comparison manuals/help-manual/faq.rst @ 976:c696a78368b3

(manual) Updated FAQ section.
author Emanuel Schuetze <emanuel@intevation.de>
date Thu, 28 Aug 2014 15:21:02 +0200
parents manuals/help-manual/konzept.rst@b5a49960d5cb
children 9ad1f18799fb
comparison
equal deleted inserted replaced
942:c8be25c83ff6 976:c696a78368b3
1 ================================
2 Frequently Asked Questions (FAQ)
3 ================================
4
5
6 Welche Zertifikatsspeicher werden verwendet?
7 ============================================
8
9 Damit Zertifikaten in Anwendungen (wie z.B. Browser oder E-Mail-Klient)
10 vertraut werden kann, müssen die zugehörigen Wurzelzertifikate in den passenden
11 Zertifikatsspeichern des Systems installiert werden.
12 TrustBridge übernimmt diese Zugriff auf die Zertifikatsspeicher.
13
14 Es gibt zwei gängige Zertifikatsspeicher, die von TrustBridge und den meisten
15 Anwendungen unterstützt werden:
16
17 * der Mozilla NSS-Zertifikatsspeicher ("Network Security Services") und
18 * der Windows-System-Zertifikatsspeicher.
19
20
21 Chrome bzw. Chromium verwendet unter Windows den Windows-System-Speicher und unter
22 Ubuntu den NSS-Zertifikatsspeicher. Die nachfolgende Abbildung veranschaulicht
23 die verwendeten Zertifikatsspeicher unter Windows und GNU/Linux.
24
25 .. figure:: _static/stores.png
26 :width: 100%
27 :alt: Übersicht der Zertifikatsspeicher
28
29 *Abbildung 1: Übersicht der Zertifikatsspeicher*
30
31 Windows-Zertifikatsspeicher
32 ---------------------------
33
34 Der Windows 7 und 8 Zertifikatsspeicher kann in drei große Gruppen aufgeteilt werden:
35
36 #. Zertifikate des aktuellen Benutzers
37 #. Zertifikate für alle Benutzer (Lokaler Computer)
38 #. Zertifikate für Systemdienste
39
40 Diese Gruppen unterteilen sich wieder in eine Reihe von logischen Speichern.
41
42 Für die Installation von vertrauenswürdigen Wurzelzertifikaten ist der
43 logische *Root*-Speicher relevant. Nur dort eingetragene Zertifikate
44 werden als *Trust Anchor* (Vertrauensanker) angesehen und zur
45 Validierung des Vertrauenspfads zu den weiteren Zertifikaten
46 verwendet.
47
48 Der logische *Disallowed*-Speicher hat immer Vorrang. Befindet sich ein Zertifikat
49 sowohl im *Root* als auch im *Disallowed*-Speicher, gilt es als nicht vertrauenswürdig.
50
51
52 **Einschränkungen:**
53 Um unbefugte Manipulationen am Zertifikatsspeicher zu verhindern, werden von Microsoft
54 seit Windows XP SP2 folgende Schutzmaßnahmen vorgesehen:
55
56 #. Um Zertifikate für alle Benutzer des lokalen Computers zu
57 bearbeiten, sind erhöhte Privilegien (Administrationsrechte)
58 erforderlich.
59 #. Änderungen (Löschen / Hinzufügen von Zertifikaten) am
60 *Root*-Speicher des aktuellen Nutzers erfordern die explizite
61 Einwilligung des Nutzers (siehe nachfolgende Abbildung), sofern der
62 Prozess keine erhöhten Privilegien besitzt.
63
64
65 .. figure:: _static/sicherheitswarnung.png
66 :alt: Windows-Sicherheitswarnung
67
68 *Abbildung 2: Sicherheitswarnung beim Hinzufügen eines Wurzelzertifikats ohne Administrator-Rechte*
69
70
71
72 Mozilla NSS-Zertifikatsspeicher
73 -------------------------------
74 Die Mozilla-Anwendungen Thunderbird und Firefox, sowie Chromium unter
75 Ubuntu, verwenden die Mozilla "Network Security
76 Services" (NSS) Zertifikatsspeicher.
77
78 Mozilla liefert den NSS-Zertifikatsspeicher mit einer Auswahl von
79 voreingesetllten vertrauenswürdigen bzw. nicht
80 vertrauenswürdigen Zertifikaten aus.
81
82 **Einschränkungen:**
83
84 * Anwendungen, die den NSS-Zertifikatsspeicher verwenden, sollten vor dem Zugriff geschlossen
85 werden.
86 * Um den NSS-Speicher anderer Nutzer zu manipulieren, sind erhöhte Rechte nötig.
87 * Um den NSS-Standard für neue Profile vorzugeben, sind abhängig vom Installationsort
88 ggf. erhöhte Rechte nötig.
89
90
91
92 Wie wird der Transport abgesichert?
93 ===================================
94 TrustBridge sucht regelmäßig (alle 24 Stunden) auf dem offiziellen TrustBridge-Update-Server
95 nach aktualisierten Zertifikatslisten und Software-Aktualisierungen.
