Eine Public Key Infrastruktur (PKI) stellt Mechanismen und Dienste für die Verwaltung öffentlicher und privater Schlüssel aus einem asymmetrischen Kryptosystem auf Basis digitaler Zertifikate bereit.
PKI ermöglicht die Verwaltung kryptografischer Sicherheitsmechanismen in großen Organisationen. Mit PKI kann das Sicherheitsniveau deutlich erhöht werden. Mit digitalen Zertifikaten kann eine starke Authentifizierung von Benutzern, Computern oder Diensten erzwungen werden. E-Mails oder Dokumente können mithilfe ihrer Zertifikate an beliebige Empfänger verschlüsselt werden. Nur PKI bietet den Einsatz digitaler Signaturen und eine umfassende vertrauenswürdige Automatisierung von Geschäftsprozessen.
PKI bietet:
- hohe Sicherheit
- Einhaltung
- solide Basis für unterschiedliche Sicherheitsanwendungen
- effizientes Identitätsmanagement
- erhöhte Benutzerfreundlichkeit und
- Kostenreduzierung bei Verwaltung und Helpdesk
Wenn Sie Ihre interne Kommunikation schützen möchten, z. B. WLAN, VPN, IEE 802.1x, können Sie eine interne PKI mit einer Microsoft CA verwenden. Wenn Sie signierte oder verschlüsselte E-Mails oder Dokumente mit externen Partnern austauschen möchten, empfehlen wir Ihnen, vertrauenswürdige Zertifikate eines managed PKI-Services mit einer öffentlichen CA zu verwenden. Für öffentliche Webserver benötigen Sie in jedem Fall Zertifikate von einer öffentlichen CA! Abhängig von Ihren internen Kostenstrukturen kann es sinnvoller sein, auch für intern verwendete Zertifikate eine managed PKI zu verwenden. Auch Hybridmodelle können sinnvoll sein.
Ein digitales Zertifikat (oder Public-Key-Zertifikat) ist eine von einer CA signierte Datenstruktur, die einen öffentlichen Schlüssel, den Namen des Schlüsseleigentümers, die Gültigkeitsdauer des Zertifikats und weitere Attribute enthält. Standarddateierweiterungen sind .cer, .cert und .pem.
Für die Verschlüsselung einer Nachricht für einen Empfänger ist ein digitales Zertifikat erforderlich, das den öffentlichen Schlüssel des Empfängers enthält. Ein digitales Zertifikat kann auch zur starken Authentifizierung von Benutzern, Servern oder Hardwarekomponenten dienen. Es wird auch zur Validierung digitaler Signaturen verwendet.
Mit digitalen Zertifikaten kann eine Vielzahl von Anwendungen auf einem sehr hohen Niveau geschützt werden. Die Zertifikate einer PKI können für sichere E-Mail, Web-Sicherheit, Windows SmartCard-Anmeldung, VPN, Datei- und Ordnerverschlüsselung sowie für digitale Signaturen verwendet werden.
X.509 ist eine ITU-T-Empfehlung für die Struktur und Verwendung digitaler Zertifikate. X.509-Zertifikate werden von den wichtigsten Betriebssystemen und Anwendungen unterstützt.
Eine Zertifizierungsstelle (CA) ist ein vertrauenswürdiger Dritter, der digitale Zertifikate oder Zertifikatssperrlisten (CRLs) mit seinem eigenen privaten Schlüssel signiert.
Eine Zertifikatssperrliste (CRL) enthält die Seriennummern von Zertifikaten, die gesperrt (revoziert) wurden und daher nicht mehr verwendet werden dürfen. Es kann weitere Informationen wie den Zeitpunkt der Sperrung und den Sperrgrund enthalten.
Eine Zertifikatskette enthält alle Zertifikate von einem Benutzer oder Computer (End-Entity-Zertifikat) über die ausstellende CA und Zwischen-CAs (Intermediate-CA-Zertifikat) bis hin zu einer vertrauenswürdigen Stamm-CA (Root-CA-Zertifikat).
PKCS#12 ist ein Standard von RSA Labs, der ein portables Format zum Speichern oder Transportieren der privaten Schlüssel, Zertifikate usw. eines Benutzers angibt. Ein PKCS#12-Container kann mit einem Passwort verschlüsselt werden. Standarddateierweiterungen sind .p12 und .pfx.
