The countdown is on to Keyfactor Tech Days     | secure your spot today!

Hardcore PKI: Die wichtigsten PKI-Themen für 2021 und darüber hinaus

Trends in der Industrie

PKI spielt heute eine entscheidende Rolle in unserem Alltag, und deshalb ist es nicht verwunderlich, dass es ein wiederkehrendes Thema auf den PrimeKey Tech Days seit 2015.

Tomas Gustavsson, Chief PKI Officer bei PrimeKey Keyfactor, hat dieses Thema jedes Jahr geleitet und persönlich die wichtigsten PKI-Themen für jede Diskussion ausgewählt. Und das Jahr 2021 hat ihn nicht enttäuscht. Hier ein Blick auf die Höhepunkte seines Vortrags über Hardcore-PKI im Jahr 2021.

Covid-Zertifikate

Covid-Zertifikate und das Konzept der Anpassung von Standards standen eigentlich auch 2020 auf der Agenda der Hardcore-PKI. Aber ähnlich wie in der Welt ist im vergangenen Jahr viel passiert, so dass es sich lohnt, dieses Thema wieder aufzugreifen.

Zunächst ist es wichtig zu wissen, dass es sich nicht um x509-Zertifikate sind, wie wir sie typischerweise in der PKI-Welt diskutieren, sondern normalerweise ein ISO9000 oder ISO27001 Zertifikat. In der Tat gibt es in diesem Bereich mehrere verschiedene Normen, die von der EU, der WHO, der ICAO und anderen Organisationen entwickelt wurden.

Hartgesottene PKI - Covid-Zertifikate

Die Teams, die hinter diesen digitalen Covid-Zertifikaten stehen, haben die Entwicklung und den weltweiten Einsatz schnell vorangetrieben, und das war vor allem aus zwei Gründen möglich. Erstens, weil sie auf bereits bestehenden Standards und Modellen aufbauen, die robust und gut getestet sind, und zweitens, weil viele auch open-source Code verwenden, der über Github zugänglich ist.

Schauen wir uns zwei Beispiele an, die dies verdeutlichen.

ICAO Visuelle digitale Siegel (VDS)

ICAO VDS baut auf ICAO 9303 Teil 12 für seine PKI-Infrastruktur auf, die eine ländersignierte CA ist, die bisher für die Ausstellung von Dokumenten wie Pässen und eIDs verwendet wurde. Vor kurzem wurde sie um Funktionen für einen Barcode-Signierer erweitert. Die ICAO arbeitet derzeit an der Personalisierung und der Erstellung von 2D-Strichcodes mit einem digitalen Siegel, aber die Tatsache, dass sie mit dieser gut etablierten und vertrauenswürdigen Infrastruktur begonnen hat, stellt einen großen Fortschritt im Entwicklungsprozess dar.

EU-Digitales Covid-Zertifikat (EU DCC)

Der EU DCC verfolgt aus Sicht der PKI einen sehr ähnlichen Ansatz wie ICAO VDS, indem er die gleichen robusten und bekannten Konzepte aus ICAO 9303 wiederverwendet, was die Einführung für viele Länder relativ einfach gemacht hat. Der EU DCC verfolgt jedoch einen etwas anderen Ansatz für die Konstruktion der 2D-Strichcodes, indem er eine Signatur in der Mitte der Codes einfügt. Für die Erstellung der Daten und die Überprüfung der Signaturen wurde der Code open-source entwickelt, der über Github verfügbar ist, was ebenfalls zu einer schnelleren Einführung beigetragen hat.

(I)IoT Normen

Der nächste Punkt, IoT Normen - bzw. IIoT-Normen (Industrial IoT) - greift ebenfalls einige Themen aus dem Jahr 2020 auf, aber die Verwaltung dieser Normen bleibt eine Herausforderung, da die Branchen, die auf sie angewiesen sind, weiterhin schnell wachsen.

Insbesondere in der Industrie wird Sicherheit sehr ernst genommen, und der Markt für kritische Infrastrukturen ist stark reguliert, was die Entwicklung dieser Standards stark unter Druck gesetzt hat. Aus der PKI-Perspektive hat dies zu einer Explosion von RFPs und RFIs geführt, um neue Standards zu entwickeln, aber die meisten Organisationen haben immer noch kein klares Verständnis dafür, was in diesen Standards am wichtigsten ist.

Hartgesottene PKI - IIoT-Standards

Betrachten wir zum Beispiel einen Datenaustausch für Stromzähler, der die IEC 62056 Norm verwendet. Wenn die Norm 24 Teile hat und Sie nicht wissen, welcher Teil für die PKI relevant ist, müssen Sie alle 24 Teile durchgehen, um die Konformität zu dokumentieren.

Letztlich führt dies zu mehr Protokollen und mehr Protokollmodi, neuen CA-Typen und komplexeren Profilen mit "mehr Optionen" - und damit zu noch mehr Auswahlmöglichkeiten und mehr Aufwand bei der Entwicklung und Einhaltung dieser Normen.

Integration komplexer Ökosysteme

Wenn man sich vollständig in ein Ökosystem integrieren will, kann es in bestimmten Fällen ziemlich komplex werden, und das hat ihr in diesem Jahr einen Platz auf der Liste der Hardcore-PKI eingebracht.

