Bouw de basisentiteiten in de vertrouwensketen van uw organisatie

A Publieke Sleutel Infrastructuur (PKI) helpt gebruikers om veilig gegevens uit te wisselen en biedt vertrouwelijkheid van gegevens, gegevensintegriteit en authenticatie van eindgebruikers. PKI maakt gebruik van een publiek-privaat sleutelpaar dat is ontvangen van een vertrouwde Certificate AuthorityDe certificeringsinstantie geeft openbare sleutelcertificaten uit die kunnen worden gebruikt om gegevens te versleutelen of voor digitale handtekeningen.

Een openbaar sleutelcertificaat wordt gebruikt om een ​​identiteit aan een openbare sleutel te koppelen. De entiteit die deze koppeling tot stand brengt, staat bekend als de uitgever van het certificaat en de identiteit aan wie het certificaat is uitgegeven, staat bekend als het onderwerp van het certificaat. Wanneer een gebruiker een beveiligde website bezoekt, stuurt de website een SSL/TLS-certificaat naar de browser van de gebruiker. De browser van de gebruiker controleert of de uitgever van dit certificaat voorkomt in de lijst met vertrouwde rootcertificeringsinstanties.

Als de browser geen match kan vinden, controleert hij of een van de vertrouwde rootcertificeringsinstanties het certificaat van de uitgevende CA heeft ondertekend. De browser blijft de uitgever van het certificaat valideren totdat er een vertrouwd rootcertificaat wordt gevonden of het einde van de vertrouwensketen wordt bereikt. Deze vertrouwensketen helpt te bewijzen dat het certificaat afkomstig is van een vertrouwde bron en dat de website die de gebruiker bezoekt, veilig is.
Een certificaatketen is een keten van digitale certificaten, beginnend met een eindentiteitscertificaat, een of meer tussenliggende certificaten en een rootcertificaat.

Basisentiteiten in de vertrouwensketen

Er zijn drie basisentiteiten in de certificaatvertrouwensketen: het root-CA-certificaat, het intermediaire CA-certificaat en het eindentiteitscertificaat.

1. Root CA-certificaat:

   Het Root CA-certificaat is een zelfondertekend X.509-certificaatDit certificaat fungeert als een vertrouwensanker en wordt door alle vertrouwende partijen gebruikt als startpunt voor padvalidatie. De privésleutel van de root-CA wordt gebruikt om de certificaten van de intermediaire CA te ondertekenen. Als dit certificaat en de bijbehorende privésleutel worden gecompromitteerd, vervalt de volledige certificaatketen en worden alle certificaten die met deze privésleutel zijn ondertekend, beïnvloed. Daarom moet de privésleutel van de root-CA te allen tijde veilig worden gegenereerd en beschermd. Om root-CA-certificaten te beschermen, worden intermediaire CA's tussen de root-CA en de eindentiteiten geplaatst. De root-CA geeft nooit rechtstreeks certificaten uit aan eindentiteiten. De besturingssystemen, webbrowsers en aangepaste applicaties worden geleverd met meer dan 100 vertrouwde root-CA-certificaten.

2. Tussenliggende CA-certificaten:

   Het tussenliggende CA-certificaat bevindt zich tussen het root-CA-certificaat en het eindentiteitscertificaat. Er kunnen zich één of meer tussenliggende CA-certificaten in de vertrouwensketen bevinden. Het tussenliggende CA-certificaat ondertekent de eindentiteitscertificaten. Dit biedt een extra beveiligingslaag voor de root-CA, omdat deze meestal veilig offline kan worden bewaard.

3. Eindentiteitscertificaten:

   Het eindentiteitscertificaat is het servercertificaat dat wordt uitgegeven aan het websitedomein. Wanneer dit servercertificaat op de webserver wordt geïnstalleerd, wordt de URL gewijzigd naar HTTPS. Dit geeft aan dat de website beveiligd is en gebruikmaakt van een versleutelde verbinding. Om een ​​digitaal certificaat te ontvangen, stuurt een eindentiteit een Certificaatondertekeningsaanvraag (CSR) aan de uitgevende CA (Intermediaire CA). De CSR bevat gegevens over de eindentiteit. De uitgevende CA controleert of de verstrekte informatie correct is en geeft het certificaat uit aan de eindentiteit.

Soorten vertrouwensmodellen

Hiërarchisch vertrouwensmodel

In het hiërarchische PKI-vertrouwensmodel is er een offline root-CA en meerdere online uitgevende CA's. Deze meerdere uitgevende CA's zijn bedoeld voor hoge beschikbaarheid en load balancing. Dit is het meest voorkomende ketenvalidatieproces en verloopt in omgekeerde richting. In dit geval begint de validatie met het vergelijken van de certificaatgegevens van de eindentiteit met het tussenliggende certificaat dat het certificaat heeft uitgegeven. Vervolgens worden de gegevens van het tussenliggende certificaat vergeleken met het root-certificaat dat dit certificaat heeft uitgegeven.

Web of Trust-model

Het Web of Trust-model is een alternatief voor het hiërarchische vertrouwensmodel. Het is een gedecentraliseerd vertrouwensmodel waarbij gebruikers het vertrouwen beheren op individueel sleutelniveau. Er is geen certificeringsinstantie of vertrouwde root. Gedecentraliseerde controle over elk sleutelpaar is het belangrijkste verschil met het hiërarchische vertrouwensmodel. PGP (Pretty Good Privacy) maakt gebruik van dit vertrouwensmodel.

