HSM Security Initiative aus Österreich: Die CPSD aus Linz veröffentlicht ein HSM Migration Tool, um die CA-Schlüssel bestehender Microsoft Certificate Authorities in hochsichere HSM Schlüsselspeicher zu migrieren.
PKI-Systeme (Public Key Authorities) sind in Unternehmen für die Ausstellung von digitalen Identitäten für Benutzer und Geräte (Entity) verantwortlich – kurz Zertifikate. PKI-Systeme sind hierarchisch angeordnet und bestehen aus einer Root-CA (Certificate Authoritiy) und einer oder mehrerer Issuing CAs:
.
Software Secured Microsoft Certificate Authority PKI Senario
Für einige spezielle Anwendungen befindet sich zwischen der Root-CA und der Issuing-CA noch eine sogenannte Policy-CA, die bestimmte organisatorische und technische Richtlinien definiert und erzwingt. Man spricht hier von einem 3‑Stufigen PKI-System. Der Einsatz einer Solchen zusätzlichen Instanz setzt in der Praxis aber umfangreiche Rahmenbedienungen voraus, um sinnvoll betrieben zu werden. Fachautoren verschiedener Medien haben in den vergangenen Jahren immer wieder, der Vollständigkeit halber, eine 3‑Stufen PKI beschrieben ohne im Detail auf die organisatorischen und technischen Herausforderungen im Betrieb hinzuweisen.
Für viele Umgebungen, besonders um Umfeld von Unternehmen und Konzernen, wird aber heute ganz bewusst auf die Policy CA verzichtet. Bei Dienstleistungsunternehmen, die sich der Ausstellung von Zertifikaten verpflichtet haben sowie bei öffentlichen, behördlichen Ausstellern (gesetzeskonforme Signatur) mach eine Policy CA dennoch Sinn. Aus Sicht der Betriebssicherheit und der deutlich einfacheren Betriebsführung sollte dennoch der Einsatz einer Policy-CA im Gespräch mit den Experten von CPSD erörtert und möglicherweise infrage gestellt werden.
Laufzeiten von Zertifikaten
Zertifikate haben festgelegte Laufzeiten. Die Laufzeit eines Root-CA-Zertifikats wird sich üblicherweise zwischen 10 und 20 Jahren bewegen. Issuing-CA-Zertifikate hingegen sind zwischen 5 und 10 Jahren gültig. Zertifikate für Maschinen und Benutzer sind etwa 1 bis 3 Jahre gültig. Benutzer verfügen üblicherweise über mehr als ein Zertifikat. Die Zertifikate unterscheiden sich in der Key-Usage, also dem Zweck, für den sie ausgestellt wurden: Authentisierung, Verschlüsselung oder Unterschrift (digitale Signatur).
Zertifikate gewinnen heute mehr und mehr an Bedeutung. Bei der Identifikation von Benutzern über unternehmensgrenzen hinweg (z.B. in der Cloud) sind Zertifikate als Ersatz für das einfache Passwort heute gar nicht mehr wegzudenken. Doch die Sicherheit steigt und fällt mit dem Geheimnis um den privaten Schlüssel.
Ist der Benutzerschlüssel kompromittiert, ist es möglich einer anderen Identität habhaft zu werden. Ist allerdings der Schlüssel der CA kompromittiert, ist der Schaden enorm. Der Dieb kann jede beliebige Identität annehmen und das unwiderruflich. Ein Zertifikat, das außerhalb der PKI erstellt wurde ist nicht bekannt und somit auch nicht wiederrufbar – aber mathematisch – durch den Schlüssel gültig.
Das Problem von Unternehmens-PKI Systemen in Verbindung mit einer Microsoft Certificate Authority (MS-PKI) liegt jedoch in der Sicherheit genau dieser CA-Schlüssel, die für die Erstellung von Zertifikaten benötigt werden. Diese CA-Schlüssel sind entweder der private Teil eines RSA-Schlüssels oder ein privater Teil eines ECC-Schlüssels. Die Microsoft CA erlaubt aus Backup- und Recovery-Gründen einen jederzeitigen Export dieser vertraulichen privaten Schlüssel aus der CA heraus.
Die Gefahr des Schlüsselverlustes in einer PKI-Umgebung
Diese Schlüssel-Export-Funktion ist aus Betriebsführungssicht durchaus praktisch und notwendig, da man jederzeit mit den exportierten Schlüsseln eine CA wiederherstellen kann. Der Verlust des Schlüssels über diesen Export ist aber der größte anzunehmende Sicherheits-Vorfall in einer PKI-Umgebung. Es erlaubt die unkontrollierte Nutzung außerhalb einer organisierten und reglementierten PKI ohne Kontrolle.
Die Industrie hat vor Jahren auf dieses Problem reagiert und sogenannte HSMs auf den Markt gebracht. Bekannt auch als „Hardware Security Modules“ oder digitalen Tresor für kryptografische Schlüssel.
Diese Geräte werden entweder direkt an den PC oder Server angeschlossen (PCIe oder USB) oder über ein Netzwerk einer Vielzahl an Systemen zur Verfügung gestellt. Diese Tresore generieren und verwahren den kryptographischen Schlüssel „in Hardware“ und trennen diesen sicher vom Applikationsserver. Dadurch ist sichergestellt, dass immer nur eine Kopie des Schlüssels an einer dedizierten Stelle verfügbar ist. Das HSM schützt den Schlüssel vor unautorisiertem Zugriff durch eine Reihe von technischen und physikalischen Schutzmechanismen. Ein Backup des Schlüssels erfolgt mit sicheren Methoden, die das HSM zur Verfügung stellt.
