Wohin bloss mit all den vielen Schlüsseln?

Wasserdichtes Key-Management ist die Grundlage für sichere elektronische Transaktionen. Bei Grossunternehmen mit vielen codierten Übermittlungen und Millionen von Schlüsseln werden die Keys in speziellen Hardware-Sicherheits-Modulen abgelegt. Doch auch diese müssen fachgerecht abgesichert werden.

» Von Ansgar Dodt, 11.05.2007 09:04. Letztes Update, 11.05.2007 09:08.

Ansgar Dodt ist Director of Sales Embedded Systems für Europa bei Safenet.

C-Karte, digitaler Firmenausweis oder privater E-Mail-Account - wir alle nutzen regelmässig digitale Identitäten zur Abwicklung elektronischer Transaktionen. Um die Daten auf diesen digitalen Ausweisen zu schützen, werden sie mit Hilfe so genannter Keys verschlüsselt. Die digitale Signatur weist nach, dass der Key zum richtigen Empfänger gehört und die Public Key Infrastructure (PKI) legt die Hierarchie der Zertifizierungsinstanzen fest. In diesem komplexen Gefüge werden hohe Mengen sensibler kryptografischer Daten produziert. Je mehr Nutzer digitale Transaktionen durchführen, umso mehr Schlüssel und -Signaturen gilt es zu speichern. Viele aktuelle Techniken eignen sich zur Verwaltung Tausender von Keys. Wenn es aber um Millionen Schlüssel geht, stossen viele Key-Management-Verfahren an ihre Grenzen.

Der Stoff aus dem digitale Identitäten sind

Bei den meisten Authentifizierungsmethoden - beispielsweise über Smartcards - kommen asymmetrische, aber mathematisch miteinander verwandte Schlüsselpaare zum Einsatz, die jeweils aus einem Public und einem Private Key bestehen. Der öffentliche Schlüssel dient dazu, Daten zu chiffrieren. Der private Schlüssel kommt bei der Dechiffrierung und der digitalen Signatur zum Einsatz. Damit Private Keys, mit deren Hilfe Dritte auf geschäftskritische E-Mails zugreifen könnten, nicht in falsche Hände geraten, sichert man die Schlüssel ab. Bei geringen Datenmengen reicht die Speicherung auf Smartcards aus. Diese haben aber sehr begrenzte Speicherkapazitäten und geringe Performance.

Im Bereich Online-Banking oder bei Web-basierten E-Mail-Accounts muss daher grösseres Geschütz aufgefahren werden. Hier weicht man auf Softwarelösungen wie DBMS (Databank-Management-Systeme) aus. Diese Datenbanken sind in der Lage, sehr grosse Mengen von Schlüsseln zu verwalten. Leider bieten sie jedoch nicht ausreichend Sicherheit.

Eine zuverlässige Alternative stellen Hardware-Sicherheits-Module (HSM) dar. Diese eignen sich dazu, eine grosse Anzahl wasserdichter Private Keys zu erzeugen und zu schützen. Manchmal ist es jedoch nötig, die Daten aus den HSM zu exportieren. Sei es aufgrund der Speicherbegrenzung bei einer grösseren Anzahl Schlüssel oder, weil die Codes zwar im HSM erstellt, dann aber auf Smartcards gespeichert werden sollen. Auch falls die HSM selbst nicht transportiert werden können, kann ein Export der Private Keys aus den Geräten erforderlich sein. Zur Absicherung der Keys beim Export aus den HSM kommen verschiedene Techniken zum Einsatz. Das Grundgerüst ist dabei bei allen Methoden dasselbe: Zuerst wird innerhalb des HSMs der Private Key erstellt. Anschliessend wird dieser verschlüsselt und erhält ein kryptografisches Couvert, einen sogenannten Wrapper. Deshalb nennt man das Verfahren auch «Key Wrapping».

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

Vorname: *

Name: *

E-Mail: *

Code eingeben:

Kommentar: *

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der IDG Communications AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.