Digitale certificaten – Windows-certificaatopslag

Vaak komen we een abstract concept tegen dat ‘beveiliging op het internet’ heet. Dan komt de onvermijdelijke vraag: ‘Waarom hebben we beveiliging op het internet nodig?’

We brengen veel tijd door op het internet, of het nu gaat om sociale media, persoonlijke communicatie of zakelijke transacties. Internetbeveiliging is belangrijk om veilig via internet te kunnen communiceren. Met behulp van internetbeveiliging worden computers, bestanden/gegevens van de computer, IT-systemen etc. beschermd tegen elke vorm van indringing door kwaadwillende gebruikers/systemen via internet.

Wat houdt veiligheid in?

1. VertrouwelijkheidDe informatie in het bericht of de transactie blijft vertrouwelijk. Deze mag alleen gelezen en begrepen worden door de beoogde verzender en ontvanger.
2. Integriteit: De informatie in het bericht of de transactie wordt niet per ongeluk of opzettelijk gemanipuleerd.
3. Authenticatie/Identificatie: De personen/entiteiten waarmee we communiceren, zijn daadwerkelijk wie ze zeggen dat ze zijn.
4. Niet-afwijzing: De verzender kan niet ontkennen dat hij het bericht of de transactie heeft verzonden, en de ontvanger kan niet ontkennen dat hij het bericht of de transactie heeft ontvangen.
5. Toegangscontrole: Alleen de beoogde persoon of entiteit heeft toegang tot de beschermde informatie.

Alle bovenstaande beveiligingseigenschappen kunnen worden bereikt en geïmplementeerd met behulp van Digitaal certificaat door het gebruik van Publieke Sleutel Infrastructuur (PKI) mechanisme.

Over digitaal certificaat

Het digitale certificaat is in principe een digitale vorm van identificatie waarmee consumenten, bedrijven en organisaties veilig gegevens via internet kunnen uitwisselen met behulp van de Public Key Infrastructure (PKI). Een digitaal certificaat staat ook bekend als een openbaar sleutelcertificaat or identiteitscertificaat.

public Key Geheimschrift Asymmetrische cryptografie gebruikt twee verschillende cryptografische sleutelparen: A.) een privésleutel en B.) een publieke sleutel. Eén sleutel van het sleutelpaar wordt gebruikt om de gegevens te versleutelen en de andere sleutel om de gegevens te ontsleutelen, en vice versa.

Om te begrijpen wat certificaten zijn, is het belangrijk te weten dat een digitaal certificaat de identiteit van de eigenaar vaststelt en de openbare sleutel van de eigenaar beschikbaar stelt. Digitale certificaten worden uitgegeven door vertrouwde certificeringsinstanties (CA's), die erkend worden als betrouwbare aanbieders van digitale certificaten. Deze certificaten worden slechts voor een beperkte periode uitgegeven; na de vervaldatum wordt een nieuw certificaat uitgegeven. 

Een digitaal certificaat kan de identiteit van de eigenaar van het digitale certificaat alleen verifiëren door de publieke sleutel te verstrekken die nodig is om de digitale handtekening van de eigenaar te verifiëren. Daarom moet de eigenaar van het digitale certificaat de privésleutel die bij de publieke sleutel van het digitale certificaat hoort, beschermen.

Hoe worden digitale certificaten geverifieerd?

