Willkommen im PKI Blog/ Einführung

Verschlüsselungstechnologien, sichere Authentifizierung und Digitale Signaturen sind keine neuen Themen der IT-Sicherheit und werden bereits vielfach zum Schutz vor Gefahren in Unternehmen eingesetzt. Doch dabei handelt es sich meist um vereinzelte Insellösungen, es mangelt vor allem bei mittelständischen Unternehmen an einem zentralen PKI-basierten Schlüsselmanagement mit einem durchgehenden organisatorischen und technischen Konzept.

Dass dies aber durchaus nötig ist, zeigt ein aktuelles Beispiel, welches sich als eines der größten sicherheitstechnischen Skandale der jüngeren Internetgeschichte entpuppte:

Der DigiNotar Hack

Mitte 2011 gelang es einer Hackergruppe, ein gefälschtes www.google.com SSL-Zertifikat auszustellen, das zudem von dem niederländischen  Trust Center DigiNotar signiert wurde.

DigiNotar galt seit langem als eine vertrauenswürdige Root-Zertifizierungsstelle, der von allen Browserherstellern automatisch vertraut wurde und zu deren Kunden mehrere niederländische Regierungsstellen – unter anderem das Justizministerium –  gehörten.

Das gefälschte SSL Zertifikat wurde anschließend im Iran in einem politisch motivierten Man in the Middle Angriff (wahrscheinlich in Verbindung mit DNS Poisoning) missbraucht, indem eine mit dem Zertifikat „gesicherte“ falsche Website der originalen von Google.com zwischengeschaltet wurde, um die Eingaben der Benutzer abzugreifen.

Das Ausstellungsdatum des gefälschten Zertifikats datierte bereits auf Ende Juli; der Angriff fiel aber erst Anfang September auf, nachdem Google einen neuen Sicherheitsmechanismus gegen gefälschte Zertifikate im Chrome Browser eingeführt hatte.

Bei eingehender Investigation dieses Vorfalls dehnte sich der der Skandal erheblich aus, mehr als 531 gefälschte Zertifikate wurden bei Angriffen auf DigiNotar CAs ausgestellt, darunter weitere wie von Geheimdiensten (www.sis.go.uk (MI6), www.cia.gov, www.mossad.gov.il), Microsoft Domains (microsoft.com, windowsupdate.com, login.live.com, skype.com) bzw. Facebook, Twitter, AOL, sowie der Niederländischen Regierung.

Folgen des DigiNotar Hacks

Browserhersteller reagierten, indem sie die betroffenen Diginotar CAs aus der Liste der vertrauenswürdigen Zertifikatanbieter entfernten und die kommerziellen CAs anmahnten, ihre technischen und organisatorischen Sicherheitsmaßnahmen sowie die Ausstellungsvoraussetzungen für die auszugebenden Zertifikate zu erhöhen.

In Anbetracht der aktuellen Entwicklungen stellt sich nun für ein Unternehmen die Frage,  ob es sich lohnt Komponenten seiner logischen IT-Infrastruktur durch Zertifikate über PKI-basierte Systeme zu schützen und wie dies umzusetzen ist.Im Allgemeinen gelten PKI Systeme als sicher, die Probleme ergeben sich aber oft durch organisatorische und sicherheitstechnische Mängel, fehlendes Verständnis der Materie, sowie dem blinden Vertrauen kommerzieller Anbieter.
———————————————————————————————————-

Der folgende Blog, der weitgehend auf meine Bachelor Thesis und aktuelle Erfahrungen aufbaut, dient dazu, die kryptografischen Grundlagen eines PKI Systems zu vermitteln, Potenziale und Anwendungsszenarien aufzuzeigen sowie eine Art Leitfaden für die erfolgreiche Nutzung von PKI Infrastrukturen in einem Unternehmen zu entwickeln.

Mehr zu meiner Person erfahren sie unter

http://profile.lkl-it.de

Zur Startseite des Blogs: http://pkiblog.lkl-it.de

Beste Grüße

Matthias Leckel