Geschützte Maschinenkommunikation Digitale Identitäten optimal absichern

Erst digitale Zertifikate machen die M2M-Kommunikation im Zuge von Industrie 4.0 wirklich sicher.
Erst digitale Zertifikate machen die M2M-Kommunikation im Zuge von Industrie 4.0 wirklich sicher.

Verantwortlich dafür, dass der IP-Verkehr immer mehr zunimmt, ist vor allem die Kommunikation zwischen Maschinen. Die vielen Industrie-4.0-tauglichen Maschinen sind dabei auf eine sichere, eindeutige und unverfälschte Identität der an der Kommunikation beteiligten Maschinen angewiesen.

Als Internetnutzer verwendet man sie täglich, egal, ob privat oder beruflich – doch nur wenigen ist ihre Bedeutung wirklich bewusst: digitale Zertifikate. Sie sind das Fundament für sichere Interaktionen und Transaktionen im Internet. Ein digitales Zertifikat enthält elektronische Identitätsinformationen von Personen, Organisationen oder anderen Objekten, wie Maschinen oder Geräten. Das Zertifikat selbst wird dabei durch kryptografische Verfahren gegen Modifikationen geschützt. Weit verbreitet sind sogenannte Public-Key-Zertifikate. In diesen Zertifikaten ist neben den Identitätsdaten auch ein zugehöriger öffentlicher Schlüssel (Public Key) enthalten. Das Gegenstück, der private Schlüssel (Private Key), wird außerhalb des Zertifikats an einem sicheren Ort hinterlegt. Public-Key-Zertifikate werden üblicherweise eingesetzt, um eine unverfälschte Identität zu authentifizieren oder von Daten zu verschlüsseln und zu signieren.

Die Zertifizierungsstelle – eine dritte, unabhängige Instanz

Ausgestellt werden offizielle Zertifikate von anerkannten Zertifizierungsstellen (CA, Certificate Authorities oder Trust Centern). Diese nehmen die Funktion einer dritten, unabhängigen und vertrauenswürdigen Instanz wahr und spielen dabei eine ähnliche Rolle wie ein Notar. Um ein offizielles Zertifikat zu erhalten, müssen die Personen, Organisationen oder sonstige Objekte/Geräte ihre Identität – zum Beispiel durch gültigen Personalausweis, Handelsregister-Auszug oder eindeutige Seriennummer eines Gerätes – gegenüber der Zertifizierungsstelle glaubhaft nachweisen. Verläuft die Identitätsprüfung erfolgreich, erstellt die Zertifizierungsstelle anschließend ein Schlüsselpaar und erzeugt ein Zertifikat, das alle notwendigen Identitätsinformationen, den zugehörigen öffentlichen Schlüssel, die Gültigkeitsdauer sowie den Namen der ausstellenden CA und ihre digitale Signatur zur Beglaubigung der Echtheit des Zertifikats enthält. Die Zertifizierungsstelle ist somit die sogenannte Root of Trust.

Zu den aktuell führenden kommerziellen CAs gehören unter anderem Symantec, Comodo und GlobalSign. Es gibt aber auch alternative Anbieter wie Let’s Encrypt, die sich zum Ziel gesetzt haben, kostenfreie Zertifikate anzubieten. Es kommt aber auch vor, dass firmeninterne CAs sogenannte Self-Signed-Zertifikate erstellen und verwalten. Die Vertrauensstellung dieser Zertifikate beschränkt sich in diesem Fall dann auf das jeweilige Unternehmen selbst.

Bilder: 3

Gültigkeit von Zertifikaten

Die Echtheit eines Zertifikats kann man über das Ablaufdatum sowie die öffentlichen Schlüssel der zugehörigen Zertifikatskette prüfen.

Zertifikate: Gültigkeit, Verwaltung und Verteilung

Die Gültigkeit beziehungsweise Echtheit eines Zertifikats lässt sich über das Ablaufdatum sowie die öffentlichen Schlüssel der zugehörigen Zertifikatskette einfach prüfen. Jedes Zertifikat sollte ein Ablaufdatum enthalten und danach seine Gültigkeit verlieren. Dies setzt natürlich voraus, dass das Ablaufdatum auch geprüft wird. Die Echtheit des Zertifikats lässt sich mit den öffentlichen Schlüsseln der Zertifikatskette überprüfen.

Jedes Zertifikat wurde mit dem privaten Schlüssel der ausstellenden CA unterschrieben. Die Echtheit dieser Unterschrift lässt sich mittels des in der CA zugeordneten Zertifikats verifizieren. Man wandert dabei durch die gesamte Kette bis zum Wurzelzertifikat (Root-Zertifikat), um die Authentizität der Kette zu prüfen. Dem Root-Zertifikat kommt dabei eine besondere Stellung zu, da dessen Echtheit nicht bezweifelt wird.

Eine besondere Herausforderung stellt das zentrale Verwalten und Verteilen der Zertifikate und privaten Schlüssel dar. Eine manuelle Verwaltung, wie heute oft üblich, kann schnell ins ungewollte Chaos führen. Der Mega-GAU tritt ein, wenn die privaten Schlüssel in die falschen Hände gelangen. Ein prominentes Beispiel hierfür ist das von Dell vorinstallierte eDellRoot-Zertifikat, das Dell zusammen mit dem privaten Schlüssel ausgeliefert hat.