{"id":316,"date":"2012-08-16T21:48:14","date_gmt":"2012-08-16T19:48:14","guid":{"rendered":"http:\/\/lkl-it.de\/blog\/?p=316"},"modified":"2012-08-16T22:32:35","modified_gmt":"2012-08-16T20:32:35","slug":"trustmanagement-fur-den-endanwender","status":"publish","type":"post","link":"http:\/\/lkl-it.de\/blog\/?p=316","title":{"rendered":"Trustmanagement f\u00fcr den Endanwender"},"content":{"rendered":"

Eine Zertifizierungsstelle gilt dann als vertrauensw\u00fcrdig, wenn sich ihr Zertifizierungs stellenzertifikat in der Liste der vertrauensw\u00fcrdigen Stammzertifizierungsstellen (Trusted Root Authorities) der auszuf\u00fchrenden Anwendung befindet.
\nDie Anwendung kann dabei auf ein eigenes Zertifikatsmanagement (z.B. bei Opera oder Firefox Browsern) oder bei Windows-Systemen auf die Windows-eigene Zertifikatsverwaltung zugreifen (certmgr.msc<\/em>), welche zwischen dem jeweils angemeldeten Benutzer, einzelnen Diensten und dem Computerobjekt unterscheidet (siehe auch Blogeintrag Windows Certificate Store<\/a>).<\/p>\n

\"Trusted<\/a><\/p>\n

Problem der zahlreichen Trusted Root Authorities<\/span>
\nMeist befindet sich schon vorab eine Menge von Zertifizierungsstellen in der Liste der Trusted Root Authorities.
\nDas hei\u00dft standardm\u00e4\u00dfig wird allen Zertifikaten, die von diesen Zertifizierungsstellen ausgestellt wurden, automatisch vertraut \u2013 ein Umstand auf dem das System der \u00a0kommerziellen CA Anbieter aufbaut (siehe ToDo<\/span>).
\nGelingt es aber einem Angreifer auch nur bei einer dieser CAs ein Zertifikat unter einer falschen Identit\u00e4t auszustellen, kann dies die End-Applikation nicht erkennen und dem Zertifikat wird dessen ungeachtet vertraut.<\/p>\n

\"Trusted<\/a><\/p>\n

Ein weiteres Problem ist zudem, dass die pr\u00e4emptiv gef\u00fcllten Listen nicht einheitlich zwischen den verschiedenen Applikationsherstellern sind.
\nIm Optimalfall w\u00fcrden alle diese Zertifizierungsstellen daher vorher zumindest einem peniblen, wiederkehrenden Sicherheitsaudit unterzogen, bevor sie in die Trusted Root Authorities der jeweiligen Applikation aufgenommen werden bzw. darin verbleiben k\u00f6nnen.<\/p>\n

Dies kann aber oftmals vom Endanwender nicht nachgepr\u00fcft werden, es ist daher sinnvoll alle zweifelhaften CAs aus der Applikation zu entfernen und nur fallbasiert bei Bedarf die Root-CAs, denen man wirklich vertraut (z.B. die Organisationseigenen, Partnerorganisationen, gro\u00dfe CA Trustcenter etc.), in die Liste der Trusted Root Authorities mit aufzunehmen.<\/p>\n

Management des User Trusts<\/span>
\nIn der Regel kann ein Benutzer selbst steuern, welche Zertifizierungsstellenzertifikate er zu den Trusted Root Authorities hinzuf\u00fcgt oder entfernt (User Centric PKI Management<\/strong>).<\/em>\u00a0 Dies setzt aber eine Anwenderschulung und ein tieferes Verst\u00e4ndnis von Zertifikatsprozessen voraus.
\nIn Active Directory basierten Windows Infrastrukturen ist dagegen ein zentrales Trust-Management \u00fcber Gruppenrichtlinien m\u00f6glich (Centralized User PKI Management<\/em><\/strong>), hiermit k\u00f6nnen sie f\u00fcr jeden Benutzer\/Computer bestimmen, welche CAs in die Trusted Root Authorities Liste\u00a0 hinzugef\u00fcgt werden sollen und ob ein Benutzer selbst die Liste bearbeiten kann.<\/p>\n

\n
\n

\u00a0Vgl. De Clercq, Jan: \u201eWindows Server 2003 Security Infrastructures\u201c, K. 14.5.1. Windows Server 2003 Security Infrastructures<\/a><\/p>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Eine Zertifizierungsstelle gilt dann als vertrauensw\u00fcrdig, wenn sich ihr Zertifizierungs stellenzertifikat in der Liste der vertrauensw\u00fcrdigen Stammzertifizierungsstellen (Trusted Root Authorities) der auszuf\u00fchrenden Anwendung befindet. Die Anwendung kann dabei auf ein eigenes Zertifikatsmanagement (z.B. bei Opera oder Firefox Browsern) oder bei … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[4,5],"tags":[],"_links":{"self":[{"href":"http:\/\/lkl-it.de\/blog\/index.php?rest_route=\/wp\/v2\/posts\/316"}],"collection":[{"href":"http:\/\/lkl-it.de\/blog\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/lkl-it.de\/blog\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/lkl-it.de\/blog\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/lkl-it.de\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=316"}],"version-history":[{"count":16,"href":"http:\/\/lkl-it.de\/blog\/index.php?rest_route=\/wp\/v2\/posts\/316\/revisions"}],"predecessor-version":[{"id":336,"href":"http:\/\/lkl-it.de\/blog\/index.php?rest_route=\/wp\/v2\/posts\/316\/revisions\/336"}],"wp:attachment":[{"href":"http:\/\/lkl-it.de\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=316"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/lkl-it.de\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=316"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/lkl-it.de\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=316"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}