Mercurial > trustbridge
changeset 1080:898b1ddcca11
help-de: new introduction; switched faq to tech-ref and added arbeitsweise.
author | Bernhard Reiter <bernhard@intevation.de> |
---|---|
date | Thu, 11 Sep 2014 12:00:10 +0200 (2014-09-11) |
parents | 6d5b305e9430 |
children | edbf5e5e88f4 |
files | manuals/help-manual/arbeitsweise.rst manuals/help-manual/faq.rst manuals/help-manual/index.rst manuals/help-manual/techn-referenz.rst |
diffstat | 4 files changed, 225 insertions(+), 194 deletions(-) [+] |
line wrap: on
line diff
--- /dev/null Thu Jan 01 00:00:00 1970 +0000 +++ b/manuals/help-manual/arbeitsweise.rst Thu Sep 11 12:00:10 2014 +0200 @@ -0,0 +1,29 @@ +============ +Arbeitsweise +============ + +TrustBridge holt sich regelmäßig über das Internet +neue Vorschlagslisten per HTTPS. Die anzufragenden URLs sind +fest in der Anwendung eingebrannt, wie auch Zertifikate, um +zu prüfen, dass es sich wirklich um den echten Server handelt. + +ZUTUN + + +Wurzelzertifikate +================= +(auch Rootzertifikate genannt) sind die Basis +einer PKI zur Feststellung der Authentizität des +Kommunikationspartners und der Integrität seiner Nachrichten für +verschiedene Anwendungen -- insbesondere bei der Übertragung über +unsichere Kommunikationskanäle, wie dem Internet. + +Ein Wurzelzertifikat dient als Vertrauensanker ("Trust Anchor") für +alle darunter hängenden Zertifikate. Unterhalb der Wurzel folgt eine +Sicherheitskette ("Trust Chain") von ein oder mehreren +Zwischenzertifikaten der Zertifizierungsstellen, gefolgt von den +ausgestellten Zertifikaten für die Anwendungen. Die Zertifikate +sichern per Public-Key-Kryptoverfahren nach dem X.509-v3 Standard +beispielsweise TLS-Verbindungen von Webbrowser zu Webserver (HTTPS) +oder E-Mail-Klient zu E-Mail-Server (IMAPS). Ein weiteres Beispiel ist +die Ende-zu-Ende Absicherung von E-Mail per S/MIME-Standard.
--- a/manuals/help-manual/faq.rst Thu Sep 11 11:29:38 2014 +0200 +++ /dev/null Thu Jan 01 00:00:00 1970 +0000 @@ -1,170 +0,0 @@ -================================ -Frequently Asked Questions (FAQ) -================================ - - -Welche Zertifikatsspeicher werden verwendet? -============================================ - -Damit Zertifikaten in Anwendungen (wie z.B. Browser oder E-Mail-Klient) -vertraut werden kann, müssen die zugehörigen Wurzelzertifikate in den passenden -Zertifikatsspeichern des Systems installiert werden. -TrustBridge übernimmt diesen Zugriff auf die Zertifikatsspeicher. - -Es gibt zwei gängige Zertifikatsspeicher, die von TrustBridge und den meisten -Anwendungen unterstützt werden: - -* der Mozilla NSS-Zertifikatsspeicher ("Network Security Services") und -* der Windows-System-Zertifikatsspeicher. - - -Chrome bzw. Chromium verwendet unter Windows den Windows-System-Speicher und unter -Ubuntu den NSS-Zertifikatsspeicher. Die nachfolgende Abbildung veranschaulicht -die verwendeten Zertifikatsspeicher unter Windows und GNU/Linux. - -.. figure:: _static/stores.png - :width: 100% - :alt: Übersicht der Zertifikatsspeicher - - *Abbildung 1: Übersicht der Zertifikatsspeicher* - -Windows-Zertifikatsspeicher ---------------------------- - -Der Windows 7 und 8 Zertifikatsspeicher kann in drei große Gruppen aufgeteilt werden: - -#. Zertifikate des aktuellen Benutzers -#. Zertifikate für alle Benutzer (Lokaler Computer) -#. Zertifikate für Systemdienste - -Diese Gruppen unterteilen sich wieder in eine Reihe von logischen Speichern. - -Für die Installation von vertrauenswürdigen Wurzelzertifikaten ist der -logische *Root*-Speicher relevant. Nur dort eingetragene Zertifikate -werden als *Trust Anchor* (Vertrauensanker) angesehen und zur -Validierung des Vertrauenspfads zu den weiteren Zertifikaten -verwendet. - -Der logische *Disallowed*-Speicher hat immer Vorrang. Befindet sich ein Zertifikat -sowohl im *Root* als auch im *Disallowed*-Speicher, gilt es als nicht vertrauenswürdig. - - -**Einschränkungen:** -Um unbefugte Manipulationen am Zertifikatsspeicher zu verhindern, werden von Microsoft -seit Windows XP SP2 folgende Schutzmaßnahmen vorgesehen: - -#. Um Zertifikate für alle Benutzer des lokalen Computers zu - bearbeiten, sind erhöhte Privilegien (Administrationsrechte) - erforderlich. -#. Änderungen (Löschen / Hinzufügen von Zertifikaten) am - *Root*-Speicher des aktuellen Nutzers erfordern die explizite - Einwilligung des Nutzers (siehe nachfolgende Abbildung), sofern der - Prozess keine erhöhten Privilegien besitzt. - - -.. figure:: _static/sicherheitswarnung.png - :alt: Windows-Sicherheitswarnung - - *Abbildung 2: Sicherheitswarnung beim Hinzufügen eines Wurzelzertifikats ohne Administrator-Rechte* - - - -Mozilla NSS-Zertifikatsspeicher -------------------------------- -Die Mozilla-Anwendungen Thunderbird und Firefox, sowie Chromium unter -Ubuntu, verwenden die Mozilla "Network Security -Services" (NSS) Zertifikatsspeicher. - -Mozilla liefert den NSS-Zertifikatsspeicher mit einer Auswahl von -voreingesetllten vertrauenswürdigen bzw. nicht -vertrauenswürdigen Zertifikaten aus. - -**Einschränkungen:** - -* Anwendungen, die den NSS-Zertifikatsspeicher verwenden, sollten vor dem Zugriff geschlossen - werden. -* Um den NSS-Speicher anderer Nutzer zu manipulieren, sind erhöhte Rechte nötig. -* Um den NSS-Standard für neue Profile vorzugeben, sind abhängig vom Installationsort - ggf. erhöhte Rechte nötig. - - - -Wie wird der Transport abgesichert? -=================================== -TrustBridge sucht regelmäßig (alle 24 Stunden) auf dem offiziellen TrustBridge-Update-Server -nach aktualisierten Zertifikatslisten und neuen Softwareversionen. - -Sämtliche Transportprozesse sind kryptografisch nach aktuellem Stand -der Technik gegen unbefugte Manipulationen (Authentizität und -Integrität) gesichert. Es gibt drei Transportwege, die abgesichert -werden müssen: - -#. Verfügbarkeit von Aktualisierungen prüfen: - Die regelmäßige Übertragung der Information, ob neue Aktualisierungen - von Zertifikatsliste oder Software verfügbar sind, wird über eine - HTTPS-Verbindung per TLS 1.2 (mit ECDSA brainpoolP256r1) durchgeführt. -#. Zertifikatslisten-Update durchführen: - Ist eine neue Zertifikatsliste verfügbar, wird die ganze Liste - gebündelt übertragen. Die Zertifikatslistendatei ist signiert (RSA 3076). - Vor einem Zertifikatslisten-Update wird sichergestellt, dass TrustBridge bereits in der - neusten Version installiert ist. -#. Software-Update durchführen: - Ist eine neue TrustBridge-Version verfügbar, kann diese mit einem - Klick