HSM Secu­ri­ty Ini­tia­tive aus Öster­re­ich: Die CPSD aus Linz veröf­fentlicht ein HSM Migra­tion Tool, um die CA-Schlüs­sel beste­hen­der Microsoft Cer­tifi­cate Author­i­ties in hochsichere HSM Schlüs­sel­spe­ich­er zu migri­eren.

PKI-Sys­teme (Pub­lic Key Author­i­ties) sind in Unternehmen für die Ausstel­lung von dig­i­tal­en Iden­titäten für Benutzer und Geräte (Enti­ty) ver­ant­wortlich – kurz Zer­ti­fikate. PKI-Sys­teme sind hier­ar­chisch ange­ord­net und beste­hen aus ein­er Root-CA (Cer­tifi­cate Author­i­tiy) und ein­er oder mehrerer Issu­ing CAs:

.

Software Secured Microsoft Certificate Authority PKI Senario

Soft­ware Secured Microsoft Cer­tifi­cate Author­i­ty PKI Senario

Für einige spezielle Anwen­dun­gen befind­et sich zwis­chen der Root-CA und der Issu­ing-CA noch eine soge­nan­nte Pol­i­cy-CA, die bes­timmte organ­isatorische und tech­nis­che Richtlin­ien definiert und erzwingt. Man spricht hier von einem 3‑Stufigen PKI-Sys­tem. Der Ein­satz ein­er Solchen zusät­zlichen Instanz set­zt in der Prax­is aber umfan­gre­iche Rah­menbe­di­enun­gen voraus, um sin­nvoll betrieben zu wer­den. Fachau­toren ver­schieden­er Medi­en haben in den ver­gan­genen Jahren immer wieder, der Voll­ständigkeit hal­ber, eine 3‑Stufen PKI beschrieben ohne im Detail auf die organ­isatorischen und tech­nis­chen Her­aus­forderun­gen im Betrieb hinzuweisen.

Für viele Umge­bun­gen, beson­ders um Umfeld von Unternehmen und Konz­er­nen, wird aber heute ganz bewusst auf die Pol­i­cy CA verzichtet. Bei Dien­stleis­tung­sun­ternehmen, die sich der Ausstel­lung von Zer­ti­fikat­en verpflichtet haben sowie bei öffentlichen, behördlichen Ausstellern (geset­zeskon­forme Sig­natur) mach eine Pol­i­cy CA den­noch Sinn. Aus Sicht der Betrieb­ssicher­heit und der deut­lich ein­facheren Betrieb­s­führung sollte den­noch der Ein­satz ein­er Pol­i­cy-CA im Gespräch mit den Experten von CPSD erörtert und möglicher­weise infrage gestellt wer­den.

Laufzeit­en von Zer­ti­fikat­en

Zer­ti­fikate haben fest­gelegte Laufzeit­en. Die Laufzeit eines Root-CA-Zer­ti­fikats wird sich üblicher­weise zwis­chen 10 und 20 Jahren bewe­gen. Issu­ing-CA-Zer­ti­fikate hinge­gen sind zwis­chen 5 und 10 Jahren gültig. Zer­ti­fikate für Maschi­nen und Benutzer sind etwa 1 bis 3 Jahre gültig. Benutzer ver­fü­gen üblicher­weise über mehr als ein Zer­ti­fikat. Die Zer­ti­fikate unter­schei­den sich in der Key-Usage, also dem Zweck, für den sie aus­gestellt wur­den: Authen­tisierung, Ver­schlüs­selung oder Unter­schrift (dig­i­tale Sig­natur).

Zer­ti­fikate gewin­nen heute mehr und mehr an Bedeu­tung. Bei der Iden­ti­fika­tion von Benutzern über unternehmensgren­zen hin­weg (z.B. in der Cloud) sind Zer­ti­fikate als Ersatz für das ein­fache Pass­wort heute gar nicht mehr wegzu­denken. Doch die Sicher­heit steigt und fällt mit dem Geheim­nis um den pri­vat­en Schlüs­sel.

Ist der Benutzer­schlüs­sel kom­pro­mit­tiert, ist es möglich ein­er anderen Iden­tität hab­haft zu wer­den. Ist allerd­ings der Schlüs­sel der CA kom­pro­mit­tiert, ist der Schaden enorm. Der Dieb kann jede beliebige Iden­tität annehmen und das unwider­ru­flich. Ein Zer­ti­fikat, das außer­halb der PKI erstellt wurde ist nicht bekan­nt und somit auch nicht wieder­ruf­bar – aber math­e­ma­tisch – durch den Schlüs­sel gültig.