Ein PKI-Token ist eine kryptografische Hardwarekomponente, die normalerweise die Form eines USB-Dongles hat. Typischerweise enthält dieser USB-Dongle einen Smartcard-Chip, auf dem die Kryptooperationen durchgeführt und private Schlüssel und Zertifikate gespeichert werden. So vereint es Sicherheit und Benutzerfreundlichkeit, da kein zusätzlicher Smartcard-Leser erforderlich ist. Während dies ein praktikables Tool für Windows-Computer ist, ist eine Unterstützung für mobile Geräte meist nicht verfügbar.
Ein Hardware Security Module (HSM) ist eine Hardwarekomponente zum Generieren und Speichern privater Schlüssel einer CA oder anderer PKI-Dienste. Darüber hinaus führt ein HSM kryptografische Operationen durch. Man kann zwischen dedizierten und Netzwerk-HSMs unterscheiden. Dedizierte HSMs sind direkt mit einer Zertifizierungsstelle verbunden, während Netzwerk-HSMs von mehreren Zertifizierungsstellen verwendet werden können.
Dies geschieht mittels Hybridverschlüsselung. Die Daten werden mit einem Sitzungsschlüssel unter Verwendung eines leistungsstarken symmetrischen Algorithmus wie AES verschlüsselt. Der Sitzungsschlüssel wird mit den öffentlichen Schlüsseln aus dem Zertifikat jedes Empfängers verschlüsselt.
Sie können E-Mails mit Standard-Mail-Clients wie Outlook, Notes oder Thunderbird und sogar mit mobilen Apps wie iOS-Mail oder einigen Android-Mail-Apps verschlüsseln. Sie können Dateien mit den Zertifikaten Ihrer Kollegen verschlüsseln oder eine PDF-Datei mit Adobe Acrobat verschlüsseln. Es gibt viele weitere Verschlüsselungsanwendungen, die Sie mit digitalen Zertifikaten verwenden können.
Ihre externen Partner müssen Ihre internen Zertifikate von einem öffentlich zugänglichen Zertifikatsverzeichnisserver wie der Secardeo certBox abrufen. Die certBox findet automatisch externe Benutzerzertifikate für Ihre Verschlüsselungsanwendungen und stellt diese bereit.
Nahtlose Ende-zu-Ende-Verschlüsselung bedeutet, dass die Verschlüsselung einer Datei oder E-Mail auf Ihrem eigenen Gerät und die Entschlüsselung auf dem Gerät des Empfängers erfolgt. Niemand auf der Strecke darf Ihre Daten abfangen und lesen.
Digitale Signaturen sind Datenstrukturen, die durch eine kryptografische Berechnung eines Dokuments oder einer E-Mail mit dem privaten Schlüssel des Unterzeichners erstellt werden. Jeder kann die Integrität und Authentizität des digital signierten Dokuments mithilfe des öffentlichen Schlüssels des Unterzeichners überprüfen. Darüber hinaus kann zweifelsfrei nachgewiesen werden, wer das Dokument unterschrieben hat.
Digitale Signaturen auf Basis asymmetrischer Kryptographie bieten folgende Vorteile:
- Zeiteinsparungen
- Kostenreduzierung
- Erhöhte Sicherheit
- Compliance
- Rechtsverbindlichkeit
Gefälschte E-Mails sind sehr beliebt, um Malware einzuschleusen oder eine böswillige Geschäftsanweisung zu platzieren, z. B. „Bitte überweisen Sie sofort ### Dollar auf das Konto XYZ, mit freundlichen Grüßen Ihr CEO“. Dies kann vermieden werden, indem E-Mails so signiert werden, dass der wahre Absender und die Integrität der Nachricht zweifelsfrei nachgewiesen werden können. Für interne Prozesse können Sie Zertifikate Ihrer hauseigenen CA, z. B. einer Microsoft CA, verwenden. Für die externe Kommunikation sollten Sie vertrauenswürdige S/MIME-Zertifikate einer öffentlichen CA verwenden.
Das gebräuchlichste Format für digitale Signaturen ist PKCS#7. Es wird in PDF, S/MIME und sogenannten getrennten Signaturen verwendet. Ein weiteres beliebtes Format ist PGP, das für Dateien und E-Mails verwendet werden kann. XML-DSig bietet ein XML-basiertes Format für digitale Signaturen. Es wird in Microsoft Office und OpenOffice verwendet.