96
97 Sämtliche Transportprozesse sind kryptografisch nach aktuellem Stand
98 der Technik gegen unbefugte Manipulationen (Authentizität und
99 Integrität) gesichert. Es gibt drei Transportszenarien:
100
101 #. Verfügbarkeit von Aktualisierungen prüfen:
102 Die Übertragung der Information über die Verfügbarkeit von Aktualisierungen
103 wird über eine HTTPS-Verbindung per TLS 1.2 durchgeführt.
104 #. Zertifikatslisten-Update durchführen:
105 Ist eine neue Zertifikatsliste verfügbar, wird die ganze Liste
106 gebündelt übertragen. Die Zertifikatslistendatei ist signiert.
107 Vor einem Zertifikatslisten-Update wird sichergestellt, dass TrustBridge bereits in der
108 neusten Version installiert ist.
109 #. Software-Update durchführen:
110 Ist eine neue TrustBridge-Version verfügbar, kann diese mit einem
111 Klick auf eine entsprechende Meldung heruntergeladen und installiert
112 werden. Es wird eine vollständiger TrustBridge-Installationsdatei übertragen
113 und im Hintergrund ausgeführt. Jede Software-Installationsdatei ist signiert.
114 Bei Fehlschlagen der Signaturprüfung (z.B. durch fehlerhaftes
115 Herunterladen) wird TrustBridge nicht aktualisiert.
116
117
118
119 Wie sieht das Datenformat einer Zertifikatsliste aus?
120 =====================================================
121
122 Die Zertifikatsliste ist eine einzelne Text-Datei, welche von der
123 TrustBridge-Verwaltungsanwendung erzeugt wird. Diese Datei enthält
124 alle benötigten Informationen und basiert auf einer zeilenbasierten
125 Textformat. Dabei bleibt die Struktur für Menschen lesbar und die
126 meisten Inhalte können mit Standardwerkzeugen sowohl de- als auch
127 enkodiert werden.
128
129 In der ersten Zeile der Datei ist die Base64-kodierte, kryptografische
130 Signatur über alle folgenden Zeilen (inklusive der Zeilenenden)
131 angegeben. So wird die Integrität und Authentizität dieser Daten vor
132 der Verarbeitung gesichert.
133
134 Einzelne Zeilen haben das Format ``<Buchstabe>:<Wert><CR><LF>``, wobei
135 der Buchstabe angibt, welche Art von Wert folgt. Die Länge der Zeilen
136 ist (für Version 1) auf 9999 Zeichen begrenzt, inklusive der beiden
137 Zeichen für Zeilenenden. Die Anzahl der Zeilen ist auf 1000
138 beschränkt, was einer Dateigröße von maximal 10 Megabyte entspricht.
139 (In der Praxis wird die Dateigröße aber deutlich unter 100 Kilobyte
140 liegen.) Der Text wird in 7Bit-ASCII kodiert.
141
142 Die Zertifikate selbst werden als Base64- und DER-kodierte Daten
143 aufgeführt. Dies entspricht dem Inhalt gängiger .pem-Dateien - jedoch
144 ohne den umschließenden BEGIN CERTIFICATE und END CERTIFICATE sowie
145 ohne den Zeilenumbrüchen.
146
147 Jede Zeile muss mit einem der folgenden gültigen Buchstaben beginnen:
148
149 * ``S:`` Die Signatur der Zertifikatsliste.
150 * ``F:`` Format-Version
151 * ``D:`` Zeitpunkt der Listenerstellen (UTC)
152 * ``I:`` Zu installierendes Zertifikat
153 * ``R:`` Zu entfernendes Zertifikat
154
155
156 Im Folgenden ein Beispiel für den Aufbau der Zertifikatslisten-Datei
157 mit zwei zu installierenden Zertifikaten und einem zu löschenden
158 Zertifikat. Die Signatur- und Zertifikatszeilen sind, aus Gründen der
159 Übersichtlichkeit, in diesem Beispiel gekürzt:
160
161 .. parsed-literal::
162 S:EjzX0sTkstnnGbPIC7n1a5WlYCFsthPl8OYplLyihR1RdqcUsSnikrVowFo8QgpMutcz0...
163 F:1
164 D:2014-01-03T12:30Z
165 I:MIIEiTCCA3GgAwIBAgIDAWn+MA0GCSqGSIb3DQBQUAMEAxCzAJBVBAYTAlVTMRcwFQYDV...
166 I:MIIHojCCBoqgAwIBAgIDAW96MA0GCSqGSIb3DQEBBQUAGMMQswCDVQQGEwJJTDEWMBQGA...
167 R:MIIGUjCCBTqgAwIBAgIODocAAQACqS54FrSbGvYwDQKoZIhvcNAQBQAwfDELMAkGA1UEB...
168

http://wald.intevation.org/projects/trustbridge/