KEYnote 39 Deutsch - Frühjahrsausgabe 2020 - Page 4

S E C U R I T Y CodeMeter und X.509-Zertifikate Wenn man sich mit Sicherheit und Authentifizierung beschäftigt, stößt man zwangsläufig früher oder später auf das Thema Zertifikate. Für viele sind Zertifikate schwer zu greifen, denn meist ist es kompliziert und aufwändig, sie in der Praxis einzu- setzen und zu verwalten. Aus diesem Grund möchten wir etwas Licht ins Dunkel bringen und zunächst einmal Zertifikate erläutern und anschließend einen Weg aufzei- gen, wie CodeMeter genutzt werden kann, um das Management und die Prozesse rund um Zertifikate zu vereinfachen und zu unterstützen. X.509-Zertifikate und Pub- lic-Key-Infrastrukturen (PKI) Mittels Zertifikaten werden Identitäten an öffentliche Schlüssel gebunden und somit auch an den zugehörigen privaten Schlüssel. Zertifikate werden ausschließlich mit Public- Key-Verfahren wie RSA oder ECC verwendet. Bei diesen Verfahren besteht der Schlüssel aus einem privaten und einem dazu passenden öffentlichen Schlüssel; daher spricht man immer von einem Schlüsselpaar. Der Begriff Identität umfasst hier nicht nur die Identität von Personen, sondern auch die von Maschinen, Geräten und Rollen. Damit ein Zertifikat Identitäten mit Schlüsselpaaren verknüpfen kann, enthält es Informationen über die Identität, wie zum Beispiel den Gerätenamen oder die IP-Adresse, und über den öffentlichen Schlüssel. Nun hat man zwar diese Verknüpfung her- gestellt, aber noch keinen Nachweis darüber, dass die angegebene Identität tatsächlich zu dem Besitzer des angegebenen Schlüsselpaares gehört. Aus diesem Grund benötigt man eine dritte Stelle, welche überprüft und bestätigt, dass die angegebene Identität tatsächlich zu dem verwendeten Schlüssel gehört. Dafür 4 damit einen Single-Point-of-Failure dar. werden die Public-Key-Infrastrukturen benö- tigt, die aus einem oder mehreren hierarchisch Im Folgenden wird anhand von OPC UA erläutert, gegliederten Vertrauensankern (Certificate wie Zertifikate zur Authentifizierung genutzt Authority, kurz CA) bestehen. Um also ein Zer- werden können. tifikat zu erhalten, muss ein Zertifikatsantrag (Certificate Signing Request, kurz CSR) an eine Sichere Kommunikation CA gestellt werden. Dieser Antrag ist mit dem mit OPC UA und CodeMeter zum Zertifikat passenden privaten Schlüssel Zur Kommunikation zwischen Maschinen und signiert, sodass die CA prüfen kann, ob der Geräten wird in Industrieanlagen vermehrt Antragssteller im Besitz des privaten Schlüssels OPC UA eingesetzt. Da diese Kommunikation ist. Zusätzlich muss die CA prüfen, ob die zumeist auch sensible Daten enthält, die nicht angegebene Identität im Zertifikat mit der des manipuliert und abgegriffen werden sollen, Antragsstellers übereinstimmt. Bei Personen muss diese abgesichert werden. OPC UA sieht geschieht dies üblicherweise durch Vorlage hierfür X.509-Zertifikate vor, mit denen sowohl eines Ausweises oder telefonische Überprüfung. der Client als auch der Server in der OPC-UA- Bei Zertifikaten für Geräte und Maschinen kann der Antrag entweder über den „Maschinenverant- Maschine A Maschine B wortlichen“, also wieder eine OPC UA OPC UA OPC UA OPC UA Person, deren Identität ge- Client Server Client Server prüft werden kann, gestellt werden oder vorzugsweise an- OpenSSL OpenSSL hand eindeutiger Geräte- Sichere OPC UA Verbindung mittels merkmale, die automatisiert CodeMeter Certificate Vault CodeMeter Certificate Vault CodeMeter von der CA geprüft werden CodeMeter Embedded CodeMeter Embedded können. Fallen die Prüfungen positiv aus, signiert die CA das Zertifikat und beglaubigt damit die Verknüpfung von Identität und Schlüsselpaar. Beim X.509-Zertifikatsystem liegt also alles Vertrauen in den CAs, da einem Zertifikat Maschine A, Maschine A, Maschine B, Maschine B, OPC UA Server OPC UA Client OPC UA Client OPC UA Server nur vertraut werden kann,  privater  privater  privater  privater Schlüssel Schlüssel Schlüssel Schlüssel wenn der ausstellenden CA  Zertifi kate  Zertifi kate  Zertifi kate  Zertifi kate vertraut wird. Eine CA stellt