sep antrittsvortrag vertrauensw rdige auslieferung von
play

SEP Antrittsvortrag Vertrauenswrdige Auslieferung von Zertifikaten - PowerPoint PPT Presentation

May 20, 2023 •427 likes •587 views

Lehrstuhl Netzarchitekturen und Netzdienste Institut fr Informatik Technische Universitt Mnchen SEP Antrittsvortrag Vertrauenswrdige Auslieferung von Zertifikaten fr Network Access Control mit EAP-(T)TLS Michael Bothmann Betreuer:

  1. Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München SEP Antrittsvortrag Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS Michael Bothmann Betreuer: Holger Kinkelin / Corinna Schmitt 19. November 2008

  2. Übersicht  Motivation  Basics  TPM / TC Funktionalität  TTLS-TLS Verfahren  Zertifikatgenerierung  SEP  Erzeugung und Verwaltung von Zertifikaten  Authentisierung im Netz  Grafische Oberfläche  Projektablauf  Zusammenfassung Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS 2

  3. Motivation  Schutz von Netzwerken vor unbefugten Zutritten ist grundlegend für Netzwerksicherheit  Basiert meist auf Username + Passwort und/oder Zertifikaten  Probleme:  Missbrauch gestohlener Zertifikate + private Key / Passwort möglich  Zudem:  Vertrauenswürdigkeit des Clients beim Erstellen der Zertifikate sicherstellen  Sichere Übertragung des Zertifikats an den Client zu garantieren  Zusätzliches Problem: Integrität des Geräts bei Login  Ziele: Sichere und vertrauenswürdige Erzeugung und Auslieferung von Zertifikaten Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS 3

  4. Trusted Platform Module  TPM dient als „Vertrauensanker“  Speichert Hard- und Software Integritätsmesswerte nachprüfbar  Leistungsangebot: Sealing, Wrapping, Schutz von Schlüsseln, etc. Platform Zufallsgenerator RSA-Kryptographie Configuration Register RSA- SHA1-Engine RSA-Schlüssel Schlüsselgenerator Endorsement Key Besitzerdaten Storage Root Key Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS 4

  5. Benötigte TPM / TC Funktionalität  PCR (Platform Configuration Register)  Enthalten Messwerte über Hard- und Software  PCR-Werte nicht allgemein modifizierbar  TPM-Quote  Abfrage bestimmter Werte aus dem PCR  Sichert PCR-Werte durch Signatur  TPM-seitige Erzeugung von Schlüsseln  Attestation Identity Key (AIK)  Binding-Key (BK) basierend auf Werten der PCRs  Binding-Key  Verwendung erlaubt, wenn keine Veränderung des Urzustandes vorhanden  Sicherheit gewährleistet durch das TPM  Wird zur Zertifikatanfrage benötigt Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS 5

  6. EAP-TTLS/EAP-TLS – Verfahren  EAP-TTLS für äußere Methode zum Tunnelaufbau  EAP-TLS für innere Methode zur gegenseitigen Authentisierung basierend auf Zertifikaten  EAP-TNC für Attestation beim Netzzutritt (  Simon Stauber) Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS 6

  7. Zertifikatgenerierung  Clientanfrage an Zertifikatsserver mit Binding-Key (BK) und TPM- Quote Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS 7

  8. Erzeugung und Verwaltung von Zertifikaten  Generierung der Zertifikate mit OpenSSL  Mögliche Zustände:  Valid – Gültige Zertifikate  Revoked – Ungültige Zertifikate  Hold – Sonderzustand von Revoke um Zertifikate temporär zu sperren  Verwaltung über Zertifikatdatenbank der Certificate Authority (CA) Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS 8

  9. Authentisierung im Netz  Tunnelaufbau via EAP-TTLS  Clientauthentizierung via EAP-TLS (innere Methode) Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS 9

  10. Grafische Oberfläche (Client) Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS 10

  11. Grafische Oberfläche (Netzwerk-Administrator) Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS 11

  12. Zusammenfassung  Ziele:  Sichere Erzeugung von Zertifikaten  Sichere Auslieferung von Zertifikaten  Anwendung von:  Trusted Platform Module  OpenSSL  Aufgaben:  Implementierung der Zertifikatverteilstelle  Implementierung der Methoden zur Clientauthentisierung Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS 12

  13. Zeitplan Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS 13

  14. Gibt es noch Fragen? Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS 14

  15. Literatur  Bundesamt für Sicherheit in der Informationstechnik: TSS-Studie  Trusted Computing Systeme, Thomas Müller, Springer Verlag Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS 15

Recommend

More recommend