CPSD Cer­tifi­cate Author­i­ty Migra­tion Tool für Thales nShield und Gemal­to SafeNet Net­work HSM

HSM Secu­ri­ty Ini­tia­tive aus Öster­re­ich: Die CPSD aus Linz veröf­fentlicht ein HSM Migra­tion Tool, um die CA-Schlüs­sel beste­hen­der Microsoft Cer­tifi­cate Author­i­ties in hochsichere HSM Schlüs­sel­spe­ich­er zu migri­eren.

PKI-Sys­teme (Pub­lic Key Author­i­ties) sind in Unternehmen für die Ausstel­lung von dig­i­tal­en Iden­titäten für Benutzer und Geräte (Enti­ty) ver­ant­wortlich – kurz Zer­ti­fikate. PKI-Sys­teme sind hier­ar­chisch ange­ord­net und beste­hen aus ein­er Root-CA (Cer­tifi­cate Author­i­tiy) und ein­er oder mehrerer Issu­ing CAs:

.

Software Secured Microsoft Certificate Authority PKI Senario

Soft­ware Secured Microsoft Cer­tifi­cate Author­i­ty PKI Senario

Für einige spezielle Anwen­dun­gen befind­et sich zwis­chen der Root-CA und der Issu­ing-CA noch eine soge­nan­nte Pol­i­cy-CA, die bes­timmte organ­isatorische und tech­nis­che Richtlin­ien definiert und erzwingt. Man spricht hier von einem 3-Stu­fi­gen PKI-Sys­tem. Der Ein­satz ein­er Solchen zusät­zlichen Instanz set­zt in der Prax­is aber umfan­gre­iche Rah­menbe­di­enun­gen voraus, um sin­nvoll betrieben zu wer­den. Fachau­toren ver­schieden­er Medi­en haben in den ver­gan­genen Jahren immer wieder, der Voll­ständigkeit hal­ber, eine 3-Stufen PKI beschrieben ohne im Detail auf die organ­isatorischen und tech­nis­chen Her­aus­forderun­gen im Betrieb hinzuweisen.

Für viele Umge­bun­gen, beson­ders um Umfeld von Unternehmen und Konz­er­nen, wird aber heute ganz bewusst auf die Pol­i­cy CA verzichtet. Bei Dien­stleis­tung­sun­ternehmen, die sich der Ausstel­lung von Zer­ti­fikat­en verpflichtet haben sowie bei öffentlichen, behördlichen Ausstellern (geset­zeskon­forme Sig­natur) mach eine Pol­i­cy CA den­noch Sinn. Aus Sicht der Betrieb­ssicher­heit und der deut­lich ein­facheren Betrieb­s­führung sollte den­noch der Ein­satz ein­er Pol­i­cy-CA im Gespräch mit den Experten von CPSD erörtert und möglicher­weise infrage gestellt wer­den.

Laufzeit­en von Zer­ti­fikat­en

Zer­ti­fikate haben fest­gelegte Laufzeit­en. Die Laufzeit eines Root-CA-Zer­ti­fikats wird sich üblicher­weise zwis­chen 10 und 20 Jahren bewe­gen. Issu­ing-CA-Zer­ti­fikate hinge­gen sind zwis­chen 5 und 10 Jahren gültig. Zer­ti­fikate für Maschi­nen und Benutzer sind etwa 1 bis 3 Jahre gültig. Benutzer ver­fü­gen üblicher­weise über mehr als ein Zer­ti­fikat. Die Zer­ti­fikate unter­schei­den sich in der Key-Usage, also dem Zweck, für den sie aus­gestellt wur­den: Authen­tisierung, Ver­schlüs­selung oder Unter­schrift (dig­i­tale Sig­natur).

Zer­ti­fikate gewin­nen heute mehr und mehr an Bedeu­tung. Bei der Iden­ti­fika­tion von Benutzern über unternehmensgren­zen hin­weg (z.B. in der Cloud) sind Zer­ti­fikate als Ersatz für das ein­fache Pass­wort heute gar nicht mehr wegzu­denken. Doch die Sicher­heit steigt und fällt mit dem Geheim­nis um den pri­vat­en Schlüs­sel.

Ist der Benutzer­schlüs­sel kom­pro­mit­tiert, ist es möglich ein­er anderen Iden­tität hab­haft zu wer­den. Ist allerd­ings der Schlüs­sel der CA kom­pro­mit­tiert, ist der Schaden enorm. Der Dieb kann jede beliebige Iden­tität annehmen und das unwider­ru­flich. Ein Zer­ti­fikat, das außer­halb der PKI erstellt wurde ist nicht bekan­nt und somit auch nicht wieder­ruf­bar – aber math­e­ma­tisch – durch den Schlüs­sel gültig.

Das Prob­lem von Unternehmens-PKI Sys­te­men in Verbindung mit ein­er Microsoft Cer­tifi­cate Author­i­ty (MS-PKI) liegt jedoch in der Sicher­heit genau dieser CA-Schlüs­sel, die für die Erstel­lung von Zer­ti­fikat­en benötigt wer­den. Diese CA-Schlüs­sel sind entwed­er der pri­vate Teil eines RSA-Schlüs­sels oder ein pri­vater Teil eines ECC-Schlüs­sels. Die Microsoft CA erlaubt aus Back­up- und Recov­ery-Grün­den einen jed­erzeit­i­gen Export dieser ver­traulichen pri­vat­en Schlüs­sel aus der CA her­aus.