auf eine entsprechende Meldung heruntergeladen und installiert - werden. Es wird eine vollständige TrustBridge-Installationsdatei übertragen - und im Hintergrund ausgeführt. Jede Software-Installationsdatei ist signiert. - Bei Fehlschlagen der Signaturprüfung (z.B. durch fehlerhaftes - Herunterladen) wird TrustBridge nicht aktualisiert. - - - -Wie sieht das Datenformat einer Zertifikatsliste aus? -===================================================== - -Die Zertifikatsliste ist eine einzelne Text-Datei, welche von der -TrustBridge-Verwaltungsanwendung erzeugt wird. Diese Datei enthält -alle benötigten Informationen und basiert auf einer zeilenbasierten -Textformat. Dabei bleibt die Struktur für Menschen lesbar und die -meisten Inhalte können mit Standardwerkzeugen sowohl de- als auch -enkodiert werden. - -In der ersten Zeile der Datei ist die Base64-kodierte, kryptografische -Signatur über alle folgenden Zeilen (inklusive der Zeilenenden) -angegeben. So wird die Integrität und Authentizität dieser Daten vor -der Verarbeitung gesichert. - -Einzelne Zeilen haben das Format ``<Buchstabe>:<Wert><CR><LF>``, wobei -der Buchstabe angibt, welche Art von Wert folgt. Die Länge der Zeilen -ist (für Version 1) auf 9999 Zeichen begrenzt, inklusive der beiden -Zeichen für Zeilenenden. Die Anzahl der Zeilen ist auf 1000 -beschränkt, was einer Dateigröße von maximal 10 Megabyte entspricht. -(In der Praxis wird die Dateigröße aber deutlich unter 100 Kilobyte -liegen.) Der Text wird in 7Bit-ASCII kodiert. - -Die Zertifikate selbst werden als Base64- und DER-kodierte Daten -aufgeführt. Dies entspricht dem Inhalt gängiger .pem-Dateien - jedoch -ohne den umschließenden BEGIN CERTIFICATE und END CERTIFICATE sowie -ohne den Zeilenumbrüchen. - -Jede Zeile muss mit einem der folgenden gültigen Buchstaben beginnen: - -* ``S:`` Die Signatur der Zertifikatsliste. -* ``F:`` Format-Version -* ``D:`` Zeitpunkt der Listenerstellen (UTC) -* ``I:`` Zu installierendes Zertifikat -* ``R:`` Zu entfernendes Zertifikat - - -Im Folgenden ein Beispiel für den Aufbau der Zertifikatslisten-Datei -mit zwei zu installierenden Zertifikaten und einem zu löschenden -Zertifikat. Die Signatur- und Zertifikatszeilen sind, aus Gründen der -Übersichtlichkeit, in diesem Beispiel gekürzt: - -.. parsed-literal:: - S:EjzX0sTkstnnGbPIC7n1a5WlYCFsthPl8OYplLyihR1RdqcUsSnikrVowFo8QgpMutcz0... - F:1 - D:2014-01-03T12:30Z - I:MIIEiTCCA3GgAwIBAgIDAWn+MA0GCSqGSIb3DQBQUAMEAxCzAJBVBAYTAlVTMRcwFQYDV... - I:MIIHojCCBoqgAwIBAgIDAW96MA0GCSqGSIb3DQEBBQUAGMMQswCDVQQGEwJJTDEWMBQGA... - R:MIIGUjCCBTqgAwIBAgIODocAAQACqS54FrSbGvYwDQKoZIhvcNAQBQAwfDELMAkGA1UEB... -
--- a/manuals/help-manual/index.rst Thu Sep 11 11:29:38 2014 +0200 +++ b/manuals/help-manual/index.rst Thu Sep 11 12:00:10 2014 +0200 @@ -6,11 +6,35 @@ installation bedienung - faq + arbeitsweise + techn-referenz Was ist TrustBridge? ==================== +TrustBridge erleichtert Ihnen das Einpflegen von Wurzelzertifikaten +zur Absicherung von Kommunikation durch Verschlüsselung und Signaturen. +Dazu holt sich TrustBridge regelmäßig die Wurzelzertifikate, +welche von einer zentralen Stelle vorgeschlagen werden und bietet +Sie Ihnen zum Einfügen in den Zertifikatspeicher Ihres Rechners an. + +Über TrustBridge