Wenn man ein neues komplexes System entwickelt oder mit der Integration in ein Ökosystem beginnt, kommt es immer wieder vor, dass man die anfänglichen Konzepte und Funktionen recht schnell entwickeln kann, aber sobald man in die Produktion übergeht, möchte jeder Benutzer etwas anderes tun und plötzlich muss man zahlreiche neue Details und Anwendungsfälle berücksichtigen. 

Diese Art der Integration ist etwas, woran unser Team im letzten Jahr viel gearbeitet hat, um in der Lage zu sein, ein Microsoft-Ökosystem vollständig zu unterstützen und zu integrieren (obwohl es hilfreich ist, dass Microsoft eine Referenzimplementierung hat, die man nachahmen kann, auch wenn sie ziemlich detailliert ist).

Was die Integration des Microsoft-Ökosystems betrifft, so hat sich unser Team im vergangenen Jahr auf zwei Bereiche konzentriert: Native Microsoft-Autoregistrierung und Azure Intune Unterstützung bei der Registrierung.

Hardcore PKI - Ökosystem

Hier ist ein Überblick über die Beteiligten:

  • Automatische Anmeldung bei Microsoft: Unser Team hat daran gearbeitet, die automatische Registrierung von Microsoft über die Webdienst-API hinzuzufügen. Dazu gehören EJBCA Aliase, die mehrere Konfigurationen zur Unterstützung mehrerer Domänen ermöglichen und somit mehrere CAs in derselben Instanz ausführen.
  • Azure Intune-Registrierung: Wir haben auch Azure AD-Parameter hinzugefügt, um Anfragen für die Azure Intune-Registrierung entweder direkt oder über einen Proxy zu unterstützen.
  • Zusätzliche Elemente: Als wir mit der Produktion begannen, fragten die Benutzer nach Funktionen, die über die Bereiche hinausgingen, mit denen wir begonnen hatten. Dies hat zu einigen zusätzlichen Elementen geführt, auf die wir hinarbeiten werden:
    • Schlüsselwiederherstellung/Schlüsselentfernung für S/MIME-Verschlüsselungszertifikate mit Intune
    • Schlüsselbestätigung mit TPM-Modulen
    • Zusätzliche Anmeldeauthentifizierungsmethoden neben Kerberos, wie Client-Zertifikate oder Benutzername/Passwort
    • Einführung von DCOM für bestimmte Anwendungsfälle, die die ältere API erfordern (im Gegensatz zur Webservice-API, die etwa 90 % der Anwendungsfälle abdeckt)

Hardware Sicherheitsmodule

Das bringt uns zu unserem letzten Hardcore-PKI-Thema: Hardware Sicherheitsmodule (HSMs), die auch 2018 und 2019 Teil der Hardcore-PKI-Diskussion waren.

HSMs tauchten in diesem Jahr wieder auf, weil wir festgestellt haben, dass das vertrauenswürdige Java PKCS11, das wir seit Jahrzehnten verwenden, nicht mehr flexibel genug ist, um die Sicherheit für moderne HSMs zu unterstützen. Vor allem bietet es nicht genug Kontrolle. 

Hardcore PKI - HSMs

Als Reaktion darauf hat unser Team daran gearbeitet, die Kontrolle zu verbessern und eine große Anzahl von Signaturschlüsseln innerhalb des HSM zu unterstützen. Dies geschieht über eine direkte Java P11-Schnittstelle, die uns auch die Unterstützung von EdDSA ermöglicht, einer PKCS#11v3-Funktion. Wichtig ist, dass die Unterstützung für EdDSA heute je nach HSM, das Sie verwenden, etwas anders aussehen kann, da viele Anbieter mit der Unterstützung begonnen haben, bevor der PKCS#11v3-Standard offiziell spezifiziert wurde.

Gleichzeitig erleben wir, dass Cloud-HSMs sehr beliebt werden, obwohl viele Menschen skeptisch waren, als diese extern gehosteten HSMs aufkamen. Inzwischen fühlen sich die Unternehmen jedoch viel wohler mit dem Cloud-Hosting und haben mehrere Vorteile in der Benutzerfreundlichkeit eines Cloud-HSMs erkannt.

Bonus: Was wurde nicht in die "Hardcore PKI" aufgenommen?

Zu guter Letzt gibt es einige Themen, die es nicht in die Liste der Hardcore-PKI geschafft haben, nicht weil sie uninteressant wären, sondern weil sie einfach nicht "hardcore" genug sind. Hier ist ein kurzer Blick auf diese Zweitplatzierten:

  • Produkt-Pipelines: Wir arbeiten an einem Beispiel, bei dem Container als Bausteine verwendet werden, um Quellcode in ein vollständiges Benutzerprodukt zu überführen.
  • Angriffe auf die Lieferkette: Sichere software Entwicklungslebenszyklen waren im letzten Jahr ein sehr aktuelles Thema.
  • Digitale Souveränität: Dies bedeutet für jeden etwas anderes, wird aber oft mit der Nutzung von open-source in Verbindung gebracht.

Sind Sie an weiteren Informationen interessiert?

Die Idee der "Hardcore-PKI" wird in absehbarer Zeit nicht verschwinden - PKI ist ein komplexes und sich ständig veränderndes Konzept, und deshalb werden wir mit der Weiterentwicklung der Technologie auch weiterhin auf neue Herausforderungen und neue Vorgehensweisen stoßen.

Möchten Sie mehr über die Themen erfahren, die in diesem Jahr ausgewählt wurden? Klicken Sie hier, um die komplette Session über Hardcore PKI mit Tomas Gustavsson von den PrimeKey Tech Days 2021 anzusehen..