cryptovision Keymaster

Der Keymaster ist eine Komponente für private Schlüssel in einer Public-Key-Infrastruktur. Der Keymaster generiert, importiert und exportiert Schlüssel und unterstützt sowohl Schlüsselwiederherstellung als auch Remote Operationen auf vielfach konfigurierbare Weise. Nahezu jedes Sicherheitskonzept lässt sich über ein Rechtemanagement umsetzen.

Der private Schlüssel eines Anwenders in einer Public-Key-Infrastruktur wird normalerweise auf dessen Smartcard oder dessen PC gespeichert. Da dieser private Schlüssel dem Anwender gehört und nur von diesem genutzt werden darf, ist es üblicherweise weder notwendig noch sinnvoll, diesen auf einem Server abzulegen (im Gegensatz zu einem öffentlichen Schlüssel, der – meist in Form eines digitalen Zertifikats – für die Öffentlichkeit bestimmt ist).

Es gibt jedoch Anwendungsfälle, in denen ein privater Schlüssel doch zentral abgelegt werden muss. Zum einen ist dies notwendig, wenn der Betreiber einer PKI das Wiederherstellen verlorener Schlüssel (Key Recovery) ermöglichen will. Key Recovery ist vor allem beim Verschlüsseln von Dateien und E-Mails oft gefordert – für viele Unternehmen und Behörden ist es nicht hinnehmbar, dass Daten nach dem Verlust eines Schlüssels nicht mehr verfügbar sind (bei digitalen Signaturen, beim Verschlüsseln im VPN und vielen weiteren Anwendungen ist dagegen kein Key Recovery notwendig, da es hier genügt, einen neuen Schlüssel auszugeben). In einer PKI, die für VS-NfD-Informationen zugelassen werden soll, muss naturgemäß geprüft werden, ob Key Recovery mit den entsprechenden Sicherheitsanforderungen vereinbar ist.

Der zweite gängige Fall, in dem ein privater Schlüssel zentral abgelegt wird, ist das so genannte Key Roaming. Key Roaming bedeutet, dass der Anwender einen privaten Schlüssel nicht bei sich trägt (auf einer Smartcard oder der Festplatte), sondern dass er ihn über eine Online-Verbindung herunterlädt, sobald er ihn benötigt. Key Roaming ist eine besonders benutzerfreundliche Lösung, denn der Anwender kann damit seinen privaten Schlüssel auf unterschiedlichen Rechnern nutzen, ohne dass er ihn bei sich haben muss.

Ein weiterer Anwendungsfall ist Remote Key, wenn mehrere Anwender denselben privaten Schlüssel nutzen (z.B. in einem Gruppenpostfach). Hierbei verlässt der Gruppenschlüssel den Schlüssel-Server nicht; stattdessen werden alle privaten Schlüssel-Operationen in dem Schlüssel-Server ausgeführt.

Es ist klar, dass zentral gespeicherte private Schlüssel für Key Recovery, Remote Key und das Key Roaming gut (z.B. mit einem HSM) geschützt werden müssen, da sich sonst erhebliche Sicherheitsprobleme ergeben. Neben genau festgelegten Prozessen muss es daher eine spezielle Komponente für das Speichern und Bereitstellen der Schlüssel geben, die einen entsprechenden Zugangsschutz bietet. Eine solche Komponente wird Schlüssel-Server genannt.

Der Keymaster von cryptovision ist eine Software zum Betrieb eines Schlüssel-Servers für private Schlüssel in einer Public-Key-Infrastruktur. Der Keymaster unterstützt sowohl Key Recovery, Remote Key als auch Key Roaming auf vielfach konfigurierbare Weise. Nahezu jedes Sicherheitskonzept lässt sich damit umsetzen. So können beim Key Recovery besonders hohe Sicherheitshürden (z.B. Vier-Augen-Prinzip) genauso implementiert werden wie ein eher pragmatischer Recovery-Prozess, bei dem der zuständige Administrator alleine entscheidet, ob ein bestimmter Schlüssel wiederhergestellt wird.

Dementsprechend gibt es auch beim Key Roaming und Remote Key verschiedene Möglichkeiten. Beispielsweise kann dem Anwender der Zugang zum privaten Schlüssel nach Eingabe eines Passworts gewährt werden, man kann jedoch auch eine Smartcard-Authentifizierung vorsehen (dies ist meist nur bei Gruppenschlüsseln sinnvoll, da man sonst den privaten Schlüssel auch direkt auf der Smartcard speichern kann).

Der Keymaster ist damit eine Lösung, die die Praxistauglichkeit und die Benutzerfreundlichkeit einer Public-Key-Infrastruktur erhöht.

Key Features

• Sicheres und benutzerfreundliches Key Recovery und Key Roaming
• Zugang zu privaten Schlüsseln kann auf unterschiedliche Weise geschützt werden
• Krypto-Operationen können auf dem Keymaster ablaufen