X.509-Zertifizierungen zum Schutz vor böswilligen Netzwerk-Imitatoren

Ein X.509-Zertifikat ist ein digitales Zertifikat, das das Format von Public Key Infrastructure (PKI)-Zertifikaten definiert und Sicherheit vor böswilligen Netzwerk-Imitatoren bietet. Man-in-the-Middle-Angriffe können ohne X.509-Authentifizierung problemlos gestartet werden.

Es wird für viele Internetprotokolle (IP) verwendet, darunter SSL/TLS-Verbindungen Dies sind sichere Protokolle zum Surfen im Internet. Ein X.509-Zertifikat, das entweder von einer vertrauenswürdigen Zertifizierungsstelle signiert oder selbstsigniert ist, enthält einen öffentlichen Schlüssel sowie die Identifikation eines Hostnamens, Unternehmens oder einer Person. Es wird auch in Offline-Anwendungen wie elektronischen Signaturen verwendet.

X.509 definiert auch eine Zertifikatssperrliste, die dazu dient, Informationen über Zertifikate zu verteilen, die von einer Zertifizierungsstelle sowie von einem Zertifizierungspfadvalidierungsalgorithmus für ungültig erklärt wurden.

Was ist ein Zertifikat?

Ein digitales Zertifikat ist tatsächlich eine Datei oder ein verschlüsseltes Passwort, das die Authentizität eines Geräts, Servers oder Benutzers durch die Verwendung von PKI und Kryptografie bestätigt.

Organisationen können die digitale Zertifikatsauthentifizierung nutzen, um sicherzustellen, dass nur vertrauenswürdige Geräte und Benutzer eine Verbindung zu ihren Netzwerken herstellen können. Eine weitere häufige Anwendung für digitale Zertifikate dient der Überprüfung der Legitimität einer Website gegenüber einem Webbrowser und wird häufig als Secure Sockets Layer oder SSL-Zertifikat bezeichnet.

Ein digitales Zertifikat enthält Identifikationsinformationen wie die Identität des Nutzers, des Unternehmens oder der Abteilung sowie die IP-Adresse oder die Seriennummer eines Geräts. Digitale Zertifikate enthalten eine Kopie des öffentlichen Schlüssels des Zertifikatsinhabers, der mit einem passenden privaten Schlüssel abgeglichen werden muss, um gültig zu sein.

Warum X.509-Zertifikate verwenden?

X.509-Zertifikate verfügen über mehrere vorteilhafte Eigenschaften, die Passwörter nicht haben. Sie erweisen sich gegenüber normalen Passwörtern als vorteilhaft.

• Sie sind resistent gegen Phishing. Im Gegensatz zu einem Passwort, bei dem der Server das Passwort im Klartext abrufen muss, um Sie zu verifizieren, authentifiziert Sie ein X.509-Zertifikat durch einen Validierungsalgorithmus für den Zertifizierungspfad und signiert Zertifikate mit Zwischenzertifizierungsstellen. Eine Phishing-Website erhält zwar ein Passwort, das sie dann auf der echten Website verwenden kann; die X.509-Authentifizierung liefert ihr jedoch lediglich eine einzelne Signatur des Zertifikats und nicht den geheimen Schlüssel, der zum Täuschen Ihres Passworts erforderlich ist.
• Werden sie auf anderen Websites wiederverwendet, besteht kein Risiko. Verwenden Sie das Passwort Ihrer Organisation jedoch auf einer anderen Website, kann diese Website das Passwort erfassen oder ineffizient speichern, sodass es bei einem Datenleck gestohlen werden kann. Nutzen Sie dasselbe Zertifikat für mehrere Websites, sind Sie nicht darauf angewiesen, dass alle Ihre Zugangsdaten schützen (wenn Sie dasselbe Passwort an mehreren Stellen verwenden und eine davon es schlecht verwaltet, ist es für alle gefährdet).
• Normalerweise erhalten Sie für jeden Browser oder jedes Gerät ein eigenes Zertifikat. Das bedeutet, dass das Unternehmen bei Verlust des Geräts möglicherweise nur eines der Zertifikate und nicht alle Zertifikate widerrufen kann.
• Ebenso wenig besteht die Gefahr des Schulterblicks oder dass ein Benutzer sein Passwort an Kollegen weitergibt. Ein Benutzer könnte zwar den privaten Schlüssel exportieren, dies ist jedoch weitaus unwahrscheinlicher, als dass jemand sein Passwort preisgibt.
• Sie bieten eine Zwei-Faktor-Authentifizierung, wenn sie in Verbindung mit einem Passwort verwendet werden („etwas, das Sie wissen“ ist ein Passwort und „etwas, das Sie haben“ ist ein Zertifikat).

