Wie ein Tresor, der das Geheimnis der Schlüssel und Zertifikate wahrt: ­Neben der ­Zertifizierung auf hohem Schutzniveau bietet Codemeter Herstellern Softwareschutz, um das geistige Eigentum, das in der Software steckt, vor Produktpiraterie, Reverse Engineering und Manipulation zu schützen, und sie können mittels Lizenzierung ­beliebige Geschäftsmodelle abbilden.

Aufgrund der Vernetzung im Zeitalter von Industrie 4.0 können sich Geräte, Maschinen und IT-Systeme miteinander austauschen, was aber nur funktioniert, wenn diese eindeutig unterscheidbar und sicher identifizierbar sind. Digitale Zertifikate identifizieren Maschinen oder Geräte eindeutig und sicher, d.h. jede Maschine oder jedes Gerät besitzt als Zertifikat ein Schlüsselpaar mit einem geheimen privaten Schlüssel, der keinesfalls bekannt werden darf, und einem öffentlichen Schlüssel. Es muss jederzeit möglich sein, die Gültigkeit eines Zertifikats zu prüfen, wofür besonders Zertifikate im Format x.509 geeignet sind, quasi ein Industriestandard. Da die Anzahl an Maschinen und Geräten kontinuierlich wächst, ändern sich die Anforderungen an Zertifikate.

Bisher sind die Prozesse für das Management der Zertifikate komplex und sowohl Schlüssel als auch Zertifikate müssen sicher gespeichert werden. Außerdem ist die Verwaltung der Zertifikate ziemlich kompliziert und aufwändig. Besonders bei Inbetriebnahmen und Servicefällen sind einfache und sichere Mechanismen notwendig, um Komponenten wie bisher einfach austauschen zu können. Ein Beispiel, wie Hersteller aktuelle Anforderungen erfüllen und ihre Zertifikate unter hohem Schutzniveau einfach nutzen können, ist der Codemeter Certificate Vault aus dem Hause Wibu-Systems.

Zertifizierung aus dem Lehrbuch
Sobald eine Instanz, entweder Maschine oder Mensch, ein Zertifikat benötigt, erzeugt diese zunächst selbst ein Schlüsselpaar und schickt eine signierte Zertifizierungsanfrage (Request) zur Prüfung an seine übergeordnete Zertifizierungsstelle (Certificate Authority oder CA). Am sichersten passiert diese Erzeugung innerhalb eines Hardware Secure Elements. Nach erfolgter Prüfung wird dann ein Zertifikat erzeugt, signiert und zurückgeschickt und danach in das Zielgerät geladen. Sobald dieses Zertifikat abläuft, beginnt der Prozess von vorne. Dieser Vorgang ist für Nichtfachleute sehr komplex und auch einer der Gründe, warum sich die Verschlüsselung von E-Mails nicht durchsetzen kann.

Codemeter Certificate Vault im Detail
Wibu-Systems verbessert mit Codemeter Certificate Vault den Einsatz von Zertifikaten. Neben der Zertifizierung auf hohem Schutzniveau bietet Codemeter Herstellern Softwareschutz, um das geistige Eigentum, das in der Software steckt, vor Produktpiraterie, Reverse Engineering und Manipulation zu schützen, und sie können mittels Lizenzierung beliebige Geschäftsmodelle abbilden.

Als Secure Element dient die Schutzhardware Cmdongle mit Smartcard-Chip als sicherer Schlüsselspeicher und Cryptoprozessor; wie ein Tresor, der das Geheimnis der Schlüssel und Zertifikate wahrt. Die Cmdongles gibt es in unterschiedlichen Bauformen wie USB, SD, Micro-SD, CF oder Asic. Codemeter Certificate Vault legt die Zertifikate im Smartcard-Chip sicher ab und bietet zusätzlich zum Codemeter-API weitere Standardschnittstellen wie PKCS#11, KSP und OpenSSL an, um die Lösung in bestehende Anwendungen oder gemäß Kundenanforderungen zu integrieren. Der PKCS#11-konforme Token Provider wurde so entwickelt, dass er mit Microsoft Cryptographic API Next Generation (CNG) oder der OpenSSL API zusammenarbeitet, damit die Anwender einfacher sichere Identitäten, digitale Signaturen, E-Mails oder VPN-Lösungen mit starken Authentifizierungsmechanismen verwenden können.

Verwaltung erleichtert
Mit Hilfe von Codemeter License Central, dem Tool zur Erstellung, Verwaltung und Auslieferung von Lizenzen, können jetzt auch Zertifikate und Schlüssel sicher in Cmdongles übertragen werden. Auf diese Weise können Zertifikate flächendeckend, mit minimalem Aufwand und vollständig automatisiert erstellt und ausgerollt werden. Diese Schlüssel und Zertifikate können weder ausgelesen noch weitergegeben oder auch nicht dupliziert oder kompromittiert werden. Jedes Mal, wenn ein Zertifikat verwendet wird, wird eine neue kryptographische Operation mit dem privaten Schlüssel durchgeführt. Das Tool hilft dem Anwender, denn er muss sich nicht mehr mit der Komplexität von Requests und Updates sowie dem Einspielen der signierten Zertifikate befassen. Die gesamte Verwaltung und der gesamte Erstellungsprozess erfolgen zentral, bei Bedarf auch inklusive einer übergeordneten Zertifizierungsstelle, beispielsweise in der CA einer unternehmensinternen IT-Abteilung. Diese Instanz bestätigt, dass der zum Zertifikat gehörende öffentliche Schlüssel dieser Maschine oder diesem Gerät tatsächlich zugeordnet und gültig ist.

Dezentrale Verschlüsselung
Der gesamte Zertifikatserstellungs- und Rolloutprozess läuft innerhalb der zentralen Zertifizierungsstelle wie zum Beispiel einer CA der unternehmensinternen IT-Abteilung ab. Diese erzeugt Zertifikate, Schlüsselpaare und Passwörter und überträgt diese in die dezentralen Cmdongles der Anwender, wobei die Übertragung und das Einspielen automatisiert werden können.

Man könnte meinen, dass während der Übertragung die privaten Schlüssel angreifbar seien. Werden die Schlüssel und Zertifikate in einer zentralen, gesicherten Umgebung erzeugt, dann werden diese in eine verschlüsselte Update-Datei verpackt und sind nur von einem dedizierten Cmdongle zu öffnen. Diese Datei überträgt Schlüssel und Zertifikat sicher in den Cmdongle. Der Prozess zum Update der Dongles erfolgt wie beim Signieren von Zertifikaten mehrstufig mit einer Request- (CmRaC) und einer Antwortdatei (CmRaU). An dieser Stelle ist das Vorgehen ähnlich zum Zertifikats-Request-Prozess, nur dass das Zertifikat mit seinem Schlüsselpaar als Payload innerhalb dieses Codemeter-Prozesses gekapselt ist. Dieses Vorgehen vereinfacht den Prozess erheblich. Zusätzlich können die sicheren Codemeter-Funktionen für zeitbasierte Zertifikate genutzt werden, da Codemeter eine interne, gegen Manipulation gesicherte Zeit vorhält.

Sobald sich die Zertifikate im Cmdongle befinden, stehen sie den oben genannten Standardschnittstellen zur Verfügung. Gleichfalls können Zertifikate auf diese Weise erneuert oder gelöscht werden, auch ohne Aktivitäten seitens des Anwenders. Das Verfahren passt somit für remote-gesteuerte Geräte im industriellen Umfeld, IoT-Devices oder ganz einfach für die E-Mail-Verschlüsselung oder VPN-Zertifikate im Unternehmensumfeld.