Das umfassende Handbuch
E-Book, Deutsch, 727 Seiten
ISBN: 978-3-8362-7233-9
Verlag: Rheinwerk Computing
Format: EPUB
Kopierschutz: Adobe DRM (»Systemvoraussetzungen)
Die Fachpresse zur Vorauflage:
IT Administrator: »Peter Kloep lotst die Leser gelungen durch die Konfiguration einer PKI und CA, sodass sich Admins problemlos in den nötigen Schritten zurechtfinden.«
Peter Kloep ist herausragender Experte für sichere Windows-Infrastrukturen im deutschsprachigen Raum. Seit 2002 ist er Microsoft Certified Trainer und hat seitdem zahlreiche technische Trainings zur Windows-Administration durchgeführt. Außerdem ist er Microsoft Certified Software Engineer und Microsoft Certified Solutions Master - Windows Server 2012. Seit fünf Jahren ist er bei Microsoft als Premier Field Engineer angestellt und unterstützt Premier-Kunden in den Bereichen Identity Management und Security.
Autoren/Hrsg.
Weitere Infos & Material
1 Public Key Infrastructure und Certificate Authority
In diesem Kapitel werden die Grundlagen für eine Zertifizierungsstelleninfrastruktur gelegt und die verschiedenen Grundbegriffe wie Signatur und Verschlüsselung erläutert. In diesem Kapitel schauen wir uns die Grundlagen für den Umgang mit Zertifikaten und Zertifizierungsstellen an. Diese Grundlagen sind essenziell und erleichtern das Verständnis der Vorgänge in einer Zertifizierungsstelle. Sie erfahren, wie Sie einen sicheren Umgang mit Zertifikaten realisieren können, und lernen, wie Sie mit Fehlermeldungen umgehen oder sie idealerweise direkt vermeiden. Ich behaupte, dass jeder Anwender, der schon an einem Computer oder einem netzwerkfähigen mobilen Gerät gearbeitet hat, Kontakt mit Zertifikaten gehabt hat. Sobald Sie über einen Browser auf eine mit HTTPS gesicherte Webseite zugreifen, kommen digitale Zertifikate ins Spiel. Diese werden als digitaler Identitätsnachweis des Zielservers verwendet. Ich stelle auch noch eine zweite Behauptung auf: Wenn Sie schon einmal auf eine gesicherte Webseite (zum Beispiel bei einem Online-Store oder auch bei der Arbeit auf eine »interne« Webseite) zugegriffen haben, dann kennen Sie auch gewiss die Fehlermeldung aus Abbildung 1.1 (oder zumindest eine ähnliche). Häufig tritt die Fehlermeldung bei Netzwerkgeräten auf, die über einen Browser administriert werden. In diesem Kapitel erläutere ich, was genau dahintersteckt und wie Sie diese Meldungen vermeiden können. Was heißt nun Public Key Infrastructure (PKI) oder – wie es ins Deutsche übersetzt wird – Infrastruktur für öffentliche Schlüssel? Als PKI wird das gesamte Konstrukt rund um die Absicherung der Datenkommunikation und die Identitätskontrolle im Netzwerk mithilfe von Zertifikaten bezeichnet. Bei der Absicherung der Kommunikation können eine Datenverschlüsselung, eine Datensignatur und ein Identitätsnachweis die Sicherheit der Kommunikation erhöhen. Eine PKI besteht aus: einer oder mehreren Zertifizierungsstellen digitalen Zertifikaten Geräten und Anwendungen, die diese Zertifikate verwenden Verwaltungstools für die Infrastruktur Zertifikatssperrlisten bzw. einer Möglichkeit, um die Gültigkeit eines Zertifikats zu überprüfen Unterstützungskomponenten (Speicherorte für Sperrlisten, Diensten für Netzwerkgeräte) Sicherheitshardware (sofern gewünscht bzw. benötigt) Prozessen Abbildung 1.1 Zertifikatwarnung im Edge-Browser Eine PKI ist also eine Kombination aus Software, Prozessen, Verschlüsselungstechnologie und Diensten, die eine Organisation benötigt, um die Vertraulichkeit, Integrität, Authentizität und Nachweisbarkeit von Business-Transaktionen und Kommunikation zu gewährleisten. Eine PKI ist daher deutlich umfangreicher und komplexer als eine Zertifizierungsstelle. Eine Zertifizierungsstelle (CA) stellt »nur« Zertifikate aus und sperrt sie gegebenenfalls wieder. Eine Zertifizierungsstelleninfrastruktur ist sehr schnell implementiert, wogegen eine PKI deutlich aufwendiger ist, da ein Certificate Practice Statement und eine Certificate Policy erstellt werden müssen (siehe Abschnitt 2.1). 1.1 Was ist ein Zertifikat?