werden üblicherweise nur Zertifikate verteilt, +welche von Ihrem Betriebssystem nicht mitgeliefert werden. Sie können sich +dafür entscheiden nur einen Teil der Wurzelzertifikate zu übernehmen. +TrustBridge respektiert Ihre bisherigen Wurzelzertifikatsentscheidungen. + +Wenn ein früher vorschlagenes Wurzelzertifikat lange in Benutzung war +oder ein Problem damit bekannt wurde, empfiehlt TrustBridge +es wieder zu entfernen. Auch für diese Änderung holt sich TrustBridge +erst Ihre Erlaubnis. + +Wurzelzertifikate verwalten den Zugang zu Ihren Daten. +Verwenden Sie TrustBridge deshalb nur, wenn Sie der Organisation +vertrauen von der Sie die Software erhalten +und welche die Wurzelzertifikatsvorschläge pflegt. + +TrustBridge arbeitet im Hintergrund und meldet sich +bei Ihnen, wenn es etwas Neues gibt. TrustBridge ist eine Anwendung vom `Bundesamt für Sicherheit in der Informationstechnik (BSI) <https://bsi.bund.de>`_ für die Verbreitung @@ -18,30 +42,8 @@ TrustBridge macht es Nutzern einfacher, Wurzelzertifikate für eine X.509-basierende, öffentliche Zertifikatsinfrastruktur (PKI) -einzuspielen und aktuell zu halten. TrustBridge verteilt -Wurzelzertifikate, welche von den Betriebssystemen und Webbrowsern -nicht mitgeliefert werden. Nach einiger Zeit empfiehlt TrustBridge -bestimmte Wurzel~Zertifikate wieder zu deinstallieren. -Dabei werden nur zum Entfernen angeboten, welche von TrustBridge -früher einmal zur Installation vorgeschlagen worden sind. -Dabei ist unerheblich, ob die Zertifikate auf der Anwenderebene -vorher bereits installiert waren. +einzuspielen und aktuell zu halten. -**Wurzelzertifikate** (auch Rootzertifikate genannt) sind die Basis -einer PKI zur Feststellung der Authentizität des -Kommunikationspartners und der Integrität seiner Nachrichten für -verschiedene Anwendungen -- insbesondere bei der Übertragung über -unsichere Kommunikationskanäle, wie dem Internet. - -Ein Wurzelzertifikat dient als Vertrauensanker ("Trust Anchor") für -alle darunter hängenden Zertifikate. Unterhalb der Wurzel folgt eine -Sicherheitskette ("Trust Chain") von ein oder mehreren -Zwischenzertifikaten der Zertifizierungsstellen, gefolgt von den -ausgestellten Zertifikaten für die Anwendungen. Die Zertifikate -sichern per Public-Key-Kryptoverfahren nach dem X.509-v3 Standard -beispielsweise TLS-Verbindungen von Webbrowser zu Webserver (HTTPS) -oder E-Mail-Klient zu E-Mail-Server (IMAPS). Ein weiteres Beispiel ist -die Ende-zu-Ende Absicherung von E-Mail per S/MIME-Standard. Impressum
--- /dev/null Thu Jan 01 00:00:00 1970 +0000 +++ b/manuals/help-manual/techn-referenz.rst Thu Sep 11 12:00:10 2014 +0200 @@ -0,0 +1,170 @@ +=================== +Technische Referenz +=================== + + +Welche Zertifikatsspeicher werden verwendet? +============================================ + +Damit Zertifikaten in Anwendungen (wie z.B. Browser oder E-Mail-Klient) +vertraut werden kann, müssen die zugehörigen Wurzelzertifikate in den passenden +Zertifikatsspeichern des Systems installiert werden. +TrustBridge übernimmt diesen Zugriff auf die Zertifikatsspeicher. + +Es gibt zwei gängige Zertifikatsspeicher, die von TrustBridge und den meisten +Anwendungen unterstützt werden: + +* der Mozilla NSS-Zertifikatsspeicher ("Network Security Services") und +* der Windows-System-Zertifikatsspeicher. + + +Chrome bzw. Chromium verwendet unter Windows den Windows-System-Speicher und unter +Ubuntu den NSS-Zertifikatsspeicher. Die nachfolgende Abbildung veranschaulicht +die verwendeten Zertifikatsspeicher unter Windows und GNU/Linux. + +.. figure:: _static/stores.png + :width: 100% + :alt: Übersicht der Zertifikatsspeicher + + *Abbildung 1: Übersicht der Zertifikatsspeicher* + +Windows-Zertifikatsspeicher +--------------------------- + +Der Windows 7 und 8 Zertifikatsspeicher kann in drei große Gruppen aufgeteilt werden: + +#. Zertifikate des aktuellen Benutzers +#. Zertifikate für alle Benutzer (Lokaler Computer) +#. Zertifikate für Systemdienste + +Diese Gruppen unterteilen sich wieder in eine Reihe von logischen Speichern. + +Für die Installation von vertrauenswürdigen Wurzelzertifikaten ist der +logische *Root*-Speicher relevant. Nur dort eingetragene Zertifikate +werden als *Trust Anchor* (Vertrauensanker) angesehen und zur +Validierung des Vertrauenspfads zu den weiteren Zertifikaten +verwendet. + +Der logische *Disallowed*-Speicher hat immer Vorrang. Befindet sich ein Zertifikat +sowohl im *Root* als auch im *Disallowed*-Speicher, gilt es als nicht vertrauenswürdig. + + +**Einschränkungen:** +Um unbefugte Manipulationen am Zertifikatsspeicher zu verhindern, werden von Microsoft +seit Windows XP SP2 folgende Schutzmaßnahmen vorgesehen: + +#. Um Zertifikate für alle Benutzer des lokalen Computers zu + bearbeiten, sind erhöhte Privilegien (Administrationsrechte) + erforderlich. +#. Änderungen (Löschen / Hinzufügen von Zertifikaten) am + *Root*-Speicher des aktuellen Nutzers erfordern die explizite + Einwilligung des Nutzers (siehe nachfolgende Abbildung), sofern der + Prozess keine erhöhten Privilegien besitzt. + + +.. figure:: _static/sicherheitswarnung.png + :alt: Windows-Sicherheitswarnung + + *Abbildung 2: Sicherheitswarnung beim Hinzufügen eines Wurzelzertifikats ohne Administrator-Rechte* + + + +Mozilla NSS-Zertifikatsspeicher +------------------------------- +Die Mozilla-Anwendungen Thunderbird und Firefox, sowie Chromium unter +Ubuntu, verwenden die Mozilla "Network Security +Services" (NSS) Zertifikatsspeicher. + +Mozilla liefert den NSS-Zertifikatsspeicher mit einer Auswahl von +voreingesetllten vertrauenswürdigen bzw. nicht +vertrauenswürdigen Zertifikaten aus. + +**Einschränkungen:** + +* Anwendungen, die den NSS-Zertifikatsspeicher verwenden, sollten vor dem Zugriff geschlossen + werden. +* Um den NSS-Speicher anderer Nutzer zu manipulieren, sind erhöhte Rechte nötig. +* Um den NSS-Standard für neue Profile vorzugeben, sind abhängig vom Installationsort + ggf. erhöhte Rechte nötig. + + + +Wie wird der Transport abgesichert? +=================================== +TrustBridge sucht regelmäßig (alle 24 Stunden) auf dem offiziellen TrustBridge-Update-Server +nach aktualisierten Zertifikatslisten und neuen Softwareversionen. + +Sämtliche Transportprozesse sind kryptografisch nach aktuellem Stand +der Technik gegen unbefugte Manipulationen (Authentizität und +Integrität) gesichert. Es gibt drei Transportwege, die abgesichert +werden müssen: + +#. Verfügbarkeit von Aktualisierungen prüfen: + Die regelmäßige