GlobalSign Blog

12 Okt 2017

5 Jahre PKI-Entwicklung bei Deutsche Post DHL: Von "Wer braucht denn sowas?" zu einem geschäftskritischen Vetrauensdienst

Vor Kurzem wurde das Projekt rund um die Architektur und Implementierung einer Public Key Infrastructure (PKI) mit Disaster Recovery (DR) bei der Deutschen Post DHL(450.000 Mitarbeiter, Logistikbranche) abgeschlossen. Im Laufe der Zeit hat sich das Projekt zur Gründung von kryptografischen und Vertrauensdiensten entwickelt (kryptografische Schlüsselverwaltung, Cloud- und Datenbankverschlüsselung, PKI, Dokumentensignierung und Zeitstempel, Multi-Faktor-Authentifizierung und Hardware-Sicherheit). Die folgenden Abschnitte sollen die Bedeutung einer zentralen Komponente für die Implementierung, eine Zertifikat-Lifecycle-Management-Plattform und die Evolution solcher Dienste in einer Unternehmensumgebung aufzeigen.

Die Entwicklung der Public Key Infrastruktur in den letzten fünf Jahren

Die Geschichte geht zurück auf das Jahr 2012, als ich zu Deutsche Post DHL kam und die Verantwortung für die PKI-Infrastruktur übernahm, die schon lange vor meiner Arbeitsaufnahme eingerichtet worden war. Es war zu der Zeit eine 'relativ kleine' und 'geschäftskritische' PKI-Implementierung, die aus drei Zertifizierungsstellen (CAs) bestand - eine Kombination von öffentlich vertrauenswürdigen GlobalSign-signierten ausstellenden CAs und einer selbstsignierten privaten CA. Kein Clustering oder Hochverfügbarkeit, zwei Infrastrukturintegrationen, die von einer eigenentwickelten, für rund 300.000 digitale Zertifikate zuständigen Zertifikat-Lifecycle-Management-Plattform (SSL, S/MIME und VPN-Authentifizierung) verwaltet wurden. Das folgende Diagramm der Architektur zeigt den Stand der PKI-Infrastruktur 2012.

PKI 2012

Als der Haupt-Verantwortliche war ich schnell vom Potenzial der Infrastruktur fasziniert und überrascht, wie wenig das Unternehmen sie bisher genutzt hatte. Unabhängig davon, ob es daran lag, dass die Implementierung den geschäftlichen Anforderungen zu der Zeit gerecht wurde oder nicht die nötige Beachtung erhielt, machte ich mich daran, dies zu ändern. Das Ziel war es, eine kleine und 'geschäftskritische' Infrastruktur in einen profitablen geschäftskritischen Dienst umzuwandeln, mit der Möglichkeit, neue Kunden und Geschäftsmöglichkeiten zu gewinnen, eine Grundlage für einen Cluster von Diensten zu schaffen, von dem das Unternehmen bis lange nach meinem Abgang profitieren könnte. Von Anfang bestand die größte Herausforderung darin, die Aufmerksamkeit des Unternehmens darauf zu lenken. Die Leute fragten mich ständig: "Warum machst du das?", "Wer braucht denn sowas?" und "Worum geht es eigentlich?". Aber trotz allem wurden Beharrlichkeit, Leidenschaft und Vision zu meinem Leitmotiv in den kommenden Jahren.

Während der Jahre bei Deutsche Post DHL brauchte es viel Geduld, verbale Kommunikation und Zeit, um das Potenzial von PKI, seine zahlreichen Anwendungsmöglichkeiten und den Mehrwert für das Unternehmen und die Führungskräfte zu betonen. Das Wichtigste, was wir gelernt haben, ist, dass eine praktische Demonstration unendlich effektiver als farbenprächtiges Marketing ist.