Das Prob­lem von Unternehmens-PKI Sys­te­men in Verbindung mit ein­er Microsoft Cer­tifi­cate Author­i­ty (MS-PKI) liegt jedoch in der Sicher­heit genau dieser CA-Schlüs­sel, die für die Erstel­lung von Zer­ti­fikat­en benötigt wer­den. Diese CA-Schlüs­sel sind entwed­er der pri­vate Teil eines RSA-Schlüs­sels oder ein pri­vater Teil eines ECC-Schlüs­sels. Die Microsoft CA erlaubt aus Back­up- und Recov­ery-Grün­den einen jed­erzeit­i­gen Export dieser ver­traulichen pri­vat­en Schlüs­sel aus der CA her­aus.

Die Gefahr des Schlüs­selver­lustes in ein­er PKI-Umge­bung

Diese Schlüs­sel-Export-Funk­tion ist aus Betrieb­s­führungssicht dur­chaus prak­tisch und notwendig, da man jed­erzeit mit den exportierten Schlüs­seln eine CA wieder­her­stellen kann. Der Ver­lust des Schlüs­sels über diesen Export ist aber der größte anzunehmende Sicher­heits-Vor­fall in ein­er PKI-Umge­bung. Es erlaubt die unkon­trol­lierte Nutzung außer­halb ein­er organ­isierten und regle­men­tierten PKI ohne Kon­trolle.

Die Indus­trie hat vor Jahren auf dieses Prob­lem reagiert und soge­nan­nte HSMs auf den Markt gebracht. Bekan­nt auch als „Hard­ware Secu­ri­ty Mod­ules“ oder dig­i­tal­en Tre­sor für kryp­tografis­che Schlüs­sel.

Diese Geräte wer­den entwed­er direkt an den PC oder Serv­er angeschlossen (PCIe oder USB) oder über ein Net­zw­erk ein­er Vielzahl an Sys­te­men zur Ver­fü­gung gestellt. Diese Tre­sore gener­ieren und ver­wahren den kryp­tographis­chen Schlüs­sel „in Hard­ware“ und tren­nen diesen sich­er vom App­lika­tion­sserv­er. Dadurch ist sichergestellt, dass immer nur eine Kopie des Schlüs­sels an ein­er dedi­zierten Stelle ver­füg­bar ist. Das HSM schützt den Schlüs­sel vor unau­torisiertem Zugriff durch eine Rei­he von tech­nis­chen und physikalis­chen Schutzmech­a­nis­men. Ein Back­up des Schlüs­sels erfol­gt mit sicheren Meth­o­d­en, die das HSM zur Ver­fü­gung stellt.

Funk­tion des CPSD Cer­tifi­cate Author­i­ty Migra­tion Tool für Thales nShield HSM und Gemal­to SafeNet Net­work HSM

Sinn eines HSM ist es, dass der Schlüs­sel im HSM in Hard­ware gener­iert wird und dieses nicht mehr ver­lässt. Einen exter­nen Schlüs­sel zu importieren macht aus Secu­ri­ty-Sicht wenig sinn, da es prinzip­iell möglich ist, dass sich noch eine Kopie des Schlüs­sels ander­swo befind­et (z.B. Back­up).

Das CPSD Cer­tifi­cate Author­i­ty Migra­tionstool schützt Soft­ware­basierte Microsoft CAs daher nur bed­ingt, indem es schrit­tweise die Schlüs­sel auf das HSM migri­ert – es umge­ht aber damit eine große Hürde, die Microsoft Ihren PKI-Kun­den aufer­legt. Eine Microsoft-CA kann nur jew­eils eine Art von Schlüs­sel­spe­ich­er nutzen: HSM oder Soft­ware. Ein eventuelles „Re-Key­ing“ also das erneuern der Schlüs­sel kann somit auch nur wieder in Soft­ware erfol­gen.

Unser Tool hil­ft hier­bei, indem es die erste Hürde nimmt und Ihre PKI kom­plett ins HSM übern­immt. Es ist KEINE Neuin­stal­la­tion der Infra­struk­tur möglich. Über diese Schlüs­sel-Erneuerung ver­lieren die bere­its aus­gestell­ten Zer­ti­fikate ihre Gültigkeit nicht, jedoch wer­den neue Zer­ti­fikate nur mehr mit dem am HSM gener­ierten und gesicherten CA Schlüs­sel aus­gestellt. Somit sind dem Betreib und der Migra­tion der CA keine Gren­zen mehr geset­zt. Die Migra­tion auf eine neue Betrieb­ssys­temver­sion oder die Migra­tion von RSA auf ECDSA (Ellip­tis­che Kur­ven) oder der Änderung des HASH-Ver­fahrens sind somit nach Belieben möglich.

