TECHNOLOGIE
CodeMeter spricht X.509
Server-Zertifikate sind allgegenwärtig. Sie garantieren einem Anwender, dass er sich auf der richtigen Webseite befindet und
nicht das Opfer einer Phishing-Attacke geworden ist. Dagegen fristen Client-Zertifikate ein von der Öffentlichkeit weitgehend
unbeachtetes Schattendasein – obwohl Client-Zertifikate eine einfache, sichere und standardkonforme Lösung sind, um einen
Anwender zu authentifizieren, gerade wenn sie in einer sicheren Hardware wie dem CmDongle gespeichert werden.
Authentifizierung mit Zertifikat
Der Anwender besitzt einen privaten
Schlüssel und ein zu diesem privaten
Schlüssel gehörendes Zertifikat. Im Rahmen
des Handshakes und Schlüsselaustauschs
unterschreibt (signiert) der Anwender den
Hash einer Nachricht mit seinem privaten
Schlüssel. Die Signatur und das Client-Zertifikat werden zum Server übertragen. Der Server
überprüft die Signatur und die Gültigkeit des
Zertifikats. Sind beide gültig, kann die Identität
des Anwenders aus dem Zertifikat ausgelesen
und verwendet werden.
Anwendungen (Firefox, Outlook, Explorer, Chrome, Safari)
PKCS#11 / Microsoft CSP
CodeMeter API
CmDongle
Schichtmodell
Standardschnittstellen
mehrere Anbieter von sicherer Hardware, in der
man Zertifikate speichern kann. Oft werden
auch rein softwarebasierte Zertifikatsspeicher
verwendet. Um eine Interoperabilität zwischen
all diesen Systemen zu erreichen, haben sich
folgende Standardschnittstellen etabliert:
Mozilla Firefox, Google Chrome, Apple Safari
und Microsoft Outlook.
Zertifikate im CmDongle
In einem CmDongle können bis zu 8
private Schlüssel und zugehörige Zertifikate
gespeichert werden. Als Algorithmus steht
RSA mit einer Schlüssellänge von bis zu 2048
Bit zur Verfügung. Der private Schlüssel kann
entweder von einer externen Quelle importiert
werden (per pfx- oder p12-Format) oder er
wird in der CSSI-Middleware erzeugt. Er wird
dann in Secret-Data-Feldern gespeichert und
ist somit später nicht mehr auslesbar.
Als Zusatzmodul von CodeMeter ist eine
PKI-Client-Software verfügbar (Charismatics
Smart Security Interface – CSSI). Die
CSSI-Middleware umfasst sowohl ein Microsoft
CSP als auch ein PKCS#11-Interface. Somit
sind die in einem CmDongle gespeicherten
privaten Schlüssel und Zertifikate für nahezu
alle Anwendungen verfügbar. Dazu gehören
unter anderem: Microsoft Internet Explorer,
Die CSSI-Middleware kann einen Zertifikatsantrag (Certificate Signing Request – CSR)
erstellen. Dieser wird an die Instanz geschickt,
die das Zertifikat erstellt. Das Zertifikat
wird von der CSSI-Middleware importiert.
Wahlweise kann die CSSI-Middleware auch
ein selbstsigniertes Zertifikat (Self Signed
Certificate) erstellen.
■■ PKCS#11 für alle Computerplattformen
■■ Microsoft Crypto Service Provider (CSP) für
Windows
■■ Token Daemon (tokenD) für Apple OS X
Es gibt viele Anwendungsfälle für Zertifikate,
zum Beispiel:
■■ E-Mail-Zertifikate zu ȁM