Active Directory.pdf - Gattner

Kerberos-Sicherheit 291
Die PKI (Public Key-Infrastruktur) geht von einem Authentifizierungsmodell mit gemeinsamem
geheimem Schlüssel ab und ersetzt es durch ein Authentifizierungsmodell, das auf Zertifikaten
basiert. In der PKI werden Benutzer nicht auf der Grundlage authentifiziert, dass sie das richtige
Kennwort kennen, sondern basierend auf der Tatsache, dass sie das richtige Zertifikat besitzen. Die
PKI beruht auf drei wesentlichen Konzepten: öffentliche und private Schlüssel, digitale Zertifikate
und Zertifizierungsstellen (Certificate Authorities, CAs). Die PKI beginnt mit dem Konzept, dass
jeder am Informationsaustausch beteiligte Benutzer oder Computer zwei Schlüssel besitzt: einen
privaten Schlüssel und einen öffentlichen Schlüssel. Der private Schlüssel ist nur einem Benutzer
bekannt. Er kann auf der Festplatte des Computers, als Teil eines servergespeicherten Profils oder auf
einem anderen Gerät wie beispielsweise einer Smartcard gespeichert sein. Der öffentliche Schlüssel
hingegen wird jedem zugänglich gemacht, der darum bittet. Zwischen dem privaten und dem öffentlichen
Schlüssel gibt es einen mathematischen Bezug, ein privater Schlüssel kann jedoch niemals von
einem öffentlichen Schlüssel abgeleitet werden. Der öffentliche und der private Schlüssel werden in
vielerlei Hinsicht eingesetzt.
Zum einen werden öffentliche und private Schlüssel zum Verschlüsseln von Informationen verwendet,
wenn diese über das Netzwerk gesendet werden. Der öffentliche Schlüssel eines Benutzers wird
zum Verschlüsseln der Nachricht verwendet. Da der öffentliche Schlüssel jedem zugänglich gemacht
wird, der diesen anfordert, kann jeder eine Nachricht senden, die mit dem öffentlichen Schlüssel eines
Benutzers verschlüsselt wurde. Der einzige Schlüssel, der die Nachricht jedoch wieder entschlüsseln
kann, ist der private Schlüssel des Benutzers. Die Person mit dem entsprechenden privaten Schlüssel
ist daher die einzige Person, die eine mit einem öffentlichen Schlüssel verschlüsselte Nachricht entschlüsseln
kann. Jeder andere, der das Paket im Netzwerk abfängt, besitzt nicht den richtigen privaten
Schlüssel und kann die Nachricht daher nicht lesen.
Eine andere Verwendungsmöglichkeit von öffentlichen und privaten Schlüsseln besteht in der digitalen
Signatur von Nachrichten, die zwischen zwei Benutzern gesendet werden. Anhand einer digitalen
Signatur werden die Identität des Absenders und die Integrität der Nachricht sichergestellt. Zum
Erstellen einer digitalen Signatur wird die gesamte Nachricht durch einen mathematischen Hash
gesendet. Dieser Hash erstellt einen Nachrichtenhash, der anhand des privaten Schlüssels des Absenders
verschlüsselt wird. Der verschlüsselte Hash wird mit der Nachricht als digitale Signatur versendet.
Wenn der Nachrichtenempfänger die Nachricht erhält, wird derselbe Hash auf die Nachricht
angewendet und somit ein zweiter Nachrichtenhash erstellt. Der öffentliche Schlüssel des Absenders
wird anschließend zum Entschlüsseln der digitalen Signatur verwendet. Wenn der Nachrichtenhash
des Empfängers mit dem Ergebnis der entschlüsselten Signatur übereinstimmt, sind die Integrität und
Echtheit der Nachricht bestätigt.
Die zweite Komponente der PKI ist das digitale Zertifikat. Der Zweck eines Zertifikats besteht darin,
den Zertifikathalter zu identifizieren. Wenn eine Person oder ein Unternehmen sich um ein Zertifikat
von einer Zertifizierungsstelle bewirbt, bestätigt die Zertifizierungsstelle die Identität der Person oder
des Unternehmens, die bzw. das das Zertifikat anfordert. Beim Erstellen der Zertifikatanforderung
wird der private Schlüssel erstellt und auf dem lokalen Computer gespeichert. Wenn das Zertifikat
zugeordnet wird, erhält der Benutzer außerdem den zugehörigen öffentlichen Schlüssel. Das Zertifikat
wird darüber hinaus digital von der Zertifizierungsstelle signiert, um dem Zertifikat den Echtheitsstempel
der Zertifizierungsstelle hinzuzufügen. Der aktuelle Standard für diese Zertifikate lautet
X.509 v3. Das Zertifikat enthält Informationen über die Person, den Computer oder den Dienst, an die
bzw. den das Zertifikat ausgegeben wurde. Weiterhin umfasst es Informationen über das Zertifikat
selbst, zum Beispiel das Ablaufdatum, sowie Informationen über die ausgebende Zertifizierungsstelle.