Wir haben viele Male versucht, dem Management die Bedeutung von Sicherheit, digitalem Vertrauen und Reputation aufzuzeigen. Wir haben versucht, den Sicherheitsteams zu erklären, warum es wichtig ist, ein zentrales Zertifikat Lifecycle Management zu haben, warum es wichtig ist, dass kryptografische Schlüssel geschützt und verwaltet werden sollten,

Ein kryptografischer Schlüssel ist so wertvoll wie der Gesamtwert der Vermögenswerte, die die Verschlüsselung schützt.

was die geschäftliche Auswirkung von Identitätsdiebstahl und Man-in-the-Middle-Angriffen ist und wie auf lange Sicht ein Verlust von Reputation und digitalem Vertrauen viel schlimmer ist als ein monetärer Verlust. Aber letztendlich gibt es Worte wie Sand am Meer und ein Bild sagt mehr als tausend Worte. Zu häufig richtet sich eine Investition in Sicherheit nach der folgenden Gleichung:

Gewinn = Rendite – Investition

Wenn Gewinn > Investition ist, ist es gut. Wenn Gewinn >> Investition ist, ist es sehr gut. Wenn Sie ein Anbieter von PKI-Diensten wie GlobalSign sind, ist es einfach, den Gewinn zu berechnen. Wenn Sie aber ein Verbraucher von PKI-Diensten sind, wird die Berechnung der monetären Rendite auf die Investition für den Einsatz von z.B. SSL - digitales Vertrauen, Sicherheit - zu einer unbekannten Variablen oder zumindest nicht so leicht quantifizierbar. Und das ist der Knackpunkt.

Immer wenn wir mit Worten versuchten, eine Investition vor dem Management zu rechtfertigen, landeten wir in einer Sackgasse: "... Sie sind nicht der Erste, der uns erzählt, dass diese neu vorgeschlagene Lösung oder dieses Produkt besser und sicherer ist. Wir haben die aktuelle Lösung seit vielen Jahren und wir sehen nicht den Mehrwert dieser Investition ... ". Wir fanden heraus, dass - schlicht und ergreifend - die wirklich effektive Methode eine Vorführung ist.

Sobald wir zeigten, was passiert, wenn die Signatur-Website eines Unternehmens eine schwache SSL-Konfiguration mit einem abgelaufenen oder widerrufenen Zertifikat hat und statt eines nahtlosen Ladens des Inhalts sich die Benutzer mit fehlerhaften oder nicht vertrauenswürdig/unsicher Meldungen herumschlagen müssen, nebst dem Erklären der Auswirkungen der Kompromittierung eines kryptographischen Schlüssels, wurde es viel einfacher, die Gefahren, die Risikominderungen, den Mehrwert für das Unternehmen zu erklären und im Gegenzug die so dringend benötigte Investition zu erhalten. Das Vorstehende befürwortet keine vorsätzliche Zerstörung eines Produktionsumfeldes, sondern vielmehr, wie man eine technologische Vorführung effektiv in ein unternehmerisches Verständnis in einem kontrollierten Umfeld zum Zwecke des “was wäre, wenn ... und wie man folglich die Gefahren minimiert” umsetzt.

Eine Vorführung ist viel aussagekräftiger als eine Erklärung - niemand kann einer nachgewiesenen Tatsache widersprechen.

2014 war Deutsche Post DHL ausreichend vertraut mit PKI-Diensten und wie sie mit ihrem Tagesgeschäft zusammenhängt. Das Thema digitale Zertifikate und PKI wurde zu einem Teil der Tagesordnung. Aufgrund der geschäftskritischen Art der Infrastruktur und der wachsenden Nachfrage nach PKI-Diensten, erkannte das Unternehmen die Notwendigkeit für Redundanz, um Geschäftskontinuität und API-Automatisierung zur Bewältigung der wachsenden Nachfrage zu gewährleisten.

