3ureohph - IT-Dienstleistungszentrum Berlin

Weitere Magazine

Empfehlungen

Info

Aufbau einer Public Key Infrastructure für sichere E-Mail in der Berliner Verwaltung Ziel des Aufbaues einer Public Key Infrastructure (PKI) im LIT ist es, die bestehenden sicherheitsrelevanten Dienste (z. Z. Verschlüsselung mit VPN und sicheren Web-Verkehr) um sichere E-Mail zu erweitern und in eine verwaltungskonforme Zertifizierungsinfrastruktur zu integrieren. Die PKI wird als zentrale IT-Infrastrukturdienstleistung eingesetzt, wodurch der LIT seinen Kunden eine hohe Kommunikationssicherheit bei IT-Anwendungen anbieten kann. Der Artikel informiert über die allgemeingültige Struktur einer PKI, nimmt Bezug auf die Angebote des LIT und deren PKI, stellt die Verwaltungs-PKI vor und gibt einen Ausblick auf weitere Planungen im LIT. Was ist eine PKI? Eine PKI ist eine Vertrauensinfrastruktur, bei der die Gültigkeit des öffentlichen Schlüssels eines Zertifikatnehmers mit den dazugehörenden Identifikationsmerkmalen (wie Schlüsselinhaber, beglaubigende Stelle, Gültigkeitszeitraum etc.) durch die elektronische Signatur der Zertifizierungsinstanz (CA) beglaubigt wird. Mit den Zertifikaten, die auf einer funktionsfähigen PKI nach dem Standard X.509v3 und der asymmetrischen Kryptografie mit dem RSA-Algorithmus zur Herstellung asymmetrischer Schlüsselpaare basieren, wird die elektronische Kommunikation vor unberechtigter Einsichtnahme durch Verschlüsselung (Vertraulichkeit) gesichert und die Authentizität des angegebenen Kommunikationspartners ist durch die elektronische Signatur gewährleistet. Eine PKI besteht aus verschiedenen Zertifizierungsinstanzen mit unterschiedlichen Aufgaben. 2 Die Policy Certification Authority (PCA) ist die höchste Zertifizierungsinstanz (Wurzelzertifizierungsstelle), die die technischen, organisatorischen und personellen Sicherheitsrichtlinien (Policy) für die Erzeugung und Verwaltung von Zertifikaten festlegt. Sie unterschreibt ein selbsterzeugtes Wurzelzertifikat und signiert damit ausschließlich die öffentlichen Schlüssel der in der PKI angeschlossenen Certification Authorities (CAs). Die Zertifikate der beteiligten CAs wie auch die Widerrufslisten (CRL) gesperrter Zertifikate werden veröffentlicht (z.B. auf einem Verzeichnisserver). Jede CA kann Registration Authorities (RAs) aber auch weitere untergeordnete CAs in die Zertifizierungshierarchie integrieren, wenn diese die Sicherheitsrichtlinien der PCA akzeptieren. Dadurch kann sich die Zertifizierungshierarchie in den untergeordneten Instanzen erweitern. Die RA nimmt den Antrag des Zertifikatnehmers entgegen, prüft dessen Identität und leitet den Antrag an die CA weiter. Die Aufgabe der CA besteht darin, nach vorheriger Prüfung des Zertifikatsantrages auf Einhaltung des Namenskonzeptes, indem jeder Zertifikatnehmer einen eindeutigen Namen in Form eines X.500 Distinguished Name (DN) bekommt, ein asymmetrisches Schlüsselpaar (öffentlicher und geheimer Schlüssel) für den Zertifikatnehmer zu generieren. Danach wird die Gültigkeit des öffentlichen Schlüssels des Zertifikatnehmers von der CA beglaubigt und im Verzeichnisdienst veröffentlicht. Bei einem Software-Zertifikat wird der bestätigte