Das Portable Document Format (PDF) ermöglicht das digitale Signieren eines Dokuments durch Einfügen eines kryptografischen Signaturwerts in die Datei. Beim Betrachten des Dokuments wird eine solche Signatur typischerweise durch ein Signaturfeld dargestellt, das den Namen und weitere Attribute des Unterzeichners enthält. Durch die Verwendung von PDF-Signaturen werden spätere Änderungen eines Dokuments vom PDF Viewer angezeigt.
Das Signaturgesetz definiert einfache, fortgeschrittene und qualifizierte Signaturen. Die Anforderungen ergeben sich aus der EU-Verordnung Nr. 910/2014 (eIDAS-Verordnung). Eine fortgeschrittene elektronische Signatur kann mithilfe eines asymmetrischen Kryptosystems implementiert werden. Eine qualifizierte elektronische Signatur ist eine fortgeschrittene elektronische Signatur, die mithilfe eines qualifizierten Zertifikats erstellt wurde. Eine qualifizierte Signatur ist wie eine handschriftliche Unterschrift rechtsverbindlich.
Innerhalb von Windows Server wird eine CA-Software unter dem Begriff „Active Directory Certificate Services“ (ADCS) bereitgestellt.
Eine Windows-PKI ist eine Reihe von PKI-Mechanismen und -Diensten rund um die Microsoft-Zertifizierungsstelle, die mit dem Windows-Betriebssystem geliefert werden.
Eine Unternehmenszertifizierungsstelle ist in Active Directory integriert und unterstützt Unternehmensfunktionen wie Zertifikatvorlagen, automatische Registrierung und Schlüsselarchivierung. Eine eigenständige Zertifizierungsstelle wird hauptsächlich für Root-CA- oder Policy-CA-Installationen verwendet.
Dies kann mithilfe eines „Root Signing“-Dienstes erfolgen, der von einigen öffentlichen Zertifizierungsstellen angeboten wird. Dies ist jedoch mit hohen Kosten und formalem Aufwand verbunden. Eine Alternative ist die Verwendung eines Zertifikatsregistrierungsproxys wie Secardeo certEP, der den Windows-Clients und -Benutzern automatisch global akzeptierte Zertifikate ausgewählter Zertifizierungsstellen zur Verfügung stellt.
Zertifikatvorlagen in einer Windows-PKI definieren den Inhalt und die erforderlichen Attribute sowie den Registrierungsworkflow von Zertifikaten für bestimmte Anwendungsbereiche.
Windows ADCS unterstützt CRL, Delta-CRL und Online Certificate Status Protocol (OCSP).
Autoenrollment beschreibt die automatisierte Registrierung und Erneuerung digitaler Zertifikate. Es wird von Windows Enterprise-Zertifizierungsstellen unterstützt. Die automatische Registrierung wird mithilfe von Gruppenrichtlinien konfiguriert. Digitale Zertifikate können mit oder ohne Benutzerinteraktion registriert werden.
Ein Registrierungsagent wird verwendet, um Zertifikate im Namen anderer Benutzer anzufordern. Der Registrierungsagent wird hauptsächlich für die Smartcard-Registrierung verwendet.
Unter Schlüsselarchivierung versteht man die sichere Speicherung des privaten Verschlüsselungsschlüssels. Dies ist notwendig, um verschlüsselte Daten wiederherzustellen, falls der private Schlüssel verloren geht. Die Schlüsselarchivierung wird in der Zertifikatvorlage konfiguriert und der Schlüsselwiederherstellungsprozess wird von sogenannten Schlüsselwiederherstellungsagenten durchgeführt.
ADCS unterstützt die Rollentrennung nach Common Criteria. Um die Sicherheit der CA zu erhöhen, gibt es mehrere Benutzerrollen. Es gibt folgende Rollen:
- CA-Administrator – Verwaltet die CA und darf die Zertifikatvorlagen konfigurieren.
- CA Manager – Autorisiert Zertifikatsanfragen und revoziert Zertifikate.
Der CA-Manager unterstützt die Wiederherstellung privater Schlüssel.
- Auditor – Analysiert das Sicherheitsereignisprotokoll.
- Sicherungsoperator – Führt die Sicherung der CA-Datenbank, Konfiguration und Schlüssel durch.
