Einsatzmöglichkeiten kryptographischer Methoden zur Signatur und ...
Einsatzmöglichkeiten kryptographischer Methoden zur Signatur und ... Einsatzmöglichkeiten kryptographischer Methoden zur Signatur und ...
8.2. Auswahl der CA-Software Im Folgenden werden mehrere CAs zur Erstellung von Zertifikaten benötigt. Leider sind diese CAs untereinander nicht kompatibel, sodass es notwendig sein wird, dass ein Anwender (eine Person oder auch ein Institut) teilweise mehrere Schlüssel erhält, die von verschiedenen CAs zertifiziert wurden. Weiterführende Hinweise zum Aufbau von CAs im Allgemeinen finden sich in [CKLW2000] und speziell für eine X.509 CA mit OpenSSL in [DFN2000]. Benötigt werden die folgenden CAs: PGP CA Als CA-Software kann direkt PGP in einer der verschiedenen Versionen eingesetzt werden. Es empfiehlt sich eine Variante einzusetzen, die für den Betrieb als CA optimiert wurde, damit beispielsweise zwischen Signatur und Verschlüsselungsschlüsseln unterschieden werden kann. Da die Bedienung des zentralen Zertifikats- Servers nur durch speziell geschultes Personal erfolgt, ist es auch möglich Software einzusetzen, die ohne graphische Benutzeroberfläche auskommt, dafür aber die notwendigen Funktionen bietet. Als Ergänzung der CA-Software wäre es auch möglich den PGP Certificate Server Freeware (http://web.mit.edu/network/pgp.html) einzusetzen, der dann bei dem Anwender als Zertifikats-Server eingetragen werden kann. Es sind ebenfalls Programme erhältlich, welche eine Schnittstelle zwischen dem Anwender und der CA bilden und es so ermöglichen, Zugriff auf die Zertifikate und zurückgerufenen Schlüssel zu erlangen. Die Abfrage kann dabei sowohl per Webbrowser, Mail-Server als auch aus einem entsprechenden Client heraus erfolgen. Die PGP-Zertifikate können für alle Anwendungen von PGP verwendet werden, also sowohl für die Mailverschlüsselung als auch für die Übertragung von PGP-verschlüsselten Dateien. Es ist jedoch darauf zu achten, dass möglichst alle Programme mit den verschiedenen asymmetrischen und symmetrischen Algorithmen zurechtkommen, die bei PGP verwendet werden. X.509 CA Für die X.509 CA kann beispielsweise OpenSSL verwendet werden, das diverse Tools zur Verwaltung von X.509-Schlüsseln und Zertifikaten zur Verfügung stellt. Leider gibt es nur sehr wenige GUI-basierte Tools (beispielsweise die unter der GPL stehende IDX-PKI, http://idx-pki.idealx.org/). Da die Zertifikate bei X.509 deutlich komplexer als die von PGP sind, wäre ein GUI vorteilhaft. Da die Bedienung - ebenfalls wie bei der PGP CA – durch geschultes Personal erfolgt, ist dieser Nachteil zu verschmerzen. Es sollte ein Web-Server mit einer Liste der zurückgerufenen Zertifikate existieren und diese Adresse in jedem Zertifikat gespeichert werden, damit ein Client online überprüfen kann, ob ein Zertifikat möglicherweise zurückgerufen wurde. Dieser Ser- 71
ver oder ein Spiegel sollte auch aus dem Internet heraus erreichbar sein, damit die Echtheitsüberprüfung auch von externen Clients aus durchgeführt werden kann. Die X.509 Zertifikate können für die folgenden Anwendungen genutzt werden: • Web-Server-Zertifikate • Web-Client-Zertifikate • VPN / Firewall Zertifikate 8.3. Tools zur Sicherung der Kommunikation 8.3.1. Router VPN Abbildung 8-2: Router VPN Das Router VPN bei einer geschalteten Festverbindung wird am einfachsten durch die Installation eines pre shared Secrets auf beiden Endpunkten realisiert. Es ist aber auch (z.B. bei Cisco Routern) möglich Zertifikate zu nutzen. Es ist keine Interaktion durch den Anwender notwendig, aber auch keine Authentisierung eines einzelnen Anwenders möglich. Die Verschlüsselung erfolgt für die Anwendung transparent. 72
- Seite 31 und 32: • Ist eine Verschlüsselung notwe
- Seite 33 und 34: 5. Verwendete Algorithmen Im Folgen
- Seite 35 und 36: Definition 5: Die Eulersche Funktio
- Seite 37 und 38: Galois-Felder und Polynome in Körp
- Seite 39 und 40: 128 192 Im Folgenden sei M die 128,
- Seite 42 und 43: N b Z1 Z2 Z3 4 (128 Bit) 1 2 3 6 (1
- Seite 44 und 45: Für den Fall, dass die Blocklänge
- Seite 46 und 47: Wenn nun Bob eine Nachricht M an Al
- Seite 48 und 49: 6. Ausgewählte Kommunikationsproze
- Seite 50 und 51: Merkmale der Kommunikationspartner:
- Seite 52 und 53: Merkmale der Performance: • Die P
- Seite 54 und 55: Netz-Umgebung Art der Kommunikation
- Seite 56 und 57: en Zugriff auf solch sensible Daten