1. De uitgever van een digitaal certificaat wordt een certificaat-/certificeringsinstantie genoemd. Het verifiëren van de certificaten is het proces van het valideren van de identiteit van een entiteit. Validatie is een manier om zekerheid te krijgen over de identiteit van een persoon.
2. Het certificaat bevat informatie over de CA-naam en de digitale handtekening. Deze twee velden worden gebruikt om het certificaat te verifiëren. De CA-naam van het certificaat moet afkomstig zijn van een vertrouwde CA en de digitale handtekening moet geldig zijn.
3. Nu is het tijd om de digitale handtekening van het certificaat te valideren. De verificatie van de digitale handtekening wordt uitgevoerd via de onderstaande stappen:
   • Bereken de hashwaarde: De eerste stap is het berekenen van de hashwaarde van het bericht (vaak een berichtdigest genoemd) door een cryptografische methode toe te passen.
     hash-algoritme (bijvoorbeeld: MD5, SHA1, SHA2). De hashwaarde van het bericht is een unieke waarde.
   • Bereken de digitale handtekening: in deze stap wordt de hashwaarde van het bericht of het berichtoverzicht gecodeerd met de privésleutel van de ondertekenaar. De gecodeerde hashwaarde wordt ook wel digitale handtekening genoemd.
   • Bereken het huidige berichtoverzicht: in deze stap wordt de gehashte waarde van het ondertekende bericht berekend door hetzelfde algoritme dat werd gebruikt tijdens het ondertekeningsproces.
   • Bereken de originele hashwaarde: Nu wordt de digitale handtekening ontsleuteld met de publieke sleutel die overeenkomt met de privésleutel van de ondertekenaar. Zo verkrijgen we de originele hashwaarde die is berekend op basis van het oorspronkelijke bericht tijdens de eerste stap van het ondertekeningsproces.
   • Vergelijk de huidige en originele hashwaarde: In deze stap vergelijken we de hashwaarden van de huidige berichtensamenvatting met de originele hashwaarde. Als twee waarden identiek zijn, is de verificatie geslaagd. Dit bewijst dat het bericht is ondertekend met de privésleutel die overeenkomt met de publieke sleutel die in het verificatieproces is gebruikt. Als de twee waarden verschillen, betekent dit dat de digitale handtekening ongeldig is en de verificatie mislukt.

Voor het beheer van gebruikerscertificaten kunnen personen en organisaties gebruikmaken van tools voor certificaatlevenscyclusbeheer, die de uitgifte, verlenging en intrekking van digitale certificaten vergemakkelijken. Deze tool kan essentieel zijn voor het behoud van de integriteit en veiligheid van digitale communicatie. 

Bent u bang dat iemand uw identiteit op een valse manier vertoon? – Als u uw digitale certificaat met uw publieke sleutel naar iemand anders stuurt, kan die persoon het digitale certificaat niet misbruiken zonder toegang tot uw privésleutel. Als de privésleutel gecompromitteerd is, kunnen kwaadwillende gebruikers zich voordoen als de rechtmatige eigenaar van het digitale certificaat.

Gebruik van digitaal certificaat in internettoepassingen

Er zijn talloze internettoepassingen die gebruikmaken van openbare sleutelcryptografiestandaarden voor sleuteluitwisseling. Om de gewenste openbare sleutel te verkrijgen, moeten digitale handtekeningen en digitale certificaten worden gebruikt.

Hieronder volgen korte beschrijvingen van enkele veelgebruikte internettoepassingen die gebruikmaken van openbare-sleutelcryptografie:

1. SSL (Secure Socket Layer) – Dit is een encryptiegebaseerd internetbeveiligingsprotocol. Dit protocol wordt gebruikt om de beveiliging tussen de client en de server te waarborgen. SSL Gebruikt digitale certificaten, SSL Digital genaamd, voor sleuteluitwisseling, encryptie, serverauthenticatie en clientauthenticatie voor veilige communicatie via internet. Het biedt een privécommunicatiepad voor een gebruiker en een vertrouwde autoriteit. 
2. Clientauthenticatie –Clientauthenticatie is een optie waarbij een server het digitale certificaat van een client moet verifiëren voordat de client toegang krijgt tot bepaalde bronnen. De server vraagt ​​het digitale certificaat van de client op en verifieert dit tijdens de SSL-handshake. De server kan ook bepalen of de CA die het digitale certificaat aan de client heeft uitgegeven, vertrouwd is.
3. Beveiligde elektronische post – Om e-mailberichten te beveiligen, worden standaarden zoals Privacy Enhanced Mail (PEM) of Secure/Multipurpose Internet Mail Extensions (S/MIME) gebruikt. Digitale certificaten worden gebruikt voor digitale handtekeningen en voor de uitwisseling van sleutels om berichten te versleutelen en ontsleutelen.
4. Virtuele privénetwerken (VPN's) – Virtuele privénetwerken, ook wel beveiligde tunnels genoemd, kunnen worden opgezet tussen firewalls/beveiligde gateways om beveiligde verbindingen tussen beveiligde netwerken via onveilige communicatieverbindingen mogelijk te maken. Al het verkeer naar deze netwerken wordt versleuteld tussen de firewalls/beveiligde gateways.

