Warum sprechen wir über Versicherungen?
Das Thema "Sicherheit" im Bereich der PKI ist eines der Themen, die ein PKI-Design-Meeting fast garantiert in ein Kaninchenloch führen. Und leider bevorzugen viele Kunden die blaue Pille, anstatt sich die Mühe zu machen, Risiken, Auswirkungen und Sicherheit im Bereich der Zertifikate gründlich zu untersuchen.
Ehrlich gesagt, kann ich es ihnen nicht verdenken. Die Realität ist, dass die meisten Leute einfach Zertifikate brauchen, damit sie "einfach funktionieren". Das heißt, die Leute müssen das Kästchen ankreuzen, das bestätigt, dass in ihrer Umgebung derzeit ein Rest von zertifikatsbasierter Authentifizierung verwendet wird. In der Regel geschieht dies als Reaktion auf ein Compliance-Audit - was sicherlich verständlich ist.
Aber was nützt ein Zertifikat ohne jegliche Zusicherung? Wenn ein Zertifikat nicht in der Lage ist zu sagen, wie viel Vertrauen ihm entgegengebracht werden sollte, oder wie es zu verwenden ist, oder(vielleicht noch wichtiger) wie es nicht verwendet werden sollte, wie nützlich ist dieses Zertifikat dann genau?
Bescheinigungen sind ohne Politik bedeutungslos
Ich sage meinen Kunden oft, dass Zertifikate, die keine Richtlinien vermitteln, den Eigentümern von Anwendungen und den vertrauenden Parteien keine Möglichkeit bieten, zu erkennen, was ein bestimmtes Zertifikat authentifizieren kann oder wie es verwendet werden soll. Sollte zum Beispiel jedes Benutzerzertifikat für Non-Repudiation-Zwecke verwendet werden? Die meisten würden dies verneinen, aber die Entscheidung darüber, welche Zertifikate für Non-Repudiation-Zwecke verwendet werden sollten, würde mit Sicherheit eine Diskussion über die Zertifikatsrichtlinien beinhalten. Und hier fangen die Dinge an, heikel zu werden.
Ich betrachte jedes Zertifikat, das keine Politik enthält, als ein Zertifikat, das nicht in der Lage ist, ein bestimmtes Sicherheitsniveau zu vermitteln. Aber die Angabe eines Sicherheitsniveaus ist mehr als nur eine willkürliche Bezeichnung. Die Angabe von Sicherheitsniveaus ist eher mit dem Erzählen einer Geschichte vergleichbar. Diese Geschichte der Vertrauenswürdigkeit und Sicherheit zu erzählen, ist Aufgabe des PKI-Architekten. Diese Geschichte wird in Form von Zertifikatsrichtlinien, Erklärungen zu Zertifizierungspraktiken und konformen Betriebsprozessen formuliert. Als PKI-Architekt betrachte ich daher die Politik als ein grundlegendes zentrales Thema in meinem philosophischen Ansatz für PKI-Design und -Architektur.
Was Versicherung bedeutet
Sicherheit wird allgemein definiert als das Vertrauen, das eine vertrauende Partei haben kann, dass das auf einem Zertifikat aufgeführte Subjekt tatsächlich derjenige ist, der ein bestimmtes Zertifikat vorlegt. Während sich die meisten Kunden mit dieser Aussage leicht identifizieren können, bedeutet dies, dass die Unternehmensdefinitionen der Sicherheit greifbar gemacht werden müssen. Sicherheit muss in einer Weise beschrieben werden, die von allen verstanden und akzeptiert werden kann.
PKI ist jetzt real.
Wo fangen wir also bei dieser Beschreibung von Sicherheit an? Ich habe die Erfahrung gemacht, dass ein guter Ausgangspunkt für ein Gespräch über Sicherheit eine Liste potenzieller Risiken ist, die mit dem Missbrauch von Zertifikaten verbunden sein können. Mit anderen Worten: Was könnte passieren, wenn ein bösartiges oder falsch konfiguriertes Zertifikat von einer internen PKI ausgestellt und verwendet wird? Diese Liste könnte etwa so aussehen:
- Schädigung des Rufes
- Finanzieller Verlust
- Schaden für Produkt oder Unternehmen
- Freigabe sensibler Informationen
- Persönliche Sicherheit
- Zivil- und strafrechtliche Verstöße
Die Verfeinerung dieser Auswirkungsliste in hohe/mittlere/geringe Auswirkungsstufen ermöglicht es den Kunden, jeden Anwendungsfall eines Zertifikats auf eine Reihe von definierten Auswirkungsstufen zurückzuführen. Ein Beispiel...
