PKI von der Stange Secorvo White Paper Aufbau einer ...

Weitere Magazine

Empfehlungen

Info

© Secorvo Security Consulting GmbH des Wechsels müssen dabei für eine Übergangszeit parallel zwei Sperrlisten gepflegt werden. Dies alles erhöht den Betriebsaufwand und die Fehleranfälligkeit. � Eine (entdeckte oder unentdeckte) Kompromittierung einer Issuing-CA auf einem Mitgliedsserver des Active Directory würde in aller Regel auf generelle Sicherheitsprobleme beim Serverbetrieb hindeuten, deren Konsequenzen weit über die PKI- Anwendungen hinaus reichen könnten. Für das angepeilte Basis-Sicherheitsniveau sollte die gängige Absicherung von Windows-Servern und deren Betrieb hinreichenden Schutz gegen Kompromittierung der darauf betriebenen CA gewährleisten. Daneben bleibt selbstverständlich die Möglichkeit der Sperrung des Issuing-CA-Zertifikats durch die Root- CA, sofern eine Kompromittierung entdeckt oder hinreichend sicher vermutet.wird Folgt man diesen Überlegungen, sollte in der Regel als Lebensdauer der PKI 10 bis 15 Jahre angesetzt werden, um mit ausreichender zeitlicher Reserve ein oder zwei Generationen einer Unternehmens-IT-Infrastruktur abzudecken. 6 Ansonsten können auch abweichende Gültigkeitsintervalle für die Zertifikate der Root- und Issuing-CA festgelegt werden (vgl. die Hinweise zur Konfiguration in Anhang A). Die CRL der Root-CA muss wie oben geschildert in einem manuellen Prozess erstellt, exportiert und ins AD importiert werden. Um dies nicht zu aufwändig zu gestalten, ist eine Gültigkeitsdauer von drei, sechs oder zwölf Monaten ratsam. Da eine nicht rechtzeitig erneuerte CRL zu Verfügbarkeitsproblemen bei den die PKI nutzenden Anwendungen führt, sollte der Gültigkeitsdauer noch eine Karenzfrist von ein bis zwei Monaten zugeschlagen werden, um die Unwägbarkeiten bei der Durchführung des manuellen Prozesses (z. B. Krankheit der betreffenden Mitarbeiter) abzufangen. Die oben genannten Gründe für eine zweistufige PKI-Hierarchie legen nicht nahe, dass die Issuing-CA für einen kürzeren Gültigkeitszeitraum ausgelegt wird. Daher kann ihr CA- Zertifikat ebenfalls bis zum Gültigkeitsende der Root-CA ausgestellt und bei Bedarf später immer noch vor dem geplanten Ablauf gesperrt und durch ein neues ersetzt werden. Die CRL der Issuing-CA wird automatisiert erneuert und veröffentlicht. Hier ist eine Gültigkeitsdauer von einem bis sieben Tagen mit Zuschlag einer Karenzfrist von einem bis vier Tagen ratsam, um einerseits eine Sperrung von Anwenderzertifikaten zügig wirksam werden zu lassen, andererseits aber auch eine ausreichende Reaktionszeit beim Auftreten von Problemen im automatischen Ablauf (z. B. Absturz des CA-Rechners) zu belassen. Die Gültigkeit von Anwenderzertifikaten sollte als Faustregel mindestens ein Jahr betragen und fünf Jahre nicht überschreiten. Oft ist ein Gültigkeitszeitraum von drei Jahren ein guter Kompromiss, der bei hoher Fluktuation unter den Zertifikatsinhabern verkürzt und bei unangemessen hohem Aufwand für eine Zertifikatserneuerung (bspw. bei Rechnern, die für vier Jahre geleast werden) verlängert werden kann. 3.4.4 Weitere technische Sicherheitsaspekte Für das angepeilte Basis-Sicherheitsniveau reicht es aus, die CA-Schlüssel beider CAs in Software im Zertifikatsspeicher des jeweiligen Servers abzulegen. Auf den Einsatz eines Hardware Security Moduls, das das PKI-Konzept organisatorisch und technisch aufwändiger gestalten würde, wird verzichtet (vgl. den Ausblick in Abschnitt 6.1.2). 6 Zum Vergleich: 15 Jahre vor der Erstellung dieses White Papers war Windows 95 das neueste Arbeitsplatzbetriebssystem und Windows NT 4.0 erschien erst einige Monate später. Secorvo White Paper PKI von der Stange Seite 12 von 43 WP17 PKI von der Stange 08 Stand 02. März 2011
