Wenn Sie dies lesen, haben Sie mit großer Wahrscheinlichkeit bereits die Berichte über die Sicherheitsauswirkungen der Ausstellung von Zertifikaten für mobile Geräte unter Verwendung des Simple Certificate Enrollment Protocol gelesen (weitere Informationen auf unserer Website hier). Wir haben viele Anfragen dazu erhalten, wie man feststellen kann, ob ein bestimmtes System gefährdet ist, und wenn ja, wie hoch die Gefährdung sein könnte. Erschwerend kommt hinzu, dass es eine Vielzahl von MDM-Produkten (Mobile Device Management) gibt, die über eine Vielzahl von Konfigurationsmöglichkeiten verfügen. Aufgrund dieser Variabilität kann die Frage "Ist {ProduktX} betroffen?" zu stark vereinfachten Antworten führen, die Sie dennoch einem Risiko aussetzen.
Die Bewertung des Risikos einer bestimmten MDM-Implementierung kann etwas nuanciert sein, da eine Reihe von Faktoren ins Spiel kommen. Die wichtigsten Kriterien, die bei einer Bewertung zu prüfen sind, sind:
1) Wohin SCEP-Challenges gesendet werden (und somit potenziell missbraucht werden können). Wie Sie vielleicht erwarten, sind Sie umso schlechter dran, je mehr Stellen die Challenge-Passwörter gesendet werden und je unsicherer diese Stellen sind. Systeme, die die Wiederverwendung der Challenge-Passwörter deaktivieren oder zulassen, sind noch schlechter.
2) Welche Art von betrügerischem Zertifikatsinhalt angefordert werden kann. Je weniger Beschränkungen für die Durchsetzung des angeforderten Zertifikatsinhalts gelten, desto größer ist das Problempotenzial.
3) Welche Systeme oder Einrichtungen vertrauen den potenziell betrügerischen Zertifikaten. Je größer das Vertrauen in die ausgestellten Zertifikate ist, desto größer ist das Risiko. Wenn Sie Zertifikate ausstellen wollen, die von der PKI Ihres Unternehmens als vertrauenswürdig eingestuft werden, sollten Sie dies unbedingt berücksichtigen. sehr sorgfältig prüfen.
Bei Nr. 1 gibt es zwei Bereiche, in denen MDM-Systeme SCEP verwenden können: Eine große Risikoquelle entsteht in Fällen, in denen SCEP-Profile zur Bereitstellung von Authentifizierungszertifikaten verwendet werden. Aber fast alle MDM-Systeme verwenden SCEP während der anfänglichen Geräteanmeldung von iOS-Geräten.
Einige MDMs verwenden SCEP auf dem MDM-Server, um Zertifikate im Namen des Benutzers abzurufen und sie dann als PKCS#12 an das Gerät zu liefern. Dies ermöglicht eine bessere Kontrolle der SCEP-Challenge-Passwörter, allerdings auf Kosten der von iOS unterstützten geräteinternen Schlüsselgenerierung. Aus der Sicht eines PKI-Praktikers ist die geräteinterne Schlüsselgenerierung bei weitem vorzuziehen und trägt dazu bei, die PKI-Verwaltungsprobleme zu vermeiden, die dadurch entstehen, dass Zertifikate in die falschen Hände geraten und an Benutzer oder Geräte weitergegeben werden, wo sie nicht hingehören. Aus diesem Grund schreiben viele Certificate Policy (CP)-Dokumente die Schlüsselgenerierung auf dem Gerät oder hardware oder nicht exportierbare private Schlüssel vor .
#2 ist sehr stark vom verwendeten SCEP-Server und der PKI abhängig. In einigen Fällen wird fast jedes PKCS#10 akzeptiert. Andere erlauben einige Felder angegeben werden, während andere Felder programmatisch gesetzt werden. Beispielsweise überschreiben viele Microsoft-Zertifikatsvorlagen so gut wie alles, was angefordert wird, außer dem öffentlichen Schlüssel und dem angeforderten Zertifikatssubjekt und Subjekt-Altnamen.
#Nr. 3 hängt davon ab, wofür die PKI, die die SCEP-Anfragen bearbeitet, sonst noch verwendet wird. Wir haben Fälle erlebt, in denen Unternehmen, die gar nicht an der Ausstellung von Authentifizierungszertifikaten über MDM interessiert sind, sich einem Risiko ausgesetzt haben, indem sie ihre interne PKI für die anfängliche MDM-Geräteanmeldung genutzt haben.
Das Zusammenspiel dieser drei Faktoren ist der Schlüssel. Aber selbst in Fällen, in denen die PKI des SCEP-Servers vollständig isoliert ist und nur Geräteanmeldungszertifikate ausstellt, besteht immer noch das Risiko, dass jemand ein Zertifikat anfordert, das ein anderes Gerät als das MDM-System repräsentiert - vielleicht eines mit einem höheren Zugriffsniveau oder weniger Einschränkungen. Um auf Punkt 3 zu verweisen: Dies könnte bei einer Cloud-basierten MDM-Bereitstellung größere Auswirkungen haben.
Es gibt immer noch eine Menge Nuancen, aber ich hoffe, dass dies hilft, den Kontext zu verstehen. CSS hat eine Lösung, die dies auf sichere Weise ermöglicht, indem ein SCEP-Validierungsdienst verwendet wird, um den Missbrauch von erfassten Challenge-Passwörtern zu verhindern. Meiner Meinung nach wird es ohne eine solche Lösung immer ein gewisses immer ein gewisses Risiko bestehen, wenn SCEP-Challenges außerhalb einer Vertrauensgrenze übertragen werden - die Frage ist nur, wie hoch.
