Verschlüsselung

Clientauthentifizierung: doppelter Nutzen von E-Mail-Zertifikaten

9. Juni 2015
  • Verschlüsselung

Ihr E-Mail-Zertifikat verwenden Sie wie selbstverständlich zum Signieren und Verschlüsseln Ihres elektronischen Schriftverkehrs – sehr gut! Aber wussten Sie, dass Ihr Zertifikat weitaus mehr kann? Sie können sich mit Ihrem E-Mail-Zertifikat zum Beispiel am Server authentifizieren: optional als Ersatz für Username und Passwort oder begleitend dazu (Zwei-Faktor-Authentifizierung). Weiter können Sie mit Ihrem Clientzertifikat den Zugang zu kritischen Räumen und Gebäuden regeln.

E-Mail-Zertifikate zum Signieren und Verschlüsseln

Die E-Mail ist mittlerweile zum Kommunikationskanal Nr. Eins geworden: kein Arbeitstag vergeht, an dem Sie nicht etliche E-Mails erhalten und/ oder versenden. Jedoch besteht immer die Möglichkeit, dass E-Mails auf dem Versandweg abgefangen werden: Inhalte werden manipuliert oder aber mitgelesen. In jedem Fall geht die Vertraulichkeit verloren. Nur die konsequente Verschlüsselung Ihres E-Mail-Verkehrs vermeidet den ungewollten Datenabfluss und schützt Ihre Kommunikation.

S/MIME-E-Mail-Zertifikate verwenden einen weltweit etablierten Verschlüsselungsstandard, der auf einem hybriden Kryptosystem basiert. Um Ihre Urheberschaft nachzuweisen und Manipulationen zu verhindern, signieren Sie Ihre E-Mails mithilfe Ihres Zertifikats. Um den Datenschutz gewährleisten zu können und zu vermeiden, dass sensible Informationen an unbefugte Dritte geraten, verschlüsseln Sie.

Clientzertifikate als Authentifizierungsmethode

Clientzertifikate geben Ihnen eine alternative Authentifizierungsmethode an die Hand. Sie können sich wahlweise ausschließlich mittels Zertifikat authentifizieren oder aber zusätzlich zu Benutzernamen und Passwort. Bei letzterem spricht man von der Zwei-Faktor-Authentifizierung, die ein riesiges Plus an Sicherheit gibt, da Cyberkriminelle zwei Schranken zu bewältigen hätten.

Möchte ein Benutzer auf einen Server zugreifen und legt er ein gültiges Clientzertifikat vor, findet die Authentifizierung am Webserver mittels SSL-Protokoll statt. Die Informationen, die das Zertifikat des Benutzers enthält, werden bei der Anmeldung an den Server weitergegeben, sodass sich der Benutzer anhand dieser Informationen anmeldet. Greift der User auf unterschiedliche Services innerhalb des Hauptservices zu, werden seine User-Informationen auch an entsprechende Komponentensysteme weitergeleitet; der User wird auch in diesen Systemen angemeldet. Die Authentifizierung des Benutzers selbst findet also innerhalb der zugrundeliegenden Protokolle statt, sodass die Eingabe eine Nutzerkennung und eines Passworts überflüssig werden, jedoch, wie oben erwähnt, zum Erhöhen der Sicherheit gerne weiterverwendet werden können.

Integration von Clientzertifikaten

Nutzer erhalten ihre Clientzertifikate als Teil der PKI (Public-Key-Infrastruktur), die ihrerseits die Identität eines Zertifikate-Inhabers verifizieren soll. Um die Authentifizierung mittels Clientzertifikaten einzusetzen, ist Zugang zur PKI vonnöten. Wahlweise können Sie Ihre eigene PKI einrichten oder diese Aufgabe einem Dienstleister wie uns überlassen. Meldet sich nun ein User mittels Clientzertifikat an Ihrem Server an, wird dieser via SSL-Protokoll authentifiziert. Gelingt dies erfolgreich, werden die Informationen, die das Benutzerzertifikat bereithält, an den Server beziehungsweise an die Komponentensysteme weitergeleitet. Dies ist der Grund, warum die Kommunikation zwischen den Browsern und den Webservern eine HTTPS-Verbindung (Hypertext Transfer Protocol via SSL) voraussetzt. Die Authentifizierung findet am Webserver statt, nicht in einzelnen Komponenten. Deshalb benötigen Sie SNC (Secure Network Communications): SNC schafft einen sicheren Kanal zwischen Ihrem Webserver und einzelnen Komponenten. So werden die Benutzerinformationen sowohl vor dem Abhören als auch vor Manipulationen geschützt und die Informationen kommen sicher an ihrem Ziel an.

