Ein Update des Zertifikates erfolgt auf dem gleichen Weg ; der Prozess ist identisch , nur dass am Anfang kein neues Schlüsselpaar erzeugt wird .
Da weder der private Schlüssel des Gerätes noch derjenige der CA den sicheren CodeMeter-Chip verlassen , kann auf dem Transportweg nicht an dem Zertifikat manipuliert werden . Auch ein Kopieren des Zertifikates bringt dem Angreifer nichts , denn der hat den passenden privaten Schlüssel nicht .
Der gesamte Vorgang kann über die CodeMeter CertificateVault-Schnittstellen OpenSSL oder PKCS # 11 automatisiert werden . Diese Anpassungen erfolgen kundenspezifisch passend zur Umgebung im Kundenumfeld .
Gerät
erzeugt Schlüsselpaar Certificate Signing Request
Sichere Umgebung
Certificate Authority selbstsigniertes Zertifikat erzeugen
Certificate Vault importiert Zertifikate signierte Zertifikate signiert Zertifikate
Option 2 : Zentrales Erstellen und direkte Übertragung
Ein sehr einfach umzusetzender Weg ist , durch die CA direkt ein Zertifikat zusammen mit einem Schlüsselpaar zu erzeugen und in CodeMeter Certificate Vault einzuspielen . In diesem Fall befindet sich jedoch der private Schlüssel des Gerätes zunächst außerhalb der sicheren Hardware und wird in verschlüsselter Form übertragen . Das benötigte Passwort wird auf einem alternativen Weg übermittelt . Erst nachdem das Zertifikat und das Schlüsselpaar in CodeMeter Certificate Vault und somit in den CodeMeter-Chip importiert wurde , ist der private Schlüssel endgültig vor Manipulation und Diebstahl sicher . Diese Variante bietet sich ausschließlich für die Nutzung innerhalb sicherer Umgebungen an , in denen es ausgeschlossen ist , dass ein Angreifer den privaten Schlüssel auf dem Transportweg im Netzwerk oder aus dem RAM-Speicher des Gerätes auslesen kann . Auch Caching-Mechanismen oder der Papierkorb des Filesystems können hier ein Einfallstor für Angreifer sein .
Gerät Sichere Umgebung
Certificate Authority
Certificate Vault importiert Zertifikate + Schlüsselpaar
Zertifikat und Schlüsselpaar erzeugt Schlüsselpaar
erzeugt Zertifikat
signiert Zertifikat
Option 3 : Von der CA erstellte und direkt verteilte Zertifikate über sicheres Remote Update der Container
Dennoch kann die Erstellung von Zertifikaten an einer zentralen Stelle in vielen Fällen die richtige Wahl sein , und CodeMeter Certificate Vault bietet eine praktikable Lösung . Das Schlüsselpaar und das signierte Zertifikat werden in der sicheren Umgebung der CA erstellt und dann über den ebenso sicheren Code-
9