Aus Linux-Magazin 12/2010

Zertifikate, Keys und Tokens in der Praxis

Modern und sicher: Leicht handhabbare PKCS-Zertifikate auf Cryptocards und Tokens schützen VPNs mit IPsec oder Open VPN. Selbst Hardware kann frei sein, zeigt ein USB-Token. Die Rootzone führt endlich DNSSEC ein, und das ambitionierte Cacert-Projekt steckt seit fünf Jahren in der Aufbruchphase fest.

Eigentlich müssten Verschlüsseln und Signieren ganz einfach sein: Sowohl für Zertifikate und Keys als auch für deren Speichern auf Medien mit kryptographischen Zugriffsschutz gibt es allgemein anerkannte Standards. Und im Web sichern kostenlose Zertifikate von Cacert die Server, und dank DNSSEC passt auch die Namensauflösung fälschungssicher.

Nicht ganz so einfach

Manche Crypto-Karten funktionieren jedoch nicht mit jeder Software, offene Standards hin oder her. VPN-Admins kämpfen sich durch den Wald der Backslashes, um die korrekte Syntax für den Zugriff auf die richtigen Credentials im Windows-Zertifikatsstore zu finden. Andernorts verweigert die Cryptocard den PKCS#11-Standard und scheidet damit für VPNs aus.

Dieser Schwerpunkt zeigt, wie sicherheitsbewusste Admins ihre virtuellen privaten Netzwerke absichern. Ein Artikel widmet sich IPSec in Form von Strongswan und dessen Konfiguration mit PKCS#11-Smartcards. Gleich darauf führen zwei Admins eines großen Rechenzentrums ihr Open-VPN-Setup vor. Das basiert auf E-Tokens von Aladdin, integriert Windows- und Linux-Clients und ermöglicht, es für jeden Benutzer individuell zu konfigurieren, zeitgesteuerter Zugriffsschutz inklusive.

Ob PKCS#11, E-Token, verschlüsselter USB-Stick oder Crypto-Card: Das Scherheitskonzept ist immer das gleiche: Nur wer Hardware (Stick oder Karte) und Wissen (Passwort) vereint, gilt als authentifiziert. Das lässt sich auch für andere Dienste anwenden, zum Beispiel E-Mail oder im Web. Das ist die Domäne des freien GPG-Crypto-Stick, auch wenn er als Zugangsberechtigung fürs VPN (noch) nicht geeignet ist.

Cacert und DNSSEC

Wichtig wäre auch, dass zwei größere Krypto-Vorhaben endlich Nägel mit Köpfen machen. Bei DNSSEC hat sich da zuletzt einiges getan: Nach langen Jahren des Wartens gibt es jetzt erstmals signierte Zertifikate für die Rootzone. Die “Kette des Vertrauens” hat damit einen Anker montiert bekommen, an der jeder DNS-Admin festmachen sollte. Wenn hoffentlich bald alle Top-Level-Domains nachziehen, bekommt die Archillesferse des Internets ein paar feste Stiefel angepasst.

Nicht so prickelnd sieht dagegen die Lage beim mit großen Hoffnungen gestarteten Cacert-Dienst aus. Auf dem Weg zum Web-of-Trust verheddern sich die Aktiven offensichtlich mehr und mehr, weil unverständliche Zertifikats-Update-Prozesse und die fehlende Browser-Integration in den führenden Distributionen für sinkende Nutzerakzeptanz sorgt. Dass dabei auch das Verhalten einiger Mitwirkenden (so genannter Assurer) eine Rolle spielt, steht außer Frage: Die kümmern sich oft mehr ums eigene Punktekonto und damit Renommee als um Ganze.

Keine Alternative

Allen Problemen zum Trotz: Wer modernen Zugriffsschutz mit sicherer Authentifizierung aller Kommunikationspartner umsetzen will, kommt an Zertifikaten nicht vorbei. Nur Pre-Shared-Keys oder Passwörter zu verwenden, gilt heute – nicht nur unter Sicherheitsspezialisten – als fahrlässig. Dieser Schwerpunkt zeigt, wie Admins die Ansprüche modernen Datenschutzes und der Systemsicherheit in der Linux-Praxis umsetzen.

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDF	Umfang: 1 Heftseite	Preis €0,99 (inkl. 19% MwSt.)	Kasse

LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE	Print-Ausgaben	Digitale Ausgaben
ABONNEMENTS	Print-Abos	Digitales Abo
TABLET & SMARTPHONE APPS

Editorial

Eine Studie belegt: KI-Chatbots reden ihren Nutzern nach dem Mund. Das ist gefährlich für den sozialen Zusammenhalt in der Gesellschaft.

KubeCon CloudNativeCon Europe 2026

Rund 13 500 Teilnehmer aus 100 Ländern machen die KubeCon CloudNativeCon Europe 2026 zur bislang größten Open-Source-Konferenz weltweit, berichten die Veranstalter stolz. Künstliche Intelligenz in allen Schattierungen dominiert das Treffen von Anwendern, Projekten, Firmen und Entwicklern aus...

Linux 6.19: Mehr Leistung, mehr Hardware, mehr Sicherheit

Linux 6.19 ist der erste Kernel, den Linus Torvalds 2026 veröffentlicht – und gleichzeitig der letzte Kernel der Hauptversion 6.

Lieferkettenrisiko: Anthropic klagt gegen Einstufung durch das Pentagon

Das Pentagon fordert vom KI-Anbieter Anthropic seine Technologie für militärische Nutzung zu öffnen. Anthropic wehrt sich und sieht weitere Gefahren.

Home Assistant: Open Source trifft Smart Home

Als zentrale Open-Source-Plattform bündelt Home Assistant unterschiedliche Smart-Home-Geräte verschiedener Hersteller, priorisiert die lokale Kontrolle und ist damit eine datenschutzfreundliche Alternative zu Cloud-Hubs. Dank flexibler Architektur und einer schnell wachsenden...

Integrationen, Entitäten, Automationen: Das System hinter Home Assistant

Was im Home Assistant wie einfache Gerätesteuerung wirkt, basiert auf einer durchdachten Architektur im Hintergrund. Genau dort entscheidet sich, wie flexibel, stabil und wirklich smart ein Heim ist.

E-Mail Benachrichtigung

0 Kommentare

Älteste

Neuste Beste Bewertung

Inline Feedbacks

Alle Kommentare anzeigen