DE102016207294A1 - Procedure and certificate store for certificate management - Google Patents
Procedure and certificate store for certificate management Download PDFInfo
- Publication number
- DE102016207294A1 DE102016207294A1 DE102016207294.3A DE102016207294A DE102016207294A1 DE 102016207294 A1 DE102016207294 A1 DE 102016207294A1 DE 102016207294 A DE102016207294 A DE 102016207294A DE 102016207294 A1 DE102016207294 A1 DE 102016207294A1
- Authority
- DE
- Germany
- Prior art keywords
- certificate
- information
- validation information
- usage information
- validation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
Abstract
Die Erfindung betrifft ein Verfahren zur rechnergestützten Zertifikatsverwaltung. Das Verfahren umfasst einen Verfahrensschritt zum Zuordnen (120) einer Nutzungsinformation an eine Validierungsinformation eines Zertifikatsspeichers (310), wenn ein Zugriff auf die Validierungsinformation erfolgt. Das Verfahren umfasst einen weiteren Verfahrensschritt zum Auswerten (130) der Nutzungsinformation.The invention relates to a method for computer-aided certificate management. The method comprises a method step for assigning (120) usage information to validation information of a certificate store (310) when accessing the validation information. The method comprises a further method step for evaluating (130) the usage information.
Description
Die Erfindung bezieht sich auf ein Verfahren und eine Zertifikatsverwaltung zum Validieren von Validierungsinformationen in einem Zertifikatsspeicher. The invention relates to a method and certificate management for validating validation information in a certificate store.
Digitale Zertifikate bestätigen die Zuordnung von einem öffentlichen Schlüssel (public key) zu einer Identifizierungsinformation einer Person, eines Rechners, oder eines Prozesses. Zertifikate werden von einer Zertifizierungsstelle ausgestellt (certification authority). Um ein Zertifikat zu prüfen, verwendet ein Kommunikationspartner einen Zertifikatsspeicher bzw. Wurzelzertifikatsspeicher, der Zertifikate vertrauenswürdiger Zertifizierungsstellen enthält. In der Praxis enthalten Zertifikatsspeicher eine umfangreiche Menge von Zertifikaten. Um die Sicherheit zu gewährleisten, müssen alle enthaltenen Zertifikate tatsächlich von einer vertrauenswürdigen Zertifizierungsstelle stammen. Dies ist nur schwer zu überprüfen. Digital certificates confirm the assignment of a public key to an identification information of a person, a computer, or a process. Certificates are issued by a certification authority (certification authority). To validate a certificate, a communication partner uses a certificate store or root certificate store that contains certificates from trusted certification authorities. In practice, certificate stores contain a large amount of certificates. In fact, to ensure security, all of the included certificates must come from a trusted certification authority. This is difficult to verify.
Aus dem Stand der Technik sind das Dokument
Eine Aufgabe der vorliegenden Erfindung ist es, ein Verfahren und eine Zertifikatsverwaltung bereitzustellen, die es erlauben, digitale Zertifikate einfach und schnell hinsichtlich ihrer Sicherheit zu bewerten. An object of the present invention is to provide a method and a certificate management that allow to easily and quickly assess digital certificates for their security.
Die Aufgabe wird durch die in den unabhängigen Ansprüchen angegebenen Merkmale gelöst. In den Unteransprüchen sind vorteilhafte Weiterbildungen der Erfindung dargestellt. The object is solved by the features specified in the independent claims. In the dependent claims advantageous developments of the invention are shown.
Gemäß einem ersten Aspekt betrifft die Erfindung ein Verfahren zur rechnergestützten Zertifikatsverwaltung mit den Verfahrensschritten:
- – Zuordnen einer Nutzungsinformation an eine Validierungsinformation eines Zertifikatsspeichers, wenn ein Zugriff auf die Validierungsinformation erfolgt;
- – Auswerten der Nutzungsinformation.
- Assigning usage information to validation information of a certificate store when accessing the validation information;
- - Evaluation of the usage information.
Unter einem „Zertifikat“ kann im Zusammenhang mit der Patentanmeldung beispielsweise ein digitales Zertifikat, insbesondere ein X.509 Zertifikat, verstanden werden. In the context of the patent application, a "certificate" can be understood, for example, as a digital certificate, in particular an X.509 certificate.
Unter einem „Zugriff“, insbesondere auf eine Validierungsinformation kann im Zusammenhang mit der Patentanmeldung beispielsweise ein Zugriff auf die Validierungsinformation verstanden werden, der insbesondere dann erfolgt, wenn der zweite Kommunikationspartner ein digitales Zertifikat validiert. Unter einem Zugriff insbesondere auf die Validierungsinformation kann aber beispielsweise auch ein Aktualisieren der Validierungsinformation oder ein Einbringen der Validierungsinformation (Erstellung) im Zertifikatsspeicher verstanden werden. In the context of the patent application, "access", in particular validation information, can be understood as meaning, for example, access to the validation information, which occurs in particular when the second communication partner validates a digital certificate. An access, in particular to the validation information, may, however, also be understood, for example, to be an updating of the validation information or an introduction of the validation information (creation) in the certificate store.
Unter einem „ersten Kommunikationspartner“ kann im Zusammenhang mit der Patentanmeldung beispielsweise ein Server verstanden werden, der sich mittels eines Zertifikats gegenüber einem zweiten Kommunikationspartner authentisieren möchte. In the context of the patent application, a "first communication partner" can be understood, for example, as a server that wishes to authenticate itself to a second communication partner by means of a certificate.
