Warum das Thema PKI im Forum VoIP? - Evaluierung von Public Key Infrastrukturen zum Einsatz in Unternehmensnetzen B. Sc. Jochen Kunkel Hochschule für Technik und Wirtschaft des Saarlandes 20. Oktober 2008 JK (HTWdS) Evaluierung von PKI 20. Oktober 2008 1 / 37
37
Embed
Warum das Thema PKI im Forum VoIP? - Evaluierung von ... · PDF fileOktober 2008 22 / 37. Grundlagen PKI Anbieter kostenpflichtiger Produkte Novell mit dem Produkt Novell Certificate
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Warum das Thema PKI im Forum VoIP?-
Evaluierung von Public Key Infrastrukturen zumEinsatz in Unternehmensnetzen
B. Sc. Jochen Kunkel
Hochschule für Technik und Wirtschaft des Saarlandes
20. Oktober 2008
JK (HTWdS) Evaluierung von PKI 20. Oktober 2008 1 / 37
Inhalt
1 Warum das Thema PKI im Forum VoIP?2 Grundlagen3 OpenXPKI4 MS-CA 20035 Vergleich6 Weiterführende Literatur7 Ende
JK (HTWdS) Evaluierung von PKI 20. Oktober 2008 2 / 37
Warum das Thema PKI im Forum VoIP?
Warum das Thema PKI im ForumVoIP?
JK (HTWdS) Evaluierung von PKI 20. Oktober 2008 3 / 37
Warum das Thema PKI im Forum VoIP?
Sicherheit im VoIP
Was wird angestrebt...
Vertraulichkeit durch VerschlüsselungKein Abhören
AuthentifizierungÜber Schlüsselpaare und nicht über IP
IntegritätKein Packet Injection
Anti ReplayKein erneuter Aufbau der Verbindung ohne das Wissen des originalen Senders
JK (HTWdS) Evaluierung von PKI 20. Oktober 2008 4 / 37
Warum das Thema PKI im Forum VoIP?
Medienstrom End-to-End
Lösungen Medienstrom End-to-End (RTP/RTCP)
1 SRTP/SRTCP(Applicationlayer) Hierfür wird ein Key Management Protokoll (KMP) benötigt.IETF schlägt MIKEY (RFC3830) vor.
2 IPsec(Networklayer) Verschlüsselung unter Verwendung von Zertifikaten.
3 RTP unter Verwendung von TLS/SSLnicht möglich da RT(C)P als Transportprotokoll UDP verwendet.
JK (HTWdS) Evaluierung von PKI 20. Oktober 2008 5 / 37
Warum das Thema PKI im Forum VoIP?
Signalisierung Hop-by-Hop
Lösungen Signalisierung Hop-by-Hop am Beispiel SIP
1 HTTP Basic und Digest AuthentificationPSK über Plaintext oder MD5 Challenge RFC3261
2 SIPSVerschlüsselung unter Verwendung von Zertifikaten und Transportprotokoll TCP RFC3261(Transportlayer)
3 S/MIMEVerschlüsselung unter Verwendung von Zertifikaten RFC3261 (Applicationlayer)
4 IPsecVerschlüsselung unter Verwendung von Zertifikaten (Networklayer)
JK (HTWdS) Evaluierung von PKI 20. Oktober 2008 6 / 37
Grundlagen
Kryptographische Grundlagen
Kryptographie, Zertifikate und PKI
JK (HTWdS) Evaluierung von PKI 20. Oktober 2008 7 / 37
Grundlagen
Kryptographische Grundlagen
Übersicht der Methoden
1 Symmetrische Verschlüsselung
2 Asymmetrische Verschlüsselung
3 Hybride Verschlüsselung
4 Digitale Signatur
JK (HTWdS) Evaluierung von PKI 20. Oktober 2008 8 / 37
Grundlagen
Kryptographische Grundlagen
Symmetrische Verschlüsselung
Verschlüsselungsfunktion f mit der Umkehrfunktion f−1
Abbildung: Modell der symmetrischen Verschlüsselung
JK (HTWdS) Evaluierung von PKI 20. Oktober 2008 9 / 37
Grundlagen
Kryptographische Grundlagen
Asymmetrische Verschlüsselung
Asymmetrische Verschlüsselungmodell wird auch als Public-Key-Verfahren bezeichnet
Abbildung: Modell der asymmetrischen Verschlüsselung
JK (HTWdS) Evaluierung von PKI 20. Oktober 2008 10 / 37
Grundlagen
Kryptographische Grundlagen
Hybride Verschlüsselung z.B. TLS
Kombination aus symmetrischer und asymmetrischer Verschlüsselung.Asymmetrisch wird ein symmetrischer Session Key bereitgestellt.
