WO2016091415A1 - Verfahren und vorrichtung zur überwachung einer zertifizierungsstelle - Google Patents

Verfahren und vorrichtung zur überwachung einer zertifizierungsstelle Download PDF

Info

Publication number
WO2016091415A1
WO2016091415A1 PCT/EP2015/072772 EP2015072772W WO2016091415A1 WO 2016091415 A1 WO2016091415 A1 WO 2016091415A1 EP 2015072772 W EP2015072772 W EP 2015072772W WO 2016091415 A1 WO2016091415 A1 WO 2016091415A1
Authority
WO
WIPO (PCT)
Prior art keywords
monitoring
certification authority
certification
devices
digital
Prior art date
Application number
PCT/EP2015/072772
Other languages
English (en)
French (fr)
Inventor
Rainer Falk
Steffen Fries
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Publication of WO2016091415A1 publication Critical patent/WO2016091415A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Definitions

  • the invention relates to a method and a device for monitoring a certification authority or certification authority.
  • Digital certificates are used to authenticate a Kommunikati ⁇ onspartner such as a device, a process or a user.
  • a digital certificate is a protected data structure that is a public key or "public key", an identifier, such as an identifier of a device, a process or a groove ⁇ dec associates. Examples of Identifier a natural name (common name) , an e-mail address, a computer name (DNS computer name, Domain Name System), an IP address (Internet Protocol), a Uniform Resource Locator (URL).
  • Identifier a natural name (common name) , an e-mail address, a computer name (DNS computer name, Domain Name System), an IP address (Internet Protocol), a Uniform Resource Locator (URL).
  • Section 3 "Background" of this publication also provides an overview of other approaches that call into question the high degree of trustworthiness of certification bodies and circumvents this loss of confidence, as can be For example Certificate
  • the invention relates to a procedural ren for monitoring a certification authority that issues certificates for digi ⁇ tale devices.
  • at least one policy for allocation of digita ⁇ len certificate by the certification authority is determined.
  • At least one monitoring criterion for a monitoring device based on the at least one DIRECTIVE ⁇ never set for the certification authority.
  • the captured information is analyzed using the at least one monitoring criterion. If a monitoring criterion is violated, a signal is provided.
  • the at least one certification accumulation point ⁇ be arranged within a portion of a plant. In this case, the at least one certification ⁇ development agency digital certificates for devices within that portion of the plant ready and it is used in determining at least one policy a little protected spei ⁇ cher.
  • a monitoring criterion in particular a type or a type of devices and / or information, in which automation device devices are installed, may be specified.
  • the Erfas- is sen information about certificates issued by the certification authority digital certificates within the realm of the system sectionbe ⁇ carried out and analyzing the infor mation ⁇ inside or outside the portion Runaway ⁇ leads.
  • different architectures for monitoring the certification authorities can be realized. For example, a central monitoring for several cerium ⁇ tretisstellen could be realized. It is possible, for example, to obtain information about certificates from different areas of a plant, which increases the safety of the plant.
  • the signal generates an alarm message and / or the signal revokes a digital certificate assigned to the certification authority and / or a digital certificate issued by the certification authority.
  • This makes it possible to potentially corrupt devices and / or certification bodies is automated and respond in a timely manner, without any manual A ⁇ access a service technician is required. If it is detected at ⁇ game example, that a certificate was issued by the above ⁇ monitored certification authority for a device that is not or no longer is located within a defined portion of the plant, a certificate revocation information for this illegal issued certificate may be generated in a variant automatically become.
  • the certificate can also be taken from a corresponding certificate whitelist (positive list).
  • an alarm signal can be provided which is provided, for example, by a control system or by devices of the subarea of the installation.
  • the at least one policy determines whether an issued digital certificate for devices is limited to a particular location and / or for particular device types and / or devices for particular uses and / or is usable for a particular period of validity and / or is limited to a number of issued digital certificates and / or the at least one policy specifies the certificate to the ⁇ -inverting cryptographic parameters contained in the certificate issued keys.
  • the example is presented ⁇ Directives allow the application range of a certification body pinpoint without unnecessary Res ⁇ resources consume.
  • the ER summarized information about the devices by the devices themselves are transmitted to the monitoring device and / or device search engines are used to retrieve the equipment to iden ⁇ ren, and device information and / or the ER summarized information are detected by listening to messages between the certification authority and devices and / or between a device and at least one other device. It is also conceivable that by a detection device, such as a network monitor or
  • the provisioning ⁇ means is adapted to provide a signal at a last Ver ⁇ a monitoring criterion.
  • the at least one certification authority is located within a subarea of a facility. In this case, the respectively at least one certification authority digital certification ⁇ tificates for devices within this portion of the plant ready and it is used in determining at least one directional line ⁇ a little protected data store.
  • the latter has an input device, wherein the input device automatically transmits the information obtained when the at least one monitoring criterion is violated to a device-related database.
  • the input device automatically transmits the information obtained when the at least one monitoring criterion is violated to a device-related database.
  • the detection device is arranged inside and the analysis device is arranged inside or outside a subarea of a system.
  • different architectures for monitoring the certification bodies can be realized. For example, a central monitoring could be realized for several certification authorities.
  • information about certificates from different subareas of a system could be compared with one another in order to increase the safety of the system.
  • the analysis device is arranged such that it collected information from multiple CAs simultaneously.
  • the costs for a monitoring device can be reduced since only one analysis device can be used centrally for several certification authorities.
  • the maintenance effort can be reduced because, for example, only the results of an analysis device are evaluated by a service technician.
  • the monitoring device the analyzer has detailed equipment information on those devices that have received certification by the ⁇ put digital certificates. This Actin ⁇ formations can be synchronized, for example, with the detected informa- tion of the detection means to the
  • the distribution facility is designed to distribute digital certificates according to given guidelines.
  • the manager is designed to manage the digital certificates
  • the Verwal ⁇ processing device uses an unprotected or little protected data storage.
  • An unprotected or poorly protected data storage means that, for example, it is not protected against tampering with expensive and therefore expensive personal, physical and / or organizational security measures. Instead, commercially available inexpensive computer ⁇ systems can be used, for example.
  • the certification body is within a portion of a facility and the certification authority that issues digital certificates ⁇ finally for the section of the plant ready.
  • the certificate authority a monitoring device entspre ⁇ accordingly the monitoring device of the invention referred to, which verifies a digital certificate after it is created.
  • the certification authority is the external monitoring device according to an embodiment of the monitoring device according to the invention is able to revoke a digital certificate and / or to prevent Ver ⁇ distribution of a digital certificate if a violation of the monitoring criteria is detected. This has the advantage that, for example, even if the CA has been corrupted, the distri ⁇ len can be prevented from manipulating certificates.
  • a computer program product is claimed, with program instructions for carrying out said method according to the invention as well as a data carrier which stores the computer program product.
  • FIG. 1 shows an exemplary embodiment of a monitoring device according to the invention and a certification point according to the invention integrated into a network of a subarea of a plant;
  • FIG. 2 shows an embodiment of the method according to the invention in the form of a flow chart
  • FIG. 3 shows an embodiment of the monitoring device according to the invention; a further embodiment of erfindungsge ⁇ MAESS monitoring device, wherein the analysis device of the monitoring device is formed separately from the monitoring device; an embodiment of the certification authority according to the invention; and another embodiment of the erfindungsge ⁇ MAESSEN certification authority, wherein the certification ⁇ accumulation point further comprises a monitoring device;
  • the system comprises an inventive surveil ⁇ monitoring device 120, 121, a communications network 102, such as a local area network or a "Local Area Net ⁇ work", a network component 103, for example, a proxy or a gateway, a device 104, such as a Feldge ⁇ advises, another device 105, for example, another field device, data lines 106 and a certification authority 130, 131.
  • a communications network 102 such as a local area network or a "Local Area Net ⁇ work”
  • a network component 103 for example, a proxy or a gateway
  • a device 104 such as a Feldge ⁇ advises
  • another device 105 for example, another field device, data lines 106 and a certification authority 130, 131.
  • the devices can 104 Request 105 digital certifi ⁇ kate. For this they ask the Zertaimssstel ⁇ le 130, 131 a request for a digital certificate. The certification authority 130, 131 then assigns based Minim ⁇ least a specified policy digital certificates to the requesting devices 104, 105. It is also possible that certificates for users, especially for service users, to be issued in order distant local or maintenance access to a configuration interface, secure ERS maintenance ⁇ interface or diagnostic interface of a device ⁇ .
  • the monitoring device 120, 121 captures information about the issued certificates either by directly querying information at the devices 104, 105 and / or at the certification authority 130, 131. Alternatively, this information may also be captured by the messages exchanged between the devices 104, 105 itself or between the devices 104, 105 and the certification authority 130, 131 and the devices 104, 105 are exchanged.
  • FIG. 2 shows method steps of the driving Ver ⁇ 200 according to the invention to monitor a CA 130
  • the method comprises a method step 201 for setting at least one policy for issuing digital certificates by the certification authority 130, 131.
  • the method further includes a method ⁇ step 202 for setting at least one monitoring criterion for ⁇ a monitoring device 120, 121 based on the at least one guideline for the certification office on.
  • Informatio ⁇ NEN be of the certification authority 130, 131 out ⁇ presented digital certificates and / or the devices 104, 105 detects a digital certificate by the monitoring device.
