Welche fünf Schritte müssen vor der Implementierung von PKI-Sicherheit berücksichtigt werden?

Public-Key-Infrastruktur (PKI) ist die Hardware, Software, Prozesse und Richtlinien zur Verwaltung von Zertifikaten und Schlüsseln. PKIs sind die Grundlage für die Nutzung digitale Signaturen und verschiedene Verschlüsselungstechniken für große Benutzergruppen. Es ist auch verantwortlich für die Bereitstellung wesentlicher Elemente für eine sichere und vertrauenswürdige Geschäftsumgebung für IoT und anderen technischen Bereichen. Anwendungen der neuen Generation sind in hohem Maße PKI Technologie für hohe Sicherheit elektronischer Interaktionen durch Authentifizierung und Einhaltung von Sicherheitsvorschriften. Darüber hinaus unterstützt sie die Identifizierung von Geräten, Diensten und Benutzern, indem sie kontrollierten Zugriff auf Systeme und Ressourcen, Datenschutz und Rechenschaftspflicht bei Transaktionen ermöglicht. 

Rolle der Zertifizierungsstellen (CAs)

Um öffentliche Schlüssel mit den zugehörigen Benutzern zu verknüpfen, verwenden PKIs digitale Zertifikate. Das Hauptziel besteht darin, die Vertrauenswürdigkeit und Authentizität einer Domäne, Website und Organisation zu überprüfen, um eine sichere und vertrauenswürdige Kommunikation zwischen Entität und Benutzern zu gewährleisten. Ein Benutzer erkennt, ob eine Website offiziell und nicht gefälscht oder manipuliert ist, wenn CA stellt ein digitales Zertifikat aus. Dadurch wird sichergestellt, dass ein Angreifer keine privaten Daten, Informationen oder Geld des Benutzers stiehlt.

Die wichtigsten bzw. entscheidenden Rollen einer Zertifizierungsstelle sind:

• Ausstellung eines digitalen Zertifikats.
• Hilft, Vertrauen zwischen Entitäten aufzubauen, die über das Internet kommunizieren.
• Überprüfen und Validieren der Identität von Domänennamen und Organisationen.
• Wartung der Zertifikatsperrlisten.

Wie funktioniert ein digitales Zertifikat?

Ein digitales Zertifikat dient als Nachweis für die Identität der ausgewählten Entität, an die es ausgestellt wird. Es enthält Informationen über die Entität, einschließlich Name, Organisation, Kontaktinformationen, öffentlichem Schlüssel, Domänenname, Zertifikatsausstellung, Ablaufdatum des ausgestellten Zertifikats usw. Außerdem enthält das digitale Zertifikat den Namen der ausstellenden Zertifizierungsstelle für das Zertifikat und deren digitale Signatur. Es ist auch nützlich für verschlüsseln und die Sicherung der Kommunikation über das Internet, die Wahrung der Integrität der damit unterzeichneten Dokumente und die Gewährleistung, dass kein Dritter die Dokumente während der Übertragung beschädigen kann. 

Wie funktionieren SSL/TLS-Zertifikate?

Das Transport Layer Security (TLS)-Protokoll nutzt SSL-Zertifikate zur Authentifizierung und Verschlüsselung von Daten für das Streaming für Hypertext Transfer Protocol Secure (HTTPS)Das SSL-Protokoll dient zum Aufbau einer sicheren Internetverbindung über Webbrowser, die Websites aufrufen. Für eine HTTPS-Verbindung setzt SSL auf HTTP auf, während TLS eine erweiterte Version von SSL ist. Wenn ein Webbrowser eine sichere Verbindung über HTTPS herstellt, wird das digitale Zertifikat (Digitales SSL/TLS-Zertifikat) wird an den Webbrowser gesendet. Der Browser gleicht die Informationen im Zertifikat mit seinem Stammzertifikatspeicher ab. Auf diese Weise stellt ein digitales Zertifikat eine sichere und verschlüsselte Verbindung zwischen dem Browser eines Benutzers und dem Webserver einer Website oder Organisation her.

Wie stellt eine Zertifizierungsstelle ein digitales Zertifikat aus?

Als wichtige Komponente der PKI ist für die ordnungsgemäße Funktion der SSL/TLS-Zertifikate ein digitales Zertifikat erforderlich, und hier kommt die CA ins Spiel.

Eine Organisation oder Person kann ein digitales Zertifikat von einer Zertifizierungsstelle anfordern, muss aber zunächst ein Schlüsselpaar generieren, das aus Folgendem besteht:

• Privat Schlüssel

  Dieser Schlüssel wird stets geheim gehalten und darf niemandem gezeigt werden, nicht einmal der CA.

