[Translate to German:]

Kategorien: Software-Schutz

CodeMeter spricht X.509

Server-Zertifikate sind allgegenwärtig. Sie garantieren einem Anwender, dass er sich auf der richtigen Webseite befindet und nicht das Opfer einer Phishing-Attacke geworden ist. Dagegen fristen Client-Zertifikate ein von der Öffentlichkeit weitgehend unbeachtetes Schattendasein – obwohl Client-Zertifikate eine einfache, sichere und standardkonforme Lösung sind, um einen Anwender zu authentifizieren, gerade wenn sie in einer sicheren Hardware wie dem CmDongle gespeichert werden.

Authentifizierung mit Zertifikat

Der Anwender besitzt einen privaten Schlüssel und ein zu diesem privaten Schlüssel gehörendes Zertifikat. Im Rahmen des Handshakes und Schlüsselaustauschs unterschreibt (signiert) der Anwender den Hash einer Nachricht mit seinem privaten Schlüssel. Die Signatur und das Client-Zertifikat werden zum Server übertragen. Der Server überprüft die Signatur und die Gültigkeit des Zertifikats. Sind beide gültig, kann die Identität des Anwenders aus dem Zertifikat ausgelesen und verwendet werden.

Standardschnittstellen

Es gibt viele Anwendungsfälle für Zertifikate, zum Beispiel:

  • E-Mail-Zertifikate zur Signatur und Verschlüsselung von E-Mails
  • Client-Zertifikate zur Authentisierung von Endgeräten gegenüber IT-Netzen 
  • OPC-UA-Zertifikate
  • Nutzerzertifikate zur Authentisierung gegenüber Computern und Netzwerken

Damit gibt es viele verschiedene Softwareprodukte, die auf Zertifikate zugreifen, wie zum Beispiel E-Mail-Anwendungen oder Webbrowser. Auf der anderen Seite gibt es mehrere Anbieter von sicherer Hardware, in der man Zertifikate speichern kann. Oft werden auch rein softwarebasierte Zertifikatsspeicher verwendet. Um eine Interoperabilität zwischen all diesen Systemen zu erreichen, haben sich folgende Standardschnittstellen etabliert:

  • PKCS#11 für alle Computerplattformen
  • Microsoft Crypto Service Provider (CSP) für Windows
  • Token Daemon (tokenD) für Apple OS X

Zertifikate im CmDongle

Als Zusatzmodul von CodeMeter ist eine PKI-Client-Software verfügbar (Charismatics Smart Security Interface – CSSI). Die CSSI-Middleware umfasst sowohl ein Microsoft CSP als auch ein PKCS#11-Interface. Somit sind die in einem CmDongle gespeicherten privaten Schlüssel und Zertifikate für nahezu alle Anwendungen verfügbar. Dazu gehören unter anderem: Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Apple Safari und Microsoft Outlook.

In einem CmDongle können bis zu 8 private Schlüssel und zugehörige Zertifikate gespeichert werden. Als Algorithmus steht RSA mit einer Schlüssellänge von bis zu 2048 Bit zur Verfügung. Der private Schlüssel kann entweder von einer externen Quelle importiert werden (per pfx- oder p12-Format) oder er wird in der CSSI-Middleware erzeugt. Er wird dann in Secret-Data-Feldern gespeichert und ist somit später nicht mehr auslesbar.

Die CSSI-Middleware kann einen Zertifikatsantrag (Certificate Signing Request – CSR) erstellen. Dieser wird an die Instanz geschickt, die das Zertifikat erstellt. Das Zertifikat wird von der CSSI-Middleware importiert. Wahlweise kann die CSSI-Middleware auch ein selbstsigniertes Zertifikat (Self Signed Certificate) erstellen.  

 

KEYnote 29 – Frühjahrsausgabe 2015

Nach oben