Funktion des CPSD Certificate Authority Migration Tool für Thales nShield HSM und Gemalto SafeNet Network HSM
Sinn eines HSM ist es, dass der Schlüssel im HSM in Hardware generiert wird und dieses nicht mehr verlässt. Einen externen Schlüssel zu importieren macht aus Security-Sicht wenig sinn, da es prinzipiell möglich ist, dass sich noch eine Kopie des Schlüssels anderswo befindet (z.B. Backup).
Das CPSD Certificate Authority Migrationstool schützt Softwarebasierte Microsoft CAs daher nur bedingt, indem es schrittweise die Schlüssel auf das HSM migriert – es umgeht aber damit eine große Hürde, die Microsoft Ihren PKI-Kunden auferlegt. Eine Microsoft-CA kann nur jeweils eine Art von Schlüsselspeicher nutzen: HSM oder Software. Ein eventuelles „Re-Keying“ also das erneuern der Schlüssel kann somit auch nur wieder in Software erfolgen.
Unser Tool hilft hierbei, indem es die erste Hürde nimmt und Ihre PKI komplett ins HSM übernimmt. Es ist KEINE Neuinstallation der Infrastruktur möglich. Über diese Schlüssel-Erneuerung verlieren die bereits ausgestellten Zertifikate ihre Gültigkeit nicht, jedoch werden neue Zertifikate nur mehr mit dem am HSM generierten und gesicherten CA Schlüssel ausgestellt. Somit sind dem Betreib und der Migration der CA keine Grenzen mehr gesetzt. Die Migration auf eine neue Betriebssystemversion oder die Migration von RSA auf ECDSA (Elliptische Kurven) oder der Änderung des HASH-Verfahrens sind somit nach Belieben möglich.
Microsoft Certificate Authority HSM Key Migration Process
HSM Migration der Microsoft PKI
Folgende Schritte werden für die Root-CA und alle Issuing-CAs durchgeführt:
- Export des CA-Schlüsselpaares auf dem Server.
- Installation der HSM Middleware auf dem CA Server und Grundkonfiguration des Servers
- Import der CA Schlüssel in das/die Thales nShield HSM oder Gemalto SafeNet Network HSM, vormals SafeNet Luna SA
- Löschen der CA Schlüssel vom CA Server
- Integration der importierten Zertifikate in das Windows-System
- Rekonfiguration der CA und Umstellung auf das HSM als Schlüsselspeicher
- Rekonfiguration der CA für die Nutzung von zusätzlichen Authentication-Methoden wie etwa OCS-Karten (Thales) oder User-Token (Gemalto)
- Verbinden des CA Zertifikates mit dem am HSM gespeicherten privaten CA Schlüssel
- Neustart des CA Dienstes und Überprüfung der Funktion der Zertifizierungsstelle
- Re-Keying der CA-Schlüssel um die alten, softwarebasierten Schlüssel zu ersetzten. Die alten Schlüssel können dann sanft, nach dem Ablauf des letzten alten Zertifikats gelöscht werden und verbleiben so lange in der Betriebsführung.
Der große Vorteil dieses Lösungsansatzes — im Gegensatz zur kompletten Neuinstallation einer CA — ist, dass bestehende Zertifikatsabhängigkeiten von Anwendungen und Diensten nicht beeinträchtigt werden, da die alle Zertifikatsprüfketten unverändert bestehen bleiben und bestehende Zertifikate nicht gesperrt werden müssen.
Durch das „Re-Keying“ wird ein neuer CA-Schlüssel über den zertifizierten Zufallsgenerator des HSMs generiert und nur mehr am HSM hochsicher gespeichert. Ein Export der vertraulichen privaten CA-Schlüssel durch die Microsoft CA ist ab diesem Zeitpunkt nicht mehr möglich.
Zusätzlich entfällt nach der Migration der vertraulichen CA Schlüssel auf das HSM die Notwendigkeit einer Offline Root CA oder Policy CA. Diese CAs müssen nicht mehr offline genommen und im Safe verstaut werden, sondern können aktiv betrieben und aktualisiert werden. Die schützenswerten Schlüssel können durch das HSM offline genommen, und dem Zugriff des Servers entzogen werden.
Die HSM-Hersteller bieten einen zusätzlichen Schutz bzw. eine zusätzliche Autorisierung beim Zugriff auf diese Schlüssel (z.B. für die CRL-Generierung). Dieser kann bei Bedarf nachträglich aktiviert werden. Sie versperren dann lediglich den notwendigen (optionalen) Token im Tresor anstatt kompletter Festplatten oder Notebooks. Über das 4‑Augen Prinzip (MofN) kann dieser Schritt durch die technische Unterstützung organisatorischer Prozesse komplett entfallen. Sprechen Sie uns einfach darauf an.
Kosten des CPSD Certificate Authority Migration Tool
Das Tool ist eine Kombination als automatisierten Programmen und Remote Dienstleistung mit Prozessdokumentation. Der Zeitaufwand für die HSM Migration einer Microsoft Certificate Authority beträgt rund 4 Stunden. Selbstverständlich benötigt der Kunde eine funktionstüchtige HSM Infrastruktur und die erforderlichen HSM Lizenzen.
Die Kosten des CPSD Migration Tool betragen € 800,00 für die erste Certificate Authority und € 400,00 für jede weitere Certificate Authority. Das Tool funktioniert ausschließlich mit der Microsoft Certificate Authority ab Windows Server 2003.
Natürlich unterstützen wir Sie gerne bei der Beschaffung, Integration oder Betriebsführung Ihrer PKI oder HSM. Sprechen Sie uns an.
Nutzen Sie das folgende Formular, um ein verbindliches Angebot zu erhalten.
Hinterlasse einen Kommentar
Du musst angemeldet sein, um einen Kommentar schreiben zu können.