Skip to main content
Miksi on niin tärkeää, että sertifikaatti on tallenne... - KH2112

Häufig gestellte Fragen

Miksi on niin tärkeää, että sertifikaatti on tallennettu oikein VPN-yhdyskäytävään?
 
Ein Zertifikat ist wie ein Ausweisdokument, man sendet es der Gegenseite um sich als berechtigt auszuweisen bzw. um seine Identität zu bestätigen. Da aber jeder ein Zertifikat mit beliebigen Inhalt auf seinen Rechner erstellen kann, ist es wichtig, dass eine vertrauenswürdige CA die Angaben im Zertifikat bestätigt, indem es das Zertifikat signiert. Das verhindert auch, dass das Zertifikat nachträglich verändert werden kann. Das CA Zertifikat wird hierbei nur benötigt, um später die Gültigkeit dieser Signatur prüfen zu können und um zu sehen, welche CA für diese Angaben einsteht, damit ich entschieden kann, ob ich dieser CA auch vertrauen will. Zu jedem Zertifikat gehört ein privater Schlüssel. Dieser dient als Nachweis, dass man der Eigentümer des Zertifikats ist bzw. dazu berechtigt ist sich mit diesem Zertifikat auszuweisen, da nur berechtigte Personen jemals Zugriff auf den privaten Schlüssel haben dürfen, während das Zertifikat für jedermann zugänglich sein darf und häufig auch ist. So kann ich mir problemlos das Zertifikat eines jeden Web Servers oder eines jeden OpenVPN Gateway besorgen, denn beide senden mir von sich aus das Zertifikat zu, wenn ich mich versuche mit ihnen zu verbinden, aber ohne privaten Schlüssel kann ich mich nicht mit dem Zertifikat ausweisen. Wenn ein Angreifer so tun möchte, als wäre er ein bestimmter OpenVPN Gateway, z.B. um Passwörter von Nutzern abzugreifen, dann muss er einen eigenen OpenVPN Gateway aufsetzen und den Datenverkehr seines Opfers dahin umleiten, was beides durchaus machbar ist. Nur hat er dann ein Problem, er muss sich auch als der korrektes Gateway ausweisen. Prüft aber der Client nicht, ob die Adresse des Gateways auch im Zertifikat steht, kann er dafür auch einfach ein Nutzerzertifikat eines VPN Nutzers hernehmen, denn auch dieses ist ja mit der gleichen CA signiert, wie das Gateway Zertifikat. Es ist viel einfacher an ein Nutzerzertifikat und dessen privaten Schlüssel zu kommen, als an das Gateway Zertifikat. Um an das Gateway Zertifikat zu kommen, muss man sich direkt in das Gateway hacken, aber habe ich uneingeschränkten Zugriff auf das Gateway, dann brauche ich das Zertifikat nicht mehr, weil dann kann ich Passwörter auch direkt am Gateway abfangen und habe auch sofort vollen Zugriff auf alle privaten Netze dahinter. Gateways sind natürlich so gebaut, möglichst schwer angreifbar zu sein, ganz im Gegenteil zu Arbeitsrechnern von Nutzern, denen man viel leichter einen Trojaner unterschieben kann. Und noch einfacher ist es, wenn sich ein VPN Nutzer selber als Hacker betätigen möchte, denn der besitzt ganz regulär Zugriff auf ein gültiges Nutzerzertifikat inkl. passenden privaten Schlüssel und kann so an Passwörter andere Nutzer gelangen, die ihm ggf. weitreichende Zugriffsrechte einräumen, da oft Passwörter zentral verwaltet und somit das gleiche Passwort auch für andere Unternehmensdienste verwendet wird. Deswegen reicht es nicht, dass ein Zertifikat gültig ist und mit der passenden CA signiert wurde, es muss auch gesichert sein, dass das Gateway Zertifikat wirklich das Gateway Zertifikat ist und auch zum Gateway passt, mit dem man gerade spricht, alles andere unterwandert das komplette Sicherheitskonzept von Zertifikaten.
Datenschutz-Einstellungen