Unter einem „zweiten Kommunikationspartner“ kann im Zusammenhang mit der Patentanmeldung beispielsweise ein Client verstanden werden, der beispielsweise ein digitales Zertifikat eines ersten Kommunikationspartners authentisiert. In the context of the patent application, a "second communication partner" can be understood, for example, as a client that, for example, authenticates a digital certificate of a first communication partner.
Unter „rechnergestützt“ kann im Zusammenhang mit der Patentanmeldung beispielsweise eine Implementierung des Verfahrens verstanden werden, bei dem insbesondere ein Prozessor mindestens einen Verfahrensschritt des Verfahrens ausführt. In the context of the patent application, "computer-aided" can be understood, for example, as an implementation of the method in which, in particular, a processor carries out at least one method step of the method.
Unter einer „Validierungsinformation“ kann im Zusammenhang mit der Patentanmeldung beispielsweise ein Eintrag in einem Zertifikatsspeicher verstanden werden, der insbesondere dazu dient ein Zertifikat eines ersten Kommunikationspartners zu überprüfen oder authentisieren. Bei dem Eintrag kann es sich beispielsweise um ein digitales Zertifikat handeln, das auch als Validierungszertifikat bezeichnet werden kann. Der Eintrag kann insbesondere ein Wurzelzertifikat (engl. „root certificate“) sein. In the context of the patent application, a "validation information" can be understood, for example, as an entry in a certificate store, which serves, in particular, for checking or authenticating a certificate of a first communication partner. For example, the entry may be a digital certificate, which may also be referred to as a validation certificate. In particular, the entry may be a root certificate ("root certificate").
Das Verfahren ist insbesondere dahingehend vorteilhaft, um eine Gefährdung durch eine Vielzahl von Einträgen in einem Zertifikatsspeicher zu reduzieren, da in der Praxis kaum praktikabel zu ermitteln ist, welcher Eintrag wie in einen Zertifikatsspeicher gelangt ist. Beispielsweise kann ein Eintrag vorinstalliert, durch eine Applikation beim Installieren eingebracht oder durch einen Nutzer manuell eingefügt worden sein. Auch ist es in der Praxis meist unklar, wozu er tatsächlich benötigt wird. Durch das Verfahren wird insbesondere eine Nutzungsinformation über die tatsächliche Nutzung einer Validierungsinformation verwaltet. Diese kann beispielsweise von einem Nutzer, insbesondere einem Administrator, oder automatisch ausgewertet werden, um vorzugsweise nicht erforderliche oder insbesondere auf ungewöhnliche Art verwendete Zertifikate zu annullieren oder zu sperren. The method is particularly advantageous in order to reduce the risk of a plurality of entries in a certificate store, since in practice it is hardly practicable to determine which entry has arrived as in a certificate store. For example, an entry may have been pre-installed, inserted by an application during installation, or manually inserted by a user. Also, it is usually unclear in practice, what he actually needed. In particular, usage information about the actual use of validation information is managed by the method. This can be evaluated, for example, by a user, in particular an administrator, or automatically, in order to cancel or block certificates which are preferably not required or in particular used in an unusual way.
Das Verfahren kann beispielsweise nur bei einer erfolgreichen Prüfung der Gültigkeit des digitalen Zertifikats die Nutzungsinformation speichern. Es ist aber auch denkbar, dass die Nutzungsinformation auch für fehlgeschlagene Gültigkeitsprüfungen zugeordnet wird. For example, the method may save the usage information only upon a successful validation of the validity of the digital certificate. It is also conceivable that the usage information is also assigned for failed validity checks.
Bei einer ersten Ausführungsform des Verfahrens erfolgt der Zugriff, wenn sich ein erster Kommunikationspartners bei einem zweiten Kommunikationspartner mittels eines digitalen Zertifikats authentisiert, wobei insbesondere eine Gültigkeit des digitalen Zertifikats anhand der Validierungsinformation durch den zweiten Kommunikationspartner geprüft wird, wobei der zweite Kommunikationspartner das Zuordnen und/oder das Auswerten durchführt. In a first embodiment of the method, access takes place when a first communication partner authenticates with a second communication partner by means of a digital certificate, wherein in particular a validity of the digital certificate is checked on the basis of the validation information by the second communication partner, wherein the second communication partner allocates and / or performing the evaluation.
Hierdurch lassen sich insbesondere Validierungsinformationen dahingehend prüfen, ob diese beispielsweise noch vertrauenswürdig sind oder ob diese überhaupt noch benötigt werden. In particular, validation information can be checked as to whether these are still trustworthy, for example, or whether they are still needed at all.
Bei einer weiteren Ausführungsform des Verfahrens ist die Validierungsinformation ein vertrauenswürdiges Zertifikat. In another embodiment of the method, the validation information is a trusted certificate.
Hierdurch lassen sich insbesondere vertrauenswürdige Zertifikate überprüfen, ob diese tatsächlich noch vertrauenswürdig sind. In particular, trustworthy certificates can be checked as to whether they are actually still trustworthy.
Bei einer weiteren Ausführungsform des Verfahrens ist die Validierungsinformation ein vertrauenswürdiges Wurzelzertifikat, wenn ein Zertifikatspfad des digitalen Zertifikats zu dem vertrauenswürdigen Wurzelzertifikat existiert. In another embodiment of the method, the validation information is a trusted root certificate when a certificate path of the digital certificate to the trusted root certificate exists.
