Mit zunehmend zur Verfügung stehender Rechenleistung steigt auch der Bedarf, stärkere kryptographischer Schlüssel einzusetzen. Oftmals besteht der Bedarf (beispielsweise, weil die Schlüssel per Trusted Platform Modul geschützt werden müssen), in diesem Zug auf elliptischen Kurven (ECC) basierende Schlüssel einzusetzen. Für deren Einsatz ist es essenziell, dass die Kompatibilität zu den vorgesehenen Use Cases sichergestellt ist.
Nachfolgend eine Liste von Use Cases, für welche mir die Kompatibilität bekannt ist.
| Use Case | Status |
|---|---|
| Domänencontroller | Unterstützt. Kann jedoch zu Kompatibilitätsproblemen auf Client-Seite kommen. Ebenso unterstützen die Active Directory Web Services keine Key Storage Provider, somit ist für diese auch keine Verwendung von ECC-Schlüsseln möglich. Sie können sogar verhindern, dass weitere Zertifikattypen wie Remotedesktop mit ECC-Schlüsseln eingesetzt werden. |
| Web Server | Unterstützt. |
| Registrierungsdienst für Netzwerkgeräte (NDES), Registration Authority Zertifikate | Nicht unterstützt, da nur Cryptographic Service Provider (CSP) verwendet werden können, welche keine ECC Schlüssel unterstützen. Das RFC für das SCEP Protokoll selbst schließt die Unterstützung aus, in der Microsoft-Implementierung ist sie jedoch nicht gegeben. |
| Registrierungsdienst für Netzwerkgeräte (NDES) , Gerätezertifikate | Unterstützt. Implementiert in PSCertificateEnrollment ab Version 1.0.7. |
| Remotedesktop-Sitzungshost | Unterstützt. Kann jedoch zu Kompatibilitätsproblemen auf Client-Seite kommen. |
| Onlineresponder (OCSP) | Unterstützt. Kann jedoch zu Kompatibilitätsproblemen auf Client-Seite kommen. |
| Zertifizierungsstellen-Zertifikate | Unterstützt. Kann jedoch zu Kompatibilitätsproblemen auf Client-Seite kommen. |
| Zertifizierungsstellen-Webregistrierung (CAWE), Zertifikatbeantragung | Nicht unterstützt, da nur mit Zertifikatvorlagen der Versionen 1 und 2 gearbeitet werden, welche wiederum nur Cryptographic Service Provider (CSP) verwenden können, welche keine ECC Schlüssel unterstützen. |
| Trusted Platform Module (TPM) als Schlüssel-Backend. | Unterstützt, in Verbindung mit Autoenrollment aber erst ab Windows 10 21H2 oder Windows 11. |
| Microsoft Intune | Nicht unterstützt. |
| VMware Workspace One (AirWatch) | Nicht unterstützt. |
| Windows Defender Application Control (WDAC) | Nicht unterstützt. Es wird explizit darauf hingewiesen ("ECDSA isn’t supported."). |
Weiterführende Links:
- Grundlagen: Elliptische Kurven in Hinsicht auf ihre Verwendung in der Public Key Infrastruktur
- Grundlagen manuelle und automatische Zertifikatbeantragung über Lightweight Directory Access Protocol (LDAP) und Remote Procedure Call / Distributed Common Object Model (RPC/DCOM)
- Grundlagen: Cryptographic Service Provider (CSP) und Key Storage Provider (KSP)
- Grundlagen Onlineresponder (Online Certificate Status Protocol, OCSP)
- Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)
- Die Beantragung von Zertifikaten mit auf elliptischen Kurven basierenden Schlüsseln schlägt fehl, wenn der Microsoft Platform Crypto Provider verwendet wird
- Eigene Registration Authority (RA) Zertifikatvorlagen für den Registrierungsdienst für Netzwerkgeräte (NDES) verwenden
- Zertifikatbeantragung für Windows-Systeme über den Registrierungsdienst für Netzwerkgeräte (NDES) mit Windows PowerShell
Externe Quellen
- Use signed policies to protect Windows Defender Application Control against tampering (Microsoft Corporation)
- RFC 8894 – Simple Certificate Enrolment Protocol (Internet Engineering Task Force)
3 Gedanken zu „Liste der Use Cases der Zertifikate, für welche die Kompatibilität zu auf elliptischen Kurven (ECC) basierenden Schlüsseln bekannt ist“
Kommentare sind geschlossen.