Wie funktionieren X.509-Zertifikate?

Die Abstract Syntax Notation One (ASN.1) bildet die Grundlage für den X.509-Standard. Mithilfe von ASN verwendet das X.509-Zertifikatformat ein zugehöriges öffentliches und privates Schlüsselpaar zum Ver- und Entschlüsseln einer Nachricht.

Die CA stellt einer Entität ein X.509-Zertifikat aus, das ihr wie ein Lichtbildausweis beigefügt ist. Im Gegensatz zu unsicheren Passwörtern können sie weder verloren gehen noch gestohlen werden. Anhand der Ausweisanalogie lässt sich die Authentifizierung leicht veranschaulichen: Das Zertifikat wird wie eine ID an die zu authentifizierende Ressource „geflasht“.

PKI-Grundlagen

Eine PKI enthält eine Folge zufällig generierter Zahlen, mit der eine Nachricht verschlüsselt werden kann. Nur der ausgewählte Empfänger kann diese verschlüsselte Nachricht entschlüsseln und lesen. Die Entschlüsselung und das Lesen sind ausschließlich mit dem zugehörigen privaten Schlüssel möglich, der ebenfalls aus einer langen Folge zufälliger Zahlen besteht.

Dieser private Schlüssel wird geheim gehalten und ist nur dem Empfänger bekannt. Da der öffentliche Schlüssel für alle einsehbar ist, wird ein komplexer kryptografischer Algorithmus verwendet, der zufällige Zahlenkombinationen unterschiedlicher Länge erzeugt, um einen öffentlichen Schlüssel zu erstellen und ihn mit einem zugehörigen privaten Schlüssel zu verknüpfen.

Die folgenden Algorithmen werden am häufigsten zum Generieren öffentlicher Schlüssel verwendet:

• Rivest–Shamir–Adleman (RSA)
• Digitaler Signaturalgorithmus (DSA)
• Kryptographie mit elliptischen Kurven (ECC)

Attribute des X.509-Zertifikats

Jedes Zertifikat verfügt über mehrere Attribute und Felder, die Informationen über den Benutzer, den Aussteller und die kryptografischen Parameter des Zertifikats selbst enthalten.

• Version

  Die X.509-Version ist mit dem Zertifikat verknüpft.

• Ordnungsnummer

  Die eindeutige Seriennummer, die jedem ausgestellten Zertifikat von der Zertifizierungsstelle zugewiesen wird.

• Algorithmusinformationen

  Der kryptografische Algorithmus bzw. der Algorithmus für den privaten Schlüssel ist üblicherweise RSA 2048.

• Emittentenname

  Der Name der ausstellenden Zertifizierungsstelle

• Gültigkeitszeitraum

  Der Zeitraum, in dem das Zertifikat als gültig gilt.

• Distinguished Name des Subjekts

  Der Name des Geräts, für das das Zertifikat ausgestellt wird.

• Informationen zum öffentlichen Schlüssel des Betreffs

  Der mit der Identität verknüpfte öffentliche Schlüssel.

Häufige Anwendungsbereiche von X.509-Zertifikaten

Viele IPs setzen auf X.509, und die PKI-Technologie wird täglich in einer Vielzahl von Anwendungen eingesetzt, darunter Webserver-Sicherheit, digitale Signaturen, Dokumentensignatur und digitale Identitäten.

