Welcher Cryptographic Service Provider (CSP) sollte für den Registrierungsdienst für Netzwerkgeräte (NDES) verwendet werden?

Bei der Konfiguration einer Zertifikatvorlage für die Registration Authority (RA) Zertifikate für den Registrierungsdienste für Netzwerkgeräte (Network Device Enrollment Service, NDES), kommt insbesondere bei der Verwendung von Hardware Security Modulen (HSM) die Frage auf, welcher Cryptographic Service Provider (CSP) des HSM-Herstellers verwendet werden sollte.

Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".

Ein Cryptograpic Service Provider (CSP) ist eine Abstraktion der Schlüsselspeicherung und -Verwendung für Anwendungen, die Zertifikate nutzen. CSP wurden mit Windows Server 2008 und Windows Vista durch Key Storage Provider abgelöst. Nähere Informationen befinden sich im Artikel "Grundlagen: Cryptographic Service Provider (CSP) und Key Storage Provider (KSP)".

Um diese Frage zu beantworten, ist es hilfreich, zunächst zu überprüfen, welcher CSP bei einer Installation ohne HSM in der Standardeinstellung verwendet wird.

Wie man sieht, handelt es sich hierbei in beiden Fällen um den "Microsoft Strong Cryptographic Provider". Details zu diesem und anderen CSPs kann man mit folgendem Kommandozeilenbefehl einsehen:

certutil -csplist

Konfiguriert man eigene Zertifikatvorlagen für die Registration Authority Zertifikate ist für die CEP Encryption Zertifikatvorlage der "Microsoft RSA SChannel Cryptographic Provider ausgewählt.

Der Providertyp für den "Microsoft Strong Cryptographic Provider" ist PROV_RSA_FULL.

Sieht man sich zu den Providertypen die Dokumentation von Microsoft an, findet man folgende Beschreibung.

ProvidertypBeschreibung (Microsoft)
PROV_RSA_FULLSupports both digital signatures and data encryption. It is considered a general purpose CSP. The RSA public key algorithm is used for all public key operations.
PROV_RSA_AESSupports the same as PROV_RSA_FULL with additional AES encryption capability.
PROV_RSA_SCHANNELSupports both RSA and Schannel protocols.

Für die Auswahl des korrekten CSP des HSM sieht man sich nun die Providertypen des jeweiligen HSM-Herstellers an.

Beispiel Gemalto (SafeNet) Luna:

Provider Name: Luna Cryptographic Services for Microsoft Windows
Provider Type: 1 - PROV_RSA_FULL

Provider Name: Luna enhanced RSA and AES provider for Microsoft Windows
Provider Type: 24 - PROV_RSA_AES

Provider Name: Luna SChannel Cryptographic Services for Microsoft Windows
Provider Type: 12 - PROV_RSA_SCHANNEL

Beispiel Utimaco CryptoServer:

Provider Name: Utimaco CryptoServer CSP
Provider Type: 1 - PROV_RSA_FULL

Provider Name: Utimaco CryptoServer RSA and AES CSP
Provider Type: 24 - PROV_RSA_AES

Die Dokumentation über die Providertypen lässt erkennen, dass der PROV_RSA_AES und der PROV_RSA_SCHANNEL beide mindestens die gleichen Funktionalität haben die der PROV_RSA_FULL.

Fazit

Für die Registration Authority (RA) Zertifikate des Registrierungsdienstes für Netzwerkgeräte sollte mindestens ein CSP vom Typ PROV_RSA_FULL ausgewählt werden.

Für die gängigen Hardware Security Module wären das:

  • Gemalto (SafeNet): Luna Cryptographic Services for Microsoft Windows
  • Utimaco (CryptoServer): Utimaco CryptoServer CSP
  • Thales (nCipher): nCipher Enhanced Cryptographic Provider

Die Verwendung von Key Storage Providern (KSP) ist mit dem Registrierungsdienst für Netzwerkgeräte nicht möglich. Siehe hierzu auch Artikel "Liste der Use Cases für Zertifikate, die bestimmte Cryptographic Service Provider (CSP) oder Key Storage Provider (KSP) benötigen".

Weitere Sicherheitshärtung

Eine schlecht gesicherte NDES Installation kann ein erhebliches Risiko für das Unternehmen bergen.

Die Härtung der Registration Authority Zertifikate ist nur dann sinnvoll, wenn dessen Signaturen auch von der Geräte-Zertifikatvorlage verlangt werden.

Die Verwendung eines Hardware Security Moduls (HSM) ist zur Sicherheitshärtung einer NDES Installation nicht das einzige und nicht das effektivste Mittel.

Neben der Verwendung von HTTPS für die NDES-Administrations-Webseite ist es sehr empfehlenswert, die verbundene Zertifizierungsstelle aus den NTAuthCertificates Objekt im Active Directory zu entfernen und entweder Namenseinschränkungen (engl. "Name Constraints") zu verwenden, oder den Umfang der Zertifikatbeantragung durch das TameMyCerts Policy Modul einzugrenzen.

Weiterführende Links:

Externe Quellen

Ein Gedanke zu „Welcher Cryptographic Service Provider (CSP) sollte für den Registrierungsdienst für Netzwerkgeräte (NDES) verwendet werden?“

Kommentare sind geschlossen.

de_DEDeutsch