Microsoft Certificate Authority HSM Key Migration Process

Microsoft Cer­tifi­cate Author­i­ty HSM Key Migra­tion Process

HSM Migra­tion der Microsoft PKI

Fol­gende Schritte wer­den für die Root-CA und alle Issu­ing-CAs durchge­führt:

  1. Export des CA-Schlüs­sel­paares auf dem Serv­er.
  2. Instal­la­tion der HSM Mid­dle­ware auf dem CA Serv­er und Grund­kon­fig­u­ra­tion des Servers
  3. Import der CA Schlüs­sel in das/die Thales nShield HSM oder Gemal­to SafeNet Net­work HSM, vor­mals SafeNet Luna SA
  4. Löschen der CA Schlüs­sel vom CA Serv­er
  5. Inte­gra­tion der importierten Zer­ti­fikate in das Win­dows-Sys­tem
  6. Rekon­fig­u­ra­tion der CA und Umstel­lung auf das HSM als Schlüs­sel­spe­ich­er
  7. Rekon­fig­u­ra­tion der CA für die Nutzung von zusät­zlichen Authen­ti­ca­tion-Meth­o­d­en wie etwa OCS-Karten (Thales) oder User-Token (Gemal­to)
  8. Verbinden des CA Zer­ti­fikates mit dem am HSM gespe­icherten pri­vat­en CA Schlüs­sel
  9. Neustart des CA Dien­stes und Über­prü­fung der Funk­tion der Zer­ti­fizierungsstelle
  10. Re-Key­ing der CA-Schlüs­sel um die alten, soft­ware­basierten Schlüs­sel zu erset­zten. Die alten Schlüs­sel kön­nen dann san­ft, nach dem Ablauf des let­zten alten Zer­ti­fikats gelöscht wer­den und verbleiben so lange in der Betrieb­s­führung.

Der große Vorteil dieses Lösungsansatzes — im Gegen­satz zur kom­plet­ten Neuin­stal­la­tion ein­er CA — ist, dass beste­hende Zer­ti­fikatsab­hängigkeit­en von Anwen­dun­gen und Dien­sten nicht beein­trächtigt wer­den, da die alle Zer­ti­fikat­sprüfket­ten unverän­dert beste­hen bleiben und beste­hende Zer­ti­fikate nicht ges­per­rt wer­den müssen.

Durch das „Re-Key­ing“ wird ein neuer CA-Schlüs­sel über den zer­ti­fizierten Zufalls­gen­er­a­tor des HSMs gener­iert und nur mehr am HSM hochsich­er gespe­ichert. Ein Export der ver­traulichen pri­vat­en CA-Schlüs­sel durch die Microsoft CA ist ab diesem Zeit­punkt nicht mehr möglich.

Zusät­zlich ent­fällt nach der Migra­tion der ver­traulichen CA Schlüs­sel auf das HSM die Notwendigkeit ein­er Offline Root CA oder Pol­i­cy CA. Diese CAs müssen nicht mehr offline genom­men und im Safe ver­staut wer­den, son­dern kön­nen aktiv betrieben und aktu­al­isiert wer­den. Die schützenswerten Schlüs­sel kön­nen durch das HSM offline genom­men, und dem Zugriff des Servers ent­zo­gen wer­den.

Die HSM-Her­steller bieten einen zusät­zlichen Schutz bzw. eine zusät­zliche Autorisierung beim Zugriff auf diese Schlüs­sel (z.B. für die CRL-Gener­ierung). Dieser kann bei Bedarf nachträglich aktiviert wer­den. Sie versper­ren dann lediglich den notwendi­gen (optionalen) Token im Tre­sor anstatt kom­plet­ter Fest­plat­ten oder Note­books. Über das 4‑Augen Prinzip (MofN) kann dieser Schritt durch die tech­nis­che Unter­stützung organ­isatorisch­er Prozesse kom­plett ent­fall­en. Sprechen Sie uns ein­fach darauf an.

Kosten des CPSD Cer­tifi­cate Author­i­ty Migra­tion Tool

Das Tool ist eine Kom­bi­na­tion als automa­tisierten Pro­gram­men und Remote Dien­stleis­tung mit Prozess­doku­men­ta­tion. Der Zeitaufwand für die HSM Migra­tion ein­er Microsoft Cer­tifi­cate Author­i­ty beträgt rund 4 Stun­den. Selb­stver­ständlich benötigt der Kunde eine funk­tion­stüchtige HSM Infra­struk­tur und die erforder­lichen HSM Lizen­zen.

Die Kosten des CPSD Migra­tion Tool betra­gen € 800,00 für die erste Cer­tifi­cate Author­i­ty und € 400,00 für jede weit­ere Cer­tifi­cate Author­i­ty. Das Tool funk­tion­iert auss­chließlich mit der Microsoft Cer­tifi­cate Author­i­ty ab Win­dows Serv­er 2003.

Natür­lich unter­stützen wir Sie gerne bei der Beschaf­fung, Inte­gra­tion oder Betrieb­s­führung Ihrer PKI oder HSM. Sprechen Sie uns an.

Nutzen Sie das fol­gende For­mu­lar, um ein verbindlich­es Ange­bot zu erhal­ten.







Ich stimme der elek­tro­n­is­chen Spe­icherung mein­er Kon­tak­t­dat­en gemäß der CPSD Daten­schutzerk­lärung zu.