN-PKI. - Sicherheitsniveau: Global -

-Verschlüsselung mit S/MIME

NoSpamProxy 11.1 Outlook Add-In Benutzerhandbuch. Protection Encryption Large Files

Erklärung zum Zertifizierungsbetrieb der TU Ilmenau CA in der DFN-PKI

Problemlösungen bei Fragen zur Bedienung von Zertifikaten der Citkomm

Microsoft Outlook Express 5.x (S/MIME-Standard)

Installationsdokumentation BKW E-Commerce Zertifikate. b2b-energy client Zertifikat 3 Jahre Kunde installiert das Zertifikat

Vorwort ist heute für Unternehmen ein häufig eingesetztes Kommunikationsmittel, das zum Austausch von Informationen verwendet wird.

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

S/MIME Zertifikat beantragen und benutzen (Stand: )

Kundenleitfaden Secure

Einbinden von Zertifikaten in Mozilla Thunderbird

Schrittweise Anleitung zur Installation von Zertifikaten der Bayerischen Versorgungskammer im Microsoft Internet Explorer ab Version 6.

Vorwort. Sichere bietet. Kundenleitfaden Sichere

s versenden aber sicher! Secure . Kundenleitfaden. Sparkasse Landshut

-Verschlüsselung

Benutzerhandbuch für die Zertifizierung mit dem Internet Explorer

Bitte haben Sie Verständnis dafür, dass wir auch über die gesicherte kommunikation grundsätzlich keine Kundenaufträge entgegennehmen können.

Installationsdokumentation BKW E-Commerce Zertifikate. b2b-energy client Zertifikat 3 Jahre Zertifikat wird direkt im Kundenbrowser installiert

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk

Installationsdokumentation BKW E-Commerce Zertifikate. b2b-energy client Zertifikat 3 Jahre Kunde installiert P12 Datei selbst

2.7 Digitale Signatur (3) 2.7 Digitale Signatur (4) Bedeutung der digitalen Signatur. Bedeutung der digitalen Signatur (fortges.)

Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Authentifizierung im Web Teil W4:

verschlüsselung mit Thunderbird

Studentenzertifikate für Online-Dienste der Fachhochschule Landshut

DFN-Nutzerzertifikat beantragen und in Mozilla Thunderbird einbinden

Sichere Kommunikation mit Outlook 98 ohne Zusatzsoftware

Einrichtung Schritte:

Studentenzertifikate für Online-Dienste der Hochschule Landshut

FAQs zur Nutzung des Zertifikats zur sicheren -Kommunikation. Das Zertifikat von S-TRUST

BEKO-Forum Juni 2007 Server-Zertifikate an der Uni Bern

Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Authentifizierung im Web Teil W3:

Digitale Signaturen für Ï Signaturzertifikate für geschützte -kommunikation

Anleitungen zum Zugriff auf die Dokumentation

!" == TeleSec. Digitale Signatur / PKI =====!" Informationsveranstaltung Detmold, Leopoldstr

Import des persönlichen Zertifikats in Outlook2007

Erstellen sicherer ASP.NET- Anwendungen

Softwareproduktinformation

Verschlüsselung des -Verkehrs mit GnuPG

Erfahrungsbericht zum Einsatz von digitalen Nutzerzertifikaten in einer Hochschule

vorab noch ein paar allgemeine informationen zur d verschlüsselung:

Sichere . s versenden aber sicher! Kundenleitfaden Kurzversion. Sparkasse Leverkusen

managed PGP Gateway Anwenderdokumentation

s versenden auf sicherem Weg! Sichere Kundenleitfaden

PGP. Warum es gut ist. Sascha Hesseler [Datum]

Anleitung Installation des Zertifikats

Sichere und Nutzerzertifizierung an der TUM

Anleitung zur Nutzung von OpenSSL in der DFN-PKI

Stammtisch Zertifikate

s versenden aber sicher! Secure

Verschlüsselte s: Wie sicher ist sicher?