Übertragung der Information, ob neue Aktualisierungen + von Zertifikatsliste oder Software verfügbar sind, wird über eine + HTTPS-Verbindung per TLS 1.2 (mit ECDSA brainpoolP256r1) durchgeführt. +#. Zertifikatslisten-Update durchführen: + Ist eine neue Zertifikatsliste verfügbar, wird die ganze Liste + gebündelt übertragen. Die Zertifikatslistendatei ist signiert (RSA 3076). + Vor einem Zertifikatslisten-Update wird sichergestellt, dass TrustBridge bereits in der + neusten Version installiert ist. +#. Software-Update durchführen: + Ist eine neue TrustBridge-Version verfügbar, kann diese mit einem + Klick auf eine entsprechende Meldung heruntergeladen und installiert + werden. Es wird eine vollständige TrustBridge-Installationsdatei übertragen + und im Hintergrund ausgeführt. Jede Software-Installationsdatei ist signiert. + Bei Fehlschlagen der Signaturprüfung (z.B. durch fehlerhaftes + Herunterladen) wird TrustBridge nicht aktualisiert. + + + +Wie sieht das Datenformat einer Zertifikatsliste aus? +===================================================== + +Die Zertifikatsliste ist eine einzelne Text-Datei, welche von der +TrustBridge-Verwaltungsanwendung erzeugt wird. Diese Datei enthält +alle benötigten Informationen und basiert auf einer zeilenbasierten +Textformat. Dabei bleibt die Struktur für Menschen lesbar und die +meisten Inhalte können mit Standardwerkzeugen sowohl de- als auch +enkodiert werden. + +In der ersten Zeile der Datei ist die Base64-kodierte, kryptografische +Signatur über alle folgenden Zeilen (inklusive der Zeilenenden) +angegeben. So wird die Integrität und Authentizität dieser Daten vor +der Verarbeitung gesichert. + +Einzelne Zeilen haben das Format ``<Buchstabe>:<Wert><CR><LF>``, wobei +der Buchstabe angibt, welche Art von Wert folgt. Die Länge der Zeilen +ist (für Version 1) auf 9999 Zeichen begrenzt, inklusive der beiden +Zeichen für Zeilenenden. Die Anzahl der Zeilen ist auf 1000 +beschränkt, was einer Dateigröße von maximal 10 Megabyte entspricht. +(In der Praxis wird die Dateigröße aber deutlich unter 100 Kilobyte +liegen.) Der Text wird in 7Bit-ASCII kodiert. + +Die Zertifikate selbst werden als Base64- und DER-kodierte Daten +aufgeführt. Dies entspricht dem Inhalt gängiger .pem-Dateien - jedoch +ohne den umschließenden BEGIN CERTIFICATE und END CERTIFICATE sowie +ohne den Zeilenumbrüchen. + +Jede Zeile muss mit einem der folgenden gültigen Buchstaben beginnen: + +* ``S:`` Die Signatur der Zertifikatsliste. +* ``F:`` Format-Version +* ``D:`` Zeitpunkt der Listenerstellen (UTC) +* ``I:`` Zu installierendes Zertifikat +* ``R:`` Zu entfernendes Zertifikat + + +Im Folgenden ein Beispiel für den Aufbau der Zertifikatslisten-Datei +mit zwei zu installierenden Zertifikaten und einem zu löschenden +Zertifikat. Die Signatur- und Zertifikatszeilen sind, aus Gründen der +Übersichtlichkeit, in diesem Beispiel gekürzt: + +.. parsed-literal:: + S:EjzX0sTkstnnGbPIC7n1a5WlYCFsthPl8OYplLyihR1RdqcUsSnikrVowFo8QgpMutcz0... + F:1 + D:2014-01-03T12:30Z + I:MIIEiTCCA3GgAwIBAgIDAWn+MA0GCSqGSIb3DQBQUAMEAxCzAJBVBAYTAlVTMRcwFQYDV... + I:MIIHojCCBoqgAwIBAgIDAW96MA0GCSqGSIb3DQEBBQUAGMMQswCDVQQGEwJJTDEWMBQGA... + R:MIIGUjCCBTqgAwIBAgIODocAAQACqS54FrSbGvYwDQKoZIhvcNAQBQAwfDELMAkGA1UEB... +