Certificaatpadvalidatie

Padvalidatie is het proces waarbij de integriteit van de certificaatketen wordt geverifieerd, van de eindentiteit tot de root-CA. Er zijn een aantal certificaatvelden en extensies die worden gebruikt bij padvalidatie. Deze velden worden gebruikt om de identiteit van het certificaat en de koppelingen tussen certificaten te definiëren.

1. Distinguished Name van de uitgever: De naam van de uitgever die het certificaat heeft ondertekend.
2. Onderwerp onderscheidende naam: De identiteit van de certificaathouder.
3. public Key: De publieke sleutel van de asymmetrisch sleutelpaar.
4. Autoriteitssleutel-identificatie (AKI): De certificaatuitbreiding die de sleutelidentificatie bevat die is afgeleid van de openbare sleutel in het certificaat van de uitgever.
5. Onderwerp Sleutel Identifier (SKI): De certificaatuitbreiding die de sleutelidentificatie bevat die is afgeleid van de openbare sleutel in het onderwerpcertificaat.

Het onderwerp van een certificaat op een hoger niveau is de uitgever van het certificaat op een lager niveau in de keten. De client zoekt op verschillende locaties naar het certificaat dat overeenkomt met de DN van de uitgever in zijn eigen certificaat. De Distinguished Name (DN) wordt gebruikt om de certificaten te vinden en de AKI- en SKI-waarden worden gebruikt om te bepalen of het een correct certificaat is. Als een certificeringsinstantie een nieuw sleutelpaar genereert, moet de SKI-waarde in het certificaat veranderen.

De DN van de certificeringsinstantie verandert niet tijdens het rekeyproces. De AKI- en SKI-waarden zorgen er dus voor dat het juiste certificaat wordt geselecteerd om de keten op te bouwen. Wanneer een client meerdere vertrouwde certificeringsketens vindt tijdens het opbouwen van de certificaatketen, wordt de beste certificeringsketen geselecteerd door de score van elke keten te berekenen. Deze score is gebaseerd op de kwantiteit en kwaliteit van de informatie die het certificaatpad biedt. Als de score voor meerdere ketens hetzelfde is, wordt de kortste keten geselecteerd.

Kruiscertificering

Kruiscertificering is het proces waarbij twee PKI's met elkaar worden verbonden om certificaatketens te bouwen. De twee certificeringsinstanties die betrokken zijn bij kruiscertificering ondertekenen elkaars certificaat om de relatie in beide richtingen tot stand te brengen. Nadat de twee certificeringsinstanties het vertrouwen hebben gevestigd, kunnen entiteiten binnen de afzonderlijke PKI's met elkaar communiceren, afhankelijk van het beleid dat in de certificaten wordt vermeld.

Certificaatopslag

1. Microsoft-certificaatopslag

   Het Microsoft-besturingssysteem heeft ingebouwde certificaatarchieven voor vertrouwde ankers. Microsoft gebruikt de Windows Update-service om vertrouwde rootcertificaten in de certificaatarchieven te publiceren. Het Microsoft Root CA-programma valideert en beheert de geschiktheid voor publicatie van rootcertificaten.

2. MAC OSX en Safari

   MAC OSX implementeert een certificaatarchief. Het MACOSX-certificaatarchief is een combinatie van een certificaatarchief en een wachtwoordbeheerder. Standaard heeft het systeem twee sleutelhangers: de login- en systeemsleutelhangers. De gebruiker kan meer sleutelhangers aanmaken.

3. Firefox en andere op Mozilla gebaseerde browsers

   Mozilla bevat een PKCS#11-module met vertrouwde rootcertificaten. De gebruiker kan deze certificaatopslag niet bijwerken. Een gebruiker kan wel extra vertrouwde root-CA-certificaten in de gebruikersdatabase laden.

4. OpenSSL

   OpenSSL slaat vertrouwde root-CA-certificaten op in ongecodeerde PEM-bestanden. Beveiliging van het bestandssysteem is erg belangrijk om deze bestanden te beschermen.

5. JAVA

   Voor JAVA worden de vertrouwde root-CA-certificaten in gecodeerde vorm opgeslagen op
   <JAVA path>/lib/security/cacerts.De gebruiker kan dit certificaatarchief bijwerken.

Conclusie

De certificaatvertrouwensketen is een lijst met certificaten van de eindentiteit tot de vertrouwensankers. Hiermee kan de ontvanger verifiëren of de afzender en alle tussenliggende certificaten betrouwbaar zijn. Door gebruik te maken van certificaatvelden en extensiewaarden verifieert padvalidatie de integriteit van de certificaatketen, van de eindentiteit tot de root-CA.

Er zijn verschillende certificaatopslagplaatsen die worden gebruikt om vertrouwde rootcertificaten op te slaan. Encryption Consulting is een klantgericht adviesbureau voor cyberbeveiliging dat diensten levert aan diverse klanten voor de implementatie en het beheer van PKI in hun omgeving. Om te zien hoe wij uw organisatie kunnen helpen, bezoek onze website op www.encryptionconsulting.com.