Bundesamt für Sicherheit in der Informationstechnik

M 4.478 Schlüsselmittelverwaltung bei SOA

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

In einer serviceorientierten Architektur ( SOA ) müssen sich Dienste in gleicher Weise identifizieren können wie Nutzer oder Rollen. Dies bedingt, dass der zugehörige Identitätsschutz mit einem automatisch generierten asymmetrischen Schlüsselpaar und der nachfolgenden automatischen Zertifikatsgenerierung und -publizierung verbunden ist.

Um Angriffe auf den damit verbundenen Zertifizierungsprozess zu erschweren, sind die Zertifikatsprozesse in einem abgeschotteten "Trusted Key Store" unterzubringen. Der private Schlüssel (Private Key) des SOA -Dienstes darf den "Trusted Key Store" nicht verlassen. Zur Verwaltung der Zertifizierungsprozesse wird jeweils dem SOA -Dienst ein Key-Management-Service zugeordnet ( XML Key Management Service, XKMS). SOA -Dienst und XKMS kommunizieren lokal und reduzieren damit die Angriffsmöglichkeit auf die verwendeten Schlüsselelemente. Als lokale Zertifizierungsstelle muss der XKMS den öffentlichen Schlüssel (Public Key) des SOA -Dienstes signieren und ihn als gültig in der eigenen Informationsdomäne publizieren.

Prüffragen:

  • Wird eine lokale Schlüsselmittelverwaltung genutzt, um die Schlüsselmittel besser gegen Angriffe zu schützen?

  • Werden die veröffentlichten Schlüssel signiert?

  • Bleibt der private Schlüssel des SOA-Dienstes sicher im eigenen System gespeichert?

Stand: 15. EL Stand 2016