Verteidigung von Michael BrinkeVerteidigung von Michael Brinke

Zum Thema Zum Thema

Certificate Chain ValidationCertificate Chain Validation

InhaltInhalt- Überblick CCVÜberblick CCV

- Zertifikate – Was, Warum?Zertifikate – Was, Warum?

- Aufbau von ZertifikatenAufbau von Zertifikaten

- Ablauf einer ZertifikatsvergabeAblauf einer Zertifikatsvergabe

- CRLCRL

- OCSPOCSP

- SCVPSCVP

Certificate Chain ValidationCertificate Chain Validation

- - Formen: Formen: - Certificate Path Validation- Certificate Path Validation

- Delegated Path Validation- Delegated Path Validation- Delegated Path Discovery- Delegated Path Discovery

- Unterformen CPV:- Unterformen CPV:

OCSP (Online Certificate Status Protocol)OCSP (Online Certificate Status Protocol)

SCVP (Standard Certificate Validation Protocol)SCVP (Standard Certificate Validation Protocol)

Zertifikate – Was, Warum?Zertifikate – Was, Warum?

- digitaler Personalausweis- digitaler Personalausweis

- Geheimhaltung - Geheimhaltung

- Bankkonto- Bankkonto

- E-Mail- E-Mail

- Onlineversandhäuser oder –banking- Onlineversandhäuser oder –banking

- u. a.- u. a.

Certificate Authority (CA)Certificate Authority (CA)

- gibt die Zertifikate heraus- gibt die Zertifikate heraus

- für Überprüfung zuständig - für Überprüfung zuständig

- tragen zusätzlich Verantwortung für - tragen zusätzlich Verantwortung für

Bereitstellung und ZuweisungBereitstellung und Zuweisung

- sind wichtiger Bestandteil der PKI- sind wichtiger Bestandteil der PKI

- Arten: - Arten:

- spezielle Firmen wie - spezielle Firmen wie GlobalSign,GlobalSign,

CybertrustCybertrust oder oder VeriSignVeriSign

- Abteilungen innerhalb großer Konzerne- Abteilungen innerhalb großer Konzerne

- öffentliche Organisationen (Banken) oder - öffentliche Organisationen (Banken) oder Regierungsstellen Regierungsstellen

Aufbau eines X.509 v3 ZertifikatsAufbau eines X.509 v3 Zertifikats

- Version- Version- Seriennummer - Seriennummer - Algorithmen ID- Algorithmen ID- Aussteller- Aussteller- Gültigkeit- Gültigkeit

von von bisbis

- Subject (Inhaber)- Subject (Inhaber)- Subject Public Key Info- Subject Public Key Info

PKI – Public Key InfrastructurePKI – Public Key Infrastructure

- ist der Grundstein für Verwaltung der Zertifikate- ist der Grundstein für Verwaltung der Zertifikate- wird Trustcenter vertreten- wird Trustcenter vertreten

- Registrierung von PKI-TeilnehmernRegistrierung von PKI-Teilnehmern- Erzeugung / Erneuerung von digitalen Erzeugung / Erneuerung von digitalen

ZertifikatenZertifikaten- VeröffentlichungVeröffentlichung- Rücknahme / Sperrung von ZertifikatenRücknahme / Sperrung von Zertifikaten

Erzeugung eines ZertifikatesErzeugung eines Zertifikates

CRL – Certificate Revokation ListCRL – Certificate Revokation List

- - enthält alle gesperrten, zurückgenommenen oderenthält alle gesperrten, zurückgenommenen oder wo der Status unbekannt ist wo der Status unbekannt ist

- wird nur in regelmäßigen Abständen aktualisiert veröffentlicht- wird nur in regelmäßigen Abständen aktualisiert veröffentlicht nicht aktuellnicht aktuell

- bei Abfrage Status, Antwort mit good oder mit bad,- bei Abfrage Status, Antwort mit good oder mit bad, revoked bzw. unknownrevoked bzw. unknown

- je nach Art Abfrage auch andere Informationen aus Zertifikaten - je nach Art Abfrage auch andere Informationen aus Zertifikaten

OCSPOCSP

- Internetprotokoll, das Abfrage Status von - Internetprotokoll, das Abfrage Status von

Zertifikaten ermöglichtZertifikaten ermöglicht

- erlaubt eine schnellere und aktuellere Abfrage als- erlaubt eine schnellere und aktuellere Abfrage als

durch die CRLdurch die CRL

- Nachteil: nur Statusabfrage, aber nicht Gültigkeit- Nachteil: nur Statusabfrage, aber nicht Gültigkeit

- Aufbau und Validierung der Zertifikatskette liegt- Aufbau und Validierung der Zertifikatskette liegt

beim Clientbeim Client

SCVPSCVP

- ermöglicht Clients den Aufbau und - ermöglicht Clients den Aufbau und Validierung auszulagernValidierung auszulagern- kann ihnen auch die Komplette Abfrage- kann ihnen auch die Komplette Abfrage abnehmen abnehmen - fragt für welche Aufgaben Server konfiguriert- fragt für welche Aufgaben Server konfiguriert istist- weist Server Aufgaben für die Zertifikats-ID‘s- weist Server Aufgaben für die Zertifikats-ID‘s zu zu

Vielen Dank für Ihre Aufmerksamkeit!Vielen Dank für Ihre Aufmerksamkeit!