Bauen Sie die grundlegenden Einheiten in der Vertrauenskette Ihres Unternehmens auf

A Public-Key-Infrastruktur (PKI) unterstützt Benutzer beim sicheren Datenaustausch und gewährleistet Datenvertraulichkeit, Datenintegrität und Endbenutzerauthentifizierung. PKI verwendet öffentlich-private Schlüsselpaare, die von einem vertrauenswürdigen ZertifizierungsstelleDie Zertifizierungsstelle stellt Public-Key-Zertifikate aus, die zum Verschlüsseln von Daten oder für digitale Signaturen verwendet werden können.

Ein Public-Key-Zertifikat wird verwendet, um eine Identität mit einem öffentlichen Schlüssel zu verknüpfen. Die Entität, die diese Verknüpfung herstellt, wird als Aussteller des Zertifikats bezeichnet, und die Identität, an die das Zertifikat ausgestellt wurde, wird als Betreff des Zertifikats bezeichnet. Wenn ein Benutzer eine sichere Website besucht, sendet die Website eine SSL / TLS-Zertifikat an den Browser des Benutzers. Der Browser des Benutzers überprüft, ob der Aussteller dieses Zertifikats in seiner Liste vertrauenswürdiger Stammzertifizierungsstellen vorhanden ist.

Findet der Browser keine Übereinstimmung, prüft er, ob eine der vertrauenswürdigen Stammzertifizierungsstellen das ausstellende CA-Zertifikat signiert hat. Der Browser validiert den Aussteller des Zertifikats so lange, bis er ein vertrauenswürdiges Stammzertifikat findet oder das Ende der Vertrauenskette erreicht. Diese Vertrauenskette trägt dazu bei, zu beweisen, dass das Zertifikat von einer vertrauenswürdigen Quelle stammt und die vom Benutzer besuchte Website sicher ist.
Eine Zertifikatskette ist eine Kette von digitale Zertifikate, beginnend mit einem Endteilnehmerzertifikat, einem oder mehreren Zwischenzertifikaten und einem Stammzertifikat.

Grundlegende Entitäten in der Vertrauenskette

Es gibt drei grundlegende Entitäten in der Zertifikatsvertrauenskette: Stamm-CA-Zertifikat, Zwischen-CA-Zertifikat und Endentitätszertifikat.

1. Stamm-CA-Zertifikat:

   Das Root-CA-Zertifikat ist ein selbstsigniertes X.509-Zertifikat. Dieses Zertifikat fungiert als Vertrauensanker, der von allen vertrauenden Parteien als Ausgangspunkt für die Pfadvalidierung verwendet wird. Der private Schlüssel der Stammzertifizierungsstelle wird zum Signieren der Zertifikate der Zwischenzertifizierungsstelle verwendet. Wenn dieses Zertifikat und sein privater Schlüssel kompromittiert werden, bricht die gesamte Zertifikatskette zusammen und alle mit diesem privaten Schlüssel signierten Zertifikate sind betroffen. Daher muss der private Schlüssel der Stammzertifizierungsstelle jederzeit sicher generiert und geschützt werden. Zum Schutz der Zertifikate der Stammzertifizierungsstelle werden Zwischenzertifizierungsstellen zwischen der Stammzertifizierungsstelle und den Endentitäten platziert und die Stammzertifizierungsstelle stellt niemals Zertifikate direkt an Endentitäten aus. Die Betriebssysteme, Webbrowser und benutzerdefinierten Anwendungen werden mit mehr als 100 vertrauenswürdigen Stammzertifizierungsstellenzertifikaten vorinstalliert geliefert.

2. Zwischenzertifikate der Zertifizierungsstelle:

   Das Zwischen-CA-Zertifikat befindet sich zwischen dem Stamm-CA-Zertifikat und dem End-Entity-Zertifikat. Die Vertrauenskette kann ein oder mehrere Zwischen-CA-Zertifikate enthalten. Das Zwischen-CA-Zertifikat signiert die End-Entity-Zertifikate. Dies bietet eine zusätzliche Sicherheitsebene für die Stamm-CA, da es die meiste Zeit sicher offline gehalten werden kann.