- Seite 58 und 59: Netz-Umgebung Art der Kommunikation
- Seite 60 und 61: 7. Soll-Modell 7.1. Vorbemerkungen
- Seite 62 und 63: Client Server Anpassung der Applika
- Seite 64 und 65: selung 192 bzw. 256 Bit und für di
- Seite 66 und 67: Gruppe Parameter Verschlüsselung A
- Seite 68 und 69: 7.2.2. Firewall-Firewall VPN-Tunnel
- Seite 70 und 71: 7.2.4. Direkter Tunnel zwischen Ser
- Seite 72 und 73: 7.2.6. Web-Client-Zertifikate Abbil
- Seite 74 und 75: 7.2.8. E-Mail Add-On Abbildung 7-10
- Seite 76 und 77: schen den Firewalls auf beiden Seit
- Seite 78 und 79: lung von Mails setzt ein funktionie
- Seite 80 und 81: sich über das Internet in die MHH
- Seite 84 und 85: 8.3.2. Firewall-Firewall VPN-Tunnel
- Seite 86 und 87: Wie in der Zielvorstellung bereits
- Seite 88 und 89: 8.3.6. Web-Client-Zertifikate Abbil
- Seite 90 und 91: 8.3.8. E-Mail Add-On Abbildung 8-9:
- Seite 92 und 93: Cisco-Routern ist es beispielsweise
- Seite 94 und 95: 8.4.7. Gesicherter interner Mailver
- Seite 96 und 97: Verlust des Schlüssels zugegriffen
- Seite 98 und 99: auf SUN SPARC Hardware bzw. unter W
- Seite 100 und 101: [IBMT2000] [iX2002-03] Fraunhofer I
- Seite 102: Danksagung „Gut Ding will Weile h
8.2. Auswahl der CA-Software<br />
Im Folgenden werden mehrere CAs <strong>zur</strong> Erstellung von Zertifikaten benötigt. Leider<br />
sind diese CAs untereinander nicht kompatibel, sodass es notwendig sein wird, dass<br />
ein Anwender (eine Person oder auch ein Institut) teilweise mehrere Schlüssel erhält,<br />
die von verschiedenen CAs zertifiziert wurden. Weiterführende Hinweise zum Aufbau<br />
von CAs im Allgemeinen finden sich in [CKLW2000] <strong>und</strong> speziell für eine<br />
X.509 CA mit OpenSSL in [DFN2000].<br />
Benötigt werden die folgenden CAs:<br />
PGP CA<br />
Als CA-Software kann direkt PGP in einer der verschiedenen Versionen eingesetzt<br />
werden. Es empfiehlt sich eine Variante einzusetzen, die für den Betrieb als CA<br />
optimiert wurde, damit beispielsweise zwischen <strong>Signatur</strong> <strong>und</strong> Verschlüsselungsschlüsseln<br />
unterschieden werden kann. Da die Bedienung des zentralen Zertifikats-<br />
Servers nur durch speziell geschultes Personal erfolgt, ist es auch möglich Software<br />
einzusetzen, die ohne graphische Benutzeroberfläche auskommt, dafür aber die notwendigen<br />
Funktionen bietet.<br />
Als Ergänzung der CA-Software wäre es auch möglich den PGP Certificate Server<br />
Freeware (http://web.mit.edu/network/pgp.html) einzusetzen, der dann bei dem<br />
Anwender als Zertifikats-Server eingetragen werden kann.<br />
Es sind ebenfalls Programme erhältlich, welche eine Schnittstelle zwischen dem<br />
Anwender <strong>und</strong> der CA bilden <strong>und</strong> es so ermöglichen, Zugriff auf die Zertifikate <strong>und</strong><br />
<strong>zur</strong>ückgerufenen Schlüssel zu erlangen. Die Abfrage kann dabei sowohl per Webbrowser,<br />
Mail-Server als auch aus einem entsprechenden Client heraus erfolgen.<br />
Die PGP-Zertifikate können für alle Anwendungen von PGP verwendet werden, also<br />
sowohl für die Mailverschlüsselung als auch für die Übertragung von PGP-verschlüsselten<br />
Dateien. Es ist jedoch darauf zu achten, dass möglichst alle Programme<br />
mit den verschiedenen asymmetrischen <strong>und</strong> symmetrischen Algorithmen <strong>zur</strong>echtkommen,<br />
die bei PGP verwendet werden.<br />
X.509 CA<br />
Für die X.509 CA kann beispielsweise OpenSSL verwendet werden, das diverse<br />
Tools <strong>zur</strong> Verwaltung von X.509-Schlüsseln <strong>und</strong> Zertifikaten <strong>zur</strong> Verfügung stellt.<br />
Leider gibt es nur sehr wenige GUI-basierte Tools (beispielsweise die unter der GPL<br />
stehende IDX-PKI, http://idx-pki.idealx.org/). Da die Zertifikate bei X.509 deutlich<br />
komplexer als die von PGP sind, wäre ein GUI vorteilhaft. Da die Bedienung - ebenfalls<br />
wie bei der PGP CA – durch geschultes Personal erfolgt, ist dieser Nachteil zu<br />
verschmerzen.<br />
Es sollte ein Web-Server mit einer Liste der <strong>zur</strong>ückgerufenen Zertifikate existieren<br />
<strong>und</strong> diese Adresse in jedem Zertifikat gespeichert werden, damit ein Client online<br />
überprüfen kann, ob ein Zertifikat möglicherweise <strong>zur</strong>ückgerufen wurde. Dieser Ser-<br />
71