Inhaltsverzeichnis
Werbung
Referenzhandbuch
10 Virtual Private Networks - VPN
Das Zertifikat selbst wird von der CA wiederum signiert, damit auch die Bestätigung nicht angezweifelt werden kann.
Da das Zertifikat nur aus einer kleinen Datenmenge besteht, kann dazu ein asymmetrisches Verfahren verwendet werden.
Bei der Signatur wird das asymmetrische Verfahren jedoch in umgekehrter Richtung eingesetzt:
1
Auch die CA verfügt über ein Schlüsselpaar aus Private und Public Key. Als vertrauenswürdige Stelle kann ihr eigenes
Schlüsselpaar als zuverlässig angesehen werden.
1
Die CA berechnet einen Hash-Wert über das Zertifikat, verschlüsselt diesen und signiert damit das Zertifikat von Bob.
Dadurch wird die Zuordnung von Bobs Public Key zu seiner Identität bestätigt.
Dieser Vorgang verhält sich genau umgekehrt wie bei der normalen asymmetrischen Verschlüsselung. Hier hat die
Verschlüsselung aber nicht die Aufgabe, die Daten vor Unbefugten zu sichern, sondern die Signatur der CA zu
bestätigen.
1
Jeder Teilnehmer einer Datenkommunikation weltweit ist nun mit dem Public Key der CA in der Lage, das so signierte
Zertifikat zu überprüfen.
Nur die CA kann mit ihrem eigenen Private Key Signaturen erzeugen, die mit dem Public Key der CA wieder entschlüsselt
werden können. Durch diese Signatur ist sichergestellt, dass das Zertifikat tatsächlich von der ausstellenden CA
stammt.
10.7.2 Vorteile von Zertifikaten
Die Verwendung von Zertifikaten zur Absicherung von VPN-Verbindungen bietet sich in manchen Fällen als Alternative
zum sonst eingesetzten Preshared-Key-Verfahren (PSK-Verfahren) an:
1
Sicherere VPN-Client-Verbindungen (mit IKE Main Mode)
Beim PSK-Verbindungsaufbau von Peers mit dynamischen IP-Adressen kann der Main Mode nicht eingesetzt werden.
Hier muss der Aggressive Mode mit geringerer Sicherheit verwendet werden. Der Einsatz von Zertifikaten erlaubt
auch bei Peers mit dynamischen IP-Adressen wie z. B. Einwahlrechnern mit LANCOM Advanced VPN Client die
Verwendung des Main Mode und damit eine Steigerung der Sicherheit.
1
Höhere Sicherheit der verwendeten Schlüssel bzw. Kennwörter
Preshared Keys sind genau so anfällig wie alle anderen Kennwörter auch. Der Umgang der Anwender mit diesen
Kennwörtern („menschlicher Faktor") hat also erheblichen Einfluss auf die Sicherheit der Verbindungen. Bei einem
zertifikatsbasierten VPN-Aufbau werden die in den Zertifikaten verwendeten Schlüssel automatisch mit der gewünschten
Schlüssellänge erstellt. Darüber hinaus sind die von Rechnern erstellten, zufälligen Schlüssel auch bei gleicher
Schlüssellänge sicherer gegen Angriffe (z. B. Wörterbuchangriffe) als die von Menschen erdachten Preshared Keys.
1
Prüfung der Authentizität der Gegenseite möglich
580
Werbung
Inhaltsverzeichnis
