Infineon Security Platform Lösung
Authentifizierung des Clients
In Computernetzwerken wurden noch bis vor kurzem zentralisierte Datenbanken zur Verwaltung von Benutzerkonten, Benutzerrechten und Zugriffsberechtigungen verwendet. Diese Technik ist bei kleinen Netzwerken einfach und effizient. Bei den heutigen ausgedehnten Netzwerken mit Tausenden von Benutzern wirft die zentralisierte Kontrolle jedoch erhebliche Probleme auf. Die Probleme derartiger Systeme erstrecken sich von der Prüfung der Benutzerkonten anhand einer im Internet befindlichen Datenbank bis zur Verwaltung extrem langer Benutzerlisten. Außerdem wurden Computernetzwerke durch die steigende Integration ins Internet anfälliger gegenüber externen Angriffen.
Verwendung von Zertifikaten
Öffentliche Zertifikate bieten eine Lösung, die Verwaltung vieler Benutzer in großen Netzwerken erleichtern, da sie das Risiko von Angriffen auf Benutzerkennungen und Kennwörter mindern. Diese Zertifikate können weithin verbreitet, von zahlreichen Organisationen erteilt und durch eine Zertifikatsprüfung validiert werden, ohne dass dabei auf eine zentralisierte Datenbank zugegriffen werden muss.
Zertifikate ermöglichen die sichere Kommunikation und die Benutzerauthentifizierung zwischen Clients und Servern im Web. Zertifikate geben einem Client die Möglichkeit, die Identität des Servers zu ermitteln, da der Server ein Server-Authentifizierungszertifikat vorlegt, das seine Quelle bekannt gibt. Wenn Sie eine Webseite aufrufen, die ein von einer vertrauenswürdigen Zertifizierungsstelle ausgestelltes Serverzertifikat hat, können Sie darauf vertrauen, dass der Server tatsächlich von der Person oder der Organisation betrieben wird, die durch das Zertifikat identifiziert wurde. Ebenso können Server mit Hilfe von Zertifikaten Ihre Identität feststellen. Wenn Sie eine Webseite aufrufen, kann sich der Server Ihrer Identität sicher sein, wenn er das Client-Zertifikat erhält. Ein zur Authentifizierung eines Servers verwendetes Zertifikat wird Serverzertifikat genannt und der Prozess, der die Identität des Servers prüft, wird Server-Authentifizierung genannt. Ähnlich wird ein Zertifikat, das zur Identitätsprüfung von Clients verwendet wird, ein Client-Zertifikat genannt, und der Prozess der Authentifizierung Client-Authentifizierung.
Will ein Webserver beispielsweise den Zugriff auf Daten oder Dienste bei bestimmten Benutzern oder Clients einschränken, benötigt er während des Aufbaus der sicheren Verbindung ein Client-Zertifikat (z.B. SSL).
Während die Server-Authentifizierung die sichere Datenübertragung gewährleistet, erhöht die Client-Authentifizierung die Sicherheit derartiger Online-Transaktionen.
Zuordnung der Zertifikate zu Benutzerkonten
Die Public Key-Technologie stellt für viele Sicherheitsbelange großer Netzwerke Lösungen bereit. Zertifikate können zur Identitäts- und Authentizitätsprüfung verwendet werden, ohne große Benutzerdatenbanken und Listen von Benutzerkonten sowie deren Zugriffsrechte verwenden zu müssen.
Die vorhandenen Betriebssysteme und Verwaltungstools unterstützen nur die Verwendung von Benutzerkonten, nicht jedoch die Auswertung von Zertifikaten. Die einfachste Lösung, um die Vorteile von Zertifikaten wie auch Benutzerkonten zu nutzen, besteht darin, eine Zuweisung - oder Zuordnung (Mapping) - zwischen einem Zertifikat und einem Benutzerkonto zu schaffen. Dadurch kann das Betriebssystem weiterhin Benutzerkonten verwenden, größere Systeme und Benutzer dagegen Zertifikate verwenden.
In diesem Modell wird ein Zertifikat, das für einen Benutzer ausgestellt wurde, dem Konto dieses Benutzers in einem Netzwerk zugeordnet. Wenn ein Benutzer sein Zertifikat vorlegt, ermittelt das System die Zuordnung und legt fest, welches Konto angemeldet werden soll.
Die vorliegende Anleitung umreißt die verschiedenen Ansätze zu diesem Thema. Sie behandelt das Verfahren zur Vorbereitung von Internet Information Service (IIS) und Active Directory für die Client-Authentifizierung und deren Verwendung mit dem Internet Explorer.
Ebenfalls behandelt wird die Benutzerzertifikatzuordnung und die Client-Authentifizierung für PKCS #11-Umgebungen unter Mozilla Firefox.
©Infineon
Technologies AG