  • the acquired information is analyzed using the at least one monitoring criterion.
  • a signal is provided in a further method step 205.
  • the information which is obtained when the at least one monitoring criterion is violated is automatically transmitted to a device-related database.
  • the at least one policy determines whether an output digital certificate for devices 104, 105 is restricted to a particular location and / or for particular device types and / or for devices 104, 105 for certain uses and / or a certain period of validity is usable and / or a number of issued digital certificates is limited. It is also conceivable that the at least one guideline specifies the cryptographic parameters to be used in the certificate of keys contained in the issued certificate.
  • the monitoring criteria can but also the default cryptographic parameters of certified keys defined by the at least one policy.
  • cryptographic algorithms eg RSA, DSA, EC-DAS
  • key lengths eg 2048-bit RSA, 256-bit ECC, 128-bit AES
  • cryptographic parameters eg ECC curve parameters to be used
  • security measures can also be carried out. This may, for example, be a restart of a device 104, 105 or a device 104, 105 is brought into a safe mode.
  • FIG. 3 shows an exemplary embodiment of a monitoring device 120 according to the invention.
  • the monitoring device 120 has a fixing device 301, a detection device 302, an analysis device 303 and a provision device 304.
  • the monitoring device 120 may be arranged, for example, such that it is located in a partial area of a system.
  • the fixing device 301 is designed such that min ⁇ least one monitoring criterion for Sprintungsvor- direction 120 based on at least one policy of the certification authority.
  • the Erfas ⁇ sungs prepared 302 is designed such that information about issued by the certification authority digital tifikate destruction and / or can be acquired via the device with a digital certification ⁇ fikat.
  • the analysis device 303 is designed such that the acquired information can be analyzed using the at least one monitoring criterion.
  • the early ⁇ tellungs worn 404 is configured such that a signal at a injuring a monitoring criterionvege ⁇ represents may be.
  • the monitoring device 120 to an input device, wherein the input device automatically to a device-specific database transmits the information which is in violation of at least one monitoring criterion Won ⁇ NEN.
  • the policy determines whether an issued digital certificate for devices 104, 105 at a particular location and / or for certain types of devices and / or for devices 104, 105 is limited for certain uses and / or for a particular ⁇ valid validity period is usable and / or limited to a number of issued digital certificates.
  • the purpose can be easily with- means of extensions or clarify or define "extensions" of the digital certifi cate ⁇ .
  • the at least one policy may specify the cryptographic parameters to be used in the certificate, these parameters being, for example, the length of the keys or ECC curve parameters contained in the issued certificate.
  • information is detected by the detection device 302, for example, in that a network component, for example a gateway or a proxy, listens to the messages and makes them available to the monitoring device 120.
  • the acquired information can also be transmitted to the monitoring device 120, for example via the devices by the devices themselves, and / or device search engines can be used to identify the devices and retrieve the device information. It can be detected by means of, for example, a network sniffer, without actively polling devices or evaluating protocols of the certification authority 130.
  • the devices 104, 105 can also regularly report to a manufacturer's service or a service provider of the plant operator to transmit the information.
  • the address or URL can be included for example in the digital certi ⁇ fikat.
  • the devices 104, 105 can also regularly report to the system operator and provide their information if the latter does not operate the certification authority 130, 131 themselves and uses the monitoring device 120, 121 to certify the third-party certification. 130, 131. In such a case, the address or URL of the operator would be set up on the devices 104, 105, for example by means of a diagnostic system. All certificates of the device 104, 105 can be provided here. This has the advantage that all device certificates are included in the monitoring, not just the certificate that is used for the protected access to the diagnostic system. In particular, the complete certification path, including the root certificate, is transmitted to the local certification authority 130, 131. This allows the monitoring device 120, 121 to check whether the certification authority 130, 131 actually issues certificates in accordance with the prescribed guidelines.
  • the goodness of the certified keys can be analyzed and, upon detecting the use of weak keys, the cryptographic parameters can be adjusted.
  • the monitoring device 120, 121 the replica of original devices or device clones can be detected. For this, the device certificates of a manufacturer are inventari ⁇ siert. It is then checked whether a certificate is used repeatedly by different devices, indicating an illegal device clones, or whether show certificates that were not produced by the manufacturer, which indicates a unzulässi ⁇ gen reproduction of a device.
  • a "Domain Certificate Pinning" can also take place by means of the monitoring device 120, 121.
  • a device certificate is used If the device 104, 105 is not a mobile device, but for a fixed, stationary one If the intention is to use the digital certificate, it can be checked whether the device appears in a network other than the expected or permitted network. If the monitoring device 120, 121 transmits the configuration or engineering data of the system, it is also possible to be checked whether the connection is established between the pregiven ⁇ benen systems.
  • FIG. 4 shows a further exemplary embodiment of the monitoring device 121 according to the invention.
  • the monitoring device 121 has a fixing device 401, a detection device 402, an analysis device 403 and a provision device 404.
  • the fixing device 401, the detection device 402, the analysis device 403 and the provision device 404 respectively correspond to the corresponding devices 301, 302, 303, 304 of the previous embodiment of the monitoring device 120.
  • the device is designed Festlegeein- 401 such that at least a surveil ⁇ monitoring criterion, the monitoring device 120 can be located based on at least one policy of the certificate authority.
  • the detection device 402 is designed such that information about digital certificates issued by the certification authority 130, 131 and / or about the devices 104, 105 can be detected with a digital certificate
  • the analysis device 403 is designed such that the acquired information can be analyzed using the at least one monitoring criterion.
  • the analysis device 403 is physically separate from the monitoring device 120
  • the analysis means 403 is located in this case outside of a first portion 406 of a plant in another part ⁇ area 407 of the system or the further partial region 407 of a further unit.
  • the analysis device 403 is connected via a further network 405, for example a "wide area network", to the monitoring device 121 or its other components 401, 402, 404.
  • Provisioning device 304, 404 designed such that a signal in violation of a monitoring criterion be ⁇ can be provided. It may be the wide-position device, similar to the analysis device, outside of the first portion of the plant, be arranged in the further section of the plant or the further partial region of another plant (not ⁇ represents Darge).
  • a central analyzes could be se worn implement 404, which evaluates the information detected by a plurality of detection means and either a central supply device which supplies multiple CAs 130, or local Be ⁇ woman on top equipment 404 notifies that only a certificate authority 130 or theirbeingsbe ⁇ richly allocated.
  • FIG. 5 shows an exemplary embodiment of the certification authority 130 according to the invention, wherein the certification authority 130 is located within a subarea of a system and provides digital certificates exclusively for this subarea of the system.
  • the certification authority 130 has a request processing device 501, a management device 502, a setting device 503, a low-security data memory 504 and a distribution device 505.
  • An unprotected or poorly protected data memory 504 is to be understood that this is not protected against tampering, for example, with complex and thus expensive personal, physical and / or organizational security measures. Instead, for example commercially available inexpensive computer systems can be ver ⁇ spent.
  • the certification authority 130 itself may be connected in play ⁇ over a network 506 with a plurality of devices that requests for digital cer- tificates provide to the certification authority 130th
  • the setting device 503 is designed to provide at least one guideline for define the certification body 120.
  • Thecooled ⁇ beitungs Rhein 501 is adapted to receive requests for digital certificates and routing it to the Whatsein ⁇ device 502 or to the distribution device 505th
  • the distribution device 505 issues a digital certificate according to the prescribed guidelines by means of the administration device 502.
  • the manager 502 is configured to store management information concerning management of the digital certificates into a low-security memory 504. It is also conceivable that, for example, the other components 501, 503, 505 also use this little protected memory 504.
  • FIG. 6 shows a further embodiment of the inventive CA 131, wherein the certification ⁇ fiz istsstelle 131 provides digital certificates within a portion of a Appendices ⁇ ge is exclusively for this portion of the plant.
  • the certification ⁇ point 131 includes a request processing means 601, an administrative device 602, a fixing device 603, a bit-only memory 604, and a distribution device 605.
  • the request processing means 601, the management device 602, the fixing device 603, the bit-only memory 604 and the distribution means 605 correspond respectively to the corresponding devices 501, 502, 503, 504 and 505, the previous embodiment of the certification authority 130.
  • An unprotected or poorly protected data storage 604 is to be understood that this for protection against manipulation, for example, not consuming and so that expensive personal, physical and / or organizational security measures are protected. Instead, trade ⁇ usual cost computer systems can be used, for example.
  • the certi ⁇ fiz istsstelle 131 for example, can be connected via a network 606 with a variety of devices that inquiries provide gen on digital certificates to the certification ⁇ put 131st
  • the declaring device 603 is configured to set at least one policy for the certification authority 131.
  • Thecooledverar ⁇ beitungs Rhein 601 is adapted to receive requests for digital certificates and routing it to the Whatsein ⁇ device 602 or to the distribution device 605th
  • the distribution device 605 distributes a digital certificate according to the prescribed guidelines by means of the administration device 602. However, before a digital certificate is distributed to a requesting device, a zusharm ⁇ Liche testing by means of the monitoring device 120, carried out 121 and prevents a injuring a Matterwachungskrite ⁇ Ministry, the digital certificate and / or the distribution of the digital certificate.
