Wibu-Systems

Der Tresor für Zertifikate


Fortsetzung des Artikels von Teil 1

Die Technik im Detail

Die CodeMeter-Technologie unter- stützt unterschiedliche Schnittstellen und stellt Container für softwarebasierte Aktivierungsdateien und für die Cloud zur Verfügung. Die Felder in Türkis markieren die Funk­tionen von CodeMeter Certificate Vault.
Die CodeMeter-Technologie unterstützt unterschiedliche Schnittstellen und stellt Container für softwarebasierte Aktivierungsdateien und für die Cloud zur Verfügung. Die Felder in Türkis markieren die Funk­tionen von CodeMeter Certificate Vault.
© Wibu-Systems

Basierend auf der CodeMeter-Technologie hat Wibu-Systems mit ‚CodeMeter Certi-ficate Vault‘ eine Art Tresor entwickelt, um digitale Zertifikate in der Schutzhardware CmDongle – einem Secure Element – sicher zu speichern. Das zentrale Lizenzierungs-tool CodeMeter License Central dient der Erstellung, Verwaltung und Auslieferung von Lizenzen und neuerdings können auch Zertifikate und Schlüssel sicher in CmDongles übertragen werden.
Die CmDongles dienen als sicherer Schlüsselspeicher und sind mit einem eigenen Cryptoprozessor ausgestattet. Die Hardware gibt es in unterschiedlichen Bauformen für USB-, SD-, Micro-SD-, CFast-Schnittstellen oder als ASIC; einige Bauformen sind auch für den Einsatz in rauen Umgebungen geeignet. CodeMeter Certificate Vault legt die Zertifikate im SmartCard-Chip sicher ab und bietet neben der CodeMeter-API auch Standardschnittstellen an. Dabei agiert er als PKCS#11-konformer Token Provider, integriert sich als Key Storage Provider (KSP) in die Microsoft ‚Cryptographic API Next Generation‘ (CNG) und kann zusammen mit der OpenSSL-API verwendet werden, um beispielsweise die Schlüssel von TLS-Zertifikaten für Webseiten, VPN-Verbindungen oder von OPC-UA-Instanzen sicher aufzubewahren und zu verwenden.

Auf sichere Weise überträgt ‚CodeMeter License Central‘ die Zertifikate und Schlüssel in den CmDongle. Dies erlaubt, dass die Zertifikate flächendeckend, mit minimalem Aufwand und vollständig automatisiert erstellt und ausgerollt werden können. Diese Schlüssel und Zertifikate können weder ausgelesen noch weitergegeben und auch nicht dupliziert oder kompromittiert werden. Wird ein Zertifikat benutzt, wird jedes Mal eine neue kryptographische Operation mit dem privaten Schlüssel durchgeführt. Der Anwender muss sich nicht mit Requests und Updates sowie dem Einspielen der signierten Zertifikate befassen. Die gesamte Verwaltung sowie der Erstellungsprozess laufen zentral ab, bei Bedarf auch inklusive einer übergeordneten Zertifizierungsstelle, beispielsweise in der Certificate Authority einer unternehmensinternen IT-Abteilung. Diese Instanz prüft und bestätigt, dass der zum Zertifikat gehörende öffentliche Schlüssel dieser Maschine oder diesem Gerät tatsächlich zugeordnet und gültig ist.

Weiterhin gibt es auf Anwenderseite die Standardschnittstellen wie PKCS#11, KSP und OpenSSL. Jede Anwendung kann damit standardkonform auf Zertifikate und Schlüssel im CmDongle zugreifen und die kryptographischen Operationen im CmDongle berechnen. Funktionen wie ein optionaler PIN-Schutz stehen als zweiter Faktor zur Verfügung.
Im Innern der zentralen Zertifizierungsstellen, beispielsweise einer CA der unternehmensinternen IT-Abteilung, erfolgt der gesamten Zertifikats-erstellungs- und Roll-out-Prozess. Die CA erzeugt Zertifikate, Schlüsselpaare und Passwörter und überträgt diese in die dezentralen CmDongles der Anwender. Die Übertragung und das Einspielen können automatisiert werden.

 


  1. Der Tresor für Zertifikate
  2. Die Technik im Detail
  3. Zertifikate sicher handhaben

Das könnte Sie auch interessieren

Verwandte Artikel

WIBU-SYSTEMS AG

Safety & Security