Systeme und ihr Umfeld

Public Key Infrastructure

PKI hat zwei Seiten

Von Hadi Stiel, Bad Camberg

Die Vorteile eines zertifikatgesteuerten Zugriffsschutzes und Informationsaustauschs sind überzeugend. Gerade im expandierenden E-Business und beim E-Commerce sollen die "Vertrauensnetze" für gesicherte Erkenntnisse über den Geschäftspartner sorgen. Alain Beuchat rät bei den aktuellen PKIs jedoch zur Vorsicht: Für den schweizer Berater hat diese Sicherheitstechnik zwar Zukunft, aber auch noch viele Schwächen.

Eine PKI erschließt Unternehmen, ihren Geschäftspartnern und den Konsumenten im Internet eine hohe Sicherheit gleich in dreifacher Hinsicht: Zugriffsschutz, Schutz der Übertragungsinhalte vor Manipulation und sicherer Austausch von Schlüsseln zur Chiffrierung von Transferdaten. Spätestens seitdem auch der Spätstarter USA mit der Verabschiedung eines bundesweiten Signaturgesetzes nachgezogen hat, scheint niemand mehr den Siegeszug der PKI aufhalten zu können – geschweige denn zu wollen. Zumal viele marktwichtige PKI-Hersteller wie Entrust, Baltimore, Verisign und iD2 aus Nordamerika heraus operieren.

Für Alain Beuchat, Leiter Enterprise Security bei Arthur Andersen in Zürich, steht fest, dass die Zeit für den PKI-Einsatz zwar reif ist, die tatsächliche Implementierung aber noch unter Interoperabilitätsproblemen leidet. Im Gespräch mit KES erörtert der Arthur-Andersen-Berater Schwachpunkte der aktuellen PKI-Technik. Er befindet sich mit seinen Einschätzungen in guter Gesellschaft von Carl M. Ellison, Senior Security Architect bei der Intel Corporation, der im Internet ebenfalls [externer Link] PKI-Kritik geäußert hatte.

[Portraitfoto von Alain Beuchat]
Alain Beuchat: "Die Zeit ist reif für PKI, aber fehlende Interoperabilität zwischen PKI-Plattformen unterschiedlicher Hersteller ist noch eine markante Schwachstelle."

KES: Die Hersteller, die direkt oder indirekt mit PKI zu tun haben, loben mittlerweile die soliden Standards in diesem Bereich. Was halten Sie von diesem Optimismus?

Beuchat: Es gibt sie zweifellos, die verlässlichen Standards für PKI. Andere stehen kurz vor der Verabschiedung. Zu nennen sind in diesem Zusammenhang X.509, PKIX, PKCS 7, 10 und 11 sowie S/MIME. Auch erste Registrierdienste, Registration Authorities (RAs), die digitale Zertifikate ausstellen, sind in Deutschland schon aktiv. Und Zertifizierungsdienste (Certification Authorities, CAs), die digitale Zertifikate im Rahmen einer PKI beisteuern, gibt es bundesweit schon mehr als eine Hand voll. Das alles ist aber kein Beweis dafür, dass die PKI in der Praxis wirklich trägt.

KES: Wo sehen Sie die Schwachpunkte?

Beuchat: Die fehlende Interoperabilität zwischen PKI-Plattformen unterschiedlicher Hersteller ist derzeit die markanteste Schwachstelle. Die wenigen Standards reichen für ein Zusammenwirken dieser Plattformen nicht aus. Das Ergebnis: Die von einer Herstellerlösung ausgestellten Zertifikate werden von anderen PKI-Lösungen nicht unterstützt. Aber Schwachpunkte gibt es auch innerhalb einer PKI, beispielsweise bei der CA.

Nicht jeder Zertifizierungsdienst ist zwangsläufig eine Autorität, und schon gar nicht für jede Anwendung, die innerhalb der PKI abgewickelt werden soll. Der Autorität trauen kann ein Unternehmen nur, wenn sie der CA für die spezifische Anwendung von qualifizierter und neutraler Stelle attestiert wurde. Nur genau daran fehlt es heute in der Regel den Zertifizierungsdiensten. Aber das ist längst nicht die einzige Achillesferse innerhalb der CA.

Die CA kann zudem nicht in jedem Fall ihre Autorität bei der Zertifikatserstellung in die Waagschale werfen. Beispielsweise bei SSL-Zertifikaten (Secure Socket Layer). Die beiden wichtigsten Bestandteile darin sind der Name des Schlüsselhalters und der DNS-Name des Servers (Domain Name Service). Beide werden zwar von der CA geprüft. Die Prüfung, ob der Name des Schlüsselhalters zum Server-Namen passt, hat sich aber in den CAs noch nicht so richtig etabliert. Dadurch ist die Autorität des SSL-Server-Zertifikats nicht in jedem Fall gewährleistet.