-Verschlüsselung mit S/MIME und Microsoft Outlook

Elektronische Dokumente über Web-GUI beziehen

CAcert - Freie Zertifikate

s digital signieren und verschlüsseln mit Zertifikaten

Nachrichten- Verschlüsselung Mit S/MIME

IT-Sicherheit WS 2012/13. Übung 5. zum 28. November 2012

Einführung in PGP/GPG Mailverschlüsselung

Wie richte ich mein Webhosting auf dem Admin Panel ein?

Merkblatt: HSM. Version Systemvoraussetzungen, Setup und Trouble Shooting.

Schlüsselpärchen. Digitale Signaturen und Sicherheit

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

-Verschlüsselung mit S/MIME und Windows Live Mail

Für die Ausgabe der Zertifikate betreibt die Hochschule Ulm eine Registrierungsstelle (RA).

Zertifikate und Trust-Center

Digitale Signatur - Anleitung zur Zertifizierung der eigenen -Adresse

Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von s Teil B2:

Aufgaben des Teilnehmer-Service v Aufgaben des Teilnehmer-Service (TS) in der DFN-PKI im Sicherheitsniveau Global

Zeitstempel für digitale Dokumente. Ein neuer Dienst in der DFN-PKI

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

Cryptoparty: Einführung

«/IE Cache & Cookies» Umfrage startet nicht?

etoken mit Thunderbird verwenden

s versenden aber sicher! Secure . Kundenleitfaden. Versionsdatum: Seite 1

Transkript:

FORSCHUNGSZENTRUM JÜLICH GmbH Jülich Supercomputing Centre 52425 Jülich, (02461) 61-6402 Beratung Netzwerk, (02461) 61-6440 Technische Kurzinformation FZJ-JSC-TKI-0365 Martin Sczimarowsky 06.02.2017 JuNet/INTERNET Einsatz von X.509 Zertifikaten 1. Einleitung Ohne den Einsatz von Verschlüsselungsverfahren ist die Übertragung von Informationen über das Internet aufgrund der Abhörbarkeit der Netze und der Manipulierbarkeit der Inhalte unsicher. Dienste wie das Web oder Mail bieten von sich aus weder Vertraulichkeit noch Möglichkeiten, sich beispielsweise von der Authentizität von Servern oder der korrekten Urheberschaft einer Nachricht zu überzeugen. Dieser Mangel kann mit dem Einsatz sogenannter public-key-verfahren beseitigt werden. 2. Sichere E-Mail: digitale Signatur und Verschlüsselung In diesem Abschnitt soll das Verfahren am Beispiel von E-Mail kurz erläutert werden. Grundlage von public-key-verfahren ist ein Schlüsselpaar. Dieses hat die Eigenschaft, dass Information, die mit einem der Schlüssel kodiert wurde, mit dem jeweils anderen und nur mit diesem wieder entschlüsselt werden kann. Einer der beiden Schlüssel (private key) wird vom Eigentümer streng geheim gehalten, während der andere potentiellen Mail-Partnern frei zugänglich ist (public key). Ein solches Schlüsselpaar erlaubt beispielsweise das Signieren oder Verschlüsseln einer Mail, natürlich auch die Kombination aus beidem: wird eine Mail mit dem öffentlichen Schlüssel des Empfängers verschlüsselt, so ist sichergestellt, dass ausschließlich der Empfänger den Inhalt wieder dekodieren kann, da nur er den zugehörigen privaten Schlüssel kennt wird eine Mail mit dem privaten Schlüssel des Absenders verschlüsselt (signiert), so kann sich der Empfänger mit dem zugehörigen (und zugänglichen) öffentlichen Schlüssel davon 1