© Secorvo Security Consulting GmbH 4 PKI-Aufbau: Schritt für Schritt In den nachfolgenden Anleitungen geben die in fester Schriftweite gesetzten Textpassagen Bezeichnungen aus dem Windows-System wieder, besonders die vom Anwender zu aktivierenden Dialogelemente (Icons, Buttons, Kartenreiter, Eingabefelder, Checkboxen etc.), einzugebende Kommandos und Dateinamen. Für sind jeweils individuelle Bezeichnungen aus der aufzubauenden PKI einzusetzen. 4.1 Root-CA 4.1.1 Systemvoraussetzungen und vorbereitende Schritte Als Root-CA kommt ein Stand-Alone-Rechner zum Einsatz, der nicht ins AD integriert ist. Als zusätzliche Sicherheitsmaßnahme können nach der Systeminstallation alle Netzwerkschnittstellen im Gerätemanager deaktiviert werden. Auch eine Festplattenvollverschlüsselung (z. B. per Windows BitLocker oder TrueCrypt) kommt als zusätzliche Sicherheitsmaßnahme in Frage. In diesem Fall ist die PIN oder das Pre-Boot-Passwort zum Starten des Systems wie unten für das lokale Administrator-Passwort beschrieben aufzuteilen und versiegelt zu hinterlegen. Der Rechner sollte, solange er nicht gebraucht wird, sicher verschlossen verwahrt werden, bspw. in einem Tresor oder Stahlschrank. Das genaue Behältnis und die Schließregelungen müssen sich nach den vorhandenen, individuellen Gegebenheiten beim PKI-Betreiber richten. Als Serversoftware kann Windows Server 2003, 2008 oder 2008 R2 eingesetzt werden; dabei ist jeweils die Standard Edition des Betriebssystems ausreichend. Nachfolgend wird von Windows Server 2008 (mit Bezeichnungen in der englischen Benutzeroberfläche) ausgegangen. Die einzelnen Schritte und Konfigurationsdateien sind jedoch auch auf die anderen Server-Betriebssysteme übertragbar. Die Installation sollte als „Root-Key-Zeremonie“ von mehreren Personen durchgeführt und überwacht werden. 7 Dabei sollten Karten, Umschläge und Siegel für die versiegelte Hinterlegung von Passwörtern und Datenträgern (bspw. CD-R-Rohlinge und/oder USB- Sticks; wenige MByte sind ausreichend) für die Hinterlegung des Root-CA-Schlüssels in ausreichender Anzahl bereit stehen. Für die Hinterlegung sollten jeweils mindestens zwei Exemplare erstellt und an unterschiedlichen Orten (bspw. ein Satz in einem Tresor vor Ort und ein zweiter in einem Bankschließfach) hinterlegt werden. Wiederum müssen sich die genauen Orte und Schließregelungen nach den vorhandenen Gegebenheiten beim PKI- Betreiber richten. Dabei kann in der Regel die anzutreffende Art der Hinterlegung eines Enterprise-Administrator-Passworts als Richtschur dienen. Falls ein rudimentäres Vier-Augen-Prinzip umgesetzt werden soll, ist nach der Grundinstallation des Betriebssystems, noch vor der Installation der Certificate Services, das Passwort des lokalen Administratorkontos so zu ändern, dass die erste Hälfte des Passworts nur einem oder zwei PKI-Administratoren bekannt ist und die zweite Hälfte einem oder zwei 7 Zumindest dann, wenn die betreffende PKI in einer Produktivumgebung eingesetzt werden soll. Für Testumgebungen kann in diesem Punkt ggf. der organisatorische Aufwand verringert werden, solange nur die Test-PKI hinsichtlich ihrer technischen Schnittstellen hinreichend mit der produktiven PKI identisch bleibt. Secorvo White Paper PKI von der Stange Seite 13 von 43 WP17 PKI von der Stange 08 Stand 02. März 2011
Seite 1 und 2: PKI von der Stange Secorvo White Pa
Seite 3 und 4: © Secorvo Security Consulting GmbH
Seite 11: © Secorvo Security Consulting GmbH
Seite 43: © Secorvo Security Consulting GmbH

PKI von der Stange Secorvo White Paper Aufbau einer ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?