Bei einer weiteren Ausführungsform des Verfahrens gibt die Nutzungsinformation an, durch welche Applikation und/oder durch welchen Herausgeber die Validierungsinformation in die Zertifikatsverwaltung eingebracht wurde. In a further embodiment of the method, the usage information indicates by which application and / or by which publisher the validation information was introduced into the certificate administration.
Hierdurch lässt sich insbesondere feststellen, ob sich beispielsweise der Herausgeber für ein Zertifikat geändert hat. Dies kann darauf hindeuten, dass dieses Zertifikat nicht mehr vertrauenswürdig ist. In einem solchen Fall kann beispielsweise eine weitergehende Prüfung durchgeführt werden, um festzustellen, ob insbesondere weitere Zertifikate betroffen sind. In particular, this makes it possible to determine whether, for example, the publisher has changed for a certificate. This may indicate that this certificate is no longer trusted. In such a case, for example, a further examination can be carried out to determine whether, in particular, further certificates are affected.
Bei einer weiteren Ausführungsform des Verfahrens umfasst die Nutzungsinformation eine Anzahl von Nutzungen der Validierungsinformation für Prüfungen des digitalen Zertifikates. In a further embodiment of the method, the usage information comprises a number of uses of the validation information for checks of the digital certificate.
Hierdurch lässt sich insbesondere feststellen, ob die Validierungsinformation exzessiv genutzt wurde. In einem solchen Fall kann beispielsweise eine weitergehende Prüfung durchgeführt werden, um festzustellen, ob insbesondere weitere Zertifikate betroffen sind. In particular, this makes it possible to ascertain whether the validation information was used excessively. In such a case, for example, a further examination can be carried out to determine whether, in particular, further certificates are affected.
Bei einer weiteren Ausführungsform des Verfahrens umfasst die Nutzungsinformation einen letzten Zeitpunkt einer Nutzung, der Validierungsinformation für die Prüfung des digitalen Zertifikates umfasst. In a further embodiment of the method, the usage information comprises a last time of use, which comprises validation information for checking the digital certificate.
Hierdurch lässt sich beispielsweise feststellen, ob eine Validierungsinformation überhaupt benötigt wurde. Wird beispielsweise festgestellt, dass die Validierungsinformation über einen festgelegten Zeitraum, beispielsweise zwei Jahre, nicht genutzt wurde, kann diese auch annulliert werden. This makes it possible to determine, for example, whether validation information was actually needed. If, for example, it is determined that the validation information has not been used for a fixed period of time, for example two years, it may also be canceled.
Bei einer weiteren Ausführungsform des Verfahrens umfasst die Nutzungsinformation eine Identität des digitales Zertifikats und/oder des ersten Kommunikationspartners. In a further embodiment of the method, the usage information comprises an identity of the digital certificate and / or the first communication partner.
Hierdurch lässt sich insbesondere feststellen, ob die Validierungsinformation von unterschiedlichen Identitäten genutzt wurde. In einem solchen Fall kann beispielsweise eine weitergehende Prüfung durchgeführt werden, um festzustellen, ob insbesondere weitere Zertifikate betroffen sind. This makes it possible in particular to determine whether the validation information was used by different identities. In such a case, for example, a further examination can be carried out to determine whether, in particular, further certificates are affected.
Bei einer weiteren Ausführungsform des Verfahrens umfasst die Nutzungsinformation eine Applikationsinformation über die Applikation, welche die Validierungsinformation zuletzt verwendete. In a further embodiment of the method, the usage information comprises application information about the application that last used the validation information.
Hierdurch lässt sich insbesondere feststellen, ob die Validierungsinformation von unterschiedlichen Applikationen genutzt wurde. In einem solchen Fall kann beispielsweise eine weitergehende Prüfung durchgeführt werden, um festzustellen, ob insbesondere weitere Zertifikate betroffen sind. This makes it possible in particular to determine whether the validation information was used by different applications. In such a case, for example, a further examination can be carried out to determine whether, in particular, further certificates are affected.
Bei einer weiteren Ausführungsform des Verfahrens wird die Validierungsinformation im Zertifikatsspeicher anhand der Nutzungsinformation und vordefinierten Regeln validiert oder annulliert. In a further embodiment of the method, the validation information in the certificate store is validated or canceled based on the usage information and predefined rules.
Hierdurch lässt sich insbesondere eine Validierungsinformation anhand der vordefinierten Regeln annullieren, bei der bei dem Auswerten festgestellt wurde, dass die Validierungsinformation geforderte Kriterien nicht erfüllt. This makes it possible, in particular, to invalidate a validation information based on the predefined rules, in which it was determined during the evaluation that the validation information does not fulfill the required criteria.
Bei einer weiteren Ausführungsform des Verfahrens wird beim Auswerten eine Steuerinformation bereitgestellt, wenn insbesondere unterschiedliche Herausgeber des digitalen Zertifikats festgestellt werden. In a further embodiment of the method, a control information is provided during the evaluation when, in particular, different publishers of the digital certificate are ascertained.
Hierdurch lässt sich insbesondere durch die Steuerinformation eine weitere Prüfung von weiteren Zertifikatsspeichern oder eine Sicherheitsprüfung, beispielsweise eine Virensuche, auf dem zweiten Kommunikationspartner durchführen. This makes it possible, in particular by the control information, to carry out a further check of further certificate memories or a security check, for example a virus search, on the second communication partner.
