Die Public Key Infrastruktur (PKI) in PKCS #11

Infineon Security Platform

Infineon Security Platform Lösung

Die Public Key Infrastruktur (PKI) in PKCS #11

Der PKCS #11-Standard definiert eine gemeinsame Schnittstelle für die Erstellung, Verwendung und Verwaltung von Zertifikaten und kryptographischen Schlüsseln. Jede Implementierung dieser Schnittstelle ist spezifisch für eine zugrundeliegende Technologie, da PKCS #11 unabhängig vom Verschlüsselungstoken ist, das die Basisfunktionalitäten ausführt. Auf dem Markt werden Lösungen angeboten, die auf Software wie auf Smart Cards oder auf speziellen Hardware-Verschlüsselungsmodulen basieren. Jede PKCS #11-kompatible Bibliothek implementiert eigene Methoden für die Unterstützung der zugrundeliegnenden Technologie und zur Generierung und Bearbeitung verschlüsselungsrelevanter Daten.

Da PKCS #11 eine plattformunabhängige Schnittstelle definiert, existieren verschiedene Lösungen zahlreicher Hersteller, und der Standard wird von vielen Plattformen und Betriebssystemen unterstützt.

PKCS #11-kompatible Bibliotheken stellen ihre Funktionen über eine eindeutig definierte Schnittstelle zur Verfügung. Abhängig vom Zweck einer Implementierung unterstützt eine PKCS #11-Bibliothek eventuell auch nur einen Teil der definierten Schnittstelle.

Innerhalb einer PKI erfordern Applikationen, die ein PKCS #11-Modul verwenden, einen Zugriff auf einen permanenten Speicher, der eine sichere und zuverlässige Speicherung für Benutzerzertifikate und private Schlüssel bereitstellt. PKCS #11 macht keine Aussagen über diesen Speichermechanismus. Als gemeinsam verwendeter Mechanismus haben sich Verzeichnisdienste als brauchbare Lösung erwiesen, um die geforderte Funktion bereitzustellen. Der Zugriff auf Verzeichnisdienste wird sehr oft unter Verwendung des LDAP-Protokolls (Lightweight Directory Access Protocol) ausgeführt.

Windows 2000 / XP enthalten keine systemeigene PKCS #11-Bibliothek. Folglich ist diese Funktion als Fremdprodukt hinzuzufügen. Die Infineon Security Platform Softwarelösung enhält eine Bibliothek, die PKCS #11-Schnittstelle implementiert. Die Schnittstelle verwendet den Trusted Platform Module, um die meisten sicherheitsrelevanten kryptographischen Operationen wie die Generierung von Schlüsseln auszuführen.

In einem System werden mehrere unabhängige Implementierungen des Standards unterstützt. Es kommt häufig vor, dass Applikationen, die Bibliotheken verwenden, in einem gesonderten Schritt zu konfigurieren sind, um korrekten Zugang zu den jeweiligen Modulen zu erhalten.

Auf PKCS #11 basierende Applikationen müssen dennoch alle Verwaltungsaufgaben implementieren, die notwendig sind, um die zur Verarbeitung von PKCS #11 erforderlichen Daten bereitzustellen.

Applikationsentwickler können aus den umfassenden Funktionen Public Key-basierender Sicherheitsmechanismen Nutzen ziehen, indem sie verschiedene PKCS #11-Implementierungsmodule verwenden, ohne irgendwelche Änderungen an der Plattform oder am Softwaresystem, auf dem sie arbeiten, vornehmen zu müssen. Außerdem wird Unternehmen die Möglichkeit gegeben, ihre Umgebung und Applikationen anhand von Hilfsprogrammen und Richtlinien, die organisationsweit konsistent sind, zu verwalten.

Um anderen Benutzern das Lesen verschlüsselter Nachrichten zu ermöglichen oder um signierte E-Mail-Nachrichten überprüfen zu können, müssen Benutzerzertifikate in einem öffentlichen Verzeichnis gespeichert werden. Dieses Verzeichnis befindet sich normalerweise auf einem Server, der von der betroffenen Organisationseinheit aus erreichbar ist.

 

Die Basiskomponenten einer PKI enthalten digitale Zertifikate, Zertifikatssperrlisten und Zertifizierungsstellen. Die Administratoren von Unternehmen müssen sicherstellen, dass die Public Key Infrastruktur eingerichtet ist, bevor in ihren Netzwerken Verschlüsselungsdienste eingesetzt werden.

Das Einrichten einer PKI innerhalb einer Organisation erfordert die folgenden Schritte:

  • Installation eines Zertifikatsservers
  • Definition eines externen Zertifikatsdienstanbieters ("Certificate Service Provider")
  • Konfiguration von Mozilla Firefox, um die Infineon Security Platform PKCS #11-Bibliothek zu verwenden.
  • Zertifikatsanforderung von einer Zertifizierungsstelle für die Client-Authentifizierung

Die vorliegende Dokumentation gibt Ihnen einen Überblick über einige der oben aufgeführten Punkte und verweist auf weitere Informationen zu diesen Themen.

Nach einem Upgrade der Security Platform Solution Software ist es möglich, dass Anwendungen, die die Security Platform Solution mittels der PKCS#11 Schnittstelle benutzen, nicht mehr wie gewohnt funtionieren, da die DLL-Datei von PKCS#11 (ifxtpmck.dll) nun im Installationsverzeichnis der Security Platform Solution Software liegt. In früheren Produktversionen lag sie im Verzeichnis system32. Die Anwendungen müssen dahingehend konfiguriert werden, dass sie ifxtpmck.dll aus dem tatsächlichen Verzeichnis laden.

©Infineon Technologies AG