  • the manager 602 is configured to place management information concerning management of the digital certificates into a low-security memory 604.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur Überwachung einer Zertifizierungsstelle (130, 131), welche digitale Zertifikate für Geräte (104, 105) ausstellt, wobei das Verfahren (200) nachfolgende Verfahrensschritte umfasst. Einen Verfahrensschritt zum Festlegen (201) von mindestens einer Richtlinie für eine Vergabe von digitalen Zertifikaten durch die Zertifizierungsstelle. Einen Verfahrensschritt zum Festlegen (202) von mindestens einem Überwachungskriterium für eine Überwachungsvorrichtung (120, 121) basierend auf der mindestens einen Richtlinie für die Zertifizierungsstelle (130, 131). Einen Verfahrensschritt zum Erfassen (203) von Informationen über die von der Zertifizierungsstelle (130, 131) ausgestellten digitalen Zertifikate und/oder über die Geräte mit einem digitalen Zertifikat durch die Überwachungsvorrichtung (130, 131). Einen Verfahrensschritt zum Analysieren (204) der erfassten Informationen unter Verwendung des mindestens einen Überwachungskriteriums. Einen Verfahrensschritt zum Bereitstellen (205) eines Signals bei einem Verletzen eines Überwachungskriteriums.

Description

Beschreibung
Verfahren und Vorrichtung zur Überwachung einer Zertifizierungsstelle
Die Erfindung bezieht sich auf ein Verfahren und eine Vorrichtung zur Überwachung einer Zertifizierungsstelle bzw. Certification Authority. Digitale Zertifikate werden verwendet, um einen Kommunikati¬ onspartner, wie beispielsweise ein Gerät, ein Prozess oder einen Nutzer, zu authentisieren . Ein digitales Zertifikat ist eine geschützte Datenstruktur, die einen öffentlichen Schlüssel bzw. „public key", einem Identifier, wie beispielsweise ein Identifier eines Gerätes, eines Prozesses oder eines Nut¬ zers, zuordnet. Beispiele für Identifier sind ein natürlicher Name (Common Name) , eine Email-Adresse, ein Rechnername (DNS- Rechnername, Domain Name System), eine IP-Adresse (Internet Protocol) , ein Uniform Resource Locator (URL) .
In industriellen Anwendungsdomänen werden digitale Zertifikate benötigt, um beispielsweise Feldgeräte eines Automatisie¬ rungssystems zu authentifizieren. Für industriellen Anlagen ist es allgemein besonders wichtig, dass die Zertifizierungs- stellen möglichst kostengünstig und wartungsarm betrieben werden können und zudem Möglichkeiten der Überwachung bieten, damit eine Manipulationen durch Unbekannte oder allgemeine Fehlfunktionen möglichst einfach erkannt und behoben werden können .
Die Veröffentlichung von Nadia Henigner, Zakir Durumeric, Eric Wustrom, J. Alex Halderman: „Mining Your Ps and Qs :
Detection of Widespread Weak Keys in Network Devices", Usenix Security 2012, offenbart, öffentliche Schlüssel einer "Big Data" Analyse zu unterziehen, um schwache Schlüssel zu be¬ stimmen. Dazu wurden Zertifikate erfasst, um sie einer Prü¬ fung zu unterziehen. Damit ist auch bekannt, von einer oder mehreren Zertifizierungsstellen ausgestellte Zertifikate zu erfassen und einer Qualitätsprüfung zu unterziehen.
Von der DE 10 2011 081 804 ist bekannt, in ein operatives Zertifikat die Konfiguration eines Gerätes in einem operati¬ ven Szenario einzucodieren . Alternativ können diese auch über einen Link im Zertifikat referenziert werden.
Von der DE 10 2010 044 518 ist bekannt, den „Scope" oder Ein- satzbereich eines Zertifikats einzucodieren, sodass der zulässige Einsatzzweck expliziert eingeschränkt ist. Dazu wer¬ den zulässige Kommunikationspartner in das Zertifikat
eincodiert . In der Veröffentlichung von Tiffany Hyun-Jin Kim, Lin-Shung Huang, Adrian Perrig, Collin Jackson, Virgil Gligor:
„Accountable Key Infrastructure : A Proposal for a Public-Key Validation Infrastructure" , CyLab / Carnegie Mellon Universi- ty, WWW '13 Proceedings of the 22nd international Conference on World Wide Web wurde eine Validierungsinfrastruktur für Zertifizierungsstellen vorgeschlagen, um das erforderliche Vertrauen in einen sicheren Betrieb von Zertifizierungsstel¬ len zu verringern. Als neue Komponente wird ein Integrity Log Server eingeführt, bei dem eine Domain ihre Zertifikate re- gistrieren kann. Dabei werden Zertifikatsoperationen wie Ausstellen, Aktualisieren, Zurückrufen protokolliert. Diese Logdaten werden von einem Validator auf Plausibilität geprüft. Denkbar ist hier zum Beispiel eine Konsistenzprüfung von z. B. Zertifikats-Updates. Im Abschnitt 3 „Background" dieser Publikation wird außerdem ein Überblick über andere Ansätze gegeben, welche die hohe Vertrauenswürdigkeit von Zertifizierungsstellen infrage stellt und mit diesem Vertrauensverlust umgeht, wie beispielsweise Certificate
Observatories oder Certificate Log Servers. Dabei werden Zer- tifikate eines Servers beobachtet bzw. eine geschützte Zerti- fikats-PrüfInformation erzeugt und bereitgestellt. Ein Nachteil besteht darin, dass Zertifizierungsstellen für das Ausstellen von digitalen Zertifikaten in industriellen Anwendungsdomänen nur mit einem unverhältnismäßig hohen Aufwand betrieben werden können. Auch sind Anforderungen von In- dustrieanlangen hinsichtlich der Überwachung und des Schutzes vor Manipulation und Fehlverhalten nur unzureichend berücksichtigt .
Es ist somit die Aufgabe der vorliegenden Erfindung, eine einfach zu betreibende Zertifizierungsstelle mit verringertem Schutzbedarf zu schaffen, wobei eine Manipulation oder ein Fehlverhalten der Zertifizierungsstelle erkannt bzw. verhin¬ dert werden. Es wird daher vorgeschlagen, dass zum Beispiel für Industrie¬ umgebungen oder für eine Automatisierungsanlage anstatt, wie heute üblich, wenige große bzw. globale Zertifizierungsstel¬ len, wie beispielsweise Symantec™ Authentication Services, eine Vielzahl von „kleinen" bzw. leichtgewichtigen Zertifi- zierungsstellen zu verwenden. Diese sollen kostengünstig, beispielsweise durch einen Betreiber eines Automatisierungs¬ systems, betreibbar sein.
Gemäß einem ersten Aspekt betrifft die Erfindung ein Verfah- ren zur Überwachung einer Zertifizierungsstelle, welche digi¬ tale Zertifikate für Geräte ausstellt. Gemäß dem Verfahren wird mindestens eine Richtlinie für eine Vergabe von digita¬ len Zertifikaten durch die Zertifizierungsstelle festgelegt. Es wird mindestens ein Überwachungskriterium für eine Überwa- chungsvorrichtung basierend auf der mindestens einen Richtli¬ nie für die Zertifizierungsstelle festgelegt. Weiter werden Informationen über die von der Zertifizierungsstelle ausge¬ stellten digitalen Zertifikate und/oder über die Geräte mit einem digitalen Zertifikat durch die Überwachungsvorrichtung erfasst. Die erfassten Informationen werden unter Verwendung des mindestens einen Überwachungskriteriums analysiert. Falls ein Überwachungskriterium verletzt wird, wird ein Signal bereitgestellt. Zusätzlich ist die mindestens eine Zertifizie- rungsstelle innerhalb eines Teilbereichs einer Anlage ange¬ ordnet. Dabei stellt die jeweils mindestens eine Zertifizie¬ rungsstelle digitale Zertifikate für Geräte innerhalb dieses Teilbereichs der Anlage bereit und es wird beim Festlegen von mindestens einer Richtlinie ein wenig geschützter Datenspei¬ cher verwendet.
Durch ein Überwachungskriterium kann insbesondere eine Art bzw. ein Typ von Geräten und/oder eine Information, in wel- eher Automatisierungsanlage Geräte verbaut sind, angeben sein .
Zusätzlich lässt sich eine kostengünstige zweckgebundene Zer¬ tifizierungsstelle für einen Teilbereich, beispielsweise ei- ner Automatisierungsanlage, realisieren. Hierbei kann ein
Überwachungskriterium angeben, welche Geräte sich innerhalb dieses Teilbereichs der Anlage befinden.
Bei Ausführungsformen des Verfahrens ist es möglich, die In- formationen, welche bei der Verletzung des mindestens einen
Überwachungskriteriums gewonnen werden, automatisiert an eine gerätebezogene Datenbank zu übermitteln. Dies ist beispiels¬ weise bei sicherheitskritischen Anlagen, insbesondere bei Anlagen zur Gewährleistung der Betriebssicherheit (Safety) , vorteilhaft, wenn diese Daten automatisiert an eine Leitstel¬ le, ein Security Operation Center oder eine Überwachungsbe¬ hörde weitergeleitet werden.
