© 2012 Secorvo | Impressum | Kontakt | Anfahrt

Unternehmen

Consulting

College

Events

Videos

Referenzen

Auszeichnungen

Security News

Publikationen

Presse

Public Key Infrastrukturen (PKI)

In vielen Unternehmen nimmt die Nutzung elektronischer Kommunikationsmedien rapide zu. Dies schließt sowohl interne Anwendungen (E-Mail, Server-Dienste im Intranet, Workflow-Prozesse) als auch elektronische Dienstleistungen für Kunden und Partnerfirmen ein.

Mit der wachsenden Verbreitung dieser Angebote steigt auch die Bedeutung der Sicherheitseigenschaften der verwendeten Anwendungen und Kommunikationsdienste. Zu diesen Eigenschaften sind insbesondere die folgenden Sicherheitsdienste zu zählen:

• Vertraulichkeit (Schutz vor unberechtigter Kenntnisnahme),

• Integrität (Unverfälschtheit der übertragenen Daten),

• Authentizität (zweifelsfreie Feststellbarkeit der Herkunft von Daten und Identifikation der Dienstnutzer) und

• Verbindlichkeit (nachweisbare Zuordnung elektronischer Abläufe zum Initiator, Nicht-Abstreitbarkeit).

Technisch lassen sich diese Sicherheitsdienste effizient durch die Integration asymmetrischer kryptographischer Verfahren, sogenannte Public Key-Verfahren, in Kommunikationsprotokolle, Anwendungen und Dienste realisieren.

Voraussetzung für die Nutzung dieser Sicherheitsdienste ist eine vertrauenswürdige Sicherheitsinfrastruktur, die in geeigneter Weise für Erzeugung, Verteilung und erforderlichenfalls auch Sperrung der benötigten kryptographischen Schlüssel und Zertifikate sorgt. Eine solche Sicherheitsinfrastruktur wird Public Key-Infrastruktur (PKI) genannt.

Eine PKI besteht aus den folgenden zentralen Komponenten:

• Zertifizierungsstelle (CA): Sie stellt die Nutzerzertifikate aus und verwaltet ggf. die Schlüsselpaare.

• Registrierungsstelle (RA): Sie übernimmt die Nutzeridentifikation im Rahmen des Registrierungsprozesses.

• Verzeichnisdienst (DIR): Er übernimmt die Verteilung der Public-Key Zertifikate sowie der Sperrlisten (CRL).

Daneben kann ein Zeitstempeldienst angeboten werden, um die Datierung von Dokumenten zu ermöglichen.

Unsere Leistungen

Die Secorvo Security Consulting GmbH bietet folgende Bausteine zur Konzeption und dem Betrieb einer PKI an, die einzeln oder komplett beauftragt werden können:

• Anforderungsanalyse: In einer Anforderungsspezifikation werden alle allgemeinen und speziellen Anforderungen an die zu realisierende Lösung zusammengestellt, die bei der Konzeption und Komponentenauswahl zu berücksichtigen sind. Dazu zählen z. B.:
  • die von der Public Key Infrastruktur zu unterstützenden Anwendungen
  • die bevorzugten und zu unterstützenden Plattformen für die PKI-Kernkomponenten, die Anwendungskomponenten und ggf. benötigte Serverkomponenten
  • die eingesetzten und bevorzugten Directory- und Datenbankprodukte
  • die Skalierbarkeitsanforderungen an die zu realisierende Lösung (Einbindung in externe Zertifizierungsinfrastrukturen, geplante interne Erweiterungen, ...)
  • ein Mengengerüst für die erwartete Teilnehmerzahl der Public Key Infrastruktur
  • die sich z. B. aus Konzernrichtlinien ergebenden Sicherheitsanforderungen an Kern- und Anwendungskomponenten sowie spezielle betriebliche Anforderungen (Betriebsüberwachung)
  • spezielle Interoperabilitätsanforderungen und von den Produkten zu berücksichtigende technische Standards
  • organisatorische Rahmenbedingungen, die Einfluss auf das Lösungskonzept haben.

  Die Anforderungsanalyse bildet die Grundlage für das detaillierte PKI-Design.

• Technologieauswahl: In einer systematischen Analyse, ausgehend von den sich aus der Anforderungsspezifikation ergebenden und gewichteten Kriterien, wird eine Eignungsbewertung der heute verfügbaren PKI Produkte durchgeführt.

