LANCOM CA auch für Smartcard-Zertifikate zu gebrauchen?

Allgemeine Fragen zu Themen die sonst nirgendwo passen

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
fildercom
Beiträge: 1055
Registriert: 23 Jul 2007, 19:50
Wohnort: Stuttgart

LANCOM CA auch für Smartcard-Zertifikate zu gebrauchen?

Beitrag von fildercom »

Hallo zusammen,

gerne würde ich perspektivisch einigen System die Authentifizierung per Smartcard "gestatten". Dazu ist jedoch etwas Vorarbeit notwendig. Für Windows Server gibt es einen Blog mit einer guten Anleitung:
http://www.winteach.de/windows-server/a ... zsoftware/

Das sind etliche Schritte, die da durchzuführen sind.

Jetzt meine Frage:
Ein LANCOM WLC und auch die VPN-25-Option haben ja ihre eigene CA. Wäre es theoretisch möglich, über diese ein PKCS#12-Zertifikat zu erstellen, dieses auf die Smartcard zu transferieren und somit die Authentifizierung durchzuführen? Oder gibt es Gründe, die das verhindern?

Hat jemand Ideen und Erfahrungen dazu?

Viele Grüße und danke
fildercom.
Router: 2 x 1900EF (Vodafone Business 600/20; Telekom ADSL2+); 1781VA (Telekom VDSL 250/40);
Wireless: WLC-4006+; 4 x L-452agn dual;
Switches: 2 x GS-2326; GS-2310P; 3 x GS-1108; 2 x Juniper EX2300-C-12P; Juniper EX2300-24P; 3 x Ubiquiti ES-16-XG
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: LANCOM CA auch für Smartcard-Zertifikate zu gebrauchen?

Beitrag von GrandDixence »

Wenn man den "Private Key" eines asymmetrischen Schlüsselverfahrens als "besonders schützenswert" erachtet, so lässt man diesen in einem HSM (zum Beispiel: SmartCard, SIM-Karte, USB-Stick mit Krypto-Chip, TPM) mit den HSM-eigenen Kryptografie-Funktionen und dem HSM-eigenen Zufallszahlengenerator erstellen und der Private Key verlässt nie das HSM. Das HSM hat die Hauptaufgabe, den "Private Key" software- wie physikalisch vor dem Auslesen durch Zweit- oder Drittpersonen zu schützen. => Der HSM ist der "sichere Tresor" für das Aufbewahren eines "Private Key".

https://de.wikipedia.org/wiki/Asymmetri ... yptosystem

https://de.wikipedia.org/wiki/Hardware-Sicherheitsmodul

Wird der "Public Key" für Verschlüsselung verwendet und somit der "Private Key" für die (asymmetrische) Entschlüsselung benötigt, sollte vom im HSM-geschützten "Private Key" ein Backup erstellt werden mit der HSM-Backupfunktion. => Einzige Ausnahme, wo der "Private Key" das HSM (in symmetrisch verschlüsselter Form) verlässt.

Wird der "Private Key" nur für digitale Signaturen (elektronische Unterschrift) verwendet, kann/darf/sollte vom im HSM-geschützten "Private Key" niemals ein Backup erstellt werden! => SuisseID (CH), elektronischer Personalausweis (nPA => eID) (DE), Bürgerausweis (AT)

Um den höchsten Schutz zu erreichen, baut man für das asymmetrische Schlüsselverfahren eine eigene Public-Key-Infrastruktur (PKI) auf.

https://de.wikipedia.org/wiki/Public-Key-Infrastruktur

Die LANCOM-Geräte mit LCOS-Betriebssystem unterstützen die Verwendung der eigenen Public-Key-Infrastruktur (PKI), da eine explizite Wahl der zu verwendenden CA (certificate authority) möglich ist.

Mir ist nicht bekannt, dass LANCOM-Geräte eine Verwendung von HSM-geschützten "Private Key" ermöglicht. Mal abgesehen von SIM-Karten für die Authorisierung im Mobilfunknetz. Der "Private Key" auf der SIM-Karte wird für die Anmeldung im Mobilfunknetz benötigt.
Antworten