Voraussetzungen zur Clientauthentifizierung

Erste Voraussetzung ist natürlich ein Clientzertifikat, das der User in seinen Webbrowser importieren muss. Die Server, die die Clientauthentifizierung zulassen sollen, müssen entsprechend konfiguriert sein. Heißt: HTTPS-Verbindungen werden unterstützt und die Kommunikation zwischen Browser und Server mittels SSL geschützt. Weiter werden Webserver so konfiguriert, dass all jene CAs (Zertifizierungsstellen) als vertrauenswürdig angesehen werden, die Benutzerzertifikate ausgestellt haben. Mittels SNC bauen Sie einen sicheren Kanal zwischen Server und System auf. Zu guter Letzt bilden Sie alle Benutzerinformationen aus dem Zertifikat auf einer gültigen Benutzerkennung ab.

Zugangskontrollen mit Clientzertifikaten

Die Clientauthentifizierung lässt sich zusammen mit verschiedener Hardware verwenden. So können Zertifikate etwa aufs Smartphone geladen werden, um sich so über einen Access Point zu authentifizieren. Auch dies lässt sich zusätzlich mit Userkennung und Passwort kombinieren, um die Sicherheit durch die Zwei-Faktor-Authentifizierung weiter zu erhöhen. Sehen wir uns die Arbeitsweise am Beispiel eines WLAN-Netzwerks an – egal, ob physische oder digitale Zugangskontrollen: das grob umrissene Grundkonzept ist immer dasselbe.

  • Client erkennt Netzwerk
  • Client spricht Netzwerk an und versucht, sich zu verbinden
  • Wireless Access Point ist darauf konfiguriert, Authentifizierungen abzuverlangen
  • Client sendet die Authentifizierungsinformationen aus dem Zertifikat
  • Wireless Access Point leitet diese Authentifizierungsinformationen via SSL an den entsprechend konfigurierten Server weiter, der die Authentifizierung durchführt
  • Authentifizierungsergebnis wird zurück an den Wireless Access Point gesendet: bei erfolgreicher Authentifizierung darf der Client, also der User, auf das WLAN zugreifen

Funktionsumfang Ihres Clientzertifikats

FunktionsumfangIhr E-Mail-Zertifikat bietet drei Funktionen in einem: Sie signieren und weisen somit Ihre Echtheit und die Echtheit Ihrer Inhalte digital aus, Sie verschlüsseln Inhalte, um sie vor unbefugten Dritten zu schützen, und Sie authentifizieren sich anstelle oder zusätzlich zu Kennung und Passwort. Ihre Vorteile in der Übersicht:

  • SSL-Protokoll und PKI sorgen für eine starke Authentifizierung
  • das Erzeugen von digitalen Signaturen gewährleistet Vertraulichkeit sowie Unleugbarkeit
  • ggf. sind Kennwörter zur Authentifizierung nicht mehr notwendig oder sie erhöhen die Sicherheit weiter
  • Benutzer können mit ihrem Clientzertifikat auch zusätzliche Services verwenden, ohne ein gesondertes Login durchlaufen zu müssen – bei gleichbleibender Sicherheit
  • in der Folge lassen sich Prozesse durch geschickte Konfiguration automatisieren, sodass Sie Verwaltungskosten einsparen

Weiterführende Links & Informationen

Damit Sie Ihr Clientzertifikat sofort effizient einsetzen können, finden Sie im Folgenden eine Zusammenstellung weiterführender Links und hilfreicher Informationen:

  • Clientauthentifizierung für SQL Server 2008 R2 (SQL Server 2008 & 2005 siehe „andere Versionen“): Technet
  • LDAP Client Authentifizierung: LDAP zur User-Authentifizierung oder zur Konfiguration unterschiedlicher Dienste wie DHCP und DNS: ubuntuusers-Wiki
  • SSL/TLS-Konfiguration mit Apache Tomcat 8: Tomcat Apache-Dokumentation (weitere Versionen in der linken Navigation auf der Tomcat Apache-Website)
  • Zertifikateverwaltung und Kryptografie-Tools mit OpenSSL als Open Source-Lösung: OpenSSL Project
  • Clientzertifikate ab 19 Euro pro Jahr: PSW GROUP



0 Kommentar(e)

Schreibe einen Kommentar