JK (HTWdS) Evaluierung von PKI 20. Oktober 2008 11 / 37
Grundlagen
Kryptographische Grundlagen
Digitale Signatur
Abbildung: Modell der asymmetrischen Signatur
Integrität von Daten
JK (HTWdS) Evaluierung von PKI 20. Oktober 2008 12 / 37
Grundlagen
Probleme:
Woher weiß Bob dass x der öffentliche Schlüssel von Allice ist?
Angriffsmuster "Man in the Middle"
Wie kann man den Schlüssel mit der Identität von Allice verknüpfen?
Lösung ist ein von einer PKI ausgestelltes Zertifikat
JK (HTWdS) Evaluierung von PKI 20. Oktober 2008 13 / 37
Grundlagen
Zertifikate nach X.509 v.3
Aufbau eines X.509 v3 Zertifikates nach RFC3280
Öffentlicher Schlüssel
+Namen bzw. System Identifikation
Seriennummer
Gültigkeitsdauer
und weitere
Der komplette Inhalt wird von einer vertrauenswürdigen Instanz digital signiert.
JK (HTWdS) Evaluierung von PKI 20. Oktober 2008 14 / 37
Grundlagen
Zertifikate nach X.509 v.3
ZertifikatsketteIn Zertifikatsketten (eng. certificate chains) sind alle Zertifikate enthalten, die zur Validierung desZertifikates benötigt werden.
Abbildung: Zertifikatskette
JK (HTWdS) Evaluierung von PKI 20. Oktober 2008 15 / 37
Grundlagen
PKI
EinleitungDie Public Key Infrastruktur (PKI, engl. public key infrastructure) ist ein System, dass zumAusstellen, Verteilen und Verifizieren von digitalen Zertifikaten verwendet wird.
JK (HTWdS) Evaluierung von PKI 20. Oktober 2008 16 / 37
Grundlagen
Aufbau einer PKI
Abbildung: Modell einer PKI
CA Zertifizierungsstelle (Certificate Authority)
RA Registrierungsstelle (Registration Authority)
VA Validierungsdienst (Validation Authority)
JK (HTWdS) Evaluierung von PKI 20. Oktober 2008 17 / 37
Grundlagen
Validierung von Zertifikaten
Offline-Protokolle des Validierungsdienstes
Lightweight Directory Access Protocol (LDAP)
Hypertext Transfer Protocol (HTTP)
File Transfer Protocol (FTP)
Storing Certificates in the Domain Name System (DNS) nach RFC2538
Network File System (NFS)
Server Message Block/Common Internet File System (SMB/CIFS)
JK (HTWdS) Evaluierung von PKI 20. Oktober 2008 18 / 37
Speicherung privater Schlüssel in Hardware und Software
Datenbanksupport
Verschiedene Schnittstellen (engl. Interfaces) Web, SCEP und Perl
Flexibilität durch Workflows
Self-Service Anwendung für Smartcard/-token Personalisierung
Template-basierende Zertifikatserweiterungen
i18n (gettext)
Ticketing-Software Support (z.Z. Request Tracker)
JK (HTWdS) Evaluierung von PKI 20. Oktober 2008 25 / 37
OpenXPKI
Aufbau
Abbildung: Architektur der OpenXPKI
JK (HTWdS) Evaluierung von PKI 20. Oktober 2008 26 / 37
OpenXPKI
Vorteile hinsichtlich VoIP
Erstellen von Workflows, welcher die ENUM und DNS Einträge automatisiert anlegt
Erstellen spezieller Zertifikatstemplates für VoIP Telefone (vordefinierter CN ...)
...
JK (HTWdS) Evaluierung von PKI 20. Oktober 2008 27 / 37
OpenXPKI
Zukunft des Projektes
erste “stabile” Version 1.0 (Ende 2008)
Schnittstelle für CMP über DCOM oder HTTP
Gedanken über “Private Key Backup”
Lastverteilung / Redundance
JK (HTWdS) Evaluierung von PKI 20. Oktober 2008 28 / 37
MS-CA 2003
MS-CA
Microsoft Windows Server 2003PKI
JK (HTWdS) Evaluierung von PKI 20. Oktober 2008 29 / 37
MS-CA 2003
Was kann MS-CA?
1 Zertifikate anhand von vordefinierten Templates ausstellen
2 Integration in das ADS
3 Automatisches Zertifikatsrollout
4 SCEP (über kostenfreie Zusatzsoftware)
5 CMP über DCOM RFC2797
6 viel kostenpflichte Drittanbietersoftware (Aladdin TMS ...)
JK (HTWdS) Evaluierung von PKI 20. Oktober 2008 30 / 37
MS-CA 2003
Aufbau
Abbildung: Architektur der MS PKI
JK (HTWdS) Evaluierung von PKI 20. Oktober 2008 31 / 37
MS-CA 2003
Versionen
Leistungsmerkmale der MS-CA Versionen
Bearbeiten vonTemplates
SchlüsselArchivierungund Backup
Auto-Enrollment
Delta CRL Eingeschränkender SubCA
Server 2003 Enterprise nur EnterpriseCA
Ja User + Com-puter
Ja Ja
Server 2003 Standard Computer Ja Ja2000 Server Computer
JK (HTWdS) Evaluierung von PKI 20. Oktober 2008 32 / 37
MS-CA 2003
Änderungen von MS-CA in der Serverversion 2008
neuer Name ADCSOnlinevalidierung mit OCSP
verbesserte Administration durch Powershell und neuen übersichtlicheren Tools
???
JK (HTWdS) Evaluierung von PKI 20. Oktober 2008 33 / 37
Vergleich
Vergleich
OpenXPKI vs. MS-CA
JK (HTWdS) Evaluierung von PKI 20. Oktober 2008 34 / 37
Vergleich
OpenXPKI vs. MS-CA
OpenXPKI Microsoft CA
+ Sicherheit der Privaten Schlüssel einfache Automatisierung(CRL und Zertifikate)
Modular Konfiguration über einfachesBenutzerinterface (MMC)
einfach erweiterbar einfaches Backupviele Add-Ons ADS-Integrationanpassbarer Workflow gute Dokumentation und LiteraturPKI Realms und CA Rollover einfache Installation(Erweiterung des Schalenmodells)kostenfreie Software Key Recovery und Key BackupAnbindung an Ticketingsystem- komplexe Konfiguration und Installation nicht geschützter CA-Keykeine Automatisierung tief im Betriebssystem verankertkein Key-Backup Closed SourceProdukt nicht zertifiziert schlechte Einbindung neuer Modulekaum Dokumentation keine PKI Realms UnterstützungProdukt im Betastadium kostenpflichtig
komplexe Lizenzierungreines Schalenmodell
JK (HTWdS) Evaluierung von PKI 20. Oktober 2008 35 / 37
BARTOSCH, Martin ; BARTOSCH, Martin (Hrsg.):Architecture White Paper OpenXPKI v0.2 / Cynops GmbH.2005. –Forschungsbericht. –http://www.openxpki.org/docs/OpenXPKI-Architecture-Overview.pdf
KLINK, Alexander ; BELL, Michael:Building an Open Source PKI using OpenXPKI / Chaosradio Podcast Network.CCC, 2006. –Forschungsbericht. –http://chaosradio.ccc.de/23c3_m4v_1596.html
KOMAR, Brian:Microsoft Windows Server 2003 Pki and Certificate Security (Pro - One-Offs).Redmond, WA, USA : Microsoft Press, 2004. –ISBN 0735620210
KUNKEL, Jochen:Evaluierung von Public Key Infrastrukturen zum Einsatz in Unternehmensnetzen / HTWdS.jkunkel, 2008. –Forschungsbericht. –http://smiler.hellroot.de/src/dfn/Bachelor-Thesis-Jochen-Kunkel-2008.pdf
JK (HTWdS) Evaluierung von PKI 20. Oktober 2008 36 / 37