Wir werden uns als Erstes der Frage widmen, was eigentlich ein Zertifikat ist und wozu Zertifikate eingesetzt werden können. Wenn hier von Zertifikaten die Rede ist, meine ich natürlich digitale Zertifikate und nicht diejenigen Zertifikate, die Sie sich nach einer erfolgreichen Prüfung oder Ausbildung im Bilderrahmen an die Wand hängen. Die Definition eines Zertifikats könnte lauten: »Ein digitales Zertifikat bindet einen öffentlichen Schlüssel an eine Entität (Benutzer, Organisation, Computer) und beinhaltet zusätzliche Informationen, wie Sperrlisteninformationen und vieles mehr.« Da in dieser Definition weitere Begriffe auftauchen, die erklärt werden müssen, gehen wir einen Schritt zurück und sehen uns die Theorie der Kryptografie an, also der Wissenschaft, Daten abzusichern bzw. zu verschlüsseln. 1.1.1 Symmetrische und asymmetrische Kryptografie
In der Kryptografie wird zwischen zwei Hauptverfahren unterschieden, mit denen Daten abgesichert werden: Es gibt symmetrische und asymmetrische Kryptografie-Verfahren. Bei den symmetrischen Verfahren wird ein Schlüssel verwendet, mit dem Daten verschlüsselt werden. Der gleiche Schlüssel wird auch dazu verwendet, die Daten wieder zu entschlüsseln (siehe Abbildung 1.2). Abbildung 1.2 Symmetrische Verschlüsselung Ein Schlüssel ist dabei natürlich – und das gilt ebenso bei den asymmetrischen Verfahren – eine Folge von Nullen und Einsen, die in aller Regel durch mathematische Verfahren erzeugt wird. Symmetrische Verfahren können von ihrer Funktion her mit einem herkömmlichen Türschloss verglichen werden: Haben Sie einen passenden Schlüssel für das Schloss, dann können Sie den Schlüssel zum Auf- und Zuschließen des Schlosses verwenden. Ein Nachteil bei den symmetrischen Verfahren ist der Schlüsselaustausch, der auf sichere Art und Weise erfolgen muss, denn der Empfänger der Nachricht muss ja den gleichen Schlüssel besitzen wie der Absender, um die Daten erfolgreich entschlüsseln zu können. Ein solcher Schlüsselaustausch ist mithilfe von symmetrischen Verfahren nicht praktikabel. Der Vorteil der symmetrischen Verfahren ist jedoch ihre Geschwindigkeit: Sie sind im Vergleich zu den asymmetrischen Verfahren deutlich schneller (bis zum Faktor 5000). Bei der asymmetrischen Kryptografie, die auch als Public Key Cryptography bezeichnet wird, wird ein Schlüsselpaar verwendet (siehe Abbildung 1.3). Die beiden Schlüssel des Paars werden als öffentlicher Schlüssel (Public Key) und privater Schlüssel (Private Key) bezeichnet. Der private Schlüssel ist im Besitz der Entität, für die das Schlüsselpaar ausgestellt wurde. Der private Schlüssel wird niemals versendet und verlässt im besten Fall nicht den gesicherten Speicher, in dem er abgelegt ist. Abbildung 1.3 Bei asymmetrischen Verfahren werden ein öffentlicher Schlüssel und der dazu passende private Schlüssel verwendet. Bei asymmetrischen Verfahren werden die Daten mit einem der beiden Schlüssel verschlüsselt und können nur mit dem passenden Gegenschlüssel (dem zweiten Schlüssel des Paars) entschlüsselt werden. Der Vorteil der asymmetrischen Verfahren ist die einfache Schlüsselverteilung. Geht man davon aus, dass der öffentliche Schlüssel jedem bekannt ist und möchten Sie einem Empfänger eine verschlüsselte Nachricht zukommen lassen, dann können Sie die Daten mit dem öffentlichen Schlüssel des Empfängers so verschlüsseln, dass nur der private Schlüssel des Empfängers (der sich ausschließlich im Besitz des Empfängers befindet) diese Daten wieder entschlüsseln und damit lesbar machen kann. Tabelle 1.1 listet die Vor- und Nachteile der verschiedenen Verfahren auf. Eigenschaft Symmetrisch Asymmetrisch Schlüssel Es wird der gleiche Schlüssel für die Ver- und Entschlüsselung verwendet. Ein Teilnehmer besitzt den privaten Schlüssel, der oder die anderen besitzen den öffentlichen Schlüssel. Daten, die mit einem der beiden Schlüssel verschlüsselt wurden, können nur mit dem jeweils anderen Schlüssel entschlüsselt werden. Schlüsselaustausch Muss auf anderem Weg erfolgen. Dadurch, dass der öffentliche Schlüssel »jedem« bekannt ist, kann direkt verschlüsselt kommuniziert werden. Geschwindigkeit Symmetrische Algorithmen sind weniger komplex und daher deutlich schneller (bis zum Faktor...
