GlobalSign Blog

23 Mai 2014

AutoCSR entmystifiziert

Technologien für die CA-initiierte Schlüsselgenerierung stehen regelmäßig im Rampenlicht und werden häufig missverstanden. Was steckt hinter den AutoCSR-Methoden und wie sollten Zertifizierungsstellen (CA) die Sicherheit ihres privaten Schlüssels aufrechterhalten?

Die Vorteile

Herkömmlicherweise müssen Kunden eine Zertifikatsignieranforderung (Certificate Signing Request (CSR)) vorlegen, wenn sie ein Zertifikat beantragen. Eine CSR ist eine Datei, die den öffentlichen Schlüssel enthält, den ein Server verwendet, um sich selbst zu identifizieren. Diese Datei wird zusammen mit dem dazugehörigen privaten Schlüssel generiert. Bei dem zum Erstellen des Schlüsselpaars verwendeten Algorithmus oder der Schlüssellänge gibt es eine Vielzahl von Möglichkeiten. Die Schlüsselgenerierung ist schlechthin ein Prozess, der gewisse kryptografische Kenntnisse erfordert, um die Konformität zu gewährleisten.

Die CSR-Generierung bleibt einer der Problembereiche, denen Kunden sich kontinuierlich gegenübersehen, wenn sie ihren Server sichern möchten. Die Forderung, dass Zertifizierungsstellen die Schlüsselgenerierung durchführen, ist eine direkte Folge der Verwendung von 'schlechten' Schlüsseln durch Kunden oder von unsicheren Prozessen bei der Pflege von Schlüsseln (zum Beispiel wenn Schlüssel im Schlüsselspeicher des Browsers verfügbar bleiben).

Vor diesem Hintergrund betrachtet, bieten Dienste wie GlobalSigns optionales AutoCSR-Feature einen enormen Wertzuwachs, wenn die Implementierung von Best Practice in allen Bereichen gewährleistet sein soll. Darüber hinaus reduzieren sie die Komplexität.

Die AutoCSR-Option auf der GlobalSign Plattform

Wie sieht es mit den Sicherheitsaspekten aus?

Oft stellt sich hier die Frage - wenn private Schlüssel genau das bleiben sollen: Wie bewahren CAs die Sicherheit des privaten Schlüssels während des gesamten Prozesses?

Die Sicherheit liegt in der Implementierung der entsprechenden Features begründet. Zertifizierungsstellen befolgen außerordentlich strenge und sichere Verfahren, die das höchste verfügbare Maß an Integrität bei der Schlüsselgenerierung und auch der nachfolgenden Schlüsselbehandlung gewährleisten.

Das wichtigste Element ist dabei die Qualität der Zufallszahlen, die bei der Generierung des Schlüsselpaares verwendet werden. Es gibt viele Faktoren, die sich auf die Qualität der verwendeten Zufallszahlen auswirken können, wie z. B. der Aufbau der Software, mit der sie generiert werden, aber auch die benutzte Hardware. Endnutzer sind oftmals nicht in der Lage sämtliche Aspekte wirklich zu kontrollieren. Überlassen sie das einer Zertifizierungsstelle, bringt das unbestreitbar Vorteile mit sich.

Im Falle der AutoCSR-Option von GlobalSign wird Kryptografie-Hardware nach FIPS 140 Level 3 genutzt um das Schlüsselpaar und die Zertifikatanforderung zu generieren. Der Nutzer kann sich also absolut sicher sein, dass die Schlüsselqualität so optimal ist.

Zusätzlich ist es wichtig, dass die Schlüssel bei der Übertragung geschützt werden. GlobalSign verwendet einen hohen Passwortschutz für PFX-Dateien. Da Passwortlänge und Komplexität die entscheidenden Komponenten sind, können Benutzer bis zu 50 Zeichen für ihre Passwörter eingeben und das System fügt weitere acht zufällige Zeichen hinzu. Daraus ergibt sich ein langes Kennwort mit vom System eingearbeiteter Zufälligkeit.

Am Ende des Prozesses können Instanzen der Schlüssel gelöscht (mit Nullen überschrieben) werden. Sie bleiben dann nicht auf den Systemen der jeweiligen CA gespeichert.

Ist AutoCSR das Richtige für mich?

GlobalSign bietet die umfassende Beratung, die notwendig ist, um Schlüssel mit den Methoden zu generieren, die am besten auch für individuelle Anwendungen geeignet sind. Kunden können entweder die AutoCSR-Option verwenden, oder sie können ihr eigenes Schlüsselpaar generieren und anschließend eine CSR senden.

Artikel teilen