Bei einer weiteren Ausführungsform des Verfahrens wird die Nutzungsinformation und/oder weitere Nutzungsinformationen durch eine zentrale Auswertestation ausgewertet, wobei insbesondere die Validierungsinformation aller Zertifikatsspeicher anhand der Nutzungsinformation und anhand von vordefinierten Regeln validiert wird oder annulliert wird. In a further embodiment of the method, the usage information and / or further usage information is evaluated by a central evaluation station, wherein in particular the validation information of all certificate stores is validated or canceled based on the usage information and predefined rules.
Hierbei können beispielsweise Nutzungsinformationen von weiteren zweiten Kommunikationspartnern ausgewertet werden. Hierdurch lässt sich insbesondere durch die Nutzungsinformationen eine große Anzahl von Validierungsinformationen auswerten und/oder überprüfen. Damit können beispielsweise IT Netzwerkbetreiber mit ihren Clients schnell digitale Zertifikate erkennen, die nicht mehr vertrauenswürdig sind. In this case, for example, usage information of further second communication partners can be evaluated. As a result, a large number of validation information can be evaluated and / or checked in particular by the usage information. For example, IT network operators can use their clients to quickly identify digital certificates that are no longer trustworthy.
Gemäß einem weiteren Aspekt betrifft die Erfindung eine rechnergestützte Zertifikatsverwaltung umfassend:
- – ein Zuordnungsmodul zum Zuordnen einer Nutzungsinformation an eine Validierungsinformation eines Zertifikatsspeichers, wenn ein Zugriff auf die Validierungsinformation erfolgt;
- – ein Auswertemodul zum Auswerten der Nutzungsinformation.
- An assignment module for associating usage information with validation information of a certificate store when accessing the validation information;
- - An evaluation module for evaluating the usage information.
Des Weiteren wird ein Computerprogrammprodukt mit Programmbefehlen zur Durchführung des genannten erfindungsgemäßen Verfahrens beansprucht. Furthermore, a computer program product with program instructions for carrying out said method according to the invention is claimed.
Zusätzlich wird eine Variante des Computerprogrammproduktes mit Programmbefehlen zur Konfiguration eines Erstellungsgeräts, beispielsweise ein 3D-Drucker oder ein zur Erstellung von Prozessoren und/oder Geräten und/oder Zertifikatsverwaltungen geeignetes Gerät, beansprucht, wobei das Erstellungsgerät mit den Programmbefehlen derart konfiguriert wird, dass die genannte erfindungsgemäße Vorrichtung erstellt wird. In addition, a variant of the computer program product is claimed with program instructions for configuring a creation device, for example a 3D printer or a device suitable for creating processors and / or devices and / or certificate administrations, wherein the creation device is configured with the program commands such that said inventive device is created.
Darüber hinaus wird eine Bereitstellungsvorrichtung zum Speichern und/oder Bereitstellen des Computerprogrammprodukts beansprucht. Die Bereitstellungsvorrichtung ist beispielsweise ein Datenträger, der das Computerprogrammprodukt speichert und/oder bereitstellt. Alternativ und/oder zusätzlich ist die Bereitstellungsvorrichtung beispielsweise ein Netzwerkdienst, ein Computersystem, ein Serversystem, insbesondere ein verteiltes Computersystem, ein cloudbasiertes Rechnersystem und/oder virtuelles Rechnersystem, welches das Computerprogrammprodukt vorzugsweise in Form eines Datenstroms speichert und/oder bereitstellt. In addition, a provisioning device for storing and / or providing the computer program product is claimed. The provisioning device is, for example, a data carrier which stores and / or makes available the computer program product. Alternatively and / or additionally, the provisioning device is for example a network service, a computer system, a server system, in particular a distributed computer system, a cloud-based computer system and / or virtual computer system, which preferably stores and / or provides the computer program product in the form of a data stream.
Diese Bereitstellung erfolgt beispielsweise als Download in Form eines Programmdatenblocks und/oder Befehlsdatenblocks, vorzugsweise als Datei, insbesondere als Downloaddatei, oder als Datenstrom, insbesondere als Downloaddatenstrom, des vollständigen Computerprogrammprodukts. Diese Bereitstellung kann beispielsweise aber auch als partieller Download erfolgen, der aus mehreren Teilen besteht und insbesondere über ein Peer-to-Peer Netzwerk heruntergeladen oder als Datenstrom bereitgestellt wird. Ein solches Computerprogrammprodukt wird beispielsweise unter Verwendung der Bereitstellungsvorrichtung in Form des Datenträgers in ein System eingelesen und führt die Programmbefehle aus, sodass das erfindungsgemäße Verfahren auf einem Computer zur Ausführung gebracht wird oder das Erstellungsgerät derart konfiguriert, dass dieses die erfindungsgemäßen Zertifikatsverwaltung erstellt. This provision takes place, for example, as a download in the form of a program data block and / or command data block, preferably as a file, in particular as a download file, or as a data stream, in particular as a download data stream, of the complete computer program product. However, this provision can also be carried out, for example, as a partial download, which consists of several parts and in particular is downloaded via a peer-to-peer network or provided as a data stream. Such a computer program product is, for example, read into a system using the provision device in the form of the data carrier and executes the program instructions so that the method according to the invention is executed on a computer or the authoring device is configured such that it generates the certificate management according to the invention.
Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusammenhang mit der folgenden Beschreibung der Ausführungsbeispiele, die im Zusammenhang mit den Figuren näher erläutert werden. Dabei zeigen in schematischer Darstellung: The above-described characteristics, features, and advantages of this invention, as well as the manner in which they are achieved, will become clearer and more clearly understood in connection with the following description of the embodiments, which will be described in connection with the figures. This show in a schematic representation:
In den Figuren sind funktionsgleiche Elemente mit denselben Bezugszeichen versehen, sofern nichts anderes angegeben ist. In the figures, functionally identical elements are provided with the same reference numerals, unless stated otherwise.
Die Nachfolgenden Ausführungsbeispiele weisen, sofern nicht anders angegeben oder bereits angegeben, zumindest einen Prozessor und/oder eine Speichereinrichtung auf, um das Verfahren zu implementieren oder auszuführen. Unless otherwise stated or already indicated, the following exemplary embodiments have at least one processor and / or a memory device in order to implement or execute the method.
Die
Das Verfahren ist dazu geeignet eine rechnergestützten Zertifikatsverwaltung durchzuführen. Das Ausführungsbeispiel bezieht sich insbesondere auf den Fall, bei dem ein digitales Zertifikat eines ersten Kommunikationspartners durch einen zweiten Kommunikationspartner validiert wird und dabei eine Nutzungsinformation gespeichert wird. The method is suitable for carrying out a computer-aided certificate management. The embodiment relates in particular to the case in which a digital certificate of a first communication partner by a second Communication partner is validated while a usage information is stored.
Das Verfahren umfasst einen ersten Verfahrensschritt zum Zuordnen
Der Zugriff erfolgt beispielsweise, wenn sich ein erster Kommunikationspartner bei dem zweiten Kommunikationspartner mittels eines digitalen Zertifikats authentisieren möchte, wobei insbesondere eine Gültigkeit des digitalen Zertifikats anhand der Validierungsinformation durch den zweiten Kommunikationspartner geprüft wird. Access takes place, for example, if a first communication partner wishes to authenticate to the second communication partner by means of a digital certificate, in which case in particular a validity of the digital certificate is checked on the basis of the validation information by the second communication partner.
Das Verfahren umfasst zusätzlich einen zweiten Verfahrensschritt zum Auswerten
Mit anderen Worten wird eine nutzungsabhänge Information, die oben genannte Nutzungsinformation, den Einträgen, also den genannten Validierungsinformationen, in dem Zertifikatsspeicher zugeordnet. Die Nutzungsinformation kann beispielsweise im Zertifikatsspeicher selbst oder in einer separaten Datenstruktur außerhalb des Zertifikatsspeichers abgelegt sein. In other words, a usage-dependency information, the above-mentioned usage information, is assigned to the entries, that is to say the validation information, in the certificate store. The usage information may, for example, be stored in the certificate store itself or in a separate data structure outside the certificate store.
Bei einer Nutzung einer Validierungsinformation des Zertifikatsspeichers zur Validierung eines Zertifikats wird beispielsweise die der Validierungsinformation zugeordnete Nutzungsinformation aktualisiert. Die Nutzung betrifft beispielsweise das Einspielen einer Validierungsinformation in den Zertifikatsspeichers und/oder die Verwendung der Validierungsinformation des Zertifikatsspeichers zur Validierung eines digitalen Zertifikats. When using validation information of the certificate store for validating a certificate, for example, the usage information associated with the validation information is updated. The use relates, for example, to the loading of validation information in the certificate store and / or the use of the validation information of the certificate store for the validation of a digital certificate.
Die aktualisierte Nutzungsinformation kann sich auf folgendes beziehen:
- – Welche Applikation (Executable, App, Installer), und wessen Herausgeber (Signierer einer Applikation) hat eine Validierungsinformation in den Zertifikatsspeicher eingebracht?
- – Anzahl der Nutzungen der Validierungsinformation zur Validierung eines digitalen Zertifikats (absolut oder in einem zurückliegenden Zeitraum, z. B. 1 Woche, 1 Monat)
- – Zeitpunkt der letzten Nutzung einer Validierungsinformation
- – Identität des Clients dessen digitales Zertifikat mittels der Validierungsinformation validiert wurde (z.B. DNS-Name eines Servers, Email-Adresse eines Nutzers)
- – eine Information über die Applikation die dieses Zertifikat verwendet hat (z.B. Outlook, Explorer, Edge, Windows Update).
- - Which application (executable, app, installer) and whose publisher (signer of an application) has added validation information to the certificate store?
- - Number of uses of the validation information for the validation of a digital certificate (in absolute or in the past period, eg 1 week, 1 month)
- - Time of last use of validation information
- - Identity of the client whose digital certificate has been validated by means of the validation information (eg DNS name of a server, e-mail address of a user)
- - Information about the application that used this certificate (eg Outlook, Explorer, Edge, Windows Update).
Auch kann eine Kombination der oben genannten Informationen in der Nutzungsinformation abgelegt werden. Also, a combination of the above information in the usage information can be stored.
Die Nutzungsinformation einer Validierungsinformation des Zertifikatsspeichers gibt somit beispielsweise an, welche Validierungsinformationen, insbesondere Wurzel-Zertifikate, bei deren Nutzung tatsächlich verwendet werden und wofür. The usage information of a validation information of the certificate store thus indicates, for example, which validation information, in particular root certificates, are actually used in their use and for what.