3. Endteilnehmerzertifikate:

   Das Endteilnehmerzertifikat ist das Serverzertifikat, das für die Website-Domäne ausgestellt wird. Wenn dieses Serverzertifikat auf dem Webserver installiert ist, wird die URL auf HTTPS geändert. Dies zeigt an, dass die Website sicher ist und eine verschlüsselte Verbindung verwendet. Um ein digitales Zertifikat zu erhalten, sendet ein Endteilnehmer eine Zertifikatsignierungsanfrage (CSR) an die ausstellende CA (Zwischen-CA). Der CSR enthält Details zum Endteilnehmer. Die ausstellende CA überprüft die Richtigkeit der Angaben und stellt das Zertifikat dem Endteilnehmer aus.

Arten von Vertrauensmodellen

Hierarchisches Vertrauensmodell

Im hierarchischen Vertrauensmodell der PKI gibt es eine Offline-Stammzertifizierungsstelle und mehrere ausstellende Online-Zertifizierungsstellen. Die ausstellenden Zertifizierungsstellen dienen der Hochverfügbarkeit und dem Lastenausgleich. Dies ist der gängigste Kettenvalidierungsprozess, der in umgekehrter Reihenfolge abläuft. In diesem Fall beginnt die Validierung mit dem Abgleich der Endstellenzertifikatsinformationen mit dem Zwischenzertifikat, das das Zertifikat ausgestellt hat, und vergleicht anschließend die Zwischenzertifikatsinformationen mit dem Stammzertifikat, das dieses Zertifikat ausgestellt hat.

Web of Trust-Modell

Das Web of Trust-Modell ist eine Alternative zum hierarchischen Vertrauensmodell. Es handelt sich um ein dezentrales Vertrauensmodell, bei dem Benutzer das Vertrauen auf der Ebene einzelner Schlüssel verwalten. Es gibt keine Zertifizierungsstelle oder vertrauenswürdige Stamminstanz. Die dezentrale Kontrolle jedes Schlüsselpaars ist der Hauptunterschied zum hierarchischen Vertrauensmodell. PGP (Pretty Good Privacy) verwendet dieses Vertrauensmodell.

Zertifikatspfadvalidierung

Bei der Pfadvalidierung wird die Integrität der Zertifikatskette vom Endbenutzer bis zur Stammzertifizierungsstelle überprüft. Bei der Pfadvalidierung werden einige Zertifikatsfelder und -erweiterungen verwendet. Diese Felder dienen zum Definieren der Identität des Zertifikats und der Verknüpfungen zwischen Zertifikaten.

1. Distinguished Name des Ausstellers: Der Name des Ausstellers, der das Zertifikat signiert hat.
2. Betreff: Distinguished Name: Die Identität des Zertifikatsinhabers.
3. public Key: Der öffentliche Schlüssel des asymmetrisch Schlüsselpaar.
4. Authority Key Identifier (AKI): Die Zertifikatserweiterung, die die Schlüsselkennung enthält, die aus dem öffentlichen Schlüssel im Ausstellerzertifikat abgeleitet wird.
5. Betreff-Schlüsselkennung (SKI): Die Zertifikatserweiterung, die die Schlüsselkennung enthält, die aus dem öffentlichen Schlüssel im betreffenden Zertifikat abgeleitet wird.

Der Inhaber des übergeordneten Zertifikats ist der Aussteller des untergeordneten Zertifikats in der Kette. Der Client sucht an verschiedenen Stellen nach dem Zertifikat, das dem Aussteller-DN in seinem eigenen Zertifikat entspricht. Der Distinguished Name (DN) dient zur Suche nach den Zertifikaten, und die AKI- und SKI-Werte bestimmen, ob es sich um ein korrektes Zertifikat handelt. Wenn eine Zertifizierungsstelle ein neues Schlüsselpaar generiert, sollte sich der SKI-Wert im Zertifikat ändern.