überzeugen, dass der Absender authentisch ist In beiden Fällen ist ein verantwortungsvoller Umgang mit dem privaten Schlüssel und das Vertrauen in die Gültigkeit eines öffentlichen Schlüssels die Voraussetzung für die Anwendbarkeit des Verfahrens. Zwischen einem öffentlichen Schlüssel und seinem Inhaber gibt es allerdings keinerlei Verknüpfung. Um sich zu vergewissern, dass ein fremder öffentlicher Schlüssel, den man zum Verschlüsseln oder zum Prüfen einer Signatur verwenden will, demjenigen gehört, von dem man meint, dass er ihm gehört, müsste man diesen öffentlichen Schlüssel persönlich austauschen, was aber im allgemeinen nicht praktikabel ist. Abhilfe schafft eine sogenannte Certification Authority (CA). Die konkreten CA- Informationen in diesem Dokument beziehen sich auf die Zertifizierung in der sogenannten Global-Zertifizierungshierarchie des DFN-Vereins (aktuell in der 2. Generation, seit Februar 2017) 3. Aufgaben einer CA Hauptaufgabe einer CA ist es, eine vertrauenswürdige Verknüpfung zwischen einem Benutzer oder einem Server und einem zu diesem Benutzer/Server gehörenden öffentlichen Schlüssel herzustellen. Dies geschieht, indem die CA diese Zugehörigkeit mit geeigneten Maßnahmen überprüft und den öffentlichen Schlüssel auf dieser Basis beglaubigt. In diesem Prozess erzeugt die CA ein elektronisch signiertes Dokument (Zertifikat), das den öffentlichen Schlüssel beinhaltet. Da hierbei sehr strenge und genau dokumentierte Verfahren eingesetzt werden, vererbt sich das Vertrauen in die ausstellende Instanz (CA) auf die von ihr ausgestellten Zertifikate. Konkret bedeutet dies, dass ein Benutzer, der auf die gewissenhafte Arbeit der DFN-CA vertraut, ohne Bedenken alle von ihr ausgestellten Zertifikate verwenden kann. Mit Hilfe des öffentlichen Schlüssel der CA kann ein Benutzer ein Zertifikat prüfen und insbesondere den darin enthaltenen öffentlichen Schlüssel des Inhabers auslesen, um ihn zum Beispiel im Mail-Verkehr zu verwenden. Sofern er der CA vertraut, kann er sicher sein, dass die von dieser CA ausgestellten Zertifikate gültig sind und dass er sich auf die darin enthaltenen Daten von Benutzern oder Servern verlassen kann. Durch Zertifizierung von CA s durch übergeordnete Instanzen entsteht eine Vertrauens- Hierarchie. Die DFN-Global-Hierarchie umfasst die folgenden drei Stufen (in absteigender Reihenfolge): T-TeleSec GlobalRoot Class 2 DFN-Verein Certification Authority 2 DFN-Verein Global Issuing CA Die oberste Instanz in dieser Kette (T-TeleSec GlobalRoot Class 2 ) wird von den Browser- Herstellern als vertrauenswürdig akzeptiert und ist in den gängigen Anwendungen (Browser, Mail-Programme) bereits eingebaut ist,. Eine weitere Aufgabe einer CA ist die Verwaltung von CRLs (Certificate Revocation Lists), in 2