Das war die Zeit, in der das PKI-'Team' um ein Mitglied wuchs und das PKI-DR-Projekt begann. Obwohl das 2012er Ziel blieb, änderte sich die Herausforderung dahingehend, eine neue Generation der PKI mit Redundanz, Automatisierung und Innovation als Hauptantriebe umzusetzen.

Bevor mein Kollege und ich Deutsche Post DHL im Januar 2017 verließen, konnten wir zwei große Erfolge vorweisen. Der Erste war, dass die Leute, die mich Jahre zuvor ständig gefragt hatten: "Warum machst du das?", "Wer braucht denn sowas?" und "Worum geht es eigentlich?" plötzlich anfingen, mich zu fragen "Wie hast du das erreicht?". Der zweite war, dass die Infrastruktur weit über den ursprünglichen Umfang des Projekts - PKI DR - gewachsen war. Sie hatte sich zu einer, wie ich sie jetzt im Rückblick nennen könnte, Abteilung für kryptografische und Vertrauensdienste entwickelt mit:

  • Sechs geclusterten CAs - einer Kombination von öffentlich vertrauenswürdigen GlobalSign-signierten ausstellenden CAs, selbstsignierten privaten CAs und einer GlobalSign Managed PKI-Plattform,
  • Gemalto HSM– Hardware-Sicherheits-Appliances zur sicheren Speicherung von kryptografischen Signaturschlüsseln der CAs,
  • 4.000.000 verwaltete Zertifikate (SSL, S/MIME, Mobilität und IoT, Multi-Faktor-Authentifizierung, Dokumentensignierung, Computerzertifikate [inkl. TPM-geschützten für hochwertige Systeme]) mit verschiedenen Infrastrukturintegrationen,
  • und vieles mehr…

PKI 2017

Für volle Größe auf das Bild klicken.

Die Chancen multiplizieren sich, wenn sie erkundet werden: Der Bedarf für Zertifikat Lifecycle Management und Automatisierung

Um Wikipedia zu zitieren:

Eine Public Key Infrastructure (PKI) ist eine Anzahl von Rollen, Richtlinien und Verfahren, die zum Erstellen, Verwalten, Verteilen, Verwenden, Speichern und Widerrufen von digitalen Zertifikaten und zur Handhabung der Verschlüsselung mit öffentlichen Schlüsseln benötigt werden.

Das ist zu 100% richtig. Aber es gibt zwei Hauptbereiche, die von größter Bedeutung sind. Der erste ist die sichere Handhabung von privaten Schlüsseln und ihrem Lebenszyklus:

  • “Wo werden die Schlüssel generiert und gespeichert?”
  • “Wer hat Zugang zu ihnen?”
  • “Wie werden die Schlüssel archiviert und entsorgt?”

Der zweite ist die Verwaltung des Zertifikat-Lebenszyklus:

  • “Wie werden die Zertifikatsignieranforderungen generiert?”
  • “Wie werden Zertifikate installiert?”
  • “Wie wird die Gültigkeit des Zertifikats überwacht?”
  • “Wie werden die Zertifikate erneuert?
  • “Ist der Zertifikatsregistrierungsprozess konform?”

Wir stellten fest, dass die Bereiche der Verwaltung von privaten Schlüsseln und Zertifikat-Lebenszyklus sehr wichtig und übersehene Komponenten einer PKI-Bereitstellung waren.

Die Zertifikat-Lifecycle-Management-Plattform ist sowohl eine Brücke, die die Client-Seite von PKI mit dem serverseitigen PKI verbindet als auch ein Gateway, durch das Benutzer, Administratoren, Kunden und Unternehmen die PKI sehen. Es ist auch der Ort, an dem die Support-Teams zentral managen können, was in ihrem System passiert. Gleichzeitig erlaubt sie die Automatisierung durch interessante API-Integrationen, durch die neue Geschäftsmöglichkeiten erschlossen und die täglichen PKI-Aktivitäten effektiver gestaltet werden können

Aufgrund der Natur und der Sensibilität der PKI-Infrastruktur, verbunden mit strengen deutschen Gesetzen und internen Sicherheitsrichtlinien, kam die Nutzung einer von einem Drittanbieter kontrollierten Managementplattform zur Verwaltung der Infrastruktur nicht in Betracht. Nach der Abwägung einiger Vor-Ort-Lösungen und der Vor- und Nachteile hinsichtlich der Umgebung, auf der wir aufbauten, wählten wir die CMS von CSS.