Der DN der Zertifizierungsstelle ändert sich während des Rekey-Prozesses nicht. Die AKI- und SKI-Werte stellen daher sicher, dass das richtige Zertifikat zum Erstellen der Kette ausgewählt wird. Wenn ein Client während des Zertifikatsketten-Erstellungsprozesses mehrere vertrauenswürdige Zertifizierungsketten findet, wird die beste Zertifizierungskette ausgewählt, indem die Punktzahl jeder Kette berechnet wird. Diese Punktzahl basiert auf der Quantität und Qualität der Informationen, die der Zertifikatspfad bereitstellt. Wenn die Punktzahl für mehrere Ketten gleich ist, wird die kürzeste Kette ausgewählt.

Cross-Zertifizierung

Bei der Kreuzzertifizierung werden zwei PKIs miteinander verbunden, um Zertifikatsketten aufzubauen. Die beiden an der Kreuzzertifizierung beteiligten Zertifizierungsstellen signieren gegenseitig ihre CA-Zertifikate, um die Beziehung in beide Richtungen herzustellen. Nachdem die beiden Zertifizierungsstellen das Vertrauen aufgebaut haben, können Entitäten innerhalb der einzelnen PKIs gemäß den in den Zertifikaten festgelegten Richtlinien miteinander interagieren.

Zertifikatsspeicher

1. Microsoft-Zertifikatspeicher

   Das Microsoft-Betriebssystem verfügt über integrierte Zertifikatspeicher für Vertrauensanker. Microsoft nutzt den Windows Update-Dienst, um vertrauenswürdige Stammzertifikate in den Zertifikatspeichern zu veröffentlichen. Das Microsoft Root CA-Programm überprüft und verwaltet die Berechtigung zur Veröffentlichung von Stammzertifikaten.

2. MAC OSX und Safari

   MAC OSX implementiert einen Zertifikatsspeicher. Der MAC OSX-Zertifikatsspeicher ist eine Kombination aus Zertifikatsspeicher und Passwort-Manager. Standardmäßig verfügt das System über zwei Schlüsselketten, die als Anmelde- und Systemschlüsselketten bezeichnet werden. Der Benutzer kann weitere Schlüsselketten erstellen.

3. Firefox und andere Mozilla-basierte Browser

   Mozilla enthält ein PKCS#11-Modul, das vertrauenswürdige Stammzertifikate enthält. Der Benutzer kann diesen Zertifikatspeicher nicht aktualisieren. Er kann zusätzliche vertrauenswürdige Stamm-CA-Zertifikate in die Benutzerdatenbank laden.

4. OpenSSL

   OpenSSL speichert vertrauenswürdige Stamm-CA-Zertifikate in unverschlüsselten PEM-Dateien. Die Sicherheit des Dateisystems ist zum Schutz dieser Dateien sehr wichtig.

5. JAVA

   Für JAVA werden die vertrauenswürdigen Root-CA-Zertifikate verschlüsselt gespeichert unter
   <JAVA path>/lib/security/cacerts.Der Benutzer kann diesen Zertifikatsspeicher aktualisieren.

Fazit

Die Zertifikatskette ist eine Liste von Zertifikaten vom Endteilnehmer bis zu den Vertrauensankern. Sie ermöglicht dem Empfänger die Überprüfung der Vertrauenswürdigkeit des Absenders und aller Zwischenzertifikate. Mithilfe von Zertifikatsfeldern und Erweiterungswerten überprüft die Pfadvalidierung die Integrität der Zertifikatskette vom Endteilnehmer bis zur Stammzertifizierungsstelle.

Es gibt verschiedene Zertifikatsspeicher, in denen vertrauenswürdige Stammzertifikate gespeichert werden. Encryption Consulting ist ein kundenorientiertes Beratungsunternehmen für Cybersicherheit, das verschiedene Kunden bei der Implementierung und Verwaltung von PKI in ihren Umgebungen. Um zu sehen, wie wir Ihre Organisation unterstützen können, besuchen Sie unsere Website unter www.encryptionconsulting.com.