Die Gefahr des Schlüs­selver­lustes in ein­er PKI-Umge­bung

Diese Schlüs­sel-Export-Funk­tion ist aus Betrieb­s­führungssicht dur­chaus prak­tisch und notwendig, da man jed­erzeit mit den exportierten Schlüs­seln eine CA wieder­her­stellen kann. Der Ver­lust des Schlüs­sels über diesen Export ist aber der größte anzunehmende Sicher­heits-Vor­fall in ein­er PKI-Umge­bung. Es erlaubt die unkon­trol­lierte Nutzung außer­halb ein­er organ­isierten und regle­men­tierten PKI ohne Kon­trolle.

Die Indus­trie hat vor Jahren auf dieses Prob­lem reagiert und soge­nan­nte HSMs auf den Markt gebracht. Bekan­nt auch als „Hard­ware Secu­ri­ty Mod­ules“ oder dig­i­tal­en Tre­sor für kryp­tografis­che Schlüs­sel.

Diese Geräte wer­den entwed­er direkt an den PC oder Serv­er angeschlossen (PCIe oder USB) oder über ein Net­zw­erk ein­er Vielzahl an Sys­te­men zur Ver­fü­gung gestellt. Diese Tre­sore gener­ieren und ver­wahren den kryp­tographis­chen Schlüs­sel „in Hard­ware“ und tren­nen diesen sich­er vom App­lika­tion­sserv­er. Dadurch ist sichergestellt, dass immer nur eine Kopie des Schlüs­sels an ein­er dedi­zierten Stelle ver­füg­bar ist. Das HSM schützt den Schlüs­sel vor unau­torisiertem Zugriff durch eine Rei­he von tech­nis­chen und physikalis­chen Schutzmech­a­nis­men. Ein Back­up des Schlüs­sels erfol­gt mit sicheren Meth­o­d­en, die das HSM zur Ver­fü­gung stellt.

Funk­tion des CPSD Cer­tifi­cate Author­i­ty Migra­tion Tool für Thales nShield HSM und Gemal­to SafeNet Net­work HSM

Sinn eines HSM ist es, dass der Schlüs­sel im HSM in Hard­ware gener­iert wird und dieses nicht mehr ver­lässt. Einen exter­nen Schlüs­sel zu importieren macht aus Secu­ri­ty-Sicht wenig sinn, da es prinzip­iell möglich ist, dass sich noch eine Kopie des Schlüs­sels ander­swo befind­et (z.B. Back­up).

Das CPSD Cer­tifi­cate Author­i­ty Migra­tionstool schützt Soft­ware­basierte Microsoft CAs daher nur bed­ingt, indem es schrit­tweise die Schlüs­sel auf das HSM migri­ert – es umge­ht aber damit eine große Hürde, die Microsoft Ihren PKI-Kun­den aufer­legt. Eine Microsoft-CA kann nur jew­eils eine Art von Schlüs­sel­spe­ich­er nutzen: HSM oder Soft­ware. Ein eventuelles „Re-Key­ing“ also das erneuern der Schlüs­sel kann somit auch nur wieder in Soft­ware erfol­gen.

Unser Tool hil­ft hier­bei, indem es die erste Hürde nimmt und Ihre PKI kom­plett ins HSM übern­immt. Es ist KEINE Neuin­stal­la­tion der Infra­struk­tur möglich. Über diese Schlüs­sel-Erneuerung ver­lieren die bere­its aus­gestell­ten Zer­ti­fikate ihre Gültigkeit nicht, jedoch wer­den neue Zer­ti­fikate nur mehr mit dem am HSM gener­ierten und gesicherten CA Schlüs­sel aus­gestellt. Somit sind dem Betreib und der Migra­tion der CA keine Gren­zen mehr geset­zt. Die Migra­tion auf eine neue Betrieb­ssys­temver­sion oder die Migra­tion von RSA auf ECDSA (Ellip­tis­che Kur­ven) oder der Änderung des HASH-Ver­fahrens sind somit nach Belieben möglich.