Die Nutzungsinformation kann unterschiedlich verwendet werden:
- – Anzeige für einen Nutzer: Sie kann anzeigen, welche Validierungsinformation wie häufig und wozu genutzt werden. Dadurch kann ein Nutzer eine Validierungsinformation deaktivieren oder löschen. In einer Variante kann eine Validierungsinformation markiert werden, sodass bei dessen Verwendung dem Nutzer ein Warnhinweis angezeigt wird oder eine Bestätigung zur Nutzung eingeholt wird. Durch einen Benutzer, einen Administrator oder einen Systemprozess kann damit fundiert eine Entscheidung getroffen werden, Validierungsinformationen im Zertifikatsspeicher zu löschen.
- – Weiterhin kann beispielsweise automatisch eine Sperrung von Validierungsinformationen erfolgen, die in der Praxis nicht verwendet werden. Es ist auch denkbar, dass die Sperrung nach Betätigung durch einen Nutzer erfolgt.
- – Es kann beispielsweise auch ermittelt werden, welche Wurzelzertifizierungsstelle für welche zu authentifizierenden digitalen Zertifikate üblicherweise verwendet wird (z.B. Domain-Name, Region, Verwendungszweck wie Code-Signatur, Banking-Server). Wenn beispielsweise für ein derartiges digitales Zertifikat eine andere Wurzelzertifizierungsstelle verwendet wird als üblich, so kann ein Warnhinweis angezeigt oder ein entsprechender Log-Eintrag erzeugt werden.
- - Display for a user: It can show which validation information is used, how often and why. This allows a user to disable or delete validation information. In one variant, a validation information can be marked so that the user is warned when using it or a confirmation of use is obtained. A user, administrator, or system process can make informed decisions about deleting validation information in the certificate store.
- Furthermore, for example, a blockage of validation information that is not used in practice can be automatically carried out. It is also conceivable that the blocking takes place after actuation by a user.
- It can also be determined, for example, which root certification authority is usually used for which digital certificates to be authenticated (eg domain name, region, purpose such as code signature, banking server). If, for example, a different root certification authority is used for such a digital certificate than usual, then a warning message can be displayed or a corresponding log entry can be generated.
Die Verwaltung oder die Auswertung der Nutzungsinformationen eines Zertifikatsspeichers kann beispielsweise lokal auf dem zweiten Kommunikationspartner erfolgen, oder durch einen Dienst, der beispielsweise als Cloud-Service implementiert ist, erfolgen. The administration or the evaluation of the usage information of a certificate store can, for example, be carried out locally on the second communication partner, or by a service that is implemented, for example, as a cloud service.
Bei einem Cloud-Service, kann der Zertifikatsspeicher beispielsweise von einer zentralen Auswertestation abgefragt werden. So kann beispielsweise zu einem Wurzelzertifikat abgefragt werden, welche zu authentisierende digitalen Zertifikate damit ausgestellt werden. Damit ist es insbesondere möglich, das Auswerten der Validierungsinformation für mehrere Zertifikatsspeicher insbesondere auf unterschiedlichen zweiten Kommunikationspartnern auszuführen. Es ist damit beispielsweise auch möglich, die Validierungsinformation des Zertifikatsspeichers des zweiten Kommunikationspartner auszuwerten und anhand dieser Auswertung, beispielsweise die Feststellung ob eine Validierungsinformation noch vertrauenswürdig ist, eine Validierungsinformation eines Zertifikatsspeichers eines weiteren zweiten Kommunikationspartners zu validieren oder zu annullieren. In the case of a cloud service, the certificate store can be queried, for example, by a central evaluation station. For example, a root certificate can be queried as to which digital certificates to be authenticated are issued. That's it in particular it is possible to carry out the evaluation of the validation information for a plurality of certificate stores, in particular on different second communication partners. It is thus also possible, for example, to evaluate the validation information of the certificate store of the second communication partner and to validate or cancel a validation information of a certificate store of another second communication partner on the basis of this evaluation, for example determining whether validation information is still trustworthy.
Die
Im Einzelnen zeigt
Ein zweiter Kommunikationspartner (z. B. einer der Clients), beispielsweise der erste Client C1, kann dabei mit einem ersten Kommunikationspartner kommunizieren. Der zweite Kommunikationspartner kann einer der anderen Clients, beispielsweise der zweite Client C2, oder einer der Server, beispielsweise der erste Server S1, sein, wobei der erste Kommunikationspartner durch ein digitales Zertifikat authentisiert wird (z.B. ein X.509-Zertifikat). A second communication partner (eg one of the clients), for example the first client C1, can communicate with a first communication partner. The second communication partner may be one of the other clients, for example the second client C2, or one of the servers, for example the first server S1, wherein the first communication partner is authenticated by a digital certificate (for example an X.509 certificate).
Als Authentisierungsprotokoll kann z.B. TLS, SSL, oder IPsec/IKEv2 verwendet werden. Der zweite Kommunikationspartner prüft bei der Authentisierung das Zertifikat des ersten Kommunikationspartners. Dabei wird beispielsweise überprüft, ob ein Zertifikatspfad des verwendeten Zertifikats zu einem Trusted Root Zertifikat (vertrauenswürdiges Wurzelzertifikat) des zweiten Clients C2 existiert. Mit anderen Worten wird geprüft, ob für das Zertifikat des ersten Kommunikationspartners eine gültige Validierungsinformation im Zertifikatsspeicher des zweiten Kommunikationspartners existiert. As an authentication protocol, e.g. TLS, SSL, or IPsec / IKEv2. The second communication partner checks the certificate of the first communication partner during authentication. In this case, for example, it is checked whether a certificate path of the certificate used to a trusted root certificate (trusted root certificate) of the second client C2 exists. In other words, it is checked whether valid validation information exists in the certificate memory of the second communication partner for the certificate of the first communication partner.
