Discussion:
Privatschlüssel durch Zertifizierungsstelle erhalten
(zu alt für eine Antwort)
Marco Moock
2023-10-19 13:32:47 UTC
Permalink
Hallo zusammen!

Wenn man vom DFN ein Zertifikat bekommt, ist das eine .p12-Datei, die
den privaten Schlüssel enthält, verschlüsselt mit einem Passwort, was
der Nutzer auf der Website selbst festlegt.
Die wird über einen Webserver ausgeliefert.

Ist das nicht schon vom Konzept her ein Sicherheitsrisiko, weil ein
Sicherheitsproblem bei denen dafür sorgen würde, dass massenhaft
Privatschlüssel dem Angreifer zur Verfügung stünden?
--
Gruß
Marco Moock
Paul Muster
2023-10-19 13:57:02 UTC
Permalink
Post by Marco Moock
Wenn man vom DFN ein Zertifikat bekommt, ist das eine .p12-Datei, die
den privaten Schlüssel enthält, verschlüsselt mit einem Passwort, was
der Nutzer auf der Website selbst festlegt.
Die wird über einen Webserver ausgeliefert.
Ist das nicht schon vom Konzept her ein Sicherheitsrisiko, weil ein
Sicherheitsproblem bei denen dafür sorgen würde, dass massenhaft
Privatschlüssel dem Angreifer zur Verfügung stünden?
Ja, ist es. Eine bessere Lösung ist, dass der Nutzer auf seinen Systemen
private key und dazu ein CSR erstellt und nur dieser CSR an die CA geht.
Dieser kommt dann - signiert von der CA - in Form des Zertifikats
zurück. Die CA hat in keiner Form und zu keinem Zeitpunkt Zugriff auf
den private key.


mfG Paul
Marco Moock
2023-10-19 14:11:31 UTC
Permalink
Post by Paul Muster
Ja, ist es. Eine bessere Lösung ist, dass der Nutzer auf seinen
Systemen private key und dazu ein CSR erstellt und nur dieser CSR an
die CA geht. Dieser kommt dann - signiert von der CA - in Form des
Zertifikats zurück. Die CA hat in keiner Form und zu keinem Zeitpunkt
Zugriff auf den private key.
Bei normalen X509-Zertifikaten ist das auch der Fall, nur bei den
S/MIME-Zertifikaten für die Nutzer beim DFN und jetzt auch bei GEANT
nicht.
Was könnte der Grund dafür sein?
Arno Welzel
2023-10-19 14:34:02 UTC
Permalink
Post by Marco Moock
Post by Paul Muster
Ja, ist es. Eine bessere Lösung ist, dass der Nutzer auf seinen
Systemen private key und dazu ein CSR erstellt und nur dieser CSR an
die CA geht. Dieser kommt dann - signiert von der CA - in Form des
Zertifikats zurück. Die CA hat in keiner Form und zu keinem Zeitpunkt
Zugriff auf den private key.
Bei normalen X509-Zertifikaten ist das auch der Fall, nur bei den
S/MIME-Zertifikaten für die Nutzer beim DFN und jetzt auch bei GEANT
nicht.
Was könnte der Grund dafür sein?
Dass das DFN in der Vergangenheit die Erfahrung gemacht hat, dass es für
manche Nutzer ein schier unlösbares Problem ist, einen privaten
Schlüssel und ein CSR zu erzeugen und sie das deshalb lieber selber
erledigen. Dann muss man dem Nutzer nur noch erklären, wie er das
importiert und das Passwort beim Import eingibt.
--
Arno Welzel
https://arnowelzel.de
Marcel Mueller
2023-10-19 16:32:02 UTC
Permalink
Post by Marco Moock
Post by Paul Muster
Ja, ist es. Eine bessere Lösung ist, dass der Nutzer auf seinen
Systemen private key und dazu ein CSR erstellt und nur dieser CSR an
die CA geht. Dieser kommt dann - signiert von der CA - in Form des
Zertifikats zurück. Die CA hat in keiner Form und zu keinem Zeitpunkt
Zugriff auf den private key.
Bei normalen X509-Zertifikaten ist das auch der Fall, nur bei den
S/MIME-Zertifikaten für die Nutzer beim DFN und jetzt auch bei GEANT
nicht.
Was könnte der Grund dafür sein?
Dass $DAU nicht in der Lage ist, diesen Schlüssel zu erzeugen und vor
allem sicher und redundant zu verwahren. Wenn der weg ist, gehen nämlich
auch alle verschlüsselten Mails auf Nimmerwiedersehen ins Datennirwana.


Marcel
Marco Moock
2023-10-19 18:02:35 UTC
Permalink
Post by Marcel Mueller
Dass $DAU nicht in der Lage ist, diesen Schlüssel zu erzeugen und vor
allem sicher und redundant zu verwahren. Wenn der weg ist, gehen
nämlich auch alle verschlüsselten Mails auf Nimmerwiedersehen ins
Datennirwana.
Das Problem besteht auch im aktuell Zustand, zumindest sagen die, dass
die den Schlüssel NICHT speichern und der Nutzer das tun muss.
Tut er das nicht, ist der eben futsch mit allen Folgen.
Marco Moock
2023-10-19 18:03:18 UTC
Permalink
Post by Marcel Mueller
Dass $DAU nicht in der Lage ist, diesen Schlüssel zu erzeugen und vor
allem sicher und redundant zu verwahren. Wenn der weg ist, gehen
nämlich auch alle verschlüsselten Mails auf Nimmerwiedersehen ins
Datennirwana.
Das Problem besteht auch im aktuell Zustand, zumindest sagen die, dass
die den Schlüssel NICHT speichern und der Nutzer das tun muss.
Tut er das nicht, ist der eben futsch mit allen Folgen.

Loading...