- Stufe 1 - Geringes Vertrauen in die behauptete Identität
- Stufe 2 - Mittleres Vertrauen in die behauptete Identität
- Stufe 3 - Hohes Vertrauen in die behauptete Identität
Die Entwicklung einer gründlichen Risiko-/Auswirkungsmatrix, die den potenziellen Schaden und die Auswirkungen detailliert aufschlüsselt, ermöglicht es den Risikoteams des Unternehmens, jedem beliebigen Anwendungsfall von Zertifikaten, jeder Zertifikatsrichtlinie und den Anforderungen an das PKI-Design nicht willkürliche Sicherheitsanforderungen zuzuordnen.
Hinweis: Dieses Verfahren ist im Office of Management and Budget der US-Bundesregierung sehr gut beschrieben: https://georgewbush-whitehouse.archives.gov/omb/memoranda/fy04/m04-04.pdf
Die Zuweisung nicht willkürlicher Werte zu Sicherheitsstufen ist der Schlüssel zur Standardisierung risiko- und sicherheitsbasierter Konversationen innerhalb eines Unternehmens. Dies ermöglicht es den Eigentümern von Anwendungen und Zertifikatsrichtlinien, das Risiko genau auf wohlverstandene Sicherheitsstufen abzubilden. Die Entwicklung eines gemeinsamen Verständnisses von Sicherheit ermöglicht es allen Beteiligten, die geeigneten Zertifizierungsstellen und die entsprechenden Prozesse im Lebenszyklus von Zertifikaten korrekt auszuwählen, um ihre Zertifikatsanforderungen zu erfüllen.
Wie man sich vorstellen kann, ist die Entwicklung dieses gemeinsamen Verständnisses von Risiko, Auswirkungen und Sicherheit ein nicht triviales Unterfangen. Es erfordert Kenntnisse in mehreren verschiedenen Disziplinen wie PKI, Risiko und Compliance. Um dies erfolgreich zu bewerkstelligen, ist oft eine Teamleistung erforderlich. Und leider ist dieses Niveau der Bemühungen selten.
In den meisten Fällen wollen die Verwalter nur Bescheinigungen.
Was der Mangel an Sicherheit bedeutet
Ich würde sagen, dass in vielen Fällen (mehr als ich zugeben möchte) Richtlinien und Sicherheit zweitrangig sind, wenn ein Kunde nach einem PKI-Design fragt. Bei der überwiegenden Mehrheit der PKI-Entwürfe werde ich nach Signatur, Schlüsselaustausch oder anderen kryptografischen Algorithmen gefragt. Aber die Politik steht bei diesen Diskussionen selten im Vordergrund.
Ohne eine festgeschriebene Zertifizierungspolitik kann es keinen legitimen Anspruch auf ein bestimmtes Maß an Sicherheit geben. Es ist dieser Mangel an Leitlinien, der es ermöglicht, dass jedes beliebige Zertifikat, das unter beliebigen Umständen ausgestellt wurde, für jede Anwendung als nützlich angesehen werden kann.
Nicht ideal, um es vorsichtig auszudrücken.
Diese Art von kryptografischer Anarchie würde es ermöglichen, dass die am wenigsten sicheren Zertifikate zum Schutz der wertvollsten Unternehmenswerte verwendet werden. Warum eigentlich nicht? Wer kann das Gegenteil behaupten? Stellen Sie sich vor, jemand würde sich auf ein automatisch registriertes Benutzerzertifikat verlassen, um die vom Unternehmen verwendete Geheimformel zu schützen?
Eine fehlende Zertifikatsrichtlinie bedeutet keine Sicherheit, und ein Mangel an Sicherheit führt häufig zu Risiken. Nicht nur, weil Zertifikate in Situationen verwendet werden können, in denen sie eindeutig nicht verwendet werden sollten, sondern auch, weil die bloße Verwendung von Zertifikaten oft ein falsches Gefühl von Sicherheit vermittelt. Tatsächlich können digitale Zertifikate, die zur Verbesserung der Sicherheitslage eines Unternehmens eingesetzt werden, die Situation sogar verschlechtern, je nachdem, wie die PKI konzipiert und betrieben wird.
Aus diesen Gründen betrachte ich die Erstellung einer aussagekräftigen und angemessen detaillierten Zertifikatsrichtlinie als zentrales Thema bei der Entwicklung einer Unternehmens-PKI. Die Fähigkeit, Zertifikatsoperationen anhand der technischen Fähigkeiten der Zertifikatsicherheit vorzuschreiben, ist der Schlüssel zur genauen Bewertung von PKI-bezogenen Risiken und zur Überprüfung der PKI-Konformität.