• Öffentlicher Schlüssel

  Dieser Schlüssel wird im digitalen Zertifikat erwähnt, das die CA ausstellt, wo der Antragsteller auch generieren muss Zertifikatsignierungsanfrage (CSR). Eine CSR ist eine verschlüsselte Textdatei, die die Informationen angibt, die im Zertifikat enthalten sein sollen, wie Domänenname, Organisation, Kontaktdaten und alternative oder zusätzliche Domänennamen (einschließlich Subdomänen).

Arten digitaler Zertifikate

CAs können verschiedene Arten von Zertifikaten für unterschiedliche Anwendungsfälle ausstellen, und zwar:

• Code Signing-Zertifikate

  Diese Zertifikate werden von Entwicklern und Herausgebern zum Signieren ihrer Softwareverteilungen verwendet. Benutzer verwenden sie zur Authentifizierung und Validierung von Software-Downloads vom Entwickler oder Anbieter.

• E-Mail-Signaturzertifikate

  Mit diesen Zertifikaten können Entitäten E-Mails unter Verwendung des Secure/Multipurpose Internet Mail Extensions-Protokolls zum Sichern von E-Mail-Anhängen signieren, authentifizieren und verschlüsseln.

• Benutzer-/Client-Zertifikate oder Signaturüberprüfungszertifikate helfen Einzelpersonen bei der Bewältigung verschiedener Authentifizierungsanforderungen.

• Objektsignaturzertifikate

  Diese Zertifikate ermöglichen die Signierung und Authentifizierung beliebiger Softwareobjekte.

Was sind die Fallstricke bei PKI?

Die Implementierung einer PKI ist wichtig für die Sicherheit eines Unternehmens. Noch wichtiger ist jedoch die Sicherstellung ihrer korrekten Implementierung. Trotz der kritischen Natur der PKI-Technologie werden damit verbundene Aufgaben oft nicht als prioritär angesehen und Laien übertragen. Dies führt zu PKI-Fehlern und Fehlkonfigurationen und birgt unnötige Risiken. Die wichtigsten PKI-Fallstricke in Unternehmen sind:

• Zertifikatsprobleme.
• Bereitstellungsprobleme.
• Sicherheitsprobleme.
• Governance-Probleme.
• Sichtbarkeitsprobleme.

Zertifikatsprobleme

Das häufigste Problem bei der Einrichtung von PKI-Systemen zu Beginn der Implementierung ist die Verwendung schwacher Schlüssel. Schwache Schlüssel können zu einer Schwachstelle werden, die letztendlich zu einem grundlegenden Problem bei der PKI-Implementierung führen kann. Benutzer oder Unternehmen neigen dazu, Zertifikate mit längerer Laufzeit zu verwenden, da der Austausch von Zertifikaten mühsam sein kann. Dies vergrößert jedoch auch die Angriffsfläche mit der Zeit. Daher verringert die Rotation von Zertifikaten oft das Angriffsrisiko. Lange Zertifikatslaufzeiten können auch bedeuten, dass veraltete kryptografische Algorithmen vorhanden sind, was selbst bei einfachen Lösungen zu langfristigen Problemen führen kann. Zum Beispiel: RSA und ECC-Verschlüsselungstechniken sind derzeit wirksam, werden jedoch in den nächsten Jahren durch fortschrittliche Computertechniken wie Quantencomputing überholt sein. 

Bereitstellungsprobleme

Die Wiederverwendung von Zertifikaten auf mehreren Geräten ist sehr riskant. Für Benutzer mag dies kostengünstiger und weniger zeitaufwändig erscheinen, doch wenn ein Zertifikat besser sein muss oder fehlerhaft ist, sind alle anderen Zertifikate ebenfalls gültig. Auch wenn nur ein einziges Zertifikat kompromittiert wird, kann sich dieses potenzielle Risiko auf mehrere Geräte ausbreiten. Daher ist es besser, jedes Gerät separat zu halten, um das Risiko für Geräte und Zertifikate zu minimieren. 

Sicherheitsprobleme

Unzureichender Schutz privater Schlüssel ist eines der häufigsten Probleme bei der Einrichtung von PKI-Systemen. Unabhängig davon, ob es sich um einen Laptop mit Trusted Platform Module (TPM) oder ein IoT-Gerät mit Secure Enclave handelt, ist es wichtig, die Sicherheit privater Schlüssel zu gewährleisten. Auch das Versäumnis, auf Schwachstellen zu reagieren und Patches anzuwenden, ist häufig ein Problem. Dies sollte als Teil einer ordnungsgemäßen Systemwartung betrachtet und entsprechend beachtet werden.

