SEP Antrittsvortrag Vertrauenswrdige Auslieferung von Zertifikaten - PowerPoint PPT Presentation

Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München SEP Antrittsvortrag Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS Michael Bothmann Betreuer: Holger Kinkelin / Corinna Schmitt 19. November 2008

Übersicht  Motivation  Basics  TPM / TC Funktionalität  TTLS-TLS Verfahren  Zertifikatgenerierung  SEP  Erzeugung und Verwaltung von Zertifikaten  Authentisierung im Netz  Grafische Oberfläche  Projektablauf  Zusammenfassung Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS 2

Motivation  Schutz von Netzwerken vor unbefugten Zutritten ist grundlegend für Netzwerksicherheit  Basiert meist auf Username + Passwort und/oder Zertifikaten  Probleme:  Missbrauch gestohlener Zertifikate + private Key / Passwort möglich  Zudem:  Vertrauenswürdigkeit des Clients beim Erstellen der Zertifikate sicherstellen  Sichere Übertragung des Zertifikats an den Client zu garantieren  Zusätzliches Problem: Integrität des Geräts bei Login  Ziele: Sichere und vertrauenswürdige Erzeugung und Auslieferung von Zertifikaten Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS 3

Trusted Platform Module  TPM dient als „Vertrauensanker“  Speichert Hard- und Software Integritätsmesswerte nachprüfbar  Leistungsangebot: Sealing, Wrapping, Schutz von Schlüsseln, etc. Platform Zufallsgenerator RSA-Kryptographie Configuration Register RSA- SHA1-Engine RSA-Schlüssel Schlüsselgenerator Endorsement Key Besitzerdaten Storage Root Key Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS 4

Benötigte TPM / TC Funktionalität  PCR (Platform Configuration Register)  Enthalten Messwerte über Hard- und Software  PCR-Werte nicht allgemein modifizierbar  TPM-Quote  Abfrage bestimmter Werte aus dem PCR  Sichert PCR-Werte durch Signatur  TPM-seitige Erzeugung von Schlüsseln  Attestation Identity Key (AIK)  Binding-Key (BK) basierend auf Werten der PCRs  Binding-Key  Verwendung erlaubt, wenn keine Veränderung des Urzustandes vorhanden  Sicherheit gewährleistet durch das TPM  Wird zur Zertifikatanfrage benötigt Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS 5

EAP-TTLS/EAP-TLS – Verfahren  EAP-TTLS für äußere Methode zum Tunnelaufbau  EAP-TLS für innere Methode zur gegenseitigen Authentisierung basierend auf Zertifikaten  EAP-TNC für Attestation beim Netzzutritt (  Simon Stauber) Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS 6

Zertifikatgenerierung  Clientanfrage an Zertifikatsserver mit Binding-Key (BK) und TPM- Quote Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS 7

Erzeugung und Verwaltung von Zertifikaten  Generierung der Zertifikate mit OpenSSL  Mögliche Zustände:  Valid – Gültige Zertifikate  Revoked – Ungültige Zertifikate  Hold – Sonderzustand von Revoke um Zertifikate temporär zu sperren  Verwaltung über Zertifikatdatenbank der Certificate Authority (CA) Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS 8

Authentisierung im Netz  Tunnelaufbau via EAP-TTLS  Clientauthentizierung via EAP-TLS (innere Methode) Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS 9

Grafische Oberfläche (Client) Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS 10

Grafische Oberfläche (Netzwerk-Administrator) Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS 11

Zusammenfassung  Ziele:  Sichere Erzeugung von Zertifikaten  Sichere Auslieferung von Zertifikaten  Anwendung von:  Trusted Platform Module  OpenSSL  Aufgaben:  Implementierung der Zertifikatverteilstelle  Implementierung der Methoden zur Clientauthentisierung Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS 12

Zeitplan Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS 13

Gibt es noch Fragen? Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS 14

Literatur  Bundesamt für Sicherheit in der Informationstechnik: TSS-Studie  Trusted Computing Systeme, Thomas Müller, Springer Verlag Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS 15