Bei weiteren Ausführungsformen des Verfahrens wird das Erfas- sen von Informationen über die von der Zertifizierungsstelle ausgestellten digitalen Zertifikate innerhalb des Teilbe¬ reichs der Anlage durchgeführt und das Analysieren der Infor¬ mationen innerhalb oder außerhalb des Teilbereichs durchge¬ führt. Dadurch lassen sich unterschiedliche Architekturen zur Überwachung der Zertifizierungsstellen realisieren. Beispielsweise könnte ein zentrales Überwachen für mehrere Zer¬ tifizierungsstellen realisiert werden. Es ist möglich, beispielsweise Informationen über Zertifikate aus unterschiedli- chen Teilbereichen einer Anlage miteinander zu vergleichen, wodurch die Sicherheit der Anlage erhöht wird.
Bei weiteren Ausführungsformen des Verfahrens erzeugt das Signal eine Alarmmeldung und/oder das Signal widerruft ein der Zertifizierungsstelle zugeordnetes digitales Zertifikat und/oder ein durch die Zertifizierungsstelle ausgestelltes digitales Zertifikat. Damit ist es möglich, auf potentiell korrumpierte Geräte und/oder Zertifizierungsstellen automati- siert und zeitnah zu reagieren, ohne dass ein manuelles Ein¬ greifen eines Wartungstechnikers notwendig ist. Falls bei¬ spielsweise erkannt wird, dass ein Zertifikat durch die über¬ wachte Zertifizierungsstelle für ein Gerät ausgestellt wurde, das sich nicht oder nicht mehr innerhalb eines definierten Teilbereichs der Anlage befindet, so kann in einer Variante automatisch eine ZertifikatswiderrufInformation für dieses unzulässig ausgestellte Zertifikat erzeugt werden. Alternativ kann das Zertifikat auch von einer entsprechenden Zertifi- kats-Whitelist (Positivliste) genommen werden. Alternativ oder zusätzlich kann ein Alarmsignal bereitgestellt werden, das z.B. von einem Leitsystem oder von Geräten des Teilbereichs der Anlage bereitgestellt wird.
Bei weiteren Ausführungsformen des Verfahrens legt die min- destens eine Richtlinie fest, ob ein ausgegebenes digitales Zertifikat für Geräte an einem bestimmten Ort und/oder für bestimmte Gerätetypen und/oder für Geräte für bestimmte Verwendungszwecke beschränkt ist und/oder für eine bestimmte Gültigkeitsdauer verwendbar ist und/oder auf eine Anzahl von ausgestellten digitalen Zertifikaten beschränkt ist und/oder die mindestens eine Richtlinie gibt die im Zertifikat anzu¬ wendenden kryptographischen Parameter von im ausgestellten Zertifikat enthaltenen Schlüssel vor. Die beispielshaft dar¬ stellten Richtlinien erlauben es den Einsatzbereich einer Zertifizierungsstelle genau festzulegen, ohne unnötig Res¬ sourcen verbrauchen. Bei weiteren Ausführungsformen des Verfahrens ist das mindes¬ tens eine Überwachungskriterium der vorgegebene Ort des Ge¬ räts und/oder der bestimmte Gerätetyp und/oder der bestimmte Verwendungszweck des Geräts und/oder die bestimmte Gültig- keitsdauer des ausgestellten Zertifikats und/oder die Anzahl der ausgestellten digitalen Zertifikate, die durch die mindestens eine Richtlinie definiert werden und/oder das mindes¬ tens eine Überwachungskriterium basiert auf den vorgegebenen kryptographischen Parameter von enthaltenen Schlüsseln, die durch die mindestens eine Richtlinie definiert werden. Durch das Ableiten der Überwachungskriterien von den Richtlinien für die Zertifizierungsstelle, kann das Verhalten der Zerti¬ fizierungsstelle engmaschig und präzise überwacht werden. Bei weiteren Ausführungsformen des Verfahrens werden die er- fassten Informationen über die Geräte durch die Geräte selbst an die Überwachungsvorrichtung übertragen und/oder Geräte- suchmaschinen werden verwendet, um die Geräte zu identifizie¬ ren und die Geräteinformationen abzurufen und/oder die er- fassten Informationen werden durch ein Mithören von Nachrichten zwischen der Zertifizierungsstelle und Geräten und/oder zwischen einem Gerät und mindestens einem weiteren Gerät ermittelt. Es ist auch denkbar, dass durch eine Erfassungseinrichtung, wie beispielsweise einen Netzwerkmonitor bzw.
Netzwerksniffer, Daten direkt im Netzwerk oder durch Netzwerkkomponenten, wie beispielsweise Gateways oder Proxys, er- fasst werden, ohne aktiv Geräte abzufragen oder Protokolle der Zertifizierungsstelle auszuwerten. Gemäß einem weiteren Aspekt betrifft die Erfindung eine Über¬ wachungsvorrichtung, die derart ausgelegt ist, eine Zertifi¬ zierungsstelle für Geräte zu überwachen. Die Überwachungsvorrichtung umfasst eine Festlegeeinrichtung, eine Erfassungseinrichtung, eine Analyseeinrichtung und eine Bereitstel- lungseinrichtung . Die Festlegeeinrichtung ist derart ausgelegt, mindestens ein Überwachungskriterium für die Überwachungsvorrichtung, basierend auf mindestens einer Richtlinie der Zertifizierungsstelle, festzulegen. Die Erfassungsein- richtung ist derart ausgelegt, Informationen über von der Zertifizierungsstelle ausgestellte digitale Zertifikate und/oder über die Geräte mit einem digitalen Zertifikat zu erfassen. Die Analyseeinrichtung ist derart ausgelegt, die erfassten Informationen unter Verwendung des mindestens einen Überwachungskriteriums zu analysieren. Die Bereitstellungs¬ einrichtung ist derart ausgelegt, ein Signal bei einem Ver¬ letzen eines Überwachungskriteriums bereitzustellen. Zusätzlich ist die mindestens eine Zertifizierungsstelle innerhalb eines Teilbereichs einer Anlage angeordnet. Dabei stellt die jeweils mindestens eine Zertifizierungsstelle digitale Zerti¬ fikate für Geräte innerhalb dieses Teilbereichs der Anlage bereit und es wird beim Festlegen von mindestens einer Richt¬ linie ein wenig geschützter Datenspeicher verwendet.
Bei Ausführungsformen der Überwachungsvorrichtung weist diese eine Eingabeeinrichtung auf, wobei die Eingabeeinrichtung die Informationen, welche bei der Verletzung des mindestens einen Überwachungskriteriums gewonnen werden, automatisiert an eine gerätebezogene Datenbank übermittelt. Dies ist beispielsweise bei sicherheitskritischen Anlagen (Betriebssicherheit,
Safety) vorteilhaft, wenn diese Daten automatisiert an eine Leitstelle, ein Security Operation Center oder eine Überwa¬ chungsbehörde weitergeleitet werden.
Bei weiteren Ausführungsformen der Überwachungsvorrichtung ist die Erfassungseinrichtung innerhalb und die Analyseeinrichtung innerhalb oder außerhalb eines Teilbereichs einer Anlage angeordnet. Dadurch lassen sich unterschiedliche Ar- chitekturen zur Überwachung der Zertifizierungsstellen realisieren. Beispielsweise könnte ein zentrales Überwachen für mehrere Zertifizierungsstellen realisiert werden. Dadurch ließen sich beispielsweise Informationen über Zertifikate aus unterschiedlichen Teilbereichen einer Anlage miteinander ver- gleichen, um die Sicherheit der Anlage zu erhöhen.
Bei weiteren Ausführungsformen der Überwachungsvorrichtung ist die Analyseeinrichtung derart angeordnet, dass diese die erfassten Informationen mehrerer Zertifizierungsstellen gleichzeitig auswertet. Dadurch lassen sich die Kosten für eine Überwachungseinrichtung reduzieren, da für mehrere Zertifizierungsstellen nur eine Analyseeinrichtung zentral ver- wendet werden kann. Auch lässt sich dadurch der Wartungsaufwand reduzieren, da beispielsweise nur die Ergebnisse einer Analyseeinrichtung durch einen Wartungstechniker ausgewertet werden . Bei weiteren Ausführungsformen der Überwachungsvorrichtung verfügt die Analyseeinrichtung über detaillierte Geräteinformationen über jene Geräte, welche durch die Zertifizierungs¬ stelle digitale Zertifikate erhalten haben. Diese Gerätein¬ formationen lassen sich beispielsweise mit den erfassten In- formationen der Erfassungseinrichtung abgleichen, um die
Richtigkeit des für das Gerät ausgestellten Zertifikats ge¬ genüber den Überwachungskriterien bzw. Richtlinien überprüfen zu können oder Gerätemanipulationen erkennen zu können. Bei weiteren Ausführungsformen der Überwachungsvorrichtung erzeugt die Bereitstellungseinrichtung, basierend auf dem Signal, eine Alarmmeldung und/oder widerruft ein der Zertifi¬ zierungsstelle zugeordnetes Zertifikat und/oder widerruft ein durch die Zertifizierungsstelle ausgestelltes Zertifikat. Da- mit ist es möglich, auf potentiell korrumpierte Geräte und/oder Zertifizierungsstellen automatisiert zu reagieren, ohne dass ein manuelles Eingreifen eines Wartungstechnikers notwendig ist. Gemäß einem weiteren Aspekt betrifft die Erfindung eine Zer¬ tifizierungsstelle zur Ausstellung digitaler Zertifikate. Die Zertifizierungsstelle umfasst eine Festlegeeinrichtung, eine Verteilungseinrichtung und eine Verwaltungseinrichtung. Die Festlegeeinrichtung ist derart ausgelegt, mindestens eine Richtlinie für die Zertifizierungsstelle festzulegen und/oder zu speichern. Die Verteilungseinrichtung ist derart ausgelegt, digitale Zertifikate nach vorgegebenen Richtlinien zu verteilen. Die Verwaltungseinrichtung ist derart ausgelegt, die digitalen Zertifikate zu verwalten, wobei die Verwal¬ tungseinrichtung einen ungeschützten oder wenig geschützten Datenspeicher verwendet. Unter einem ungeschützten bzw. wenig geschützten Datenspeicher ist zu verstehen, dass dieser zum Schutz vor Manipulation beispielsweise nicht mit aufwändigen und damit teuren personellen, physikalischen und/oder organisatorischen Sicherheitsmaßnahmen geschützt ist. Stattdessen können beispielsweise handelsübliche kostengünstige Rechner¬ systeme verwendet werden. Weiter befindet sich die Zertifi- zierungsstelle innerhalb eines Teilbereichs einer Anlage und die Zertifizierungsstelle stellt digitale Zertifikate aus¬ schließlich für den Teilbereich der Anlage bereit.