Webserver-Sicherheit mit TLS/SSL-Zertifikaten

PKI dient als Grundlage für die Protokolle Secure Sockets Layer (SSL) und Transport Layer Security (TLS), die die Grundlage für sichere HTTPS-Browserverbindungen bilden. Ohne SSL-Zertifikate oder TLS zum Aufbau sicherer Verbindungen könnten Angreifer die Kommunikation abfangen und deren Inhalte über das Internet oder andere IP-Netzwerke lesen. Dabei kommen verschiedene Angriffsmethoden zum Einsatz, beispielsweise Man-in-the-Middle-Angriffe.

Digitale Signaturen und Dokumentensignatur

PKI-basierte Zertifikate können neben der Nachrichtensicherung auch für digitale Signaturen und die Signierung von Dokumenten verwendet werden.

Digitale Signaturen sind elektronische Signaturen, die mithilfe von PKI die Identität des Unterzeichners sowie die Integrität der Signatur und des Dokuments bestätigen. Da digitale Signaturen durch die Erstellung eines Hashs generiert werden, der mit dem privaten Schlüssel des Absenders verschlüsselt wird, können sie weder manipuliert noch reproduziert werden.

Diese kryptografische Überprüfung verknüpft die Signatur mathematisch mit der Originalnachricht, um sicherzustellen, dass der Absender verifiziert wurde und die Nachricht nicht geändert wurde.

Codesignatur

Mit Code Signing können Anwendungsentwickler Apps, Treiber und Softwareprogramme digital signieren und so für mehr Vertrauen sorgen. Endbenutzer können so überprüfen, ob der Code, den sie erhalten, von Dritten verändert oder manipuliert wurde. Diese digitalen Zertifikate enthalten die Signatur des Softwareentwicklers, den Firmennamen und einen Zeitstempel, um die Sicherheit und Vertrauenswürdigkeit des Codes zu gewährleisten.

Client-Authentifizierung

Bei der Client-Zertifikatauthentifizierung handelt es sich um eine gegenseitige, zertifikatsbasierte Authentifizierung, bei der Benutzer den Servern digitale Zertifikate gemäß dem X.509-Standard als Komponente des TLS-Protokoll-Handshakes bereitstellen, um ihre Identität nachzuweisen. Dies wird auch als gegenseitige oder bidirektionale TLS-Authentifizierung bezeichnet.

Während die Hauptaufgabe von TLS im Internet darin besteht, Verschlüsselung und Vertrauen zu unterstützen und einem Webbrowser die Überprüfung der Authentizität einer Website zu ermöglichen, funktioniert das Protokoll auch umgekehrt: Dabei werden X.509-Client-Zertifikate verwendet, um einen Client gegenüber dem Webserver zu authentifizieren.

Verwalten von X.509-Zertifikaten

Eine der wichtigsten Komponenten von X.509-Zertifikaten ist ihre effektive Verwaltung im großen Maßstab durch Automatisierung. Unternehmen ohne hervorragende Mitarbeiter, Verfahren und Technologien setzen sich Sicherheitsverletzungen, Ausfällen, Markenschäden und Ausfällen kritischer Infrastrukturen aus.

Fazit

X.509-Zertifikate sind ein wichtiges Instrument für den Aufbau und Erhalt digitalen Vertrauens in der digitalen Welt. Werden diese Zertifikate nicht effektiv verwaltet, besteht für Unternehmen das Risiko von Sicherheitsverletzungen und fehlgeschlagenen Audits.

Erstellen Sie mit uns bei Encryption Consulting eine Liste Ihrer vorhandenen X.509-Zertifikatsverwaltungsfunktionen und ermitteln Sie, ob eine neue Lösung erforderlich ist, um mit dem ständigen Wachstum Ihrer digitalen Zertifikate Schritt zu halten.