Verteidigung von Michael Brinke
description
Transcript of Verteidigung von Michael Brinke
Verteidigung von Michael BrinkeVerteidigung von Michael Brinke
Zum Thema Zum Thema
Certificate Chain ValidationCertificate Chain Validation
InhaltInhalt- Überblick CCVÜberblick CCV
- Zertifikate – Was, Warum?Zertifikate – Was, Warum?
- Aufbau von ZertifikatenAufbau von Zertifikaten
- Ablauf einer ZertifikatsvergabeAblauf einer Zertifikatsvergabe
- CRLCRL
- OCSPOCSP
- SCVPSCVP
Certificate Chain ValidationCertificate Chain Validation
- - Formen: Formen: - Certificate Path Validation- Certificate Path Validation
- Delegated Path Validation- Delegated Path Validation- Delegated Path Discovery- Delegated Path Discovery
- Unterformen CPV:- Unterformen CPV:
OCSP (Online Certificate Status Protocol)OCSP (Online Certificate Status Protocol)
SCVP (Standard Certificate Validation Protocol)SCVP (Standard Certificate Validation Protocol)
Zertifikate – Was, Warum?Zertifikate – Was, Warum?
- digitaler Personalausweis- digitaler Personalausweis
- Geheimhaltung - Geheimhaltung
- Bankkonto- Bankkonto
- E-Mail- E-Mail
- Onlineversandhäuser oder –banking- Onlineversandhäuser oder –banking
- u. a.- u. a.
Certificate Authority (CA)Certificate Authority (CA)
- gibt die Zertifikate heraus- gibt die Zertifikate heraus
- für Überprüfung zuständig - für Überprüfung zuständig
- tragen zusätzlich Verantwortung für - tragen zusätzlich Verantwortung für
Bereitstellung und ZuweisungBereitstellung und Zuweisung
- sind wichtiger Bestandteil der PKI- sind wichtiger Bestandteil der PKI
- Arten: - Arten:
- spezielle Firmen wie - spezielle Firmen wie GlobalSign,GlobalSign,
CybertrustCybertrust oder oder VeriSignVeriSign
- Abteilungen innerhalb großer Konzerne- Abteilungen innerhalb großer Konzerne
- öffentliche Organisationen (Banken) oder - öffentliche Organisationen (Banken) oder Regierungsstellen Regierungsstellen
Aufbau eines X.509 v3 ZertifikatsAufbau eines X.509 v3 Zertifikats
- Version- Version- Seriennummer - Seriennummer - Algorithmen ID- Algorithmen ID- Aussteller- Aussteller- Gültigkeit- Gültigkeit
von von bisbis
- Subject (Inhaber)- Subject (Inhaber)- Subject Public Key Info- Subject Public Key Info
PKI – Public Key InfrastructurePKI – Public Key Infrastructure
- ist der Grundstein für Verwaltung der Zertifikate- ist der Grundstein für Verwaltung der Zertifikate- wird Trustcenter vertreten- wird Trustcenter vertreten
- Registrierung von PKI-TeilnehmernRegistrierung von PKI-Teilnehmern- Erzeugung / Erneuerung von digitalen Erzeugung / Erneuerung von digitalen
ZertifikatenZertifikaten- VeröffentlichungVeröffentlichung- Rücknahme / Sperrung von ZertifikatenRücknahme / Sperrung von Zertifikaten
Erzeugung eines ZertifikatesErzeugung eines Zertifikates
CRL – Certificate Revokation ListCRL – Certificate Revokation List
- - enthält alle gesperrten, zurückgenommenen oderenthält alle gesperrten, zurückgenommenen oder wo der Status unbekannt ist wo der Status unbekannt ist
- wird nur in regelmäßigen Abständen aktualisiert veröffentlicht- wird nur in regelmäßigen Abständen aktualisiert veröffentlicht nicht aktuellnicht aktuell
- bei Abfrage Status, Antwort mit good oder mit bad,- bei Abfrage Status, Antwort mit good oder mit bad, revoked bzw. unknownrevoked bzw. unknown
- je nach Art Abfrage auch andere Informationen aus Zertifikaten - je nach Art Abfrage auch andere Informationen aus Zertifikaten
OCSPOCSP
- Internetprotokoll, das Abfrage Status von - Internetprotokoll, das Abfrage Status von
Zertifikaten ermöglichtZertifikaten ermöglicht
- erlaubt eine schnellere und aktuellere Abfrage als- erlaubt eine schnellere und aktuellere Abfrage als
durch die CRLdurch die CRL
- Nachteil: nur Statusabfrage, aber nicht Gültigkeit- Nachteil: nur Statusabfrage, aber nicht Gültigkeit
- Aufbau und Validierung der Zertifikatskette liegt- Aufbau und Validierung der Zertifikatskette liegt
beim Clientbeim Client
SCVPSCVP
- ermöglicht Clients den Aufbau und - ermöglicht Clients den Aufbau und Validierung auszulagernValidierung auszulagern- kann ihnen auch die Komplette Abfrage- kann ihnen auch die Komplette Abfrage abnehmen abnehmen - fragt für welche Aufgaben Server konfiguriert- fragt für welche Aufgaben Server konfiguriert istist- weist Server Aufgaben für die Zertifikats-ID‘s- weist Server Aufgaben für die Zertifikats-ID‘s zu zu
Vielen Dank für Ihre Aufmerksamkeit!Vielen Dank für Ihre Aufmerksamkeit!