----------Anfang Textkasten----------

Alles Müllers oder was?

Ist der per PKI ausgewiesene Martin Müller wirklich der Martin Müller, mit dem man kommunizieren will? – "Zwar können Personen, trotz Namensgleichheit, innerhalb einer CA per Namenserweiterung eindeutig identifiziert werden", so Alain Beuchat von Arthur Andersen. "Durchläuft die Kommunikation aber mehrere CAs, greift die Logik der CA-spezifischen Namenserweiterung oft ins Leere. Das Resultat: Martin Müller kann dann ein ganz anderer Martin Müller sein, der dann hochsensible Informationen erhält."

----------Ende Textkasten----------

KES: Auch bei der aktuellen Konstellation von Registrierung und Zertifizierung sehen Sie Schwierigkeiten. Warum passt das Verhältnis CA/RA Ihrer Meinung nach nicht ins Bild einer sicheren PKI?

Beuchat: Es passt nur dann, wenn RA und CA als eigenständige Autoritäten operieren. Das ist in Deutschland derzeit eher die Ausnahme. Die Erklärung ist einfach: Werden RA und CA unter einem Dach betrieben, könnte der Anbieter dazu neigen, mit Blick auf das eigene Geschäft Zertifikate ohne peinlich genaue Prüfung auszustellen. An dieser Tatsache ändern auch vertragliche Zusicherung meist wenig.

Auch bei der Sicherheit der geheimen Schlüssel, von denen letztlich die Sicherheit der gesamten PKI abhängt, stehen einige Zertifizierungsdienste nicht hinreichend in der Pflicht. Hat der PKI-Teilnehmer erst einmal seinen geheimen Schlüssel, fehlt es oft an der laufenden Kontrolle, ob der, der den geheimen Schlüssel weiterhin hält, auch wirklich der berechtigte Schlüsselinhaber ist. Diese fehlende Kontrolle öffnet dem Schlüsselmissbrauch natürlich Tür und Tor oder hinterlässt bei den PKI-Teilnehmern zumindest Spuren großer Unsicherheit.

KES: Es fehlt also an der Transparenz, wer eigentlich auf der anderen Seite den Schlüssel nutzt?

Beuchat: Genau das. Dazu trägt auch die Art und Weise bei, wie heute der Private Key in Unternehmen verbreitet und gehandhabt wird: Die Intransparenz in puncto Verwendung des geheimen Schlüssels wird noch dadurch verstärkt, dass PKI-Teilnehmer in den Unternehmen oft mehrere Tokens, also Identitäten, verwenden.

KES: Zudem sehen Sie auch technologische und ablauftechnische Gründe, die derzeit gegen den Einsatz einer PKI sprechen?

Beuchat: Ja, auch davon gibt es eine Reihe. Ein Beispiel dafür ist die Speicherung des geheimen Schlüssels, der heute meist auf der Festplatte oder auf Diskette abgelegt wird. Aber nur ein Hardware-Token in Form einer SmardCard kann den geheimen Schlüssel verlässlich schützen. Doch selbst dieser Schutz geht für Unternehmen nur dann auf, wenn die Karte in einem gegen Attacken geschützten Kartenleser untergebracht ist.

KES: Dennoch ist die Bereitschaft in den Unternehmen bis heute eher gering, in SmardCards zu investieren. Woran liegt das?

Beuchat: Ihr Einsatz in der Breite ist immer noch mit zu hohen Kosten verbunden. Als nicht gerade investitionsfördernd erweist sich zudem die Tatsache, dass es bis heute an einem verbindlichen Standard für SmardCards fehlt. Für das Unternehmen ist das gleichbedeutend mit einer mangelnden Investitionssicherheit.

KES: Wie steht es aktuell in den Unternehmen um die Sicherheit der Rechner, die auf beiden Seiten digitale Zertifikate prüfen?

Beuchat: Meist fehlt es in den Unternehmen an den nötigen Vorsichtsmaßnahmen, um diese Rechner sowohl vor logischen Attacken über das Netz als auch vor Ort gegen physische Attacken zu schützen. Die Einschätzung, die digitalen Zertifikate, die über diese Rechner abgewickelt werden, bedürften keines besonderen Schutzes, ist auf jeden Fall trügerisch. Zwar enthalten diese Zertifikate keine geheimen Schlüsselinformationen. Gelingt es dem Angreifer aber, der Liste mit den Root Public Keys seinen öffentlichen Schlüssel hinzuzufügen, ist er in der Lage, sein eigenes Zertifikat zu generieren. Und das erscheint der Gegenstelle dann womöglich wie das Zertifikat des berechtigten Teilnehmers, mit allen damit verbundenen Rechten.

