130 likes | 263 Views
Verteidigung von Michael Brinke. Zum Thema Certificate Chain Validation. Inhalt. Überblick CCV Zertifikate – Was, Warum? Aufbau von Zertifikaten Ablauf einer Zertifikatsvergabe CRL OCSP SCVP. Certificate Chain Validation. - Formen: - Certificate Path Validation
E N D
Verteidigung von Michael Brinke Zum Thema Certificate Chain Validation
Inhalt • Überblick CCV • Zertifikate – Was, Warum? • Aufbau von Zertifikaten • Ablauf einer Zertifikatsvergabe • CRL • OCSP • SCVP
Certificate Chain Validation - Formen: - Certificate Path Validation - Delegated Path Validation - Delegated Path Discovery - Unterformen CPV: • OCSP (Online Certificate Status Protocol) • SCVP (Standard Certificate Validation Protocol)
Zertifikate – Was, Warum? - digitaler Personalausweis - Geheimhaltung - Bankkonto - E-Mail - Onlineversandhäuser oder –banking - u. a.
Certificate Authority (CA) - gibt die Zertifikate heraus - für Überprüfung zuständig - tragen zusätzlich Verantwortung für Bereitstellung und Zuweisung - sind wichtiger Bestandteil der PKI - Arten: - spezielle Firmen wie GlobalSign, Cybertrust oder VeriSign - Abteilungen innerhalb großer Konzerne - öffentliche Organisationen (Banken) oder Regierungsstellen
Aufbau eines X.509 v3 Zertifikats - Version - Seriennummer - Algorithmen ID - Aussteller - Gültigkeit von bis - Subject (Inhaber) - Subject Public Key Info
PKI – Public Key Infrastructure - ist der Grundstein für Verwaltung der Zertifikate - wird Trustcenter vertreten • Registrierung von PKI-Teilnehmern • Erzeugung / Erneuerung von digitalen Zertifikaten • Veröffentlichung • Rücknahme / Sperrung von Zertifikaten
CRL – Certificate Revokation List - enthält alle gesperrten, zurückgenommenen oder wo der Status unbekannt ist - wird nur in regelmäßigen Abständen aktualisiert veröffentlicht • nicht aktuell - bei Abfrage Status, Antwort mit good oder mit bad, revoked bzw. unknown - je nach Art Abfrage auch andere Informationen aus Zertifikaten
OCSP - Internetprotokoll, das Abfrage Status von Zertifikaten ermöglicht - erlaubt eine schnellere und aktuellere Abfrage als durch die CRL - Nachteil: nur Statusabfrage, aber nicht Gültigkeit - Aufbau und Validierung der Zertifikatskette liegt beim Client
SCVP - ermöglicht Clients den Aufbau und Validierung auszulagern - kann ihnen auch die Komplette Abfrage abnehmen - fragt für welche Aufgaben Server konfiguriert ist - weist Server Aufgaben für die Zertifikats-ID‘s zu