Governance-Probleme

Mit Regeln und Anleitungen können Teams effektiv und effizient geführt werden. Mangelnde Richtlinienkonsistenz in Organisationen führt zu weiteren Inkonsistenzen bei der PKI-Implementierung und birgt erhebliche Risiken für diese Organisationen. Um solche Probleme zu vermeiden, müssen Regeln und Ordnungen geschaffen und konsequent befolgt und angewendet werden. Ein weiteres wichtiges Problem ist die Entscheidung, wann private oder öffentliche Roots verwendet werden sollen, da die falsche Wahl zu höheren Sicherheitsrisiken führen kann. 

Sichtbarkeitsprobleme

Die häufigsten Probleme mit der Sichtbarkeit sind betrügerische Zertifizierungsstellen und -zertifikate. Im Allgemeinen werden betrügerische Zertifikate vertrauenswürdigen Zertifikaten einer vertrauenswürdigen Zertifizierungsstelle vorgezogen, sind aber entweder an die falsche Stelle ausgestellt oder kompromittiert. Wenn betrügerische Zertifikate oder Zertifizierungsstellen weiterhin in der Umgebung betrieben werden, ohne sie zu verwalten, kann dies zu zahlreichen weiteren Problemen führen. Dies kann Angreifern auch die Erstellung illegitimer Websites ermöglichen, die nicht von den ursprünglichen oder echten Websites zu unterscheiden sind.

Fünf Schritte zum Aufbau einer skalierbaren PKI 

Die Verwaltung von PKIs ist eine wichtige Aufgabe für Sicherheitsteams in Unternehmen. Fehler, veraltete Tools und Prozesse sowie mangelnde Transparenz führen zu kostspieligen Ausfällen und Sicherheitslücken. Aufgrund der zunehmenden Anzahl vernetzter Geräte ist eine manuelle Verwaltung nicht mehr möglich. Daher müssen Unternehmen die Implementierung verschiedener Prozesse in Betracht ziehen, um ihre Zertifikatsinfrastruktur optimal zu sichern. Es gibt fünf vereinfachte Schritte zum Aufbau einer PKI:

• Identifizierung der nicht verhandelbaren Netzwerksicherheitsrisiken.
• Genaue Identifizierung der Netzwerksicherheitsrisiken, die durch PKI gemindert werden können.
• Entwicklung der richtigen Mischung aus öffentlicher und privater PKI.
• Wählen Sie, ob Sie eine CA erstellen oder kaufen möchten, d. h. eine interne CA oder eine gehostete CA.
• Entdecken Sie, wie Sie die Übermittlung von Zertifikaten an Geräte automatisieren können.

Identifizierung der nicht verhandelbaren Netzwerksicherheitsrisiken

Die Einrichtung einer PKI kann nicht nur technische Probleme mit sich bringen, sondern auch andere Sicherheitsrisiken bergen, die der Benutzer minimieren muss. Zu diesen Sicherheitsrisiken gehören unter anderem:

• Um unbefugten Zugriff auf Webdienste zu verhindern.
• Verhindern Sie den unbefugten Zugriff auf in Datenbanken gespeichertes Wissen.
• Verhindern Sie unbefugten Zugriff auf die Netzwerke von Benutzern oder Organisationen.
• Überprüfen der Authentizität von Nachrichten, die im Netzwerk von Benutzern oder Organisationen übertragen werden.

Identifizierung der Netzwerksicherheitsrisiken, die PKI mindern kann

PKI kann die Netzwerksicherheit erhöhen, indem sie eine Identität an einen öffentlichen Schlüssel bindet und Risiken durch Verschlüsselung, Authentifizierung und digitale Signaturen minimiert. Verschlüsselung trägt dazu bei, Vertraulichkeitsrisiken zu minimieren, Authentifizierungszertifikate helfen, Risiken bei Zugriffskontrollen zu minimieren und digitale Zertifikate helfen, Integritätsrisiken zu minimieren. PKI kann daher für verschiedene Anwendungen eingesetzt werden, wie zum Beispiel:

• Zum Sichern verschiedener Webseiten.
• Um Dateien zu verschlüsseln und zu sichern.
• Zur Authentifizierung von Anmeldungen mithilfe von Smartcards.
• Verschlüsseln und Authentifizieren von E-Mail-Nachrichten mithilfe von S/MIME.
• Zur Authentifizierung von Verbindungen zu einem bestimmten VPN.
• Zur Authentifizierung von Knoten, die mit einem drahtlosen Netzwerk verbunden werden sollen.

Entwicklung der richtigen Mischung aus öffentlicher und privater PKI

Nachdem die Netzwerksicherheitsrisiken und die entsprechenden Maßnahmen identifiziert wurden, kann ein Benutzer oder eine Organisation die Architektur des PKI-Systems planen. Die ausgereifteste Lösung ist eine hybride Architektur mit privater und öffentlicher PKI. Dabei wird üblicherweise eine öffentliche PKI zur Sicherung öffentlich zugänglicher Websites und anderer Dienste verwendet, während eine private PKI interne Dienste sichert. Bei einer PKI wird eine Identität durch einen Signiervorgang an den öffentlichen Schlüssel gebunden. Diese Signatur wird entweder von einem Root-Server oder einer Zwischenverkettung zum Root-Server durchgeführt. Zertifikate, die von vertrauenswürdigen Root-Servern ausgestellt wurden, sind gültig. Ist der Root-Server, der die Identität an den allgemeinen Speicher gebunden hat, im Trust Store vorhanden, kann man sich auf die an den öffentlichen Schlüssel gebundene Identität verlassen.

Auswahl, ob eine CA erstellt oder gekauft werden soll, d. h. eine interne CA oder eine gehostete CA

Nachdem entschieden wurde, wo private Zertifikate für interne Dienste benötigt werden, muss im nächsten Schritt ermittelt werden, ob eine CA erstellt (interne PKI) oder gekauft (gehostete PKI) werden muss. Beides sind gute Optionen, die Entscheidung hängt jedoch von den Ressourcen und dem Personal ab, die für die Einrichtung dieser PKI bereitgestellt werden. Ein gehosteter Dienst unterstützt die Erstellung von Root und sichert diese auf einem dem öffentlichen Vertrauen angemessenen Niveau. Eine interne CA bietet zwar vollen Zugriff und Kontrolle über den Ausstellungsprozess, muss aber die Kosten für Software, Lizenzen, Hardware und Schulungen tragen. Die größte Frage ist jedoch, ob eine intern verwaltete PKI die Investition in Geld, Zeit und Personal wert ist, da die Verwaltung eines internen PKI-Systems sowohl Vorteile als auch versteckte Kosten mit sich bringt.

Entdecken Sie, wie Sie die Übermittlung von Zertifikaten an Geräte automatisieren können

Für einen reibungslosen PKI-Einsatz im großen Maßstab ist die Automatisierung des Zertifikatsbereitstellungsprozesses unerlässlich. Veränderte Industriestandards und kürzere Gültigkeitsdauern von Zertifikaten bedeuten, dass Automatisierung in naher Zukunft keine Option, sondern eine Notwendigkeit sein wird. Hunderte oder Tausende von Geräten müssen verwaltet werden. Nur durch Automatisierung kann dies effizient gehandhabt und die Sicherheit gewährleistet werden, indem das Risiko menschlicher Fehler und zertifikatsbedingter Ausfälle reduziert wird. Die vier gängigsten Methoden zur Automatisierung sind:

• RESTful-APIs

  Die ausgewählte Zertifizierungsstelle muss die Verwendung von RESTful-API-Endpunkten als Teil der Programmierung zur Verwendung von Enterprise-Geräteverwaltungssoftware zulassen.

• Einfaches Zertifikatsregistrierungsprotokoll (SCEP)

  Dieser Weg erfordert einen SCEP-Agenten auf den Geräten, um mit Enterprise-Geräteverwaltungssoftware zusammenzuarbeiten. Anschließend sendet die Software das Skript an das Gerät und weist es an, ein Zertifikat abzurufen.

• Registrierung über Secure Transport (EST)

  EST ist der Nachfolger von SCEP. Es ist fast identisch, unterstützt jedoch Elliptic Curve Cryptography (ECC), eine Kryptografiemethode, mit der schnellere, kürzere und effizientere kryptografische Schlüssel erstellt werden können.

• Automatische Microsoft AD-Registrierung

  Dies wird verwendet, um die Zertifikatsübermittlung direkt an den Microsoft Key Store für alle Windows-PCs und -Server zu automatisieren.

Fazit

Nach erfolgreicher Planung der Integration einer PKI in das Netzwerk ist die Umsetzung sowohl für öffentliche als auch für private PKIs möglich. Der Aufbau einer PKI ist notwendig, da die Sicherheitslage heutzutage äußerst hoch ist.