Die homogene Natur der Infrastruktur und die immensen Mengen an Infrastrukturgeräten, mobilen Geräten, Nutzern, SSL-Endpunkten und potenziellen Integrationen rechtfertigten einen Automatisierungsbedarf. Der Einsatz eines zentralisierten Zertifikat-Lifecycle-Managements stellte eine elegante Methode dar, um einen Mittelweg zwischen dem Einsatz neuer Dienste und deren Unterstützung zu finden. In der Folge katalysierte er eine Reihe nachfolgender Projekte. Um nur einige zu nennen:

  • Mobilität und Internet der Dinge.
  • SSL-Automatisierung.

Die folgenden zwei Beispiele waren zwei von vielen PKI-DR-Integrationen bei Deutsche Post DHL, wo das Zertifikat-Lifecycle-Management aufgrund der Vielfalt und des Umfangs der Endpunkte eine zentrale Rolle spielte. Es geht nicht darum, wie wir es gemacht haben, sondern darum, mit welchen Problemen wir konfrontiert wurden und warum das Zertifikat Lifecycle Management die Waffe der Wahl war.

Mobilität und das Internet der Dinge.

Bei Mobilität und Internet der Dinge war die größte Herausforderung die Kontrolle einer sicheren Generierung, Speicherung, Löschung und Registrierung von kryptografischem Material auf dem (für das) Gerät. Darüber hinaus machten es die Menge und die Vielfalt der mobilen PKI-Bereitstellungen,

  • über 20.000 mobile Geräte,
  • Apple iOS, Android, Windows, Blackberry; sowohl ältere als auch neue mobile Geräte,
  • verschiedene kryptografische Parameter (Signieralgorithmen, Zertifikatzwecke, Sicherheitsniveaus, Gültigkeit),
  • verschiedene Compliance-Anforderungen und Gerätekategorien (BYOD, COPE),
  • diverse mobile Geräte-Management-Plattformen,
  • Infrastrukturintegrationen

noch schwieriger, ein vernünftiges Maß an Kontrolle über den Lebenszyklus von Zertifikaten einzurichten, die auf den mobilen Geräten registriert waren.

  • Ein einfaches PKI-Setup für Mobilgeräte besteht aus einem mobilen Gerät, einer MDM-Plattform (Mobile Device Management) und einer PKI. Aber es gibt mehrere Vorbehalte.
  • Mobile Geräte verwenden keine Hardwaresicherheit, um private Schlüssel zu schützen, und die aktuellen Softwarekontrollen bieten fast keine Sicherheit.
  • Mobile Device Management-Plattformen nutzen ein SCEP-Protokoll, das ursprünglich nicht für mobile Geräte konzipiert war und dem daher messbare Sicherheitskontrollen fehlen.
  • Keine Mobile Device Management-Plattform unterstützt alle Mobil-Betriebssysteme und damit sind Durchsetzungsrichtlinie und "Sicherheitskontrollen" inkonsistent.
  • Die PKI in der Welt der Mobilgeräte ist definitiv wertvoll, aber solange Endpunktschutz und Anti-Malware-Erkennung nicht eingesetzt und äußerst gewissenhaft durchgesetzt werden, ist die PKI das geringste Ihrer Probleme.

Es besteht auch ein Unterschied zwischen dem, was Benutzer wollen (BYOD) und was ein Unternehmen will (COPE).

