• Keine Ergebnisse gefunden

Schaffung einer Infrastruktur für vertrauenswürdiges eBusiness

N/A
N/A
Info
Herunterladen
Protected

Academic year: 2022

Aktie "Schaffung einer Infrastruktur für vertrauenswürdiges eBusiness"

Copied!
4
0
0

Wird geladen.... (Jetzt Volltext ansehen)

Jetzt herunterladen ( 4 Seite )

Volltext

(1)

375

Schaffung einer Infrastruktur für vertrauenswürdiges eBusiness

Peter Steiert, Stephan Wappler, Thomas Störtkuhl

TeleTrust Deutschland e.V. noventum consulting GmbH secaron AG Charmissostrasse 11 Münsterstraße 111 Ludwigstraße 55 99096 Erfurt 48155 Münster 85399 Hallbergmoos peter.steiert@teletrust.de stephan.wappler@noventum.de stoertkuhl@secaron.de

Abstract: Im nachfolgenden Dokument wird ein Überblick über das Projekte

„European Bridge-CA“ (EB-CA) des TeleTrusT Deutschland e.V. gegeben. Nach einer kurzen Einführung in die Problematik des unternehmensübergreifenden, sicheren elektronischen Datenaustauschs wird die Funktionsweise der European Bridge CA beschrieben. Anschließend wird die im Rahmen der EBCA existierende Teststellung zur Evaluierung von Produkten zur möglichen funktionalen Erweiterung der EBCA um einen zentralen LDAP-Proxy und einen zentralen OCSP-Responder Service und deren Funktionsweise vorgestellt.

1 Einführung

Um eine organisationsübergreifende, vertrauenswürdige Kommunikation über digitale Signatur bzw. Verschlüsselung zu ermöglichen, bedarf es einer interoperablen Infrastruktur. Diese muss neben der Festlegung von Protokollen, Schnittstellen sowie des organisatorischen und rechtlichen Rahmens zwischen den Organisationen auch folgende Funktionalitäten bereitstellen: vertrauenswürdiger Austausch von Wurzelzertifikaten oder Cross-Zertifizierung, die Möglichkeit des Zugriffs auf die Partnerverzeichnisdienste und die Validierungsmöglichkeit der Partnerzertifikate.

Der TeleTrusT Deutschland e.V. stellt mit seinem Projekt „European Bridge-CA“ (EB- CA) eine Infrastruktur für Anwendungen zur Verfügung, die auf digitalen Signaturen und Verschlüsselung aufbauen. Die EB-CA als ein praxiserprobter/-tauglicher Lösungsansatz ermöglicht bereits jetzt den vertrauenswürdigen Austausch von Wurzelzertifikaten über eine signierte Liste und legt den organisatorischen Rahmen für die Teilnahme an der EB-CA und zwischen den Teilnehmern fest. Um den Mehrwert für die Teilnehmer der EB-CA zu erhöhen, wird derzeit ein zentraler LDAP-Proxy als zentraler Verzeichnisdienstservice und ein zentraler OCSP-Responders als zentraler Validierungspunkt aus einem Testbetrieb in einen Regelbetrieb überführt.

(2)

376

2 Die Funktionsweise der European Bridge-CA

Als derzeitige Dienstleistung der EB-CA steht den Teilnehmern eine signierte Liste von vertrauenswürdigen Wurzelzertifikaten zur Verfügung. Diese Liste bildet eine gemeinsame Basis für unterschiedliche Public Key Infrastrukturen, die in den einzelnen Organisationen betrieben werden. Diese Organisationen stellen ihre Wurzelzertifikate der EB-CA zur Verfügung, worauf diese die Einhaltung der Mindestanforderungen überprüft und einen rechtlich bindenden Vertrag mit den einzelnen Teilnehmern eingeht.

Nach Abschluss dieser Arbeiten wird das Wurzelzertifikat in die Liste mit aufgenommen und den anderen Teilnehmern zur Verfügung gestellt.

Zur Gewährleistung des Vertrauenslevels definiert die EB-CA Mindestanforderungen, zu deren Einhaltung sich alle Teilnehmer verpflichten. Um den Mitgliedern der EB-CA einen transparenten Einblick in das Sicherheitsumfeld der anderen Mitglieder zu geben, stehen allen Mitgliedern der EB-CA die Policies der anderen Teilnehmer zur Einsichtnahme zur Verfügung. Somit können diese bewerten, ob sie mit einer anderen Organisation vertrauenswürdig elektronisch kommunizieren wollen und ob deren Anforderungen den eigenen entsprechen.

3 Zukünftige funktionale Erweiterungen der EB-CA

Um einen noch höheren Nutzen zu erzielen, stellt die EB-CA derzeit eine Testplattform für die Bridge-CA Liste, für einen LDAP Verzeichnisdienstproxy und OCSP-Responder zur Verfügung.

3.1 Der LDAP-Verzeichnisdiensproxy

Wer Verzeichnisdienstinformationen über Unternehmensgrenzen hinweg verteilen will, kommt nicht umhin, einen Verzeichnisdienstproxy einzusetzen. Dieser Verzeichnisdienstproxy fungiert als Bridge-Directory. Seine Funktionsweise ist in Abbildung 1 dargestellt und wird nachfolgend an einem Beispiel erläutert.

LDAP Proxy Service Verzeichnisdienst

des Unternehmens W CA des

Unternehmens W

Verzeichnisdienst des Unternehmens X CA des

Unternehmens X

Verzeichnisdienst des Unternehmens Z CA des

Unternehmens Z

Verzeichnisdienst des Unternehmens Y CA des

Unternehmens Y Bridge-CA

Peer-to-Peer Vertrauensbeziehung

Server-Server- Kommunikation

Abbildung 2: Funktionsweise eines Bridge-Directories

(3)

377

Ein Benutzer A aus Unternehmen X möchte einem Benutzer B aus Unternehmen Y eine verschlüsselte Mail zuschicken. Hierfür benötigt er das Zertifikat des Benutzers B, ausgestellt von der CA des Unternehmens Y. Benutzer A gibt an seinem Client die E- Mailadresse des Benutzers B ein und dieser stellt eine Anfrage an den Directory Server des Unternehmens X. Dieser Server hat jedoch kein Zertifikat des Benutzers B und leitet deshalb die Anfrage an das Bridge Directory weiter. Das Bridge Directory verfügt nun über eine Regel, die dafür Sorge trägt, dass die Anfrage an den Directory Server des Unternehmens Y ebenso weitergeleitet wird. Die richtige Auswahl des anzufragenden Directory Servers erfolgt beim Bridge Directory. Die Anfrage wird gemäß dem Domänennamen des Unternehmens Y (der ja in der E-Mailadresse enthalten ist) ausgewertet, die Konfigurationsdaten des Directories des Unternehmens Y ausgewählt und die Anfrage entsprechend weitergeleitet. War die Anfrage erfolgreich, dann wird das Ergebnis über das Bridge Directory an den anfragenden Client weitergeleitet.

Das Bridge-Directory verfügt dabei nicht nur über Schutzmechanismen z.B vor Zugriffen von außen (etwa Spam-Angriffe), sondern stellt auch einen Single Point of Administration dar. Alle E-Mail-Clients werden nur mit einem einzigen Verzeichnisdienst-Eintrag, nämlich den Zugangsdaten zum Proxy, konfiguriert und alle Partnerverzeichnisdienste werden zentral am Proxy eingestellt und administriert.

Der Betrieb eines solchen Proxies im Rahmen einer Bridge-CA stellt einen Mehrwert für Unternehmen jeglicher Größe dar, da z.B. Unternehmen das Bridge-Directory auch dann nutzen können, wenn sie über keinen eigenen Verzeichnisdienst verfügen (Client greift direkt auf das Bridge-Directory zu). Unternehmen mit eigenen Verzeichnisdiensten können das Bridge-Directory z.B. auf ihren Verzeichnisdienstservern für Zertifikatsanfragen eintragen.

Die Firma noventum wird im Rahmen der Teststellung der EB-CA das Bridge-Directory als öffentlichen Dienst zur Verfügung stellen.

3.2 Der OCSP Responder Service

Analog zur dargestellten Kommunikation bzgl. Zertifikatsabfrage kann das Problem der Validierung von Zertifikaten durch einen Bridge OCSP Responder realisiert werden.

Grundlage der Kommunikation ist hier das OCSP Protokoll (Online Certificate Status Protocol). Die Funktionsweise des Bridge OCSP Servers wird an dem bereits oben eingeführten Beispiel für das Bridge-Directory erläutert (siehe Abbildung 2).

(4)

378

OCSP des Unternehmens W CA des

Unternehmens W

OCSP des Unternehmens X CA des

Unternehmens X

OCSP des Unternehmens Z

CA des

Unternehmens Z

OCSP d Unterne CA des

Unternehmens Y

Bridge-CA

Peer-to-Peer Vertrauensbeziehung

Server-Server- Kommunikation Bridge-OCSP

Responder

Abbildung 2: Routingfunktionalität des Bridge OCSP Servers

Ein Benutzer A aus Unternehmen X möchte einem Benutzer B aus Unternehmen Y eine verschlüsselte Mail zuschicken. Er hat das Zertifikat des Benutzers B aus dem Unternehmen Y bereits über das Bridge Directory wie oben beschrieben erhalten. Bevor Benutzer A das Zertifikat des Benutzers B zur Verschlüsselung verwenden kann, muss es auf Gültigkeit überprüft werden. Dazu schickt Benutzer A einen OCSP Request an den OCSP Server des Unternehmens X. Dieser Server leitet diese Anfrage an den Bridge OCSP Server weiter, der die Anfrage zum OCSP Server des Unternehmens Y weiterreicht. Der OCSP Server aus Unternehmen Y ist für das Zertifikat des Benutzers B aus Unternehmen B zuständig und kann deshalb die Statusabfrage für das Zertifikat des Benutzers B beantworten. Seine Antwort schickt er über den Bridge OCSP Server an den OCSP Server des Unternehmens X, der die Antwort an den anfragenden Client durchreicht.

Die OCSP Server müssen so konfiguriert werden, dass sie anhand der Informationen der Anfrage entscheiden können, welcher OCSP Server anzufragen ist oder ob sie selbst für die Anfrage zuständig sind. Damit kann die oben skizzierte Kommunikationskette zwischen den OCSP Servern regelbasiert automatisch aufgebaut werden.

Die OCSP-Unterstützung auf Client-Seite ist bei vielen Firmen in Planung, jedoch noch nicht überall vorhanden. Um mit Standard-Produkten (z.B. Outlook, IE, etc.) testen zu können, stellt die Firma Secaron AG neben einem öffentlichen OCSP Responder Server (siehe www.openvalidation.org) außerdem den OCSP-Client „ValidationWorks!“ zur Verfügung.

4 Zusammenfassung

Bei der derzeitigen Implementierung der EB-CA liegt der Fokus vorwiegend auf der sicheren und vertrauenswürdigen Kommunikation mittels E-Mail. Mit den geplanten funktionalen Erweiterungen Verzeichnisdienstproxy und OCSP-Responder wird jedoch das Fundament zum Einsatz organisationsübergreifender Kommunikation geschaffen, die von unterschiedlichen Anwendungen (Web, E-Mail, Portale) in Zukunft genutzt werden kann. Dann lässt sich eine umfassende Kosteneinsparung für eine unternehmenseigene PKI erzielen, da sie interoperabel für eine Vielzahl von Einsatzszenarien verwendet werden kann.

Referenzen

Jetzt herunterladen ( PDF - 4 Seite - 87.54 KB )

ÄHNLICHE DOKUMENTE

CA PMA und CA MAT mit Application Performance Management

– Bei NOAWO (Compilerdefault) geschieht diese Prüfung nicht sondern der Buffer wird weggeschrieben, wenn der längste, im Programm definierte Satz nicht mehr in den Buffer paßt. –

ca AD

The standard-size drawing sheet files, ASIZE_SCH through ESIZE.SCH, were created using the LAYS.SCH layer structure. When loaded, they provide the correct layer

mit einem Beschäftigungsvolumen von ca

Auch beide S-Bahnen und ihre Verkehrsleistungen müssen durch die Aufgabenträger nach Ablauf der Verkehrsverträge ausgeschrieben werden.. Die bisherige Praxis war, dass die Systeme

Für die Notunterkunft, in der ca

Also das, ich denke einfach, wenn, wenn es, wenn die Kinder oder die Jugendlichen sagen, das war eine tolle Geschichte, das war eine tolle Freizeit, dann ist das für mich

CA-LEASING - HIGH TECH ZUM NUTZEN DER KUNDEN

Sehr bald zeigte sich, daß durch ei- ne Produktkombination aus Image, Archiv- und Workflow-System, un- ter Integration der CA-leasingspe- zifischen Applikationen, der größte Nutzen

Toscana bilingue (1260 ca.–1430 ca.)

Come accennato, a Firenze intorno al 1324 si volgarizzano gli Ordinamenti di giustizia, 46 emblema della legislazione antimagnatizia, e una decina di anni dopo lo Statuto della

The Ca

littoralis larvae gained as much weight on cml37 × cml42 as on wild type plants, suggesting the positive effect of cml37 and the negative effect of cml42 on the larval weight

Ursprungsbaujahr: ca. ___ Baujahr der Erweiterung: ca._______

Anzahl der Stellplätze: Miete je Stellplatz: €/Monat Anzahl der Garagen: Miete je Garage: €/Monat Anzahl der Tiefgarageneinstellplätze: Miete je Tiefgarageneinstellplatz: