Referenzhandbuch
10 Virtual Private Networks - VPN
(erstellt mit dem Private Key der CA) mit dem Public Key der CA entschlüsselt werden, dann ist die Signatur gültig
und dem Zertifikat kann vertraut werden.
1
Im nächsten Schritt prüft die Zentrale dann die Signatur der verschlüsselten Prüfsumme. Der Public Key der Filiale
aus dem entsprechenden Zertifikat wurde im vorigen Schritt für gültig befunden. Daher kann die Zentrale prüfen,
ob die signierte Prüfsumme mit dem Public Key der Filiale entschlüsselt werden kann. Die Zentrale kann die
gleiche Prüfsumme aus dem Schlüsselmaterial der aktuellen Verbindung berechnen wie die Filiale. Wenn diese
Prüfung erfolgreich ist, kann der Peer „Filiale" als authentifiziert angesehen werden.
10.7.6 Zertifikate von Zertifikatsdiensteanbietern
Die von öffentlichen Zertifikatsstellen angebotenen Zertifikate können in der Regel in verschiedenen Sicherheitsklassen
beantragt werden. Mit höherer Sicherheit steigt dabei jeweils der Aufwand des Antragstellers, sich gegenüber der CA
mit seiner Identität zu authentifizieren. Die Trustcenter AG in Hamburg verwendet z. B. die folgenden Klassen:
1
Class 0: Diese Zertifikate werden ohne Prüfung der Identität ausgestellt und dienen nur zu Testzwecken für
Geschäftskunden.
1
Class 1: Hier wird nur die Existenz einer E-Mail-Adresse geprüft. Diese Stufe eignet sich für private Anwender, die
z. B. Ihre E-Mails signieren möchten.
1
Class 2: Auch in dieser Stufe findet keine persönliche Identitätsprüfung statt. Die Übersendung eines Antrags mit
einer Kopie z. B. eines Handelsregisterauszugs ist ausreichend. Diese Stufe eignet sich daher für die Kommunikation
zwischen Unternehmen, die vorher untereinander bekannt sind.
1
Class 3: In dieser Stufe wird die Person oder das Unternehmen persönlich überprüft. Dabei werden die Angaben in
dem ausgestellten Zertifikat mit denen im Pass bzw. einer beglaubigten Kopie des Handelsregisterauszugs verglichen.
Diese Stufe eignet sich für fortgeschrittene Anwendungen z. B. im e-Business oder Online-Banking.
Wenn Sie mit einem öffentlichen Zertifikatsdiensteanbieter zusammenarbeiten, prüfen Sie genau die angebotenen
Sicherheitsstufen bzgl. der Prüfung der Identität. Nur so können Sie feststellen, ob die verwendeten Zertifikate auch
tatsächlich Ihrer Sicherheitsanforderung entsprechen.
10.7.7 Aufbau einer eigenen CA
Die Nutzung von öffentlichen CAs ist für die sichere Unternehmenskommunikation nur bedingt empfehlenswert:
1
Die Ausstellung von neuen Zertifikaten ist aufwändig und manchmal nicht schnell genug.
1
Die verwendeten Schlüssel werden über unzureichend gesicherte Verbindungen übertragen.
1
Die Kommunikation basiert auf dem Vertrauen gegenüber der CA.
Als Alternative eignet sich daher für die Unternehmenskommunikation der Aufbau einer eigenen CA. Hierfür bieten sich
z. B. die Microsoft CA auf einem Microsoft Windows 2003 Server oder OpenSSL als OpenSource-Variante an. Mit einer
eigenen CA können Sie ohne Abhängigkeit von fremden Stellen alle benötigten Zertifikate zur Sicherung des
Datenaustauschs selbst erstellen und verwalten.
Der Einsatz einer eigenen CA ist für Unternehmen sicherlich eher zu empfehlen als die Nutzung öffentlicher Anbieter für
Zertifizierungsdienste. Allerdings sind schon bei der Planung einer CA einige wichtige Punkte zu beachten. So werden
z. B. schon bei der Installation einer Windows-CA die Gültigkeitszeiträume für die Root-CAs festgelegt, die nachträglich
nicht mehr geändert werden können. Weitere Aspekte der Planung sind u.a.:
1
Die Zertifikats-Policy, also die Sicherheitsstufe, die mit Hilfe der Zertifikate erreicht werden soll
1
Der verwendete Namensraum
1
Die Schlüssellängen
1
Die Lebensdauer der Zertifikate
1
Die Verwaltung von Sperrlisten
Eine genaue Planung zahlt sich auf jedem Fall aus, da spätere Korrekturen teilweise nur mit hohem Aufwand zu realisieren
sind.
584