öffentliche Schlüssel des Zertifikatnehmers zusammen mit seinem geheimen Schlüssel verschlüsselt in eine Datei gespeichert, die als PSE (Personal security environment = Persönliche Sicherheitsumgebung) bezeichnet wird. Die PSE und der erstellte PIN-Brief, der das Passwort für den Transportschlüssel der PSE enthält, wird an die RA gesandt. Beim Einsatz von Chip-Karten wird der geheime Schlüssel auf den Chip gespeichert. Nachdem die RA das PSE (Zertifikat und geheimer Schlüssel) und den PIN-Brief von der CA erhalten hat, übergibt sie dieses an den Zertifikatnehmer. è Abbildung 1 2/01 2 4
ç Was bietet der LIT seinen Kunden? Der Fachbereich KISS vom LIT hat eine PKI mit den entsprechenden Zertifizierungsinstanzen auf der Basis von Open Source Software (Linux, OpenSSL) und dem Standard X.509v3 aufgebaut, um seinen Kunden die Sicherung der zertifikatbasierten Kommunikation für die IT-Anwendungen E-Mail, Web-Verkehr und VPN zu bieten. Die PKI besteht aus drei CAs (CA E =E-Mail, CA W =Web-Server, CA M =Maschinen) und einer RA. Für die Identitätsprüfung von E-Mail- Zertifikatnehmern wurden zusätzlich lokale RAs (LRA) eingerichtet. Die E-Mail- Zertifizierung wird vorerst als Pilot-Projekt erprobt, und ein Anschluss an die Verwaltungs-PKI ist geplant. Die Verschlüsselung des Inhalts (content) und die elektronische Signatur einer E- Mail erfolgt mit dem S/MIME-Verfahren. S/MIME ist in dem Industriestandard MailTrusT (MTTv2) als interoperables Datenaustauschformat für signierte und verschlüsselte Daten definiert und dient der sicheren Übertragung von E-Mail. Zur Erreichung einer sicheren Kommunikation zwischen Client (Web-Browser) und Server (HTTP-Server) wird das kryptografische Protokoll SSL zur verschlüsselten Datenübertragung eingesetzt. IPSec ist das Protokoll, das Authentisierung und Verschlüsselung in IP-Netzen ermöglicht und die Grundlagen für die Einrichtung von Virtuellen Privaten Netzwerken (VPN) bietet. Die Produkte MS Outlook 2000 und Outlook Express (Version 5.5), MS Internet Explorer (Version 5.5), SafeGuard VPN und NetScreen können beim Einsatz von Zertifikaten verwendet werden. Abbildung 2 Wie sind die Arbeitsabläufe zur Erstellung von E-Mail Zertifikaten innerhalb der LIT-PKI? Interessierte LIT-Kunden benennen einen lokalen Zertifikatsoperator (LRA) zur Beantragung von E-Mail Zertifikaten für Mitarbeiter(innen) ihrer Behörde. Der LRA-Operator sendet eine beglaubigte Liste mit den geprüften Identitätsangaben der Zertifikatnehmer aus der Behörde per persönlicher Post an die LIT-RA. Der LRA-Operator bekommt von der LIT-RA einen Benutzernamen sowie ein Passwort 2/01 2 5 und erhält damit Zugang zum Web- Formular (unter der URL: https:// kissis.lit.verwalt-berlin.de/ra/) für die Beantragung von Zertifikaten. Das ausgefüllte Web-Formular ist der Zertifikatsantrag bei dem u. a. die Art des Antrages (Neuausstellung, Widerruf, Verlängerung) ausgewählt wird. Das Formular wird vom Web-Server der RA als E-Mail an den RA-Operator gesandt. Der Antrag und die Identität des Antragstellers wird von der RA aufgrund der schriftlich eingereichten Liste der LRA geprüft und an die CA E (E-Mail) per signierter Mail weitergeleitet. Es gibt bei der CA E