Die Unternehmenszertifizierungsstelle veröffentlicht Zertifikate im Active Directory, wenn diese Option in der Zertifikatvorlage konfiguriert ist. Benutzerzertifikate werden in den entsprechenden Benutzereinträgen veröffentlicht. Client-Anwendungen wie MS Outlook suchen automatisch nach diesen Zertifikaten, um verschlüsselte E-Mails zu versenden. Um Zertifikate im öffentlichen Internet zu veröffentlichen, sind erweiterte Zertifikatsverzeichnisdienste wie die Secardeo certBox erforderlich, um ein hohes Maß an Sicherheit und Interoperabilität zu erreichen.
Eine Certificate Trust List (CTL) ist eine signierte Liste von CA-Zertifikat-Hashwerten vertrauenswürdiger CAs. Eine CTL wird mithilfe von Gruppenrichtlinien verteilt und schränkt die Schlüsselverwendung für jede Zertifizierungsstelle ein.
Der Lebenszyklus eines digitalen Zertifikats gliedert sich in der Regel in drei Phasen, von der Erstellung bzw. Registrierung des Zertifikats über die Nutzung des Zertifikats bis zu seiner Löschung.
Die Verwaltung der Zertifikate der Organisation erfolgt mit Secardeo certLife bequem und übersichtlich über einen Webbrowser. Es bietet eine intuitive und leistungsstarke Such- und Filteroption. Darüber hinaus bietet es beispielsweise die Möglichkeit, Zertifikatsanfragen zu generieren, zu genehmigen oder abzulehnen sowie ausgestellte Zertifikate und fehlgeschlagene Zertifikatsanfragen zu finden und anzuzeigen.
Secardeo certLife bietet einen Zertifikats-Self-Service für Benutzer und Serveradministratoren. Die Zertifikatsvorgänge auf der Web-GUI sind basierend auf der Windows-Authentifizierung (Kerberos) und den Rollen des Benutzers verfügbar. Ein normaler Benutzer kann beispielsweise seine Zertifikate anfordern, erneuern, widerrufen oder wiederherstellen oder den vollständigen Schlüsselverlauf herunterladen. Ein Webserver-Administrator kann ein SSL-Zertifikat anfordern, indem er entweder eine auf seinem Server generierte CSR einfügt oder einfach mit wenigen Klicks die erforderlichen Attribute auswählt und eine Schlüsselgenerierung und CSR durch certLife erzwingt. Durch die Verwendung von Standardfunktionen für Windows-Zertifikatvorlagen kann der Zertifikatsmanager auch erforderliche Workflow-Schritte wie die Genehmigung von Zertifikatsanforderungen definieren. Dies kann dann von einem Benutzer mit der Rolle Genehmiger durchgeführt werden.
Durch die Gruppenfreigabe können Zertifikate von allen Administratoren einer bestimmten Gruppe verwaltet werden. Serverzertifikate und auch persönliche Benutzerzertifikate inklusive privater Schlüssel können explizit an andere Benutzer delegiert werden.
certLife unterstützt mehrere Generierungsmodelle für private und öffentliche Schlüsselpaare. Je nach Kunde, Sicherheitsrichtlinien und organisatorischen Gegebenheiten können diese lokal beim Kunden oder zentral durch den certLife-Dienst generiert werden. Dies kann manuell durch den Benutzer oder Administrator oder automatisch erfolgen.
Ein Benutzer benötigt sein S/MIME-Zertifikat und seinen privaten Schlüssel auf allen seinen Windows-Arbeitsstationen. Darüber hinaus benötigt er zum Entschlüsseln alter E-Mails Zugriff auf seine abgelaufenen Zertifikate mit vollständigem Schlüsselverlauf. Mit der zusätzlichen Softwarekomponente certWin Client wird der lokale Windows-Zertifikatspeicher des angemeldeten Benutzers automatisch über die certLife REST API mit der vollständigen Schlüsselhistorie aus dem zentralen TOPKI-Schlüsselarchiv synchronisiert. Dies geschieht auch bei der Anmeldung an anderen Windows-Systemen, sodass der Benutzer unabhängig vom Arbeitsplatz immer Zugriff auf alle verschlüsselten E-Mails hat und neue E-Mails ohne Aufwand digital signieren und verschlüsseln kann.
© 2024 Secardeo GmbH.
Alle Rechte vorbehalten.