Microsoft Certificate Authority HSM Key Migration Process

Microsoft Cer­tifi­cate Author­i­ty HSM Key Migra­tion Process

HSM Migra­tion der Microsoft PKI

Fol­gende Schritte wer­den für die Root-CA und alle Issu­ing-CAs durchge­führt:

  1. Export des CA-Schlüs­sel­paares auf dem Serv­er.
  2. Instal­la­tion der HSM Mid­dle­ware auf dem CA Serv­er und Grund­kon­fig­u­ra­tion des Servers
  3. Import der CA Schlüs­sel in das/die Thales nShield HSM oder Gemal­to SafeNet Net­work HSM, vor­mals SafeNet Luna SA
  4. Löschen der CA Schlüs­sel vom CA Serv­er
  5. Inte­gra­tion der importierten Zer­ti­fikate in das Win­dows-Sys­tem
  6. Rekon­fig­u­ra­tion der CA und Umstel­lung auf das HSM als Schlüs­sel­spe­ich­er
  7. Rekon­fig­u­ra­tion der CA für die Nutzung von zusät­zlichen Authen­ti­ca­tion-Meth­o­d­en wie etwa OCS-Karten (Thales) oder User-Token (Gemal­to)
  8. Verbinden des CA Zer­ti­fikates mit dem am HSM gespe­icherten pri­vat­en CA Schlüs­sel
  9. Neustart des CA Dien­stes und Über­prü­fung der Funk­tion der Zer­ti­fizierungsstelle
  10. Re-Key­ing der CA-Schlüs­sel um die alten, soft­ware­basierten Schlüs­sel zu erset­zten. Die alten Schlüs­sel kön­nen dann san­ft, nach dem Ablauf des let­zten alten Zer­ti­fikats gelöscht wer­den und verbleiben so lange in der Betrieb­s­führung.

Der große Vorteil dieses Lösungsansatzes — im Gegen­satz zur kom­plet­ten Neuin­stal­la­tion ein­er CA — ist, dass beste­hende Zer­ti­fikatsab­hängigkeit­en von Anwen­dun­gen und Dien­sten nicht beein­trächtigt wer­den, da die alle Zer­ti­fikat­sprüfket­ten unverän­dert beste­hen bleiben und beste­hende Zer­ti­fikate nicht ges­per­rt wer­den müssen.

Durch das „Re-Key­ing“ wird ein neuer CA-Schlüs­sel über den zer­ti­fizierten Zufalls­gen­er­a­tor des HSMs gener­iert und nur mehr am HSM hochsich­er gespe­ichert. Ein Export der ver­traulichen pri­vat­en CA-Schlüs­sel durch die Microsoft CA ist ab diesem Zeit­punkt nicht mehr möglich.

Zusät­zlich ent­fällt nach der Migra­tion der ver­traulichen CA Schlüs­sel auf das HSM die Notwendigkeit ein­er Offline Root CA oder Pol­i­cy CA. Diese CAs müssen nicht mehr offline genom­men und im Safe ver­staut wer­den, son­dern kön­nen aktiv betrieben und aktu­al­isiert wer­den. Die schützenswerten Schlüs­sel kön­nen durch das HSM offline genom­men, und dem Zugriff des Servers ent­zo­gen wer­den.

Die HSM-Her­steller bieten einen zusät­zlichen Schutz bzw. eine zusät­zliche Autorisierung beim Zugriff auf diese Schlüs­sel (z.B. für die CRL-Gener­ierung). Dieser kann bei Bedarf nachträglich aktiviert wer­den. Sie versper­ren dann lediglich den notwendi­gen (optionalen) Token im Tre­sor anstatt kom­plet­ter Fest­plat­ten oder Note­books. Über das 4-Augen Prinzip (MofN) kann dieser Schritt durch die tech­nis­che Unter­stützung organ­isatorisch­er Prozesse kom­plett ent­fall­en. Sprechen Sie uns ein­fach darauf an.

Kosten des CPSD Cer­tifi­cate Author­i­ty Migra­tion Tool

Das Tool ist eine Kom­bi­na­tion als automa­tisierten Pro­gram­men und Remote Dien­stleis­tung mit Prozess­doku­men­ta­tion. Der Zeitaufwand für die HSM Migra­tion ein­er Microsoft Cer­tifi­cate Author­i­ty beträgt rund 4 Stun­den. Selb­stver­ständlich benötigt der Kunde eine funk­tion­stüchtige HSM Infra­struk­tur und die erforder­lichen HSM Lizen­zen.

Die Kosten des CPSD Migra­tion Tool betra­gen € 800,00 für die erste Cer­tifi­cate Author­i­ty und € 400,00 für jede weit­ere Cer­tifi­cate Author­i­ty. Das Tool funk­tion­iert auss­chließlich mit der Microsoft Cer­tifi­cate Author­i­ty ab Win­dows Serv­er 2003.

Natür­lich unter­stützen wir Sie gerne bei der Beschaf­fung, Inte­gra­tion oder Betrieb­s­führung Ihrer PKI oder HSM. Sprechen Sie uns an.

Nutzen Sie das fol­gende For­mu­lar, um ein verbindlich­es Ange­bot zu erhal­ten.







Ich stimme der elek­tro­n­is­chen Spe­icherung mein­er Kon­tak­t­dat­en gemäß der CPSD Daten­schutzerk­lärung zu.

2018-08-18T00:44:42+00:00 07.08.2018|

Über den Autor:

Andreas Schuster ist 45 Jahre alt und wohnt in Wien. Vor über 20 Jahren hat er sein Hobby die IT zum Beruf gemacht und arbeitet seit vielen Jahren in der Crypto-Branche. Sein technisches Interesse an allem das ein Kabel hat (exklusive Weißwaren...) bringt immer wieder spannende Blog-Inhalte.

Hinterlassen Sie einen Kommentar