KES: Und wie sicher ist der Umgang mit den Zertifikaten selbst?

Beuchat: Auch hier klaffen derzeit noch Verfahrenslücken, eine davon innerhalb vieler Zertifizierungsdienste. Zertifikate haben eine definierte Laufzeit, die zudem durch Verlust oder Diebstahl kurzfristig limitiert werden kann. Das Problem: Auf der Seite der CAs fehlt es oft an standardisierten Verfahren, etwa zum verlässlichen Schlüsselwiderruf (Key Revocation), die bei solchen Ereignissen automatisch und verbindlich greifen. Auch das kann auf Kundenseite erhebliche Sicherheitsrisiken nach sich ziehen.

KES: Wie tief in die IT hinein können PKI-Architekturen überhaupt eine verlässliche Zugriffssicherheit bieten?

Beuchat: Die meisten Zertifizierungdienste offerieren heute Zertifikate nur für die Authentisierung. An Attributszertifikaten fehlt es in der Regel. Damit ist zwangsläufig auch eine Vielzahl der installierten Anwendungen im Unternehmen nicht Teil des PKI-Sicherheitskonzeptes. So konzipiert muss die PKI buchstäblich zu kurz greifen, weil Zugriffe nicht bis in die Anwendungen hinein zu steuern sind.

KES: Sehen Sie also auch Schwächen auf der Seite der Anwendungen, die Teil der PKI sein müssen?

Beuchat: Leider ja. Bisher sind erst wenige Anwendungen PKI-fähig. Das gilt auch für Netzdienste und Datenbanksysteme. Solange sie nicht die notwendige PKI-Schnittstelle bieten, macht auch der PKI-Einsatz nur wenig Sinn.

KES: Sollten Unternehmen Ihrer Meinung nach daher ihr PKI-Engagement insgesamt erst einmal hintenanstellen?

Beuchat: Nein. Zwar ist die Zeit für den praktischen PKI-Einsatz aufgrund der vielen Schwachpunkte noch nicht reif. Dennoch sollten sich Unternehmen frühzeitig in Richtung dieser Technologie bewegen. Zumal über kurz oder lang für sie kein Weg an einer verlässlichen PKI vorbeiführen wird. Weder E-Business noch E-Commerce werden auf Dauer ohne diese gemeinsame Vertrauensbasis auskommen.

KES: Was empfehlen Sie, schon jetzt als Grundlage für eine künftige PKI einzurichten?

Beuchat: Die Unternehmen sind bereits heute gefordert, eine zentrale Benutzeradministration herbeizuführen. Dazu ist eine aufwändige Verzeichnisintegration notwendig, damit die Benutzereinträge und die dazugehörigen Sicherheitsregeln und -rechte aus den installierten Anwendungen in den zentralen Administrations-Pool einfließen können. Nur so werden die Unternehmen künftig eine PKI, die auch die installierten Anwendungen einschließt, überhaupt im Griff behalten können.

Auf dieser soliden Basis gilt es im zweiten Schritt, einen so genannten Single Sign-on zu etablieren. Mit diesem Verfahren können sich die Teilnehmer mit nur einem Log-in an alle berechtigten Anwendungen anmelden. Die eigentlichen Authentisierungs- und Autorisierungsberechtigungen werden dann dem PC des Teilnehmers automatisch zugewiesen, ohne dass der Anwender sie zu sehen bekommt oder eingeben müsste.

Dieser weitgehende Automatismus entspricht einer leistungsfähigen PKI, die bis in die Anwendungen hinein greift. Nur dass dann statt der klassischen Berechtigungen (Passwörter, Token usw.) digitale Zertifikate kombiniert mit Attributszertifikaten für die direkte Einwahl in die Applikationen, Netzdienste, Datenbanken und (Netzwerk-)Betriebssysteme zum Einsatz kommen. Auf die frühzeitige und richtige Vorbereitung des PKI-Einsatzes kommt es also an. Erst dann lohnt es sich für die Unternehmen überhaupt, über den Einsatz einer – dann wohl verlässlicheren – PKI-Technologie nachzudenken.

Hadi Stiel ist freier Journalist und Berater in Bad Camberg.

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 1/2001, Seite 56