In diesem Ausführungsbeispiel verwendet der zweite Kommunikationspartner bei der Authentisierung beispielsweise ein Wurzelzertifikat als Validierungsinformation, das in dem Zertifikatsspeicher enthalten ist. Dabei wird der verwendeten Validierungsinformation des Zertifikatsspeichers eine Nutzungsinformation zugeordnet und/oder ggf. aktualisiert:
Die Nutzungsinformation kann dabei eine der nachfolgenden Informationen umfassen oder eine Kombination der nachfolgenden Informationen umfassen:
- – Zeitpunkt der Nutzung letzten Nutzung der Validierungsinformation
- – Nutzungszähler (aktualisieren), der angibt wie oft die Validierungsinformation benutzt wurde
- – Applikation, das die Validierungsinformation angefordert oder genutzt hat
- – Verwendungszweck der Validierungsinformation, beispielsweise das verwendete Netzwerkprotokoll (z.B. TLS, IPsec/IKE, http über TLS, SMTP über TLS, XMPP über TLS)
The usage information may include one of the following information or include a combination of the following information:
- - Time of use last use of the validation information
- - Usage counter (update), which indicates how often the validation information was used
- - Application that requested or used the validation information
- Use of the validation information, for example the network protocol used (eg TLS, IPsec / IKE, http via TLS, SMTP via TLS, XMPP via TLS)
Weiterhin kann einer neu hinzugefügten Validierungsinformation eines Zertifikatsspeichers eine von der Art des Hinzufügens abhängige Information zugeordnet wird:
- – Aktueller Zeitpunkt des Hinzufügens der Validierungsinformation
- – Aktiver Nutzer, der die Validierungsinformation hinzugefügt hat (User-ID, Nutzerkennung)
- – Bei Remote Device Management: Identifizierungsinformation des Remote Device Management Servers, der eine Validierungsinformation hinzugefügt hat, sowie das verwendete Remote Device Management Protokoll (z.B. SNMP, OMA DM, OMA LWM2M)
- – Bei Hinzufügen durch eine auf dem Client ausgeführte Applikation: Bezeichner, Herausgeber der Applikation (Installer oder installierte Applikation)
- - Current time of adding the validation information
- - Active user who added the validation information (user ID, user ID)
- - For remote device management: Identification information of the remote device management server, which has added validation information, as well as the remote device management protocol used (eg SNMP, OMA DM, OMA LWM2M)
- - When added by an application running on the client: identifier, publisher of the application (installer or installed application)
Die
Im Einzelnen zeigt
Das Zuordnungsmodul
Das Auswertemodul
Die Zertifikatsverwaltung kann beispielsweise eine Komponente des zweiten Kommunikationspartners, insbesondere ein IBMkompatibler Personal Computer, sein, so wie in
Im Einzelnen zeigt
Der erste Client C1 ist über ein Netzwerk
Obwohl die Erfindung im Detail durch die Ausführungsbeispiele näher illustriert und beschrieben wurde, ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt, und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen. Although the invention has been further illustrated and described in detail by the embodiments, the invention is not limited by the disclosed examples, and other variations can be derived therefrom by those skilled in the art without departing from the scope of the invention.
ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.
Zitierte PatentliteraturCited patent literature
- US 8531247 B2 [0003] US 8531247 B2 [0003]
- US 8892616 B2 [0003] US 8892616 B2 [0003]
- US 8300811 B2 [0003] US 8300811 B2 [0003]
- US 9147088 B2 [0003] US 9147088 B2 [0003]
- EP 2605445 B1 [0003] EP 2605445 B1 [0003]
- EP 2870565 A1 [0003] EP 2870565 A1 [0003]
- EP 2891102 A1 [0003] EP 2891102 A1 [0003]
- US 8843761 B2 [0003] US 8843761 B2 [0003]
Claims (16)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102016207294.3A DE102016207294A1 (en) | 2016-04-28 | 2016-04-28 | Procedure and certificate store for certificate management |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102016207294.3A DE102016207294A1 (en) | 2016-04-28 | 2016-04-28 | Procedure and certificate store for certificate management |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102016207294A1 true DE102016207294A1 (en) | 2017-11-02 |
Family
ID=60081884
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102016207294.3A Ceased DE102016207294A1 (en) | 2016-04-28 | 2016-04-28 | Procedure and certificate store for certificate management |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102016207294A1 (en) |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5982898A (en) * | 1997-03-07 | 1999-11-09 | At&T Corp. | Certification process |
US20050021969A1 (en) * | 2003-07-01 | 2005-01-27 | Microsoft Corporation | Delegating certificate validation |
US20050154918A1 (en) * | 2003-11-19 | 2005-07-14 | David Engberg | Distributed delegated path discovery and validation |
US20050228999A1 (en) * | 2004-04-09 | 2005-10-13 | Arcot Systems, Inc. | Audit records for digitally signed documents |
US8300811B2 (en) | 2008-12-10 | 2012-10-30 | Siemens Aktiengesellschaft | Method and device for processing data |
US8531247B2 (en) | 2008-04-14 | 2013-09-10 | Siemens Aktiengesellschaft | Device and method for generating a random bit sequence |