denen zurückgezogene Zertifikate veröffentlicht werden. Die Zertifizierungsrichtlinien einer CA sind in einer jedermann zugänglichen CA-Policy schriftlich niedergelegt. 4. Die DFN-CA Das Forschungszentrum nutzt eine DFN-CA (DFN-Verein Global Issuing CA). Diese verwaltet Zertifikate für Benutzer und Server des Forschungszentrums und ermöglicht dadurch den Einsatz kryptographischer Verfahren zur Sicherung der Datenübertragung. Das JSC- Dispatch fungiert als Schnittstelle zur CA (Teilnehmerservice, E-Mail: ts@fz-juelich.de). Die Zertifikate der DFN-CA sind nicht qualifiziert im Sinne des deutschen Signaturgesetzes, d.h. eine auf ihrer Grundlage erzeugte elektronische Signatur kann eine handschriftliche Unterschrift nicht ersetzen. Ein Link auf die Zertifizierungs-Richtlinien findet sich auf der Homepage des FZJ-Teilnehmerservices (http://www.fz-juelich.de/ias/jsc/zertifikate). Dort finden sich auch die Routinen zum Anfordern, Suchen, Zurückziehen von Zertifikaten, sowie weitere Dokumentation zum Thema. 5. Generieren eines Benutzerzertifikats Zum Generieren eines Benutzerzertifikats sind allgemein folgende Schritte erforderlich: der Benutzer erzeugt auf seinem Rechner mit Hilfe eines Browsers ein Schlüsselpaar (private / public key) und übermittelt den öffentlichen Schlüssel an die CA. Er benutzt dazu die Web-Schnittstelle des FZJ zur DFN-CA (https://pki.pca.dfn.de/fzj-ca-g2/pub). Alle mit * gekennzeichneten Felder des Web-Formulars sind auszufüllen. Im Namensfeld dürfen nur Namensbestandteile stehen, die auch im weiter unten erwähnten amtlichen Ausweis stehen. Dies gilt insbesondere für Titel. Abschließend wird ein pdf-dokument des Zertifikatsantrags für ein Nutzerzertifikat angezeigt, das ausgedruckt wird. Der Benutzer stellt sich unter Vorlage eines amtlichen gültigen Ausweispapiers mit Lichtbild (Personalausweis oder Reisepass) beim Teilnehmerservice des FZJ (JSC- Dispatch, Geb 16.4, R. N 201, Tel 5642) vor und verpflichtet sich durch Unterzeichnung des Zertifikatsantrags dazu, die Regeln der Zertifizierungsstelle einzuhalten und insbesondere seinen privaten Schlüssel nicht weiterzugeben. Der Teilnehmerservice überprüft die Angaben zur Person und erzeugt auf deren Basis ein Zertifikat: dabei signiert die DFN-CA die Angaben zur Person und den öffentlichen Schlüssel der Person mit ihrem eigenen privaten Schlüssel. Anschließend wird der Benutzer per Mail über die Ausstellung des Zertifikats informiert. Diese Mail enthält neben wichtigen Erläuterungen zwei Web-Links. Der erste dient zum Einbau der Zwischenzertifizierungsstellen in den Browser, der andere zum Einbau des Zertifikats in den Browser. Achtung: beide Import-Schritte müssen wie beschrieben ausgeführt werden und zwar unbedingt mit dem Browser, mit dem der Zertifikatsantrag erzeugt wurde. Das Zertifikat findet sich anschließend unter der Rubrik Eigene Zertifikate in der Konfiguration der Browser. 3

Um einem Verlust des Schlüsselmaterials vorzubeugen und um es ggfs. auch auf einem anderen Rechner oder in einer anderen Applikation nutzen zu können, sollte dieses nun zunächst unbedingt gesichert werden. Der Browser bietet dazu eine Exportfunktion, die eine standardisierte Containerdatei mit dem privaten Schlüssel und dem Zertifikat erzeugt. Diese Datei hat standardmäßig die Erweiterung p12, sie muss unbedingt mit einem starken Passwort geschützt werden. 6. Integration von Benutzerzertifikaten in Anwendungen Ein so erzeugtes Benutzerzertifikat zusammen mit dem privaten Schlüssel kann nun in Anwendungen genutzt werden, um Mail elektronisch zu signieren, sich bei bestimmten Services zu authentifizieren (z.b. für das FZJ-interne WLAN) oder verschlüsselte Mail zu lesen. Um selber E-Mail für einen bestimmten Partner verschlüsseln zu können, benötigt man dessen Zertifikat. Der einfachste Weg, dieses zu bekommen, besteht darin, den Partner zu bitten, eine signierte Mail zu senden. Beim Lesen dieser Mail bauen die gängigen Mail-Programme das Zertifikat des Partners automatisch in ihren Zertifikatspeicher ein. Damit eine Anwendung ein Benutzerzertifikat (z.b. für elektronische Signaturen) verwenden kann, muss grundsätzlich die im vorigen Abschnitt erwähnte Containerdatei mit den Mitteln der Anwendung importiert werden. Mozilla: Bei den Mozilla-Produkten gilt dies für jede einzelne Anwendung (Einstellungen Erweitert Zertifikate anzeigen Ihre Zertifikate). Windows: Microsoft-Anwendungen, die mit Zertifikaten arbeiten, greifen auf einen gemeinsamen Zertifikatsspeicher zu. Zur Verwaltung der Zertifikate kann der Internet Explorer genutzt werden (Einstellungen Internetoptionen Inhalte Zertifikate eigene Zertifikate) oder alternativ das Systemprogramm certmgr. Um jederzeit auf verschlüsselte Mail zugreifen zu können, sollten auch abgelaufene eigene Zertifikate im Zertifikatsspeicher belassen werden. Eine Sicherungskopie dieser Zertifikate muss zusätzlich aufbewahrt werden. 7. Serverzertifikate (ssl) Zum Generieren eines Server-Zertifikats sind folgende Schritte erforderlich: - Erzeugen eines Certificate Signing Requests (CSR). In einigen Fällen bieten die Anwendungen Tools zum Erzeugen dieser Datei, in anderen Fällen muss der Request mit Hilfe von openssl erzeugt werden. Die Angaben im Distinguished Name eines Servers sind zum Teil strikt vorgegeben. Eine Anleitung findet sich in der Dokumentation (http://www.fzjuelich.de/ias/jsc/de/leistungen/dienstleistungen/zertifikate/dokumentation/_node.html: Information Server-Zertifikate) 4