Aus Sicht eines Benutzers (BYOD):

  • Diverse Mobilgeräte; verschiedene Betriebssysteme, in der Regel Android und iOS.
  • Die Durchsetzung von Unternehmenseinstellungen auf Nicht-Unternehmensgeräten ist ein juristisches Minenfeld.
  • Zertifikatregistrierung über "Quarantäne" WLAN, externe VPN, manuelle .PFX-Registrierung.
  • Kurzlebige Zertifikate; Benutzerzertifikate.

Aus Sicht eines Unternehmens (COPE):

  • Ein oder zwei Mobilgeräte, in der Regel Blackberry, iOS oder Windows Phone.
  • Durchgesetzte Firmeneinstellungen; erlaubte Anwendungen durch mobile Geräteverwaltung.
  • Vorregistrierte Zertifikate; Gerätezertifikate und Benutzerzertifikate.

Es muss viel Arbeit hineingesteckt werden, um die Situation zu verbessern. Ein Ersatz von SCEP ist im Gange - EST und Metrarc - die das Gebiet der kryptographischen Schlüsselsicherheit erneuern sollen.

Ein mobiler PKI-Einsatz dieser Größenordnung ist definitiv keine leichte Aufgabe und erfordert eine ständige strenge und strikte Kontrolle bei Onboarding und Verwaltung mobiler Geräte, egal ob bei BYOD oder COPE.

SSL-Automatisierung

Die SSL-Automatisierung war ein wichtiger Schritt zur Umwandlung eines manuellen Prozesses der Installation von SSL-Zertifikaten und Konfiguration von SSL-Endpunkten hin zu einem halbautomatischen und standardisierten Prozess. Durch den Mix von alten und modernen Systemen konnten wir aus Gründen der Abwärtskompatibilität nicht nur ein Konfigurationsprofil für alle einsetzen. Aber selbst in seinen halbautomatischen Einstellungen war die Automatisierung effizient genug, um erhebliche Risikominimierung und Ressourceneinsparungen zu erzielen. Eine generische Konfiguration würde die folgenden Einstellungen enthalten und die folgenden operativen Aufgaben ausführen:

  • Cipher Suites und unterstützte SSL/TLS-Version(en),
  • SSL-Sitzung oder TLS-Ticket-Konfiguration, Einstellungen für Neuverhandlung,
  • HSTS oder HPKP und OCSP Stapling,
  • SSL-Zertifikat und optional eine Zertifikatskette,
  • Überwachung der Gültigkeit des SSL-Endpunkts und ggf. Benachrichtigung,
  • Erneuerung mit einem neuen Schlüssel oder einem vorhandenen (automatisch oder manuell).

Bei 50 SSL-Endpunkten ist eine solche Aufgabe kein Problem und kann manuell gehandhabt werden, aber in einer Umgebung mit

  • über 100.000 SSL Endpunkte mit einem Mix aus alten und modernen Systemen sieht das anders aus.
  • Unterschiedliche Infrastrukturintegrationen (F5, Citrix, Juniper, Cisco, Bluecoat, Apache, Windows, Linux).

Ein manueller Ansatz wird durch die Möglichkeit eines menschlichen Fehlers ineffektiv und riskant. Es stimmt, dass eine Ausfallzeit besonders schädlich für geschäftskritische SSL-fähige Finanzanwendungen ist, wo jede Minute Ausfallzeit zu erheblichen Verlusten führt. Wenn es aber hart auf hart kommt, ist jede Ausfallzeit 'kritisch'. Es kommt nur darauf an, wer Ihnen im Nacken sitzt.

Mit der jüngsten Vermehrung von SSL-Schwachstellen (z.B. Heartbleed, BEAST, BREACH, CRIME, SSL-Neuverhandlung, schwache Schlüssel und Hash-Algorithmen, unsichere SSL/TLS-Stapel) fanden Sicherheitsüberprüfungen bestehender SSL-Implementierungen, Hardware-Sicherheit, TLS 1.3 Entwicklung und Bewusstseinsbildung für Identitätsdiebstahl und Man-in-the-Middle-Auswirkungen immer mehr Beachtung. Dies läuft aber alles ins Leere, solange Unternehmen nicht lernen, dass Zertifikate nicht nur als Dateien irgendwo auf einem Server sitzen, sondern dass sie Vermögenswerte sind, die digitales Vertrauen, Reputation und Sicherheit schützen, auf die wir jeden Tag angewiesen sind, egal ob in der digitalen oder der realen Welt.