Bei Ausführungsformen der Zertifizierungsstelle, weist die Zertifizierungsstelle eine Überwachungsvorrichtung entspre¬ chend der genannten erfindungsgemäßen Überwachungsvorrichtung auf, die ein digitales Zertifikat nach dessen Erstellung prüft . Bei weiteren Ausführungsformen der Zertifizierungsstelle, ist die externe Überwachungsvorrichtung gemäß einer Ausführungsform der erfindungsgemäßen Überwachungsvorrichtung in der Lage, ein digitales Zertifikat zu widerrufen und/oder eine Ver¬ teilung von einem digitalen Zertifikates zu verhindern, wenn eine Verletzung der Überwachungskriterien festgestellt wird. Dies hat insbesondere den Vorteil, dass beispielsweise selbst wenn die Zertifizierungsstelle korrumpiert wurde, das Vertei¬ len von manipulierten Zertifikaten verhindert werden kann. Des Weiteren wird ein Computerprogrammprodukt beansprucht, mit Programmbefehlen zur Durchführung des genannten erfindungsgemäßen Verfahrens sowie ein Datenträger, der das Computerprogrammprodukt speichert. Ein solcher Datenträger bezie¬ hungsweise ein solches Computerprogrammprodukt kann in einem System eingelesen werden und Programmbefehle ausführen, sodass das erfindungsgemäße Verfahren ausgeführt wird. Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusammenhang mit der folgenden Beschreibung der Ausführungsbei- spiele, die im Zusammenhang mit den Zeichnungen näher erläutert werden. Dabei zeigt: ein Ausführungsbeispiel einer erfindungsgemäßen Überwachungsvorrichtung und erfindungsgemäßen Zer tifizierungsstelle eingebunden in ein Netzwerk ei nes Teilbereichs einer Anlage;
Fig. 2 ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens in Form eines Flussdiagramms;
Fig. 3 ein Ausführungsbeispiel der erfindungsgemäßen Überwachungsvorrichtung; ein weiteres Ausführungsbeispiel der erfindungsge¬ mäßen Überwachungsvorrichtung, wobei die Analyseeinrichtung der Überwachungsvorrichtung separat von der Überwachungseinrichtung ausgebildet ist; ein Ausführungsbeispiel der erfindungsgemäßen Zertifizierungsstelle; und ein weiteres Ausführungsbeispiel der erfindungsge¬ mäßen Zertifizierungsstelle, wobei die Zertifizie¬ rungsstelle zusätzlich eine Überwachungsvorrichtung aufweist ;
Einander entsprechende Teile sind in allen Figuren mit den gleichen Bezugszeichen versehen.
Um die gestellte Aufgabe zu lösen, kann eine erfindungsgemäß Zertifizierungsstelle bzw. leichtgewichtige Zertifizierungs¬ stelle auf aufwändige und teure Sicherheitsmaßnahmen verzieh ten bzw. reduzieren. Dies sind beispielsweise Hochsicher- heitsrechenzentren zur Zertifikatsverwaltung mit sicherheits- überprüften Personal und Prozessen wie z.B. einem Vier-Augen- Prinzip, bei dem nur zwei Mitarbeiter gemeinsam eine sicherheitskritische Aktion durchführen können. Auch erteilt diese erfindungsgemäße Zertifizierungsstelle beispielsweise Zerti¬ fikate nicht global an potentiell jeden Anfragenden. Statt¬ dessen wird ein möglichst einfaches System verwendet, bei¬ spielsweise ein Standardindustriecomputer, um die Zertifizierungsstelle zu realisieren. Auch soll die erfindungsgemäße Zertifizierungsstelle nur Zertifikate für beispielsweise eine oder mehrere definierte industrielle Anlagen oder auch nur für einen Teilbereich einer industriellen Anlage ausstellen. Das bedeutet, dass eine solche leichtgewichtige Zertifizie¬ rungsstelle beispielsweise nicht zwangsläufig mit aufwändigen und damit teuren personellen, physikalischen und/oder organisatorischen Sicherheitsmaßnahmen geschützt ist. So könnte eine Zertifizierungsstelle bzw. leichtgewichtige Zertifizie¬ rungsstelle für eine Substation eines Energieverteilernetzes, wie beispielsweise ein Umspannhaus, vorgesehen sein. Die Zer- tifizierungsstelle kann dabei direkt in der Substation in¬ stalliert sein oder zentral für mehrere Substationen zu Verfügung stehen.
Generell besteht jedoch die Gefahr, dass zumindest manche dieser Zertifizierungsstellen, egal ob leichtgewichtig oder nicht, korrumpiert werden, sodass beispielsweise Zertifikate gefälscht oder Zertifikate für unzulässige Geräte und/oder unzulässige Bereiche und/oder unzulässige Regionen und/oder unzulässige bzw. abgelaufene Zeiträume verwendet werden. Dies ist beispielsweise besonders kritisch, wenn Zertifikate miss¬ braucht werden, um weitere Geräte mit dem Energieverteilernetz zu verbinden, sodass mit diesen Geräten das Verteilernetz von unberechtigten Personen kontrolliert werden kann. Es wird deshalb zusätzlich vorgeschlagen, die digitale Zerti¬ fikate ausstellende Zertifizierungsstelle zu überwachen. Es soll dabei überwacht werden, dass die von ihr ausgestellten Zertifikate tatsächlich bestimmte vorgebbare Kriterien erfül- len. Dies betrifft beispielsweise eine für einen Teilbereich arbeitende Zertifizierungsstelle, die auch als „scoped Certi- fication Authority" oder „local Certification Authority" be¬ kannt ist. Es werden also speziell zweckgebundene Zertifizie- rungsstellen überwacht, die nur für einen relativ eng definierten Einsatzbereich Zertifikate ausstellen sollen. Es wird dabei überwacht, ob die von einer solchen Zertifizierungs¬ stelle ausgestellten Zertifikate tatsächlich mit einer definierten Zertifizierungsstellen-Policy bzw. Zertifizierungs- Stellenrichtlinie übereinstimmen, die durch den Einsatzzweck oder durch einen Teilbereich einer Automatisierungsanlage definiert ist. Es auch denkbar, dass eine solche Überwachung kontinuierlich oder nur zu bestimmten Zeitpunkten erfolgt.
Figur 1 zeigt einen Teilbereich einer Anlage, z.B. einer Energienetzautomatisierungsanlage, einer Bahnautomatisie¬ rungsanlage, einer Gebäudeautomatisierungsanlage, einer Pro- zessautomatisierungsanlage oder einer Fertigungsautomatisie- rungsanlage. Die Anlage umfasst eine erfindungsgemäße Überwa¬ chungsvorrichtung 120, 121, ein Kommunikationsnetzwerk 102, beispielsweise ein lokales Netzwerk bzw. ein „Local Area Net¬ work", eine Netzwerkkomponente 103, beispielsweise ein Proxy oder ein Gateway, ein Gerät 104, beispielsweise ein Feldge¬ rät, ein weiteres Gerät 105, beispielsweise ein weiteres Feldgerät, Datenleitungen 106 und eine Zertifizierungsstelle 130, 131. Bei dem Teilbereich der Anlage kann es sich beispielsweise um eine Substation eines Energieverteilernetzes oder einen Teilbereich einer Automatisierungsanlage handeln. Die Substation ist beispielsweise ein Umspannhaus, das mehre¬ re Geräte 104, 105 aufweist. Das Beispiel ist prinzipiell nicht auf zwei Geräte beschränkt. Es ist durchaus denkbar, dass der Teilbereich der Anlage beispielsweise hundert oder mehr Geräte aufweist. Die Geräte 104, 105 sind über die Datenleitungen 106 mit der Zertifizierungsstelle 130, 131 und einer Netzwerkkomponente 103 verbunden, wobei die Netzwerkkomponente 103 einen Zugriff der Zertifizierungsstelle 130, 131 und der Geräte 104, 105 auf ein lokales Netzwerk innerhalb des Teilbereichs der Anla¬ ge erlaubt. Es wäre auch möglich, dass die Zertifizierungs¬ stelle 130, 131 und die Geräte 104, 105 direkt an das lokale Netzwerk des Teilbereichs der Anlage angeschlossen sind, ohne eine Verwendung von speziellen Datenleitungen 106.
