Neues aus der DFN-PKI · 50. Betriebstagung des DFN-Vereins Folie 20 MD5/CCC (2) Forscherteam...

22
Neues aus der DFN-PKI Jürgen Brauckmann [email protected]

Transcript of Neues aus der DFN-PKI · 50. Betriebstagung des DFN-Vereins Folie 20 MD5/CCC (2) Forscherteam...

Neues aus der DFN-PKI

Jürgen [email protected]

50. Betriebstagung des DFN-Vereins Folie 2

Überblick

Aktuelle Informationen Root-Integration Umbenennung von Einrichtungen Ergänzung der Policy MD5/CCC

50. Betriebstagung des DFN-Vereins Folie 3

Aktuelle Informationen

50. Betriebstagung des DFN-Vereins Folie 4

Aktuelles (1)

Mehr als 240 Einrichtungen nutzen DFN-PKI Erste CA mit >10000 Zertifikaten

Anbindung in Hochschul-IDM Zertifizierung über SOAP-Schnittstelle Nutzung auf Chipkarten

SLCS Policy von EUGridPMA angenommen

50. Betriebstagung des DFN-Vereins Folie 5

Aktuelles (2)

OCSP Test-System ist verfügbarBei Interesse: [email protected]

Zeitstempeldienst: Stetige Nutzung (200-300 pro Monat)

Java RA-Oberfläche wird genutzt Integration Telekom Root in Sun Java ist

erfolgt

50. Betriebstagung des DFN-Vereins Folie 6

Root-Integration

50. Betriebstagung des DFN-Vereins Folie 7

Root-Integration (1)

Status der Integration Telekom Root CA2 Windows: alle aktuellen Desktop Versionen Apple: seit Juni 2008 (Mac OS X, iPod, iPhone) Opera: in aktueller Version Mozilla: Prozess läuft noch

Übergangslösung Mozilla vorhanden Sun Java: Integration ab V6u11 erfolgt (11.08) Google Chrome: OK, da abhängig vom OS

Alle Informationen zur Integration unter● www.pki.dfn.de/integration

50. Betriebstagung des DFN-Vereins Folie 8

Root-Integration (2)

Zustand Mozilla: Wechsel der Verantwortung bei Mozilla zu

Kathleen Wilson 01/09: Kommentare durch Mozilla Klarstellung Policy DFN-PKI ist notwendig Anfang Februar Entwurf zu Mozilla geschickt Seitdem keine Reaktion, aber möglicherweise

Bewegung in den nächsten Wochen

50. Betriebstagung des DFN-Vereins Folie 9

Root-Integration (3)

50. Betriebstagung des DFN-Vereins Folie 10

Root-Integration (4)

Es gibt eine Übergangslösung für Mozilla● basierend auf ServerPass Dienst der Telekom● Serverzertifikate aus anderer Hierarchie, die in

Mozilla verankert ist Bei Bedarf formlose Mail an: [email protected]

50. Betriebstagung des DFN-Vereins Folie 11

Umbenennung von Einrichtungen

50. Betriebstagung des DFN-Vereins Folie 12

Umbenennung

Fachhochschule Musterstadt → Hochschule Musterstadt

Umbenennung soll sich auch in Zertifikaten wiederspiegeln

Vorgehen: Neues F-CA Einrichtung neue CA mit neuen Namen

50. Betriebstagung des DFN-Vereins Folie 13

Ergänzung der Policy

50. Betriebstagung des DFN-Vereins Folie 14

Ergänzung der Policy

Motivation: Ergänzung für Mozilla Ohnehin notwendige (kleine) Änderungen

Prozedur: DFN ändert CP und CPS, neue Version 2.2 DFN unterstützt ausgelagerte CAs bei der Adaption des

neuen CP/CPS Vorlage „Erklärung zum Zertifizierungsbetrieb“ Zeitrahmen: Frühjahr/Sommer

50. Betriebstagung des DFN-Vereins Folie 15

Policy - Domainnamen (1)

Frage von Mozilla:„For DFN, I could not find the text that demonstrates that reasonable measures are taken to verify the domain name.“

Bisher: Verantwortung der CA/RA, dass Domainnamen nur berechtigt verwendet werden

Domainnamen in Servernamen und Email-Adressen

Nun: Zusätzliche Verantwortung der PCA Policy-Ergänzung:

3.2.2 Authentication of an organization identity:[...]If a domain name is used in a certificate, theorganization's right to use the domain name isverified by DFN-Verein as the PCA.

50. Betriebstagung des DFN-Vereins Folie 16

Policy - Domainnamen (2)

PCA muss Prüfung von Domainnamen strenger formalisieren

Geplantes Verfahren: Übliche Domainnamen werden von der PCA

sofort akzeptiert„hochschule-musterstadt.de“

Abweichende Domainnamen müssen der PCA vorab benannt werden

„projectneurofuture.org“ Vorteil: Fehleingaben des Antragsstellers werden

verhindert

50. Betriebstagung des DFN-Vereins Folie 17

Policy - Weitere Ergänzungen

OCSP Ergänzung bei Identifizierung Kleinigkeiten:

Neue Anschrift DFN-Verein EDUgain

50. Betriebstagung des DFN-Vereins Folie 18

MD5/CCC

50. Betriebstagung des DFN-Vereins Folie 19

MD5/CCC (1)

Dezember 2008: Vortrag auf dem CCC-Congress

Konkreter Angriff auf Zertifikate durch MD5 Schwäche

DFN-PKI nicht betroffen,MD5 nie benutzt!

Existierende MD5-Signaturenund Zertifikate nicht betroffen!(Kollisionsattacke, kein Preimage)

http://www.win.tue.nl/hashclash/rogue-ca/

50. Betriebstagung des DFN-Vereins Folie 20

MD5/CCC (2)

Forscherteam nutzte Schwachstelle in MD5 zur Erstellung eines im Browser verankerten Zertifikats eigenen Inhalts

Konkret: Forscher stellten Request bei kommerzieller CA CA stellte dazu Web-Server-Zertifikat aus Forscher bastelten daraus eine Sub-CA Diese im Browser verankert!

Mechanismus: Request an CA enthielt manipulierten Public Key. Dadurch passt Signatur der CA unter mehr als ein Zertifikat.

50. Betriebstagung des DFN-Vereins Folie 21

MD5/CCC (3)

Fazit:Sicherheit existierender MD5-Signaturen

nicht beeinträchtigtDFN-PKI nicht betroffenUmstieg auf SHA-2 mittelfristig notwendigAber: Windows XP SP2, Openssl 0.9.7

können kein SHA-2!

50. Betriebstagung des DFN-Vereins Folie 22

Betrieb erfolgreich Browser-Integration macht Fortschritte Policy-Ergänzung steht an MD5 kein Problem, SHA-2 im Blick

Fazit

[email protected]://www.pki.dfn.de