  Dabei werden die folgenden Produktklassen berücksichtigt:

  • PKI-Core-Komponenten (Zertifizierungsinstanz, Registrierungsinstanz)
  • anwendungsbezogene Client-Komponenten (z. B. E-Mail-Security-Plugins)
  • erforderliche Server-Komponenten zum Schutz von Client-Server-Anwendungen
  • Sicherheits-Toolkits zur Entwicklung eigener Anwendungen bzw. zur Integration der PKI in bestehende Anwendungen

  Ergänzend kann eine Produktevaluierung erfolgen. Im Secorvo-Labor können dazu alle gängigen PKI Core- und Client-Produkte hinsichtlich ihrer Funktionalität, Benutzerfreundlichkeit und Interoperabilität mit einzelnen Produkten effizient getestet werden.

  Die Technologieauswahl liefert eine Produktempfehlung für PKI Client- und Core-Komponenten.

• PKI Design: Das konkrete Design der aufzubauenden Public Key Infrastruktur umfasst mehrere Teilaspekte. Dazu zählen:
  • PKI-Detailspezifikation: Festlegung der Zertifikatsformate, Spezifikation des Zertifikatsmanagements (Roll over, Zertifikatsrückrufe, Gültigkeitsmodell)
  • Service Level Agreement: Festlegung von garantierten Wiederanlaufzeiten, Bereitstellung von Wartung und Services (z. B. Hotline, Benutzerservice), Zusammenstellung von Garantien und Haftungsausschlüssen
  • Betriebskonzept: Sicherheitskonzept der zentralen Komponenten, PKI-Struktur, Aufbau- und Wartungskonzept, Betriebsüberwachungskonzept, Konfigurationsdokumentation der zentralen Komponenten, Backupkonzept und Notfallplanung
  • Organisationskonzept: Spezifikation der Abläufe der Zertifikatsbeantragung, Registrierung und Zertifikatssperrung. Diese Abläufe müssen optimal in die bestehenden Prozesse integriert werden.
  • Policy: Festlegung von Sicherheitsanforderungen wie Schlüssellängen und zulässigen Verfahren, Regelung des Einsatzes von Sicherheitsmechanismen, CPS (rechtliche Garantien, Haftungsausschlüsse).
  • Konzeption des Rollout: Vorbereitung der Anwenderschulung, Bereitstellung von Benutzerdokumentation und Installationshinweisen, Verteilung und Installation der Client-Software, Schulung des Benutzerservice
  • Anwendungsintegration: Spezifikation der Prozesse und Schnittstellen

  Das PKI Design liefert die detaillierten Vorgaben und Dokumentationen für den Aufbau und Betrieb der PKI.

• Pilotierung: Dem Aufbau einer Public Key Infrastruktur (PKI) sollte ein PKI-Pilotbetrieb mit ausgewählten Verfahren und einer kleineren Nutzergruppe vorausgehen, um sowohl mit dieser Technologie im praktischen Einsatz Erfahrungen sammeln, als auch die internen organisatorischen Prozesse geeignet gestalten und anpassen zu können, bevor die Lösung großflächig ausgerollt wird.

• Inbetriebnahme: Nach Abschluss der Implementierung der Core-Komponenten und erfolgreicher Durchführung aller erforderlichen Tests wird die Public Key Infrastruktur in den laufenden Betrieb übergeben. Dazu werden Abnahme- und Leistungstests definiert und durchgeführt.

• Schulungen: Begleitend kann die Schulung der PKI-Administratoren (CA, RA, Verzeichnisdienst) sowie der PKI-Nutzer erfolgen.

• Pflege und Weiterentwicklung: Nach Inbetriebnahme kann die PKI schrittweise auf neue Benutzergruppen ausgeweitet oder neue Anwendungen eingebunden werden. Ferner sollte eine kontinuierliche Anpassung an die neusten organisatorischen, technischen, rechtlichen und sicherheitsrelevanten Entwicklungen erfolgen.

• Audit: Eine Prüfung der Infrastruktur auf die Einhaltung aller im PKI Design festgelegten Vorgaben sollte in regelmäßigen Abständen erfolgen.

Zum Thema PKI führt Secorvo außerdem Workshops und Seminare durch. Außerdem können auch Workshops individuell zusammengestellt werden, einschließlich der Schulung für einzelne Produkte.

Neben diesen Leistungen bietet die Secorvo Security Consulting GmbH folgende Einzelleistungen an:

• Analyse von PKI Konzepten
• PKI Machbarkeitsstudien
• PKI Kostenmodelle
• Produktevaluierung für Hersteller
• Untersuchung rechtlicher Aspekte.

Ansprechpartner

Hans-Joachim Knobloch

Kontakt
Tel. +49 721 255171-0