SEP Antrittsvortrag Vertrauenswrdige Auslieferung von Zertifikaten - - PowerPoint PPT Presentation

sep antrittsvortrag vertrauensw rdige auslieferung von
SMART_READER_LITE
LIVE PREVIEW

SEP Antrittsvortrag Vertrauenswrdige Auslieferung von Zertifikaten - - PowerPoint PPT Presentation

May 20, 2023 427 likes •588 views

Lehrstuhl Netzarchitekturen und Netzdienste Institut fr Informatik Technische Universitt Mnchen SEP Antrittsvortrag Vertrauenswrdige Auslieferung von Zertifikaten fr Network Access Control mit EAP-(T)TLS Michael Bothmann Betreuer:

slide-1
SLIDE 1

Lehrstuhl Netzarchitekturen und Netzdienste

Institut für Informatik Technische Universität München

SEP Antrittsvortrag Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS Michael Bothmann

Betreuer: Holger Kinkelin / Corinna Schmitt

  • 19. November 2008
slide-2
SLIDE 2

Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS

2

Übersicht

 Motivation  Basics  TPM / TC Funktionalität  TTLS-TLS Verfahren  Zertifikatgenerierung  SEP  Erzeugung und Verwaltung von Zertifikaten  Authentisierung im Netz  Grafische Oberfläche  Projektablauf  Zusammenfassung

slide-3
SLIDE 3

Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS

3

Motivation

 Schutz von Netzwerken vor unbefugten Zutritten ist grundlegend für

Netzwerksicherheit

  • Basiert meist auf Username + Passwort und/oder Zertifikaten

 Probleme:

  • Missbrauch gestohlener Zertifikate + private Key / Passwort möglich

 Zudem:

  • Vertrauenswürdigkeit des Clients beim Erstellen der Zertifikate

sicherstellen

  • Sichere Übertragung des Zertifikats an den Client zu garantieren

 Zusätzliches Problem: Integrität des Geräts bei Login  Ziele: Sichere und vertrauenswürdige Erzeugung und Auslieferung

von Zertifikaten

slide-4
SLIDE 4

Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS

4

Trusted Platform Module

 TPM dient als „Vertrauensanker“  Speichert Hard- und Software Integritätsmesswerte nachprüfbar  Leistungsangebot: Sealing, Wrapping, Schutz von Schlüsseln, etc. Zufallsgenerator RSA-Kryptographie Platform Configuration Register RSA- Schlüsselgenerator SHA1-Engine RSA-Schlüssel Endorsement Key Besitzerdaten Storage Root Key

slide-5
SLIDE 5

Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS

5

Benötigte TPM / TC Funktionalität

 PCR (Platform Configuration Register)

  • Enthalten Messwerte über Hard- und Software
  • PCR-Werte nicht allgemein modifizierbar

 TPM-Quote

  • Abfrage bestimmter Werte aus dem PCR
  • Sichert PCR-Werte durch Signatur

 TPM-seitige Erzeugung von Schlüsseln

  • Attestation Identity Key (AIK)
  • Binding-Key (BK) basierend auf Werten der PCRs

 Binding-Key

  • Verwendung erlaubt, wenn keine Veränderung des Urzustandes

vorhanden

  • Sicherheit gewährleistet durch das TPM
  • Wird zur Zertifikatanfrage benötigt
slide-6
SLIDE 6

Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS

6

EAP-TTLS/EAP-TLS – Verfahren

 EAP-TTLS für äußere Methode zum Tunnelaufbau  EAP-TLS für innere Methode zur gegenseitigen Authentisierung

basierend auf Zertifikaten

 EAP-TNC für Attestation beim Netzzutritt ( Simon Stauber)

slide-7
SLIDE 7

Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS

7

Zertifikatgenerierung

 Clientanfrage an Zertifikatsserver mit Binding-Key (BK) und TPM-

Quote

slide-8
SLIDE 8

Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS

8

Erzeugung und Verwaltung von Zertifikaten

 Generierung der Zertifikate mit OpenSSL  Mögliche Zustände:

  • Valid – Gültige Zertifikate
  • Revoked – Ungültige Zertifikate
  • Hold – Sonderzustand von Revoke um Zertifikate temporär zu sperren

 Verwaltung über Zertifikatdatenbank der Certificate Authority (CA)

slide-9
SLIDE 9

Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS

9

Authentisierung im Netz

 Tunnelaufbau via EAP-TTLS  Clientauthentizierung via EAP-TLS (innere Methode)

slide-10
SLIDE 10

Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS

10

Grafische Oberfläche (Client)

slide-11
SLIDE 11

Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS

11

Grafische Oberfläche (Netzwerk-Administrator)

slide-12
SLIDE 12

Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS

12

Zusammenfassung

 Ziele:

  • Sichere Erzeugung von Zertifikaten
  • Sichere Auslieferung von Zertifikaten

 Anwendung von:

  • Trusted Platform Module
  • OpenSSL

 Aufgaben:

  • Implementierung der Zertifikatverteilstelle
  • Implementierung der Methoden zur Clientauthentisierung
slide-13
SLIDE 13

Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS

13

Zeitplan

slide-14
SLIDE 14

Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS

14

Gibt es noch Fragen?

slide-15
SLIDE 15

Michael Bothmann – Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP-(T)TLS

15

Literatur

 Bundesamt für Sicherheit in der Informationstechnik: TSS-Studie  Trusted Computing Systeme, Thomas Müller, Springer Verlag