Ich fasse den Mehrwert eines Zertifikat-Lifecycle-Managements noch einmal zusammen:

  • Ein zentraler Ort, um den Lebenszyklus von digitalen Zertifikaten zu verwalten,
  • Erhöhte Transparenz der Public Key Infrastruktur für die Support-Teams,
  • Reporting-Möglichkeiten für das Unternehmen und Dritte (falls vorhanden),
  • Stärkere Überprüfung der Ausstellungskonformität,
  • Automatisierung durch API-Integration in Sicherheitsinfrastrukturdienste und verwaltete Plattformen,
  • Integration in Ticketausstellungssystem Workflows (z.B. Service Now).

Fazit

Wenn das Unternehmen wächst, wächst auch der Bedarf für PKI und digitale Zertifikate. Bei abstrakten Definitionen wie Authentifizierung, Integrität, Verschlüsselung, digitales Vertrauen und Reputation ist es manchmal schwierig, Unternehmen ihre Bedeutung zu erklären, weil sie an sich selbst nichts Fassbares darstellen. Sie werden aber ziemlich fassbar, wenn Datenverletzungen passieren. Daher ist es das wichtigste Ziel für das Unternehmen, ihren Mehrwert für das Unternehmen vorher zu verstehen.

Und weil schneller, besser, günstiger, sicherer, bequemer, kundenorientierter, keine Ausfallzeiten, keine Auswirkung - auch wenn sich manches irgendwie gegenseitig ausschließt - das Lebendige in einem Unternehmen darstellen, sollte das Zertifikat-Lifecycle-Management eine Pflichtkomponente einer umfassenden PKI-Implementierung sein. Einfach nur, da es den Dienstplan des Support-Teams unterstützen kann und dem Unternehmen erlaubt, die Kontrolle über einen zentralen Dienst der Unternehmensinfrastruktur zu haben. Letztendlich steht und fällt alles mit der Beharrlichkeit, Leidenschaft und Vision eines Mannes oder einer Frau mit einer Idee.

Über den Autor

Lukáš ist ein ehemaliger Sicherheitstechniker, der für kryptografische Dienste und Public Key Infrastructure bei Deutsche Post DHL verantwortlich war. Er ist Mitbegründer von PKI TECHNOLOGY, wo er sich auf kryptografische Technologien wie Kryptowährungen und Blockchain, PKI, kryptografische Schlüsselverwaltung und Authentifizierung spezialisiert hat.

Er interessiert sich auch für Reverse Engineering, Betriebssystemsicherheit, digitale Forensik. Er leistet seinen Beitrag zur Internetsicherheit durch Vorträge auf Sicherheitskonferenzen und Veröffentlichungen.

Auf LinkedIn verbindenAuf Twitter folgen.

Biografie PKI TECHNOLOGY

pki technology

PKI TECHNOLOGY wurde 2016 durch ehemalige Mitarbeiter von Deutsche Post DHL gegründet, die ihre Arbeiten im Bereich kryptografische Dienste, Virtualisierung und Infrastruktursicherheit fortführen wollten.

Hinweis: Dieser Blog Artikel wurde von einem Gastautor geschrieben, um unseren Lesern eine breitere Vielfalt an Inhalten anzubieten. Die in diesem Gastautorenartikel ausgedrückten Meinungen sind nur die des Autors und geben nicht unbedingt die von GlobalSign wieder.

Artikel teilen

Write for Us

Apply Now

Subscribe to our Blog