Montag, 1. M�rz 2010


Topthema

Donnerstag, 7. Dezember 2006 | Topthema

About Security #84: Public-Key-Infrastruktur (PKI) — Die CA

(Link zum Artikel: http://www.entwickler.de/php/kolumnen/032983)

Aufgaben der Zertifizierungsstelle (Certificate Authority, CA) in einer Public-Key-Infrastruktur (PKI, siehe About Security #83) sind die Ausgabe und Verwaltung der Zertifikate. Das daf�r verwendete Programm muss auf einen besonders gesch�tzten Rechner installiert werden, der nicht zus�tzlich f�r andere Zwecke verwendet wird. Auch an den physikalischen Schutz dieses Rechners werden erh�hte Anforderungen gestellt. Jeder, der Zugriff auf den CA-Rechner erlangt, kann eigene Zertifikate ausstellen oder existierende zur�ckrufen. Im Fall der Bratkartoffel KG wurde beschlossen, den CA-Rechner in einem eigenen Schrank im ansonsten ausreichend gesch�tzten Serverraum der EDV-Abteilung der Zentralverwaltung aufzustellen. Au�erdem muss festgelegt werden, welcher Mitarbeiter welche Aufgaben �bernimmt. Im Normalfall reicht zwar ein Mitarbeiter f�r die Bedienung aus, allerdings sollte f�r den Fall seiner Abwesenheit eine Vertretungsregelung getroffen werden.

N E U ! Security aktuell
T�glich aktuelle Security-Infos!

Ausgabe der Zertifikate

Wie bereits in About Security #83 dargestellt, pr�ft die CA beim Eingehen eines Zertifizierungsantrags nur, ob dessen Signatur durch die RA korrekt ist, der Antrag also nicht manipuliert wurde. Die Korrektheit der Angaben im Antrag wird durch die RA gepr�ft und mit der Signatur des Antrags best�tigt. Bei Bedarf k�nnen von der CA weitere Pr�fungen durchgef�hrt werden, im Fall der Bratkartoffel KG wird dies aber nicht f�r notwendig gehalten. Wurde ein korrekt signierter Zertifizierungsantrag empfangen, wird das Zertifikat entsprechend den Angaben im Antrag zusammengestellt und von der CA signiert. Das fertige Zertifikat wird dann in einem Verzeichnis gespeichert. Die Bratkartoffel KG verwendet daf�r einen LDAP-Server.

Das Lightweight Directory Access Protocol (LDAP) ist ein Netzwerkprotokoll zur Abfrage und Modifikation von Informationen in einer hierarchischen Datenbank. Die aktuelle Version 3 wird in RFC 4510 bis 4519 standardisiert.

R�ckruf von Zertifikaten

Neben der Ausgabe neuer Zertifikate besteht die Aufgabe der CA darin, die Zertifikate zu verwalten. W�hrend es relativ einfach ist, ein Zertifikat um weitere Informationen zu erg�nzen, ist das Zur�ckziehen eines Zertifikats vor Ablauf von dessen G�ltigkeitsdauer schwieriger. Dies kann z.B. notwendig werden, weil das Zertifikat kompromittiert wurde oder der betreffende Mitarbeiter das Unternehmen verlassen hat. Werden Zertifikate immer online �berpr�ft, gibt es kaum Probleme: Beim Zur�ckziehen eines Zertifikats erh�lt die im Verzeichnis gespeicherte Version einen entsprechenden Eintrag und wird bei einer sp�teren Pr�fung als zur�ckgezogen erkannt. Lediglich in der kurzen Zeitspanne zwischen dem Zur�ckziehen des Zertifikats durch die CA und der Speicherung des ge�nderten Zertifikats im Verzeichnis w�rde ein zur�ckgezogenes Zertifikat als g�ltig anerkannt.

About Security: Die komplette Serie

Ist keine Onlinepr�fung m�glich oder gew�nscht, k�nnen zur�ckgezogene Zertifikate (die ja eine korrekte Signatur tragen und deren G�ltigkeitsdauer nicht abgelaufen ist) nur anhand einer "Schwarzen Liste" zur�ckgezogener Zertifikate erkannt werden. Eine solche Zertifikatsperrliste (Certificate Revocation List) enth�lt mindestens die Seriennummern der zur�ckgezogenen Zertifikate und wird von der CA gepflegt. Die Sperrliste enth�lt einen Zeitstempel und eine G�ltigkeitsdauer und wird von der CA signiert. Vor ihrer Nutzung durch einen Client muss ihre G�ltigkeit und Korrektheit gepr�ft werden. Schl�gt eine der Pr�fungen fehl, muss der Client eine neue Version von der CA anfordern. Da Sperrlisten Negativlisten sind, erlauben sie keine Aussage dar�ber, ob ein Zertifikat g�ltig ist: Ein zur�ckgezogenes Zertifikat, das noch nicht auf der Liste vermerkt ist, wird als g�ltig erkannt.

Onlinepr�fung oder Offlinepr�fung?

Der Vorteil einer Onlinepr�fung ist ihre Genauigkeit: Jede �nderung an einem Zertifikat wird sofort ber�cksichtigt. Ihr Nachteil ist, dass sie ohne Verbindung zum entsprechenden Server fehlschl�gt. Dies ist der Vorteil einer Offlinepr�fung unter Verwendung einer Sperrliste: Die Pr�fung der Korrektheit der CA-Signatur unter dem Zertifikat und der Abgleich mit den Eintr�gen auf der vorliegenden Sperrliste sind unabh�ngig von der Verbindung mit einem Server m�glich. Der Nachteil dieser L�sung ist die relativ hohe Ungenauigkeit, da die Sperrliste meist nur in relativ gro�en Abst�nden aktualisiert wird.

In der Bratkartoffel KG entscheidet man sich f�r eine Kombination beider Verfahren: Generell wird eine Onlinepr�fung durchgef�hrt. Um nicht jedes Mal eine Verbindung zur CA in der Zentralverwaltung aufbauen zu m�ssen, erhalten die RA der einzelnen Standorte eine Kopie des Verzeichnisses, die von der CA regelm��ig aktualisiert wird. Au�endienstmitarbeiter erhalten eine Zertifikatsperrliste, die bei jeder Verbindung mit dem Netz der Zentralverwaltung aktualisiert wird.

In der n�chsten Folge wird die Arbeit der Clients am Beispiel von S/MIME beschrieben.

Wenn Sie Fragen oder Themenvorschl�ge haben, k�nnen Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

Carsten Eilers

About Security � �bersicht zum aktuellen Thema "Kryptographie � Anwendungen"

Kommentare

Folgende Links könnten Sie auch interessieren