Anwendungsgebiete der Infrastruktur PKI

Leitungsverschlüsselung


Einzelne Router ermöglichen es, mit dem Einsatz von Zertifikaten, die Übertragung der Nutzdaten zu verschlüsseln. Damit kann man für ausgewählte Teilstrecken, spezielle Protokolle oder gleich flächendeckend für das ganze Netz eine Leitungsverschlüsselung erreichen.

SSL


Sie kennen es vom Online Shopping und Online Banking. Mehrfach übertragen Sie persönliche und höchst schützenswerte Daten (Adresse, Kreditkartennummer, PIN, TAN, ...) über das Internet - ein Medium in dem jeder alle Informationen mitlesen kann (eine gewisse Fachkenntnis ist natürlich vorauszusetzen).
Um die schützenswerten Daten auch vertraulich zu halten und nur dem zugänglich zu machen für den Sie bestimmt sind, wurde SSL entwickelt. Im Wesentlichen geht es darum, dass sich vor Verbindungsaufbau die beteiligten Komponenten gegenseitig ausweisen, d.h. identifizieren, und anschließend nur verschlüsselt kommunizieren. Man kann SSL in einseitiger oder zweiseitiger Authentifizierung betreiben. Welcher Modus gewählt wird, hängt von der Konfiguration des Servers ab. Bei der einseitigen Authentifizierung legt nur eine der beiden Komponenten (Client oder Server) ein Zertifikat vor. In fast allen Fällen ist das der Server. Bei der beidseitigen Authentifizierung identifziert sich erst der Server gegenüber dem Client und anschließend identifiziert sich der Client gegenüber dem Server. Dieser Modus ist bisher recht selten anzutreffen, dafür aber bestens geeignet um auf diversen Webseiten die Anmeldung per Nutzername und Passwort durch eine zertifikatsbasierte Anmeldung zu ersetzen.

IPSec


IPSec stellt eine Sicherheitsarchitektur für die Kommunikation über IP Netzwerke zur Verfügung. So sollen die Schutzziele Vertraulichkeit, Authentizität und Integrität gewährleistet werden. Die Verbindung zwischen PKI und IPSec stellt die zertifikatsbasierte Authentifizierung (ähnlich SSL) der beteiligten Komponenten dar.

802.1x Authentifizierung


802.1X ist ein IEEE-Standard für authentifizierten Netzwerkzugriff auf verkabelte Ethernet-Netzwerke und drahtlose 802.11-Netzwerke. Dabei können Sie eine Auswahl aus mehreren unterschiedlichen Authentifizierungsmethoden für Drahtlosnetzwerkclients und -server treffen (z.B.EAP, EAP-TLS, EAP-MS-CHAP v2 und PEAP).

Bei EAP-TLS (Transport Layer Security) handelt es sich um einen EAP-Typ, der in einer zertifikatbasierten Sicherheitsumgebung verwendet wird und die stärkste Methode zur Authentifizierung und zur Schlüsselermittlung bereitstellt. EAP-TLS stellt gegenseitige Authentifizierung, Aushandlung der Verschlüsselungsmethode und Ermittlung verschlüsselter Schlüssel zwischen dem Client und dem authentifizierenden Server bereit. Wenn Sie Zertifikate oder Smartcards für die Benutzer- und Clientcomputerauthentifizierung verwenden möchten, müssen Sie EAP-TLS oder, für mehr Sicherheit, Geschütztes EAP (Protected EAP, PEAP) mit EAP-TLS verwenden.

PEAP ist eine Authentifizierungsmethode, bei der TLS zur Erhöhung der Sicherheit anderer EAP-Authentifizierungsprotokolle verwendet wird. PEAP bietet die folgenden Vorteile: einen Verschlüsselungskanal zum Schutz der in PEAP ausgeführten EAP-Methoden, durch TLS generiertes dynamisches Schlüsselmaterial, schnelle Wiederherstellung der Verbindung (die Möglichkeit, eine neue Verbindung mit einem Drahtloszugriffspunkt durch Verwendung zwischengespeicherter Sitzungsschlüssel herzustellen, sodass ein schneller Wechsel zwischen Zugriffspunkten möglich ist) und Serverauthentifizierung, mit deren Hilfe die Bereitstellung von nicht autorisierten Drahtloszugriffspunkten verhindert wird.

Serverauthentifizierung


Bei der Serverauthentifizierung legt der Server dem Client vor erfolgreichem Verbindungsaufbau sein Zertifikat vor und stellt so seine Authentizität sicher.

Clientauthentifizierung


Bei der Clientauthentifizierung legt der Client dem Server vor erfolgreichem Verbindungsaufbau sein Zertifikat vor und stellt so seine Authentizität sicher. Man unterscheidet dabei noch zwischen der Clientauthentifizierung einer Maschine und der einer Person.

Domänencontroller


Um die Kommunikation (Replikation) zwischen Domänencontrollern verschlüsselt ablaufen zu lassen, bzw. um smartcardbasiertes WinLogon zu realiseren, benötigen die Domänencontroller einer Domäne entsprechende Zertifikate.