- Übermittlung des Requests an die CA mit Hilfe der Web-Schnittstelle (https://pki.pca.dfn.de/fzj-ca-g2/pub). Hierbei muss auch das für den jeweiligen Service passende Zertifikatsprofil ausgewählt werden. - Übermittlung des unterschriebenen Zertifikatsantrags an den Teilnehmerservice (JSC Dispatch). Die Vorlage eines Ausweises ist beim Beantragen eines Global-Serverzertifikats nicht erforderlich. In diesem Fall ist eine verlässliche Zuordnung durch den im Internet eindeutigen Namen des Rechners gegeben. - Ein Link zum Zertifikat wird dem Antragsteller per Mail mitgeteilt. 8. Allgemeine Hinweise zu Benutzerzertifikaten Schlüssel und Zertifikat sind zunächst nur auf dem Rechner/Browser verfügbar, auf dem sie erzeugt/eingebaut wurden. Wenn private key und Zertifikat später auf einem anderen Rechner oder in einer anderen Anwendung benötigt werden, kann beides mit Browser-Funktionen in eine passwortgeschützte Datei exportiert und später aus dieser Datei an anderer Stelle wieder importiert werden. So ist zum Beispiel vorzugehen, wenn ein mit Firefox beantragtes Zertifikat zur Absicherung des Mailverkehrs in Thunderbird benötigt wird. Es empfiehlt sich in jedem Fall, mit der Export-Funktion der Anwendungen eine Sicherungs- Datei mit dem Schlüsselmaterial zu erzeugen, sie dabei mit einem starken Passwort zu sichern und anschließend sicher zu hinterlegen. Sofern man Email-Verschlüsselung zum Schutz vertraulicher Daten anwendet, müssen auch abgelaufene Zertifikate mit den zugehörigen privaten Schlüsseln unbedingt sicher aufbewahrt werden. Bei Verlust des privaten Schlüssels sind die verschlüsselten Daten unwiederbringlich verloren. Benutzerzertifikate haben derzeit eine Gültigkeitsdauer von 3 Jahren. Rechtzeitig vor Ablauf wird ein Benutzer von der CA per Mail daran erinnert, dass er ein neues Zertifikat erzeugen muss. Um Mail-Partnern das eigene Zertifikat mitzuteilen, reicht es aus, diesen eine signierte Mail zu schicken. Die gängigen Mail-Clients extrahieren das Zertifikat beim Lesen der signierten Mail automatisch und speichern es für die spätere Verwendung. Weitere Informationen zum Thema Zertifikate finden sich auf den Seiten des JSC (JSC Online). Weiterhin sind z.b. die FAQ auf den Web-Seiten des DFN-Vereins hilfreich (https://www.pki.dfn.de/faqpki/). 5

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback