SlideShare ist ein Scribd-Unternehmen logo
1 von 33
Downloaden Sie, um offline zu lesen
Wer bin ich?
Authentifizierung durch Zertifikate
Stefan Bamberg | Senior Key Account Manager
stefan.bamberg@wibu.com
Philipp Lüdtke| R&D Software
philipp.luedtke@wibu.com
Einführung in Zertifikate
Einsatzszenarien
CodeMeter Certificate Vault
Wer bin ich?
224.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
Nachweis der Identität – Beispiele
▪ In bestimmten Situationen müssen sich Personen ausweisen, d.h. sie
müssen ihre Identität rechtssicher nachweisen, z.B.:
▪ Polizeikontrollen
▪ Eröffnen eines Bankkontos
▪ Neuanmeldung eines Fahrzeugs
▪ Kauf von Alkohol (Altersnachweis)
▪ Antreten eines Fluges
▪ u.v.m.
324.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
Nachweis einer Identität – Prozess
Behörde
Stellt Ausweis aus
Prüft Ausweis
Nachweis der Identität durch Ausweis
Ergebnis der
Prüfung
Freigabe oder Ablehnung
424.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
Nachweis der Identität – Digital und automatisiert?
▪ Für sichere digitale Kommunikation und sichere Netzwerke ist
Authentifizierung unabdingbar
▪ Personen müssen sich gegenüber Maschinen/Anwendungen authentifizieren
▪ Maschinen müssen sich gegenüber Maschinen authentifizieren
Wie bekommen wir das hin
?
524.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
(X.509v3) Zertifikate
Asymmetrische Kryptographie
Digitale Zertifikate
PKI
624.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
Exkurs: Asymmetrischen Kryptographie
▪ Symmetrische Kryptographie
▪ Ein Schlüssel zum Ent- und Verschlüsseln
▪ AES (Advanced Encryption Standard) ist ein symmetrisches Verfahren
▪ Wird aufgrund der Schnelligkeit für große Datenmenge eingesetzt
▪ Asymmetrische Kryptographie = Public Key Kryptographie
▪ Schlüsselpaar: privater und öffentlicher Schlüssel
▪ Aus dem öffentlichen Schlüssel kann nicht der private Schlüssel berechnet werden
▪ RSA (benannt nach Rivest, Shamir und Adleman) ist ein asymmetrisches Verfahren
724.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
Beispiel E-Mail-Verschlüsselung
▪ Einsatz asymmetrischer Kryptographie
▪ Alice möchte Bob eine verschlüsselte E-Mail senden
▪ Herausforderung: Schlüsselverteilung
▪ Lösung: Digitales Zertifikat
Alice Bob
Bobs öffentlicher Schlüssel
Verschlüsselt mit Bobs
öffentlichem Schlüssel
Bobs privater
Schlüssel
824.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
Was ist ein digitales Zertifikat?
▪ Ein digitales Zertifikat
▪ verknüpft Identitäten mit kryptographischen Schlüsseln
▪ enthält Informationen über eine Entität (Prozessbeteiligte)
▪ enthält den öffentlichen Schlüssel der Entität
▪ hat einen standardisierten Aufbau (RFC 5280)
▪ besitzt eine Signatur über die enthaltenen Informationen
▪ lässt sich durch kryptografische Verfahren auf Echtheit überprüfen (Authentizität)
▪ lässt sich durch kryptografische Verfahren auf Unversehrtheit überprüfen (Integrität)
924.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
Aufbau eines x.509v3-Zertifikats
▪ Ein digitales Zertifikat nach X.509v3 hat u.a. folgende Inhalte:
▪ Versionsnummer und Seriennummer
▪ Name des Ausstellers
▪ Name des Inhabers
▪ Gültigkeitsdauer
▪ Informationen zum öffentlichen Schlüssel des Inhabers
▪ Informationen zum Verwendungszweck des Zertifikats („Extensions“)
▪ Digitale Signatur
▪ Verwendete kryptographische Algorithmen
1024.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
Beispiel: Inhalt eines Zertifikats (Demo)
1124.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
Public Key Infrastructure (PKI)?
Nachweis der Identität – Analog vs. Digital
Stellt Ausweis aus
Prüft Ausweis
Ergebnis
der
Prüfung
Freigabe oder Ablehnung
Stellt Zertifikat aus
Prüft Zertifikat
Freigabe oder Ablehnung
Staat
1224.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
Public Key Infrastructure (PKI)
▪ Eine PKI
▪ ist tatsächliche eine Infrastruktur – nicht nur ein Softwareprogramm
▪ besteht aus Zertifizierungsstellen (Certificate Authorities, CA) (+ Prozessen)
▪ ist hierarchisch aufgebaut
▪ Root-CA
▪ Davon abgeleitete Subordinate-CA
▪ Jede Zertifizierungsstelle besitzt ein Schlüsselpaar und ein Zertifikat
▪ stellt Zertifikate aus und verwaltet sie
1324.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
PKI Aufbau – Beispiel
Root-CA
Sub-CA
B
Sub-CA
A
Sub-CA
C
signiert Endanwender-
Zertifikate
selbst signiertes
Root-Zertifikat
signiert Sub-CA
Zertifikate
1424.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
Beispiel Ausrollen der Zertifikate
▪ Ausrollen der Zertifikate
Root-CA
1. Signierter
Zertifikatsantrag (CSR)
Alice 3. Alices Zertifikat
signiert von CA
2. Prüft Identität
von Alice
1524.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
Root-CA
Beispiel Zertifikatsprüfung
▪ Zertifikatsprüfung
Bob prüft:
1. Vertraue ich der Root-CA von Alice?
2. Ist das Root-CA Zertifikat gültig?
3. Ist Alices Zertifikats gültig?
Alice Bob
Bob vertraut
1624.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
Einsatzszenarien
1724.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
Einsatzszenarien
▪ E-Mail-Verschlüsselung/Signatur, Dokumentensignatur
▪ z.B. Microsoft Outlook, Mozilla Thunderbird, Adobe Acrobat, OpenOffice, …
▪ Absicherung der Kommunikation im Web
▪ z.B., HTTPS bzw. TLS, VPN, …
▪ Authentifizierung an Maschinen und Anwendungen
▪ z.B. Windows Smartcard Logon, SSH, …
▪ Sichere Kommunikation und Authentifizierung im industriellen Umfeld
▪ z.B. OPC UA, …
1824.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
Herausforderungen
▪ Ausrollen der Zertifikaten
▪ Wie wird die Berechtigungsprüfung durchgeführt?
▪ Wie erfolgt die technische Verteilung der Zertifikate?
▪ Wo bewahre ich die Schlüssel sicher auf?
▪ Zurückziehen von Zertifikaten
▪ Wie erfolgt die Berechtigungsprüfung?
▪ Wie wird die Sperrung bekannt gegeben?
▪ Wann wird die Prüfung durchgeführt (Time of Revocation vs. Time of Check)?
1924.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
CodeMeter Certificate Vault
2024.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
Warum CodeMeter Certificate Vault
▪ Vereinfachung des Gesamtprozess der Zertifikatsnutzung
▪ Unterstützung der Standardschnittstellen PKCS#11, KSP und OpenSSL
▪ Enrollment und Update von Schlüsseln/Zertifikaten über CodeMeter License Central
online und offline möglich
▪ Einbindung der CodeMeter License Central in bestehende Verwaltungssysteme
über Webservice-Schnittstellen
▪ Speicherung der Schlüssel und Zertifikate in einem sicheren
Hardwareanker (Dongle)
▪ Ablage der Schlüssel und Zertifikate in einem CmDongle mit Security Smartcard
Chip (Infineon SLE97)
2124.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
Einsatzszenario Industrie
▪ Nutzung für Sicherheit im industriellen Umfeld
▪ OPC UA (Standard für den plattformunabhängigen Datenaustausch)
2224.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
Sicherer Anker für Schlüssel und Zertifikate
Viele
Bauformen
Eine
Technologie
2324.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
Nutzung bewährter Technologie
▪ Lizenzeintrag = Firm Code | Product Code
▪ Firm Code: von Wibu-Systems vergeben
▪ Product Code:
▪ Vom Hersteller gewählt
▪ 4 Mrd. Product Codes (UInt32)
▪ Product Item Options: Jede Lizenz kann
kombinierbare Optionen besitzen
▪ Unter anderem Speicher für Schlüssel und Zertifikate
Firm Code: 6.000.010
…
Product Item Options
Product Code: 201.000
Product Item Options
Product Code: 201.001
Product Item Options
Product Code: 201.002
2424.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
Product Item Options
Text
License Quantity
Activation Time
Expiration Time
License Transfer
Linger Time
User Data
Protected Data/
Extended Protected Data
Customer Own License
Information
Named User License Hidden Data
Secret Data
Usage Period
Unit Counter
Feature Map
Maintenance Period
Minimum Runtime Version
Module Items
2524.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
Lizenzstruktur
Firm Code1
Product Code1 Secret data
Protected data
Product Item Option
…
Product Code2
…
Secret data
Protected data
Product Item Option
…
2624.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
Speicherung von Schlüsseln und Zertifikaten
▪ Mittels Product Codes kann man viele Schlüssel und Zertifikate auf einem
einzigen CmDongle speichern:
▪ Ein Kopieren ist durch die Speicherung im Smartcard-Chip nicht möglich!
▪ Protected/Extended Protected Data für die Speicherung von Zertifikaten
▪ Secret Data für Schlüsselspeicherung
▪ Kann nicht ausgelesen werden!
▪ Nur Nutzung des Schlüssels möglich
▪ Jeder Product Code repräsentiert über die obigen Product Item Options einen
Schlüssel/Zertifikat
▪ Update der CmDongles online und offline (im industriellen Umfeld) möglich
2724.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
Unterstützung von Standardprotokollen
▪ CodeMeter Certificate Vault
▪ funktioniert als PKCS#11 konformer Token Provider
▪ integriert sich als Key Storage Provider (KSP) in die Microsoft Cryptographic API
Next Generation (CNG)
▪ kann zusammen mit der OpenSSL API verwendet werden, um die Schlüssel von
TLS-Zertifikaten sicher aufzubewahren und zu verwenden
▪ Integration in Anwendungen wie Browser, VPN und E-Mail ist dadurch
bereits standardmäßig vorhanden
2824.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
Demo
▪ Authentifizierung mittels PKCS#11 an einer Webseite
▪ Erstellung eines Zertifikats mittel OpenSSL
▪ Verschlüsselung einer Datei mittels OpenSSL
Demo
2924.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
Integration in Zertifizierungsstelle und Ausrollen von Zertifikaten
3024.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
Person/DeviceAussteller
CodeMeter License Central – Ticketsystem zur Verteilung
Ticket + Fingerabdruck
4
Ausrollen
5
Ticket
2
Request
1Verwaltungs-
system
Software
License Portal
Ticket:
ABCDE-12345-KLMNO-67890-UVWXY
3
3124.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
Übersicht CodeMeter Certificate Vault
▪ Unterstützung von
Standardschnittstellen
▪ Vereinfachung der
komplexen Prozesse
von Verteilung und
sicherer Speicherung
▪ Nutzung bewährter
CodeMeter-
Technologie
Legende:
Türkis: verfügbar
3224.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
https://www.wibu.com
info@wibu.com
Europe: +49-721-931720
USA: +1-425-7756900
China: +86-21-55661790
Japan: +81-3-43608205
Thank You – Q&A
3324.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate

Weitere ähnliche Inhalte

Ähnlich wie Wer bin ich? Authentifizierung durch Zertifikate

Blockchain in der Praxis 2023 - Das Jahr der digitalen Zertifikate
Blockchain in der Praxis  2023 - Das Jahr der digitalen ZertifikateBlockchain in der Praxis  2023 - Das Jahr der digitalen Zertifikate
Blockchain in der Praxis 2023 - Das Jahr der digitalen ZertifikateAndreas Wittke
 
D3 000908 Lotusday Hagen Bcc Id Vault
D3 000908 Lotusday Hagen Bcc Id VaultD3 000908 Lotusday Hagen Bcc Id Vault
D3 000908 Lotusday Hagen Bcc Id VaultAndreas Schulte
 
Elektronische Identifikation - Digitale Identitäten
Elektronische Identifikation - Digitale IdentitätenElektronische Identifikation - Digitale Identitäten
Elektronische Identifikation - Digitale IdentitätenPPI AG
 
Token statt Cookies dank JWT (Java Land 2016)
Token statt Cookies dank JWT (Java Land 2016)Token statt Cookies dank JWT (Java Land 2016)
Token statt Cookies dank JWT (Java Land 2016)Markus Schlichting
 
Bestmögliche Absicherung für Ihre Remote-Mitarbeiter
Bestmögliche Absicherung für Ihre Remote-MitarbeiterBestmögliche Absicherung für Ihre Remote-Mitarbeiter
Bestmögliche Absicherung für Ihre Remote-MitarbeiterPrecisely
 
Warum müssen Zertifikate digital sein?
Warum müssen Zertifikate digital sein? Warum müssen Zertifikate digital sein?
Warum müssen Zertifikate digital sein? Andreas Wittke
 
Cryptware pm-bit locker-2018-04-26
Cryptware pm-bit locker-2018-04-26Cryptware pm-bit locker-2018-04-26
Cryptware pm-bit locker-2018-04-26faltmannPR
 
SeEF 2013 | Mobile ID von Swisscom (Roland Odermatt)
SeEF 2013 | Mobile ID von Swisscom (Roland Odermatt)SeEF 2013 | Mobile ID von Swisscom (Roland Odermatt)
SeEF 2013 | Mobile ID von Swisscom (Roland Odermatt)Swiss eEconomy Forum
 
REST - Hypermedia und Sicherheit
REST - Hypermedia und SicherheitREST - Hypermedia und Sicherheit
REST - Hypermedia und SicherheitMayflower GmbH
 
Ein Überblick: One Identity Manager Anbindung von SAP HCM und Active Directory
Ein Überblick: One Identity Manager Anbindung von SAP HCM und Active DirectoryEin Überblick: One Identity Manager Anbindung von SAP HCM und Active Directory
Ein Überblick: One Identity Manager Anbindung von SAP HCM und Active DirectoryIBsolution GmbH
 
SharePoint Konferenz 2014 Munich - Wie Sie Office 365 mit Windows Azure steue...
SharePoint Konferenz 2014 Munich - Wie Sie Office 365 mit Windows Azure steue...SharePoint Konferenz 2014 Munich - Wie Sie Office 365 mit Windows Azure steue...
SharePoint Konferenz 2014 Munich - Wie Sie Office 365 mit Windows Azure steue...atwork
 
bitkasten - Identverfahren für BiPRO
bitkasten - Identverfahren für BiPRObitkasten - Identverfahren für BiPRO
bitkasten - Identverfahren für BiPROChristian Gericke
 
Programmierung einer Blockchain zur Verwaltung von Zertifikaten
Programmierung einer Blockchain zur Verwaltung von ZertifikatenProgrammierung einer Blockchain zur Verwaltung von Zertifikaten
Programmierung einer Blockchain zur Verwaltung von ZertifikatenAndreas Wittke
 
IT-Sicherheit - Themenfokus Website - Netzwerk Elektronischer Geschäftsverkehr
IT-Sicherheit - Themenfokus Website - Netzwerk Elektronischer GeschäftsverkehrIT-Sicherheit - Themenfokus Website - Netzwerk Elektronischer Geschäftsverkehr
IT-Sicherheit - Themenfokus Website - Netzwerk Elektronischer GeschäftsverkehreBusinessLotse-Suedwestfalen-Hagen
 
Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)tschikarski
 
2023 - Das Jahr der digitalen Zertifikate
2023 - Das Jahr der digitalen Zertifikate2023 - Das Jahr der digitalen Zertifikate
2023 - Das Jahr der digitalen ZertifikateAndreas Wittke
 
E-Mail-Verschlüsselung aus der Cloud
E-Mail-Verschlüsselung aus der CloudE-Mail-Verschlüsselung aus der Cloud
E-Mail-Verschlüsselung aus der Cloudapachelance
 

Ähnlich wie Wer bin ich? Authentifizierung durch Zertifikate (20)

Blockchain in der Praxis 2023 - Das Jahr der digitalen Zertifikate
Blockchain in der Praxis  2023 - Das Jahr der digitalen ZertifikateBlockchain in der Praxis  2023 - Das Jahr der digitalen Zertifikate
Blockchain in der Praxis 2023 - Das Jahr der digitalen Zertifikate
 
D3 000908 Lotusday Hagen Bcc Id Vault
D3 000908 Lotusday Hagen Bcc Id VaultD3 000908 Lotusday Hagen Bcc Id Vault
D3 000908 Lotusday Hagen Bcc Id Vault
 
Elektronische Identifikation - Digitale Identitäten
Elektronische Identifikation - Digitale IdentitätenElektronische Identifikation - Digitale Identitäten
Elektronische Identifikation - Digitale Identitäten
 
Token statt Cookies dank JWT (Java Land 2016)
Token statt Cookies dank JWT (Java Land 2016)Token statt Cookies dank JWT (Java Land 2016)
Token statt Cookies dank JWT (Java Land 2016)
 
Bestmögliche Absicherung für Ihre Remote-Mitarbeiter
Bestmögliche Absicherung für Ihre Remote-MitarbeiterBestmögliche Absicherung für Ihre Remote-Mitarbeiter
Bestmögliche Absicherung für Ihre Remote-Mitarbeiter
 
Warum müssen Zertifikate digital sein?
Warum müssen Zertifikate digital sein? Warum müssen Zertifikate digital sein?
Warum müssen Zertifikate digital sein?
 
Cryptware pm-bit locker-2018-04-26
Cryptware pm-bit locker-2018-04-26Cryptware pm-bit locker-2018-04-26
Cryptware pm-bit locker-2018-04-26
 
SeEF 2013 | Mobile ID von Swisscom (Roland Odermatt)
SeEF 2013 | Mobile ID von Swisscom (Roland Odermatt)SeEF 2013 | Mobile ID von Swisscom (Roland Odermatt)
SeEF 2013 | Mobile ID von Swisscom (Roland Odermatt)
 
REST - Hypermedia und Sicherheit
REST - Hypermedia und SicherheitREST - Hypermedia und Sicherheit
REST - Hypermedia und Sicherheit
 
Ein Überblick: One Identity Manager Anbindung von SAP HCM und Active Directory
Ein Überblick: One Identity Manager Anbindung von SAP HCM und Active DirectoryEin Überblick: One Identity Manager Anbindung von SAP HCM und Active Directory
Ein Überblick: One Identity Manager Anbindung von SAP HCM und Active Directory
 
CCPP
CCPPCCPP
CCPP
 
SharePoint Konferenz 2014 Munich - Wie Sie Office 365 mit Windows Azure steue...
SharePoint Konferenz 2014 Munich - Wie Sie Office 365 mit Windows Azure steue...SharePoint Konferenz 2014 Munich - Wie Sie Office 365 mit Windows Azure steue...
SharePoint Konferenz 2014 Munich - Wie Sie Office 365 mit Windows Azure steue...
 
bitkasten - Identverfahren für BiPRO
bitkasten - Identverfahren für BiPRObitkasten - Identverfahren für BiPRO
bitkasten - Identverfahren für BiPRO
 
Programmierung einer Blockchain zur Verwaltung von Zertifikaten
Programmierung einer Blockchain zur Verwaltung von ZertifikatenProgrammierung einer Blockchain zur Verwaltung von Zertifikaten
Programmierung einer Blockchain zur Verwaltung von Zertifikaten
 
Blockchain for Education
Blockchain for EducationBlockchain for Education
Blockchain for Education
 
IT-Sicherheit - Themenfokus Website - Netzwerk Elektronischer Geschäftsverkehr
IT-Sicherheit - Themenfokus Website - Netzwerk Elektronischer GeschäftsverkehrIT-Sicherheit - Themenfokus Website - Netzwerk Elektronischer Geschäftsverkehr
IT-Sicherheit - Themenfokus Website - Netzwerk Elektronischer Geschäftsverkehr
 
Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)
 
Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...
Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...
Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...
 
2023 - Das Jahr der digitalen Zertifikate
2023 - Das Jahr der digitalen Zertifikate2023 - Das Jahr der digitalen Zertifikate
2023 - Das Jahr der digitalen Zertifikate
 
E-Mail-Verschlüsselung aus der Cloud
E-Mail-Verschlüsselung aus der CloudE-Mail-Verschlüsselung aus der Cloud
E-Mail-Verschlüsselung aus der Cloud
 

Mehr von team-WIBU

Post Quantum Cryptography – The Impact on Identity
Post Quantum Cryptography – The Impact on IdentityPost Quantum Cryptography – The Impact on Identity
Post Quantum Cryptography – The Impact on Identityteam-WIBU
 
Unlocking the Future: Empowering Industrial Security
Unlocking the Future: Empowering Industrial SecurityUnlocking the Future: Empowering Industrial Security
Unlocking the Future: Empowering Industrial Securityteam-WIBU
 
The Power of Partnership: Enabling Success Together
The Power of Partnership: Enabling Success TogetherThe Power of Partnership: Enabling Success Together
The Power of Partnership: Enabling Success Togetherteam-WIBU
 
Unleash the Power of CodeMeter - CodeMeter Basics
Unleash the Power of CodeMeter - CodeMeter BasicsUnleash the Power of CodeMeter - CodeMeter Basics
Unleash the Power of CodeMeter - CodeMeter Basicsteam-WIBU
 
Keine Zeit für Leerlauf – Lizenzverfügbarkeit für Geschäftskontinuität
Keine Zeit für Leerlauf – Lizenzverfügbarkeit für GeschäftskontinuitätKeine Zeit für Leerlauf – Lizenzverfügbarkeit für Geschäftskontinuität
Keine Zeit für Leerlauf – Lizenzverfügbarkeit für Geschäftskontinuitätteam-WIBU
 
No Time to Idle – License availability for business continuity
No Time to Idle – License availability for business continuityNo Time to Idle – License availability for business continuity
No Time to Idle – License availability for business continuityteam-WIBU
 
Cloud-Based Licensing in Offline Scenarios
Cloud-Based Licensing in Offline ScenariosCloud-Based Licensing in Offline Scenarios
Cloud-Based Licensing in Offline Scenariosteam-WIBU
 
Optimizing Cloud Licensing: Strategies and Best Practices
Optimizing Cloud Licensing: Strategies and Best PracticesOptimizing Cloud Licensing: Strategies and Best Practices
Optimizing Cloud Licensing: Strategies and Best Practicesteam-WIBU
 
For a Few Licenses More
For a Few Licenses MoreFor a Few Licenses More
For a Few Licenses Moreteam-WIBU
 
App Management on the Edge
App Management on the EdgeApp Management on the Edge
App Management on the Edgeteam-WIBU
 
Protecting and Licensing .NET Applications
Protecting and Licensing .NET ApplicationsProtecting and Licensing .NET Applications
Protecting and Licensing .NET Applicationsteam-WIBU
 
A Bit of License Management Magic
A Bit of License Management MagicA Bit of License Management Magic
A Bit of License Management Magicteam-WIBU
 
The first step is always the most decisive
The first step is always the most decisiveThe first step is always the most decisive
The first step is always the most decisiveteam-WIBU
 
Protection and monetization of 3D printed objects in the spare parts business...
Protection and monetization of 3D printed objects in the spare parts business...Protection and monetization of 3D printed objects in the spare parts business...
Protection and monetization of 3D printed objects in the spare parts business...team-WIBU
 
Authenticate and authorize your IIoTdevices
Authenticate and authorize your IIoTdevicesAuthenticate and authorize your IIoTdevices
Authenticate and authorize your IIoTdevicesteam-WIBU
 
How and Why to Create and Sell Consumption-Based Licenses
How and Why to Create and Sell Consumption-Based LicensesHow and Why to Create and Sell Consumption-Based Licenses
How and Why to Create and Sell Consumption-Based Licensesteam-WIBU
 
Serving Up Features-on-Demand for Every Appetite
Serving Up Features-on-Demand for Every AppetiteServing Up Features-on-Demand for Every Appetite
Serving Up Features-on-Demand for Every Appetiteteam-WIBU
 
Security and Protection for Machine Learning.pptx
Security and Protection for Machine Learning.pptxSecurity and Protection for Machine Learning.pptx
Security and Protection for Machine Learning.pptxteam-WIBU
 
License Portal - The DIY Solution
License Portal - The DIY SolutionLicense Portal - The DIY Solution
License Portal - The DIY Solutionteam-WIBU
 
Running code in secure hardware or cloud environments
Running code in secure hardware or cloud environmentsRunning code in secure hardware or cloud environments
Running code in secure hardware or cloud environmentsteam-WIBU
 

Mehr von team-WIBU (20)

Post Quantum Cryptography – The Impact on Identity
Post Quantum Cryptography – The Impact on IdentityPost Quantum Cryptography – The Impact on Identity
Post Quantum Cryptography – The Impact on Identity
 
Unlocking the Future: Empowering Industrial Security
Unlocking the Future: Empowering Industrial SecurityUnlocking the Future: Empowering Industrial Security
Unlocking the Future: Empowering Industrial Security
 
The Power of Partnership: Enabling Success Together
The Power of Partnership: Enabling Success TogetherThe Power of Partnership: Enabling Success Together
The Power of Partnership: Enabling Success Together
 
Unleash the Power of CodeMeter - CodeMeter Basics
Unleash the Power of CodeMeter - CodeMeter BasicsUnleash the Power of CodeMeter - CodeMeter Basics
Unleash the Power of CodeMeter - CodeMeter Basics
 
Keine Zeit für Leerlauf – Lizenzverfügbarkeit für Geschäftskontinuität
Keine Zeit für Leerlauf – Lizenzverfügbarkeit für GeschäftskontinuitätKeine Zeit für Leerlauf – Lizenzverfügbarkeit für Geschäftskontinuität
Keine Zeit für Leerlauf – Lizenzverfügbarkeit für Geschäftskontinuität
 
No Time to Idle – License availability for business continuity
No Time to Idle – License availability for business continuityNo Time to Idle – License availability for business continuity
No Time to Idle – License availability for business continuity
 
Cloud-Based Licensing in Offline Scenarios
Cloud-Based Licensing in Offline ScenariosCloud-Based Licensing in Offline Scenarios
Cloud-Based Licensing in Offline Scenarios
 
Optimizing Cloud Licensing: Strategies and Best Practices
Optimizing Cloud Licensing: Strategies and Best PracticesOptimizing Cloud Licensing: Strategies and Best Practices
Optimizing Cloud Licensing: Strategies and Best Practices
 
For a Few Licenses More
For a Few Licenses MoreFor a Few Licenses More
For a Few Licenses More
 
App Management on the Edge
App Management on the EdgeApp Management on the Edge
App Management on the Edge
 
Protecting and Licensing .NET Applications
Protecting and Licensing .NET ApplicationsProtecting and Licensing .NET Applications
Protecting and Licensing .NET Applications
 
A Bit of License Management Magic
A Bit of License Management MagicA Bit of License Management Magic
A Bit of License Management Magic
 
The first step is always the most decisive
The first step is always the most decisiveThe first step is always the most decisive
The first step is always the most decisive
 
Protection and monetization of 3D printed objects in the spare parts business...
Protection and monetization of 3D printed objects in the spare parts business...Protection and monetization of 3D printed objects in the spare parts business...
Protection and monetization of 3D printed objects in the spare parts business...
 
Authenticate and authorize your IIoTdevices
Authenticate and authorize your IIoTdevicesAuthenticate and authorize your IIoTdevices
Authenticate and authorize your IIoTdevices
 
How and Why to Create and Sell Consumption-Based Licenses
How and Why to Create and Sell Consumption-Based LicensesHow and Why to Create and Sell Consumption-Based Licenses
How and Why to Create and Sell Consumption-Based Licenses
 
Serving Up Features-on-Demand for Every Appetite
Serving Up Features-on-Demand for Every AppetiteServing Up Features-on-Demand for Every Appetite
Serving Up Features-on-Demand for Every Appetite
 
Security and Protection for Machine Learning.pptx
Security and Protection for Machine Learning.pptxSecurity and Protection for Machine Learning.pptx
Security and Protection for Machine Learning.pptx
 
License Portal - The DIY Solution
License Portal - The DIY SolutionLicense Portal - The DIY Solution
License Portal - The DIY Solution
 
Running code in secure hardware or cloud environments
Running code in secure hardware or cloud environmentsRunning code in secure hardware or cloud environments
Running code in secure hardware or cloud environments
 

Wer bin ich? Authentifizierung durch Zertifikate

  • 1. Wer bin ich? Authentifizierung durch Zertifikate Stefan Bamberg | Senior Key Account Manager stefan.bamberg@wibu.com Philipp Lüdtke| R&D Software philipp.luedtke@wibu.com Einführung in Zertifikate Einsatzszenarien CodeMeter Certificate Vault
  • 2. Wer bin ich? 224.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
  • 3. Nachweis der Identität – Beispiele ▪ In bestimmten Situationen müssen sich Personen ausweisen, d.h. sie müssen ihre Identität rechtssicher nachweisen, z.B.: ▪ Polizeikontrollen ▪ Eröffnen eines Bankkontos ▪ Neuanmeldung eines Fahrzeugs ▪ Kauf von Alkohol (Altersnachweis) ▪ Antreten eines Fluges ▪ u.v.m. 324.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
  • 4. Nachweis einer Identität – Prozess Behörde Stellt Ausweis aus Prüft Ausweis Nachweis der Identität durch Ausweis Ergebnis der Prüfung Freigabe oder Ablehnung 424.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
  • 5. Nachweis der Identität – Digital und automatisiert? ▪ Für sichere digitale Kommunikation und sichere Netzwerke ist Authentifizierung unabdingbar ▪ Personen müssen sich gegenüber Maschinen/Anwendungen authentifizieren ▪ Maschinen müssen sich gegenüber Maschinen authentifizieren Wie bekommen wir das hin ? 524.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
  • 6. (X.509v3) Zertifikate Asymmetrische Kryptographie Digitale Zertifikate PKI 624.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
  • 7. Exkurs: Asymmetrischen Kryptographie ▪ Symmetrische Kryptographie ▪ Ein Schlüssel zum Ent- und Verschlüsseln ▪ AES (Advanced Encryption Standard) ist ein symmetrisches Verfahren ▪ Wird aufgrund der Schnelligkeit für große Datenmenge eingesetzt ▪ Asymmetrische Kryptographie = Public Key Kryptographie ▪ Schlüsselpaar: privater und öffentlicher Schlüssel ▪ Aus dem öffentlichen Schlüssel kann nicht der private Schlüssel berechnet werden ▪ RSA (benannt nach Rivest, Shamir und Adleman) ist ein asymmetrisches Verfahren 724.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
  • 8. Beispiel E-Mail-Verschlüsselung ▪ Einsatz asymmetrischer Kryptographie ▪ Alice möchte Bob eine verschlüsselte E-Mail senden ▪ Herausforderung: Schlüsselverteilung ▪ Lösung: Digitales Zertifikat Alice Bob Bobs öffentlicher Schlüssel Verschlüsselt mit Bobs öffentlichem Schlüssel Bobs privater Schlüssel 824.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
  • 9. Was ist ein digitales Zertifikat? ▪ Ein digitales Zertifikat ▪ verknüpft Identitäten mit kryptographischen Schlüsseln ▪ enthält Informationen über eine Entität (Prozessbeteiligte) ▪ enthält den öffentlichen Schlüssel der Entität ▪ hat einen standardisierten Aufbau (RFC 5280) ▪ besitzt eine Signatur über die enthaltenen Informationen ▪ lässt sich durch kryptografische Verfahren auf Echtheit überprüfen (Authentizität) ▪ lässt sich durch kryptografische Verfahren auf Unversehrtheit überprüfen (Integrität) 924.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
  • 10. Aufbau eines x.509v3-Zertifikats ▪ Ein digitales Zertifikat nach X.509v3 hat u.a. folgende Inhalte: ▪ Versionsnummer und Seriennummer ▪ Name des Ausstellers ▪ Name des Inhabers ▪ Gültigkeitsdauer ▪ Informationen zum öffentlichen Schlüssel des Inhabers ▪ Informationen zum Verwendungszweck des Zertifikats („Extensions“) ▪ Digitale Signatur ▪ Verwendete kryptographische Algorithmen 1024.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
  • 11. Beispiel: Inhalt eines Zertifikats (Demo) 1124.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
  • 12. Public Key Infrastructure (PKI)? Nachweis der Identität – Analog vs. Digital Stellt Ausweis aus Prüft Ausweis Ergebnis der Prüfung Freigabe oder Ablehnung Stellt Zertifikat aus Prüft Zertifikat Freigabe oder Ablehnung Staat 1224.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
  • 13. Public Key Infrastructure (PKI) ▪ Eine PKI ▪ ist tatsächliche eine Infrastruktur – nicht nur ein Softwareprogramm ▪ besteht aus Zertifizierungsstellen (Certificate Authorities, CA) (+ Prozessen) ▪ ist hierarchisch aufgebaut ▪ Root-CA ▪ Davon abgeleitete Subordinate-CA ▪ Jede Zertifizierungsstelle besitzt ein Schlüsselpaar und ein Zertifikat ▪ stellt Zertifikate aus und verwaltet sie 1324.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
  • 14. PKI Aufbau – Beispiel Root-CA Sub-CA B Sub-CA A Sub-CA C signiert Endanwender- Zertifikate selbst signiertes Root-Zertifikat signiert Sub-CA Zertifikate 1424.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
  • 15. Beispiel Ausrollen der Zertifikate ▪ Ausrollen der Zertifikate Root-CA 1. Signierter Zertifikatsantrag (CSR) Alice 3. Alices Zertifikat signiert von CA 2. Prüft Identität von Alice 1524.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
  • 16. Root-CA Beispiel Zertifikatsprüfung ▪ Zertifikatsprüfung Bob prüft: 1. Vertraue ich der Root-CA von Alice? 2. Ist das Root-CA Zertifikat gültig? 3. Ist Alices Zertifikats gültig? Alice Bob Bob vertraut 1624.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
  • 17. Einsatzszenarien 1724.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
  • 18. Einsatzszenarien ▪ E-Mail-Verschlüsselung/Signatur, Dokumentensignatur ▪ z.B. Microsoft Outlook, Mozilla Thunderbird, Adobe Acrobat, OpenOffice, … ▪ Absicherung der Kommunikation im Web ▪ z.B., HTTPS bzw. TLS, VPN, … ▪ Authentifizierung an Maschinen und Anwendungen ▪ z.B. Windows Smartcard Logon, SSH, … ▪ Sichere Kommunikation und Authentifizierung im industriellen Umfeld ▪ z.B. OPC UA, … 1824.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
  • 19. Herausforderungen ▪ Ausrollen der Zertifikaten ▪ Wie wird die Berechtigungsprüfung durchgeführt? ▪ Wie erfolgt die technische Verteilung der Zertifikate? ▪ Wo bewahre ich die Schlüssel sicher auf? ▪ Zurückziehen von Zertifikaten ▪ Wie erfolgt die Berechtigungsprüfung? ▪ Wie wird die Sperrung bekannt gegeben? ▪ Wann wird die Prüfung durchgeführt (Time of Revocation vs. Time of Check)? 1924.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
  • 20. CodeMeter Certificate Vault 2024.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
  • 21. Warum CodeMeter Certificate Vault ▪ Vereinfachung des Gesamtprozess der Zertifikatsnutzung ▪ Unterstützung der Standardschnittstellen PKCS#11, KSP und OpenSSL ▪ Enrollment und Update von Schlüsseln/Zertifikaten über CodeMeter License Central online und offline möglich ▪ Einbindung der CodeMeter License Central in bestehende Verwaltungssysteme über Webservice-Schnittstellen ▪ Speicherung der Schlüssel und Zertifikate in einem sicheren Hardwareanker (Dongle) ▪ Ablage der Schlüssel und Zertifikate in einem CmDongle mit Security Smartcard Chip (Infineon SLE97) 2124.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
  • 22. Einsatzszenario Industrie ▪ Nutzung für Sicherheit im industriellen Umfeld ▪ OPC UA (Standard für den plattformunabhängigen Datenaustausch) 2224.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
  • 23. Sicherer Anker für Schlüssel und Zertifikate Viele Bauformen Eine Technologie 2324.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
  • 24. Nutzung bewährter Technologie ▪ Lizenzeintrag = Firm Code | Product Code ▪ Firm Code: von Wibu-Systems vergeben ▪ Product Code: ▪ Vom Hersteller gewählt ▪ 4 Mrd. Product Codes (UInt32) ▪ Product Item Options: Jede Lizenz kann kombinierbare Optionen besitzen ▪ Unter anderem Speicher für Schlüssel und Zertifikate Firm Code: 6.000.010 … Product Item Options Product Code: 201.000 Product Item Options Product Code: 201.001 Product Item Options Product Code: 201.002 2424.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
  • 25. Product Item Options Text License Quantity Activation Time Expiration Time License Transfer Linger Time User Data Protected Data/ Extended Protected Data Customer Own License Information Named User License Hidden Data Secret Data Usage Period Unit Counter Feature Map Maintenance Period Minimum Runtime Version Module Items 2524.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
  • 26. Lizenzstruktur Firm Code1 Product Code1 Secret data Protected data Product Item Option … Product Code2 … Secret data Protected data Product Item Option … 2624.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
  • 27. Speicherung von Schlüsseln und Zertifikaten ▪ Mittels Product Codes kann man viele Schlüssel und Zertifikate auf einem einzigen CmDongle speichern: ▪ Ein Kopieren ist durch die Speicherung im Smartcard-Chip nicht möglich! ▪ Protected/Extended Protected Data für die Speicherung von Zertifikaten ▪ Secret Data für Schlüsselspeicherung ▪ Kann nicht ausgelesen werden! ▪ Nur Nutzung des Schlüssels möglich ▪ Jeder Product Code repräsentiert über die obigen Product Item Options einen Schlüssel/Zertifikat ▪ Update der CmDongles online und offline (im industriellen Umfeld) möglich 2724.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
  • 28. Unterstützung von Standardprotokollen ▪ CodeMeter Certificate Vault ▪ funktioniert als PKCS#11 konformer Token Provider ▪ integriert sich als Key Storage Provider (KSP) in die Microsoft Cryptographic API Next Generation (CNG) ▪ kann zusammen mit der OpenSSL API verwendet werden, um die Schlüssel von TLS-Zertifikaten sicher aufzubewahren und zu verwenden ▪ Integration in Anwendungen wie Browser, VPN und E-Mail ist dadurch bereits standardmäßig vorhanden 2824.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
  • 29. Demo ▪ Authentifizierung mittels PKCS#11 an einer Webseite ▪ Erstellung eines Zertifikats mittel OpenSSL ▪ Verschlüsselung einer Datei mittels OpenSSL Demo 2924.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
  • 30. Integration in Zertifizierungsstelle und Ausrollen von Zertifikaten 3024.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
  • 31. Person/DeviceAussteller CodeMeter License Central – Ticketsystem zur Verteilung Ticket + Fingerabdruck 4 Ausrollen 5 Ticket 2 Request 1Verwaltungs- system Software License Portal Ticket: ABCDE-12345-KLMNO-67890-UVWXY 3 3124.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
  • 32. Übersicht CodeMeter Certificate Vault ▪ Unterstützung von Standardschnittstellen ▪ Vereinfachung der komplexen Prozesse von Verteilung und sicherer Speicherung ▪ Nutzung bewährter CodeMeter- Technologie Legende: Türkis: verfügbar 3224.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate
  • 33. https://www.wibu.com info@wibu.com Europe: +49-721-931720 USA: +1-425-7756900 China: +86-21-55661790 Japan: +81-3-43608205 Thank You – Q&A 3324.6.2020 © WIBU-SYSTEMS AG 2020 - Webinar: Wer bin ich? Authentifizierung durch Zertifikate