Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

31.01.2003 - 

Zentrale Verschlüsselung, limitierter Regelsatz oder im Active Directory integrierte PKI

PKI light: Komfort heißt Verzicht

MÜNCHEN (sra) - Viele Firmen schrecken vor der Implementierung einer Public Key Infrastructure (PKI) zurück, da diese als schwierig, langwierig und kostspielig gilt. Mittlerweile reagieren Hersteller mit abgespeckten, pragmatischen Angeboten auf die Bedenken der Anwender. Allerdings wird eine größere Einfachheit in der Regel durch einen funktionalen Verzicht erkauft.

In der Praxis erweist sich die Implementierung einer PKI als kompliziert, langwierig und teuer. Daher konnte sich die Technik bisher außer bei Banken und Finanzdienstleistern nicht durchsetzen. Einige Anbieter haben versucht, aus diesen Schwierigkeiten zu lernen, und bieten nun eine Art abgespeckte PKI an. Die zugrunde liegenden Ansätze unterscheiden sich deutlich. Der PKI-Anbieter Baltimore beispielsweise setzt mit seiner "Trusted Business Suite" auf einen limitierten Regelsatz. Wie Jan Vekemans, Direktor Benelux, Central and Eastern Europe bei Baltimore in Brüssel, erläutert, soll diese Suite zusätzlich zur Infrastruktur die benötigten Anwendungen gleich mit zur Verfügung stellen und insofern die Wahlfreiheit der Benutzer einschränken.

Der größte Kostenblock dabei ist das Consulting, dessen es insbesondere für die Definition eines Regelwerks bedarf. Einfacher und billiger wird die PKI dadurch, dass sich Baltimore auf das beschränkt, was alle brauchen, auf den kleinsten gemeinsamen Nenner. Eine Policy decke die meisten Normalfälle ab. Das Produkt besteht aus der Basiskomponente "Applied Solutions Engine", die auf dem Server installiert wird und das limitierende Regelwerk beinhaltet, sowie den Modulen Document Signing, Form Signing, E-Mail, VPN, Web Access und Networks. Die Preise beginnen bei 60000 Euro.

Komplette PKI mit limitierenden Regeln

Die Vorzüge des Ansatzes von Baltimore: Wo ein Normalprojekt mehrere Monate an Installation und Präinstallation benötigt, kommt man nun den Angaben zufolge mit maximal drei Tagen aus. Das Produkt gewinnt laut Vekemans auch an Anwenderfreundlichkeit, da der Schlüsselaustausch fast automatisch erfolgt. Das einzige, was jemand, der eine Mail verschlüsseln möchte, zu sehen bekomme, sei die Abfrage von persönlicher Identifikationsnummer (PIN) und Passwort. Ausgeliefert wird eine komplette PKI, aber eben mit limitierenden Regeln. Damit nimmt der Anwender eine geringere Flexibilität in Kauf. Beispielsweise könnte eine Regel vorsehen, dass das Document Handling nur mit Portable Document Format (PDF) und Word erledigt wird und nicht mit Wordperfect.

Ein anderer Ansatz, den mehrere Hersteller verfechten, verlagert das Schlüssel-Management und die kryptografischen Operationen weg vom Endbenutzer auf ein zentrales E-Mail-Gateway: Eine solche Mini-PKI bietet keine Ende-zu-Ende-Sicherheit, da die lokale Kopie unverschlüsselt zum Gateway geschickt wird. Nachteilig ist außerdem, dass sofort viele Benutzer betroffen sind, sollte das Gateway einmal einem Angriff zum Opfer fallen. Dafür besteht aber immerhin die Sicherheit, dass ein bestimmtes Unternehmen der Absender ist und die Mail unterwegs nicht verändert wurde.

Die größere Einfachheit für den Benutzer wird also in einem gewissen Sinne durch eine geringere Sicherheit erkauft. Burt Kaliski, Director and Chief Scientist bei den RSA Laboratories, hält die Zentralisierung von Sicherheit dennoch für wichtig: "Für einen Benutzer ist es ungewöhnlich, einen öffentlichen und einen privaten Schlüssel zu haben. Man sollte hier ein Gleichgewicht zwischen Bequemlichkeit und Sicherheit anstreben", bekräftigt er. Private und öffentliche Schlüssel auf einem zentralen Gateway zu speichern stelle einen guten Kompromiss dar. Einige Vorteile des Konzepts: Viren- und Inhaltsscanner können auch auf verschlüsselte E-Mail angewendet werden. Vertretungs- und Sekretariatsregelungen lassen sich so einfach abbilden. Eine zentrale Administration von E-Mail-Sicherheit sowie Signatur und Verschlüsselung großer Mail-Volumina sind möglich.

Die Utimaco Safeware AG vertritt dieses Modell mit dem "Secure-E-Mail-Gateway". Das Produkt entschlüsselt und überprüft eingehende E-Mails und ist in der Lage, den ausgehenden Mail-Verkehr zu verschlüsseln und zu signieren. Die Signaturen lassen sich über die Einbindung so genannter Zeitstempeldienste erweitern. Ein Zeitstempel belegt eindeutig, wann ein Dokument in einer bestimmten Form vorgelegen hat. Der Anbieter Glück&Kanja aus Offenbach antwortet mit der "Crypto Ex Enterprise CA" auf die Interoperabilitätsprobleme zwischen verschiedenen Standards wie X.509 und Open PGP, indem das Tool Schlüssel für beide verwaltet. Der Aufbau zweier getrennter Infrastrukturen kommt für die Unternehmen meistens zu teuer.

Das Active Directory enthält eine Public Key Infrastructure

Die dritte Alternative, um mit relativ geringem Aufwand an eine PKI zu kommen, ist Windows Server (bisher: Windows .NET Server). Im Active Directory ist bereits eine PKI integriert. Sie empfängt und validiert Zertifikatsanfragen. Außerdem generiert, veröffentlicht und widerruft sie Zertifikate. Neu im Active Directory/Windows Server sind zum Beispiel Delta Certificate Revocation Lists (Delta CRLs). Dabei handelt es sich um Sperrlisten für Zertifikate, die nur die Änderungen seit der letzten vollständigen CRL veröffentlichen. Als Verbesserungen der Windows Server PKI gegenüber der Windows 2000 Server PKI gelten darüber hinaus das automatische Ausliefern von Computer- und Benutzerzertifikaten (man muss nicht mehr zum Helpdesk gehen), die Schlüsselarchivierung und -wiederherstellung sowie die Cross-Zertifizierung (etwa unter Geschäftspartnern: Eine Certification Authority ist sowohl "Wurzel" als auch "Untergeordnet").

Alle drei Ansätze verdienen Beachtung durch Anwender

Jörg Stangl, Consultant, und Johannes Susewind, Systemberater, beide bei ITC in Detmold, schätzen die Windows 2000/Windows Server PKI wegen ihrer Active-Directory- und Dienste-Integration. Wie sie in einem Vortrag auf dem Comconsult-Seminar "Windows .NET & PKI - die richtige Kombination?" erläuterten, verfügt diese PKI auch über gesicherte LAN/WAN-Authentisierung und basiert auf Standards. Die Berater bescheinigen ihr geringe Einsatzkosten sowie einfache Installation und Betrieb. Alle drei Ansätze verdienen eine sorgfältige Überprüfung.

Abb: Grundlagen: Public Key Infrastructure (PKI)

Schon die Idee klingt vertrackt: Zu einer PKI gehören Verschlüsselung und Authentisierung mit öffentlichen Schlüsseln. Dabei werden zwei Schlüssel verwendet, die einen mathematischen Bezug zueinander haben: Ein privater, der geheim gehalten wird, und ein öffentlicher, der an alle potenziellen Korrespondenten ausgegeben wird. Um eine geheime Nachricht zu übermitteln, codiert sie der Sender mit dem öffentlichen Schlüssel des Empfängers. Am anderen Ende kann sie dann der Empfänger mit seinem privaten Schlüssel decodieren. Bei der Authentisierung mittels öffentlicher Schlüssel signiert der Sender die Nachricht mit einem Zertifikat, das mit dem privaten Schlüssel des Senders verschlüsselt wurde (Schritt 1). Die Nachricht wird dann über das Netz übertragen (Schritt 2). Der Empfänger kann dann mit dem öffentlichen Schlüssel des Absenders überprüfen, ob die Nachricht wirklich von diesem stammt (Schritt 3). Quelle: ITC GmbH