Falls notwendig können die Geräte 104, 105 digitale Zertifi¬ kate anfordern. Dazu stellen sie bei der Zertifizierungsstel¬ le 130, 131 eine Anfrage für ein digitales Zertifikat. Die Zertifizierungsstelle 130, 131 vergibt dann auf Basis mindes¬ tens einer festgelegten Richtlinie digitale Zertifikate an die anfragenden Geräte 104, 105. Es ist auch möglich, dass Zertifikate für Nutzer, insbesondere für Service-Nutzer, ausgestellt werden, um damit einen lokalen oder entfernten War- tungszugang zu einer Konfigurationsschnittstelle, Wartungs¬ schnittstelle oder Diagnoseschnittstelle eines Gerätes abzu¬ sichern .
Die Überwachungsvorrichtung 120, 121 ist derart ausgelegt, dass die Geräte 104, 105, die Vergabe der digitalen Zertifi¬ kate und/oder die genutzten digitalen Zertifikate von Geräten 104, 105 und die Zertifizierungsstelle 130, 131 überwacht werden können. Die Überwachungsvorrichtung 120, 121 führt die Überwachung anhand vorher festgelegter Überwachungskriterien durch. Dieses mindestens eine Überwachungskriterium wird beispielsweise auf Basis der definierten Richtlinie zur Vergabe von digita¬ len Zertifikaten durch die Zertifizierungsstelle 130 festge- legt.
Die Überwachungsvorrichtung 120, 121 erfasst Informationen über die ausgestellten Zertifikate entweder durch ein direktes Abfragen von Informationen bei den Geräten 104, 105 und/oder bei der Zertifizierungsstelle 130, 131. Alternativ können diese Informationen auch erfasst werden, indem die Nachrichten, die zwischen den Geräten 104, 105 selbst oder zwischen den Geräten 104, 105 und der Zertifizierungsstelle 130, 131 und den Geräten 104, 105 ausgetauscht werden, er- fasst werden.
Falls das mindestens eine Überwachungskriterium verletzt wird, wird ein Signal bereitgestellt, das beispielsweise mög¬ lichst automatisiert Maßnahmen durchführt, um den ordnungsge¬ mäßen und/oder gesicherten Betrieb der Anlage zu gewährleisten . Figur 2 zeigt Verfahrensschritte des erfindungsgemäßen Ver¬ fahrens 200 zur Überwachung einer Zertifizierungsstelle 130,
131, welche digitale Zertifikate für Geräte 104,105 aus¬ stellt. Das Verfahren weist einen Verfahrensschritt 201 zum Festlegen von mindestens einer Richtlinie für eine Vergabe von digitalen Zertifikaten durch die Zertifizierungsstelle 130,131 auf. Weiter weist das Verfahren einen Verfahrens¬ schritt 202 zum Festlegen von mindestens einem Überwachungs¬ kriterium für eine Überwachungsvorrichtung 120, 121 basierend auf der mindestens einen Richtlinie für die Zertifizierungs- stelle auf. In einem Verfahrensschritt 203 werden Informatio¬ nen über die von der Zertifizierungsstelle 130, 131 ausge¬ stellten digitalen Zertifikate und/oder über die Geräte 104, 105 mit einem digitalen Zertifikat durch die Überwachungsvorrichtung erfasst. In einem weiteren Verfahrensschritt 204 werden die erfassten Informationen unter Verwendung des mindestens einen Überwachungskriteriums analysiert. Wird ein Überwachungskriterium verletzt, wird in einem weiteren Verfahrensschritt 205 ein Signal bereitstellt. Gemäß bevorzugten Ausführungsbeispielen des erfindungsgemäßen Verfahrens 200 werden die Informationen, welche bei der Verletzung des mindestens einen Überwachungskriteriums gewonnen werden, automatisiert an eine gerätebezogene Datenbank über¬ mittelt .
Gemäß bevorzugten Ausführungsbeispielen des erfindungsgemäßen Verfahrens 200, wird die mindestens eine Zertifizierungsstel¬ le 130, 131 innerhalb eines Teilbereichs einer Anlage ange- ordnet. Die jeweils mindestens eine Zertifizierungsstelle stellt dabei digitale Zertifikate für Geräte 104, 105 inner¬ halb dieses Teilbereichs der Anlage bereit. Gemäß bevorzugten Ausführungsbeispielen des erfindungsgemäßen Verfahrens 200, wird das Erfassen von Informationen über die von der Zertifizierungsstelle 130, 131 ausgestellten digita¬ len Zertifikate innerhalb des Teilbereichs der Anlage durch¬ geführt und das Analysieren der Informationen wird innerhalb oder außerhalb des Teilbereichs durchgeführt.
Gemäß bevorzugten Ausführungsbeispielen des erfindungsgemäßen Verfahrens 200, erzeugt das Signal eine Alarmmeldung und/oder das Signal widerruft ein der Zertifizierungsstelle 130, 131 zugeordnetes digitales Zertifikat und/oder widerruft ein durch die Zertifizierungsstelle 130, 131 ausgestelltes digi¬ tales Zertifikat.
Gemäß bevorzugten Ausführungsbeispielen des erfindungsgemäßen Verfahrens 200, legt die mindestens eine Richtlinie fest, ob ein ausgegebenes digitales Zertifikat für Geräte 104, 105 an einem bestimmten Ort und/oder für bestimmte Gerätetypen und/oder für Geräte 104, 105 für bestimmte Verwendungszwecke beschränkt ist und/oder eine bestimmte Gültigkeitsdauer ver- wendbar ist und/oder eine Anzahl von ausgestellten digitalen Zertifikaten beschränkt ist. Es ist auch denkbar, dass die mindestens eine Richtlinie die im Zertifikat anzuwendenden kryptographischen Parameter von im ausgestellten Zertifikat enthaltenen Schlüsseln vorgibt.
Gemäß bevorzugten Ausführungsbeispielen des erfindungsgemäßen Verfahrens 200, ist das mindestens eine Überwachungskriterium der vorgegebene Ort des Geräts 104, 105 und/oder der bestimm¬ te Gerätetyp und/oder der bestimmte Verwendungszweck des Ge- räts 104, 105 und/oder die bestimmte Gültigkeitsdauer des ausgestellten Zertifikats und/oder die Anzahl der ausgestellten digitalen Zertifikaten, die durch die mindestens eine Richtlinie definiert werden. Die Überwachungskriterien können aber auch die vorgegebenen kryptographischen Parameter von beglaubigten Schlüsseln sein, die durch die mindestens eine Richtlinie definiert werden. So können z.B. kryptographische Algorithmen (z.B. RSA, DSA, EC-DAS), Schlüssellängen (z.B. 2048 Bit RSA, 256 Bit ECC, 128 Bit AES) und kryptographische Parameter (z.B. zu verwendende ECC-Kurvenparameter) für die Überprüfung vorgegeben werden.
Gemäß bevorzugten Ausführungsbeispielen des erfindungsgemäßen Verfahrens 200, werden Informationen über die Geräte 104, 105 erfasst, in dem die Geräte 104, 105 selbst diese Information an die Überwachungsvorrichtung 120, 121 übertragen und/oder Gerätesuchmaschinen verwenden, um die Geräte 104, 105 zu identifizieren und die Geräteinformationen abzurufen. Es kön- nen auch Nachrichten zwischen der Zertifizierungsstelle 130, 131 und Geräten 104, 105 und/oder zwischen einem Gerät 104 und mindestens einem weiteren Gerät 105 mitgehört werden, um die Informationen über die Geräte 104, 105 bzw. durch die Zertifizierungsstelle 130, 131 zu erfassen.
Gemäß bevorzugten Ausführungsbeispielen des erfindungsgemäßen Verfahrens 200, können beim Verletzen eines Überwachungskriteriums, beispielsweise als Reaktion auf das breitgestellte Signal, auch Sicherheitsmaßnahmen durchgeführt werden. Dies kann beispielsweise ein Neustarten eines Gerätes 104, 105 sein oder ein Gerät 104, 105 wird in einen abgesicherten Modus gebracht.
Figur 3 zeigt ein Ausführungsbeispiel einer erfindungsgemäßen Überwachungsvorrichtung 120. Die Überwachungseinrichtung 120 weist eine Festlegeeinrichtung 301, eine Erfassungseinrichtung 302, Analyseeinrichtung 303 und Bereitstellungseinrichtung 304 auf. Die Überwachungsvorrichtung 120 kann beispielsweise derart angeordnet sein, dass sich diese in einem Teil- bereich einer Anlage befindet.
Die Festlegeeinrichtung 301 ist derart ausgelegt, dass min¬ destens ein Überwachungskriterium für die Überwachungsvor- richtung 120 basierend auf mindestens einer Richtlinie der Zertifizierungsstelle festgelegen werden kann. Die Erfas¬ sungseinrichtung 302 ist derart ausgelegt, dass Informationen über von der Zertifizierungsstelle ausgestellte digitale Zer- tifikate und/oder über die Geräte mit einem digitalen Zerti¬ fikat erfasst werden können.
