KEYnote 29 Deutsch - Frühjahrsausgabe 2015 - Page 5

TECHNOLOGIE CodeMeter spricht X.509 Server-Zertifikate sind allgegenwärtig. Sie garantieren einem Anwender, dass er sich auf der richtigen Webseite befindet und nicht das Opfer einer Phishing-Attacke geworden ist. Dagegen fristen Client-Zertifikate ein von der Öffentlichkeit weitgehend unbeachtetes Schattendasein – obwohl Client-Zertifikate eine einfache, sichere und standardkonforme Lösung sind, um einen Anwender zu authentifizieren, gerade wenn sie in einer sicheren Hardware wie dem CmDongle gespeichert werden. Authentifizierung mit Zertifikat Der Anwender besitzt einen privaten Schlüssel und ein zu diesem privaten Schlüssel gehörendes Zertifikat. Im Rahmen des Handshakes und Schlüsselaustauschs unterschreibt (signiert) der Anwender den Hash einer Nachricht mit seinem privaten Schlüssel. Die Signatur und das Client-Zertifikat werden zum Server übertragen. Der Server überprüft die Signatur und die Gültigkeit des Zertifikats. Sind beide gültig, kann die Identität des Anwenders aus dem Zertifikat ausgelesen und verwendet werden. Anwendungen (Firefox, Outlook, Explorer, Chrome, Safari) PKCS#11 / Microsoft CSP CodeMeter API CmDongle Schichtmodell Standardschnittstellen mehrere Anbieter von sicherer Hardware, in der man Zertifikate speichern kann. Oft werden auch rein softwarebasierte Zertifikatsspeicher verwendet. Um eine Interoperabilität zwischen all diesen Systemen zu erreichen, haben sich folgende Standardschnittstellen etabliert: Mozilla Firefox, Google Chrome, Apple Safari und Microsoft Outlook. Zertifikate im CmDongle In einem CmDongle können bis zu 8 private Schlüssel und zugehörige Zertifikate gespeichert werden. Als Algorithmus steht RSA mit einer Schlüssellänge von bis zu 2048 Bit zur Verfügung. Der private Schlüssel kann entweder von einer externen Quelle importiert werden (per pfx- oder p12-Format) oder er wird in der CSSI-Middleware erzeugt. Er wird dann in Secret-Data-Feldern gespeichert und ist somit später nicht mehr auslesbar. Als Zusatzmodul von CodeMeter ist eine PKI-Client-Software verfügbar (Charismatics Smart Security Interface – CSSI). Die CSSI-Middleware umfasst sowohl ein Microsoft CSP als auch ein PKCS#11-Interface. Somit sind die in einem CmDongle gespeicherten privaten Schlüssel und Zertifikate für nahezu alle Anwendungen verfügbar. Dazu gehören unter anderem: Microsoft Internet Explorer, Die CSSI-Middleware kann einen Zertifikatsantrag (Certificate Signing Request – CSR) erstellen. Dieser wird an die Instanz geschickt, die das Zertifikat erstellt. Das Zertifikat wird von der CSSI-Middleware importiert. Wahlweise kann die CSSI-Middleware auch ein selbstsigniertes Zertifikat (Self Signed Certificate) erstellen. ■■ PKCS#11 für alle Computerplattformen ■■ Microsoft Crypto Service Provider (CSP) für Windows ■■ Token Daemon (tokenD) für Apple OS X Es gibt viele Anwendungsfälle für Zertifikate, zum Beispiel: ■■ E-Mail-Zertifikate zu ȁM