US8843761B2 (en) | 2007-08-16 | 2014-09-23 | Siemens Aktiengesellschaft | Method and apparatus for protection of a program against monitoring flow manipulation and against incorrect program running |
US8892616B2 (en) | 2007-08-27 | 2014-11-18 | Siemens Aktiengesellschaft | Device and method for generating a random bit sequence |
EP2870565A1 (en) | 2012-09-28 | 2015-05-13 | Siemens Aktiengesellschaft | Testing integrity of property data of a device using a testing device |
EP2891102A1 (en) | 2013-01-02 | 2015-07-08 | Siemens Aktiengesellschaft | Rfid tag and method for operating an rfid tag |
US9147088B2 (en) | 2011-04-18 | 2015-09-29 | Siemens Aktiengesellschaft | Method for monitoring a tamper protection and monitoring system for a field device having tamper protection |
EP2605445B1 (en) | 2011-12-14 | 2015-09-30 | Siemens Aktiengesellschaft | Method and apparatus for securing block ciphers against template attacks |
-
2016
- 2016-04-28 DE DE102016207294.3A patent/DE102016207294A1/en not_active Ceased
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5982898A (en) * | 1997-03-07 | 1999-11-09 | At&T Corp. | Certification process |
US20050021969A1 (en) * | 2003-07-01 | 2005-01-27 | Microsoft Corporation | Delegating certificate validation |
US20050154918A1 (en) * | 2003-11-19 | 2005-07-14 | David Engberg | Distributed delegated path discovery and validation |
US20050228999A1 (en) * | 2004-04-09 | 2005-10-13 | Arcot Systems, Inc. | Audit records for digitally signed documents |
US8843761B2 (en) | 2007-08-16 | 2014-09-23 | Siemens Aktiengesellschaft | Method and apparatus for protection of a program against monitoring flow manipulation and against incorrect program running |
US8892616B2 (en) | 2007-08-27 | 2014-11-18 | Siemens Aktiengesellschaft | Device and method for generating a random bit sequence |
US8531247B2 (en) | 2008-04-14 | 2013-09-10 | Siemens Aktiengesellschaft | Device and method for generating a random bit sequence |
US8300811B2 (en) | 2008-12-10 | 2012-10-30 | Siemens Aktiengesellschaft | Method and device for processing data |
US9147088B2 (en) | 2011-04-18 | 2015-09-29 | Siemens Aktiengesellschaft | Method for monitoring a tamper protection and monitoring system for a field device having tamper protection |
EP2605445B1 (en) | 2011-12-14 | 2015-09-30 | Siemens Aktiengesellschaft | Method and apparatus for securing block ciphers against template attacks |
EP2870565A1 (en) | 2012-09-28 | 2015-05-13 | Siemens Aktiengesellschaft | Testing integrity of property data of a device using a testing device |
EP2891102A1 (en) | 2013-01-02 | 2015-07-08 | Siemens Aktiengesellschaft | Rfid tag and method for operating an rfid tag |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3488555B1 (en) | Secure processing of an authorisation verification request | |
EP3125492B1 (en) | Method and system for generating a secure communication channel for terminals | |
EP3292496B1 (en) | Apparatus and method for using a customer device certificate on a device | |
EP3108610A1 (en) | Method and system for creating and checking the validity of device certificates | |
DE112012003977T5 (en) | Non-intrusive method and apparatus for automatically distributing security rules in a cloud environment | |
DE102016215915A1 (en) | Secure configuration of a device | |
DE102014206325A1 (en) | Distributed authentication system | |
DE102012215167A1 (en) | Authentication of a first device by an exchange | |
EP3576368A1 (en) | Method and system for controlling a release of a resource | |
DE102015101388A1 (en) | Test system for testing a computer of a computer system in a test network | |
EP3058701B1 (en) | Method, management apparatus and device for certificate-based authentication of communication partners in a device | |
DE102016200382A1 (en) | A method of verifying a security rating of a first device using a digital certificate, first and second devices, and a certificate issuing device | |
DE102011077513A1 (en) | Method for the secure processing of data | |
WO2019096491A1 (en) | Method and device for enabling the authentication of products, particularly industrially produced appliances, and computer program product | |
DE102018217431A1 (en) | Secure key exchange on one device, especially an embedded device | |
DE112012000780T5 (en) | Processing Authorization Check Data | |
DE102016207294A1 (en) | Procedure and certificate store for certificate management | |
EP3617977A1 (en) | Device and method for determining a consense version of a transaction log and devcice and method for monitoring of a distributed database system | |
DE102009031143B3 (en) | Apparatus and method for creating and validating a digital certificate | |
EP3376419A1 (en) | System and method for electronically signing a document | |
DE102014222300B4 (en) | METHOD FOR VERIFYING TRUST STATUS OF A CERTIFICATE OR KEY | |
EP3025476B1 (en) | Adaptation of access rules for interchanging data between a first network and a second network | |
EP3339994A1 (en) | Method for verifying a client allocation, computer program product and device | |
EP3101875B1 (en) | Changing the settings of an application running on a mobile terminal | |
DE102015208293A1 (en) | A method for excluding a subscriber from a group with authorized communication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R016 | Response to examination communication | ||
R002 | Refusal decision in examination/registration proceedings | ||
R003 | Refusal decision now final |