Die Analyseeinrichtung 303 ist derart ausgelegt, dass die er- fassten Informationen unter Verwendung des mindestens einen Überwachungskriteriums analysiert werden können. Die Bereits¬ tellungseinrichtung 404 ist derart ausgelegt, dass ein Signal bei einem Verletzen eines Überwachungskriteriums bereitge¬ stellt werden kann. Gemäß bevorzugten Ausführungsbeispielen weist die Überwachungsvorrichtung 120 weiter eine Eingabeeinrichtung auf, wobei die Eingabeeinrichtung die Informationen, welche bei der Verletzung des mindestens einen Überwachungskriteriums gewon¬ nen werden, automatisiert an eine gerätebezogene Datenbank übermittelt.
Gemäß bevorzugten Ausführungsbeispielen legt beispielsweise die Richtlinie fest, ob ein ausgegebenes digitales Zertifikat für Geräte 104, 105 an einem bestimmten Ort und/oder für be- stimmte Gerätetypen und/oder für Geräte 104, 105 für bestimmte Verwendungszwecke beschränkt ist und/oder für eine be¬ stimmte Gültigkeitsdauer verwendbar ist und/oder auf eine Anzahl von ausgestellten digitalen Zertifikaten beschränkt ist. Beispielsweise lässt sich der Verwendungszweck einfach mit- tels Erweiterungen bzw. „Extensions" des digitalen Zertifi¬ kats präzisieren bzw. festlegen.
Es ist beispielsweise auch denkbar, dass die mindestens eine Richtlinie die im Zertifikat anzuwendenden kryptographischen Parameter vorgibt, wobei diese Parameter beispielsweise die Länge der im ausgestellten Zertifikat enthaltenen Schlüssel oder ECC-Kurvenparameter sind. Diese beispielhaften Richtli- nien erlauben es den Einsatzbereich einer Zertifizierungsstelle 130 genau festzulegen.
Gemäß bevorzugten Ausführungsbeispielen legt das mindestens eine Überwachungskriterium beispielsweise den vorgegebene Ort des Geräts 104, 105 und/oder den bestimmte Gerätetyp und/oder den bestimmte Verwendungszweck des Geräts 104, 105 und/oder die bestimmte Gültigkeitsdauer des ausgestellten Zertifikats und/oder die Anzahl der ausgestellten digitalen Zertifikate, die durch die mindestens eine Richtlinie definiert ist, fest. Beispielsweise kann das mindestens eine Überwachungskriterium auch auf den vorgegebenen kryptographischen Parameter von beglaubigten Schlüsseln basieren, die durch die mindestens eine Richtlinie definiert werden.
Gemäß bevorzugten Ausführungsbeispielen werden Informationen durch die Erfassungseinrichtung 302 beispielsweise dadurch erfasst, in dem eine Netzwerkkomponente, beispielsweise ein Gateway oder ein Proxy, die Nachrichten mithört und diese der Überwachungsvorrichtung 120 zur Verfügung stellt. Auch können die erfassten Informationen beispielsweise über die Geräte durch die Geräte selbst an die Überwachungseinrichtung 120 übertragen werden und/oder Gerätesuchmaschinen verwendet werden, um die Geräte zu identifizieren und die Geräteinformati- onen abzurufen. Es kann das Erfassen mittels beispielsweise eines Netzwerksniffers erfolgt, ohne aktiv Geräte abzufragen oder Protokolle der Zertifizierungsstelle 130 auszuwerten. Es können sich die Geräte 104, 105 auch regelmäßig bei einem Herstellerservice oder einem Service des Anlagenbertreibers melden, um die Informationen zu übertragen. Die entsprechende Adresse bzw. URL kann beispielsweise im dem digitalen Zerti¬ fikat enthalten sein.
Auch können sich die Geräte 104, 105 insbesondere dann beim Anlagenbetreiber regelmäßig melden und ihre Informationen bereitstellen, wenn dieser die Zertifizierungsstelle 130, 131 nicht selbst betreibt und mit Hilfe der Überwachungsvorrich¬ tung 120, 121 die von einem Dritten betriebene Zertifizie- rungsstelle 130, 131 überwachen möchte. In einem solchen Fall würde die Adresse bzw. URL des Betreibers auf den Geräten 104, 105, beispielsweise mit Hilfe von einem Diagnosesystem, eingerichtet werden. Es können dabei alle Zertifikate des Ge- rätes 104, 105 bereitgestellt werden. Dies hat den Vorteil, dass alle Gerätezertifikate in die Überwachung einbezogen werden, nicht nur das Zertifikat, das für den geschützten Zugang zum Diagnosesystem verwendet wird. Insbesondere wird hierbei der komplette Zertifizierungspfad, einschließlich des Root-Zertifikates der lokalen Zertifizierungsstelle 130, 131 übermittelt. Dies ermöglicht der Überwachungsvorrichtung 120, 121 zu überprüfen, ob die Zertifizierungsstelle 130, 131 tat¬ sächlich Zertifikate entsprechend der vorgegeben Richtlinien ausstellt .
Auch kann die Güte der beglaubigten Schlüssel analysiert werden und bei einem Erkennen einer Verwendung von schwachen Schlüsseln die kryptographischen Parameter angepasst werden. Mit der Überwachungsvorrichtung 120, 121 lassen sich auch der Nachbau von Originalgeräten bzw. Geräte-Klone erkennen. Dazu werden die Gerätezertifikate eines Herstellers inventari¬ siert. Es wird dann geprüft, ob ein Zertifikat mehrfach von unterschiedlichen Geräten verwendet wird, was einen unzulässigen Geräte-Klone anzeigt, oder ob Zertifikate auftauchen, die nicht vom Hersteller erzeugt wurden, was einen unzulässi¬ gen Nachbau eines Gerätes anzeigt.
Auch kann mittels der Überwachungsvorrichtung 120, 121 ein „Domain Certificate Pinning" erfolgen: Dabei wird ermittelt, in welcher Netzwerkumgebung, beispielsweise IP-Adressbereich, ein Gerätezertifikat verwendet wird. Wenn das Gerät 104, 105 kein Mobilgerät ist, sondern für eine feste, stationäre Nut¬ zung gedacht ist, kann unter Verwendung des digitalen Zertifikats geprüft werden, ob das Gerät in einem anderen als dem erwarteten bzw. zulässigen Netzwerk auftaucht. Werden der Überwachungsvorrichtung 120, 121 die Konfigurations- bzw. Engineeringdaten der Anlage übermittelt, kann zusätzlich ge- prüft werden, ob der Verbindungsaufbau zwischen den vorgege¬ benen Systemen erfolgt.
Figur 4 zeigt ein weiteres Ausführungsbeispiel der erfin- dungsgemäßen Überwachungsvorrichtung 121. Die Überwachungseinrichtung 121 weist eine Festlegeeinrichtung 401, eine Erfassungseinrichtung 402, Analyseeinrichtung 403 und Bereitstellungseinrichtung 404 auf. Die Festlegeeinrichtung 401, die Erfassungseinrichtung 402, die Analyseeinrichtung 403 und die Bereitstellungseinrichtung 404, entsprechen jeweils den korrespondierenden Einrichtungen 301, 302, 303, 304 der vorhergehenden Ausführungsform der Überwachungsvorrichtung 120.
Gemäß bevorzugten Ausführungsbeispielen ist die Festlegeein- richtung 401 derart ausgelegt, dass mindestens ein Überwa¬ chungskriterium für die Überwachungsvorrichtung 120 basierend auf mindestens einer Richtlinie der Zertifizierungsstelle festgelegen werden kann. Die Erfassungseinrichtung 402 ist derart ausgelegt, dass Informationen über von der Zertifizie- rungsstelle 130, 131 ausgestellte digitale Zertifikate und/oder über die Geräte 104, 105 mit einem digitalen Zertifikat erfasst werden können
Die Analyseeinrichtung 403 ist derart ausgelegt, dass die er- fassten Informationen unter Verwendung des mindestens einen Überwachungskriteriums analysiert werden können.
In diesem Ausführungsbeispiel ist die Analyseeinrichtung 403 im Gegensatz zu dem in Figur 3 dargestellten Ausführungsbei- spiel der Überwachungseinrichtung 120 als physisch separate
Einheit der Überwachungsvorrichtung 121 ausgebildet. Die Analyseeinrichtung 403 befindet sich hierbei außerhalb eines ersten Teilbereichs 406 einer Anlage, in einem weiteren Teil¬ bereich 407 der Anlage oder dem weiteren Teilbereich 407 ei- ner weiteren Anlage. Die Analyseeinrichtung 403 ist dabei über ein weiteres Netzwerk 405, beispielsweise ein „Wide Area Network", mit der Überwachungsvorrichtung 121 bzw. deren anderen Komponenten 401, 402, 404 verbunden. Weiter ist die Be- reitstellungseinrichtung 304, 404 derart ausgelegt, dass ein Signal bei einem Verletzen eines Überwachungskriteriums be¬ reitgestellt werden kann. Es kann die Breitstellungseinrichtung, ähnlich der Analyseeinrichtung, außerhalb des ersten Teilbereichs der Anlage, in dem weiteren Teilbereich der Anlage oder dem weiteren Teilbereich der weiteren Anlage angeordnet sein (ist nicht darge¬ stellt) . Damit ließe sich beispielsweise eine zentrale Analy- seeinrichtung 404 realisieren, welche die erfassten Informationen von mehreren Erfassungseinrichtungen auswertet und entweder eine zentralen Bereitstellungseinrichtung, welche mehrere Zertifizierungsstellen 130 versorgt, oder lokale Be¬ reitstellungseinrichtungen 404 benachrichtigt, die jeweils nur einer Zertifizierungsstelle 130 bzw. deren Versorgungsbe¬ reich zugeteilt sind.