eine Trennung zwischen online- und offline-Betrieb (diese Trennung besteht bei jeder CA im LIT). Die Erstellung der Zertifikate erfolgt ausschließlich mit der offline-CA E , um den geheimen Schlüssel der CA E vor Kompromittierung zu schützen. Die online-CA E erhält den Zertifikatsantrag von der RA, kopiert den Antrag auf Diskette, nachdem sie den Antrag auf die Eindeutigkeit des Namens in Form eines X.500 Distinguished Name geprüft hat. Die offline-CA E legt die Diskette dazu ein, generiert die asymmetrischen Schlüsselpaare und beglaubigt den öffentlichen Schlüssel mit ihrer elektronischen Signatur. Das Zertifikat und der geheime Schlüssel werden als PSE (Personal security environment) mit einem Transportschlüssel verschlüsselt und in eine Disketten-Datei kopiert. Das Passwort für den Transportschlüssel wird in einem PIN-Schreiben an den Zertifikatnehmer ausgedruckt und an die RA gegeben. Die online-CA E legt die Diskette dazu ein und sendet die PSE per signierter E-Mail an die RA, damit diese es an den Zertifikatnehmer weiterleiten kann. Der PIN-Brief mit dem Transport-Passwort wird per vertraulicher Post an den Zertifikatnehmer gesandt. Was ist die Verwaltungs-PKI? Der Bund hat die Verwaltungs-PKI (die PKI-1-Verwaltung genannt wird) für die gesamte öffentliche Verwaltung è 7
Seite 1 und 2: Datensicherheit im Netz IT-Nachrich
Seite 3: In dieser Ausgabe: Editorial Eine s
Seite 7 und 8: Verschlüsselungskonzept VPN-Tunnel
Seite 9 und 10: ç erhebliches Risiko für alle das
Seite 11 und 12: ç Die für die Kommunikation und d
Seite 13 und 14: Anlaufstelle zum Thema IT-Sicherhei
Seite 15 und 16: ç „Wir finden es ermutigend, das
Seite 17 und 18: ç Netz zu schützen. Die vom BMWi
Seite 19 und 20: ç mit Bundeswirtschaftsminister We
Seite 21 und 22: Inhalte filtern mit webwasher Das T
Seite 23 und 24: 2/01 2 23 7
Seite 25 und 26: silicon.de: IT-Sicherheit scheitert
Seite 27 und 28: ç Konzepte erste mechanische Versc
Seite 29 und 30: Berliner Datenschutzgesetz geänder
Seite 31 und 32: ç Zu 5.: Mit Beginn des Ausbildung
Seite 33 und 34: Unterzeichnung des Vertrages für e
Seite 35 und 36: ç Tab. 1: Welche Themen sollten ve
Seite 37 und 38: ç Als Plattform dienen Windows NT
Seite 39 und 40: ç Suchmaschinen und Content Manage
Seite 41 und 42: ç elektrischen und elektronischen
Seite 43 und 44: ç Kleindienst Solutions realisiert
Seite 45 und 46: ç Bulmahn dazu heute in Berlin. Na
Seite 47 und 48: ç Verwalten unter Einschluss der d
Seite 49 und 50: Online-Beschaffung Kommunen könnte
Seite 51 und 52: ç Die Themen für notwendige Verä
Seite 53 und 54: ç In der Regel wird davon ausgegan
Seite 55 und 56:
Beispiele gegenwärtig aktueller In
Seite 57 und 58:
Studie zu den Internet-Auftritten d
Seite 59 und 60:
ç erste papierlose Kabinettssitzun
Seite 61 und 62:
ç moderne Informationsversorgung a
Seite 63 und 64:
ç auf der CeBIT und der Internatio
Seite 65 und 66:
Ungeahnte Risiken in der IT-Technol
Seite 67 und 68:
Projekt Zukunft setzt Workshop-Reih
Seite 69 und 70:
ç Dies zeigt, dass der LinuxTag si
Seite 71 und 72:
ç notwendig, alle Spielarten, Inst
Alle anzeigen

3ureohph - IT-Dienstleistungszentrum Berlin

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?