Windows-certificaatarchieven

Certificaatarchieven zijn een combinatie van logische groeperingen en fysieke opslaglocaties. Certificaatarchieven bevatten certificaten die zijn uitgegeven door verschillende certificeringsinstanties (CA's). De Windows-certificeringslijst is een verzameling certificaten die deel uitmaken van het Windows-certificaatarchief, waaronder rootcertificaten, tussenliggende certificaten, eindentiteitscertificaten, SSL/TLS-certificaten, clientauthenticatiecertificaten, enzovoort. 

Systeemcertificaatopslag kent de volgende typen:

1. Certificaatopslag van lokale computer: Deze certificaatopslag is lokaal op de computer en globaal voor alle gebruikers op de computer. De certificaatopslag bevindt zich in het register onder de hoofdmap HKEY_LOCAL_MACHINE.
2. Certificaatopslag van huidige gebruiker: Deze certificaatopslag bevindt zich lokaal bij een gebruikersaccount op de computer. Deze certificaatopslag bevindt zich in het register onder de root HKEY_CURRENT_USER.

Laten we beginnen met de MMC-console voor certificaten, die eenvoudig kan worden gestart via certmgr.msc.
Dit geeft ons een idee van fysieke certificaatopslag, zoals weergegeven in figuur 1.

Zoals weergegeven in figuur 1 hieronder, zijn er verschillende winkels: smartcardwinkel, Enterprise-winkel, winkel van derden, etc.

Als we naar MMC gaan en de certificaatmodule toevoegen, hebben we nog een aantal keuzes voor de accounts: gebruikersaccount, serviceaccount en computeraccount. Alle winkels die in figuur 1 worden genoemd, hebben een bijbehorende locatie voor elk account.

De opslaglocaties van Microsoft-certificaatopslag zijn onder andere:

1. HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificates – bevat de informatie voor het computeraccount
2. HKEY_LOCAL_MACHINESOFTWAREMicrosoftEnterpriseCertificates – bevat informatie over de gepubliceerde AD-certificaten
3. HKEY_Local_MachineSoftwarePoliciesMicrosoftSystemCertificates - bevat informatie voor het computeraccount, maar voor Groepsbeleid gedistribueerde certificaten voor het computeraccount
4. Gebruiker: HKEY_CURRENT_USERSoftwareMicrosoftSystemCertificates – bevat registerinstellingen voor de huidige gebruiker. Deze kunnen de BLOB (Binary Large Object) en diverse instellingen voor het certificaat bevatten, evenals instellingen met betrekking tot de CA-certificaten die de gebruikerscertificaten ondersteunen.
5. HKEY_Current_UserSoftwarePoliciesMicrosoftSystemCertificates – bevat registerinstellingen voor de huidige gebruiker, maar voor certificaten die via Groepsbeleid worden gedistribueerd.
6. HKEY_UsersUser SIDSoftwareMicrosoftSystemCertificates – bevat deze informatie voor de overeenkomstige gebruiker

Als uw organisatie op zoek is naar de implementatie van encryptietechnologieën in een cloudomgeving, neem dan contact op met info@encryptionconsulting.com te bezoeken voor meer informatie.