Figur 5 zeigt ein Ausführungsbeispiel der erfindungsgemäßen Zertifizierungsstelle 130, wobei sich die Zertifizierungs- stelle 130 innerhalb eines Teilbereichs einer Anlage befindet und ausschließlich für diesen Teilbereich der Anlage digitale Zertifikate bereitstellt. Die Zertifizierungsstelle 130 weist eine Anfrageverarbeitungseinrichtung 501, eine Verwaltungseinrichtung 502, eine Festlegeeinrichtung 503, einen wenig geschützter Datenspeicher 504 und eine Verteilungseinrichtung 505 auf. Unter einem ungeschützten bzw. wenig geschützten Datenspeicher 504 ist zu verstehen, dass dieser zum Schutz vor Manipulation beispielsweise nicht mit aufwändigen und damit teuren personellen, physikalischen und/oder organisatorischen Sicherheitsmaßnahmen geschützt ist. Stattdessen können beispielsweise handelsübliche kostengünstige Rechnersysteme ver¬ wendet werden. Die Zertifizierungsstelle 130 selbst kann bei¬ spielsweise über ein Netzwerk 506 mit einer Vielzahl von Geräten verbunden sein, die Anfragen bezüglich digitaler Zerti- fikate an die Zertifizierungsstelle 130 stellen.
Gemäß bevorzugten Ausführungsbeispielen ist die Festlegeeinrichtung 503 derart ausgelegt, mindestens eine Richtlinie für die Zertifizierungsstelle 120 festzulegen. Die Anfrageverar¬ beitungseinrichtung 501 ist derart ausgelegt, Anfragen für digitale Zertifikate zu empfangen und an die Verwaltungsein¬ richtung 502 bzw. an die Verteilungseinrichtung 505 weiterzu- leiten. Die Verteilungseinrichtung 505 erteilt mittels der Verwaltungseinrichtung 502 ein digitales Zertifikat nach den vorgegebenen Richtlinien. Die Verwaltungseinrichtung 502 ist derart ausgelegt, dass sie Verwaltungsinformationen, welche die Verwaltung der digitalen Zertifikate betreffen, in einen wenig geschützten Speicher 504 ablegen. Es ist auch denkbar, dass beispielsweise die anderen Komponenten 501, 503, 505 diesen wenig geschützten Speicher 504 ebenfalls nutzen.
Figur 6 zeigt ein weiteres Ausführungsbeispiel der erfin- dungsgemäßen Zertifizierungsstelle 131, wobei sich die Zerti¬ fizierungsstelle 131 innerhalb eines Teilbereichs einer Anla¬ ge befindet und ausschließlich für diesen Teilbereich der Anlage digitale Zertifikate bereitstellt. Die Zertifizierungs¬ stelle 131 umfasst eine Anfrageverarbeitungseinrichtung 601, eine Verwaltungseinrichtung 602, eine Festlegeeinrichtung 603, einen wenig geschützter Speicher 604 und eine Verteilungseinrichtung 605. Die Anfrageverarbeitungseinrichtung 601, die Verwaltungseinrichtung 602, die Festlegeeinrichtung 603, der wenig geschützter Speicher 604 und die Verteilungs- einrichtung 605, entsprechen jeweils den korrespondierenden Einrichtungen 501, 502, 503, 504 und 505, der vorhergehenden Ausführungsform der Zertifizierungsstelle 130. Unter einem ungeschützten bzw. wenig geschützten Datenspeicher 604 ist zu verstehen, dass dieser zum Schutz vor Manipulation beispiels- weise nicht mit aufwändigen und damit teuren personellen, physikalischen und/oder organisatorischen Sicherheitsmaßnahmen geschützt ist. Stattdessen können beispielsweise handels¬ übliche kostengünstige Rechnersysteme verwendet werden. Darü¬ ber hinaus weist die Zertifizierungsstelle 131 eine erfin- dungsgemäße Überwachungsvorrichtung 120, 121 auf. Die Zerti¬ fizierungsstelle 131 kann beispielsweise über ein Netzwerk 606 mit einer Vielzahl von Geräten verbunden sein, die Anfra- gen bezüglich digitaler Zertifikate an die Zertifizierungs¬ stelle 131 stellen.
Gemäß bevorzugten Ausführungsbeispielen ist die Festlegeein- richtung 603 derart ausgelegt, mindestens eine Richtlinie für die Zertifizierungsstelle 131 festzulegen. Die Anfrageverar¬ beitungseinrichtung 601 ist derart ausgelegt, Anfragen für digitale Zertifikate zu empfangen und an die Verwaltungsein¬ richtung 602 bzw. an die Verteilungseinrichtung 605 weiterzu- leiten. Die Verteilungseinrichtung 605 verteilt mittels der Verwaltungseinrichtung 602 ein digitales Zertifikat nach den vorgegebenen Richtlinien. Bevor jedoch ein digitales Zertifikat an ein anfragendes Gerät verteilt wird, wird eine zusätz¬ liche Prüfung mittels der Überwachungsvorrichtung 120, 121 durchgeführt und bei einem Verletzen eines Überwachungskrite¬ riums, das digitale Zertifikat und/oder die Verteilung des digitalen Zertifikats verhindert. Die Verwaltungseinrichtung 602 ist derart ausgelegt, dass sie Verwaltungsinformationen, welche die Verwaltung der digitalen Zertifikate betreffen, in einen wenig geschützten Speicher 604 ablegen. Es ist auch denkbar, dass beispielsweise die anderen Komponenten 601, 603, 605 diesen wenig geschützten Speicher 604 ebenfalls nutzen . Obwohl die Erfindung im Detail durch die bevorzugten Ausführungsbeispiele näher illustriert und beschrieben wurde, so ist die Erfindung nicht auf die offenbarten Beispiele be¬ schränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.

Claims

Patentansprüche
1. Verfahren zur Überwachung einer Zertifizierungsstelle (130, 131), welche digitale Zertifikate für Geräte (104, 105) ausstellt, wobei das Verfahren (200) folgende Verfahrens¬ schritte umfasst:
Festlegen (201) von mindestens einer Richtlinie für eine Vergabe von digitalen Zertifikaten durch die Zertifizierungsstelle;
- Festlegen (202) von mindestens einem Überwachungskrite¬ rium für eine Überwachungsvorrichtung (120, 121) basierend auf der mindestens einen Richtlinie für die Zerti¬ fizierungsstelle (130, 131);
Erfassen (203) von Informationen über die von der Zerti- fizierungsstelle (130, 131) ausgestellten digitalen Zer¬ tifikate und/oder über die Geräte mit einem digitalen Zertifikat durch die Überwachungsvorrichtung (130, 131); Analysieren (204) der erfassten Informationen unter Verwendung des mindestens einen Überwachungskriteriums, - Bereitstellen (205) eines Signals bei einem Verletzen eines Überwachungskriteriums,
wobei die mindestens eine Zertifizierungsstelle (130, 131) innerhalb eines Teilbereichs einer Anlage angeordnet wird, wobei die jeweils mindestens eine Zertifizierungsstelle (130, 131) digitale Zertifikate für Geräte (104, 105) innerhalb dieses Teilbereichs der Anlage bereitstellt, und
wobei beim Festlegen (201) von mindestens einer Richtlinie ein wenig geschützter Datenspeicher (504, 604) verwendet wird.
2. Verfahren nach Anspruch 1, wobei die Informationen, welche bei der Verletzung des mindestens einen Überwachungskriteriums gewonnen werden, automatisiert an eine gerätebezogene Datenbank übermittelt werden.
3. Verfahren nach Anspruch 1 oder 2, wobei das Erfassen
(203) von Informationen über die von der Zertifizierungsstel¬ le (130, 131) ausgestellten digitalen Zertifikate innerhalb des Teilbereichs der Anlage durchgeführt wird und das Analy- sieren (204) der Informationen innerhalb oder außerhalb des Teilbereichs durchgeführt wird.
4. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Signal eine Alarmmeldung erzeugt und/oder wobei
das Signal ein der Zertifizierungsstelle (130, 131) zugeord¬ netes digitales Zertifikat widerruft und/oder ein durch die Zertifizierungsstelle (130, 131) ausgestelltes digitales Zer¬ tifikat widerruft.
5. Verfahren nach einem der vorhergehenden Ansprüche, wobei die mindestens eine Richtlinie festlegt, ob ein ausgegebenes digitales Zertifikat für Geräte (104, 105) an einem bestimm¬ ten Ort und/oder für bestimmte Gerätetypen und/oder für Gerä- te (104, 105) für bestimmte Verwendungszwecke beschränkt ist und/oder eine bestimmte Gültigkeitsdauer verwendbar ist und/oder eine Anzahl von ausgestellten digitalen Zertifikaten beschränkt ist und/oder die mindestens eine Richtlinie die im Zertifikat anzuwendenden kryptographische Parameter von im ausgestellten Zertifikat enthaltenen Schlüsseln vorgibt.
6. Verfahren nach Anspruch 5, wobei das mindestens eine Überwachungskriterium der vorgegebene Ort des Geräts (104, 105) und/oder der bestimmte Gerätetyp und/oder der bestimmte Verwendungszweck des Geräts (104, 105) und/oder die bestimmte Gültigkeitsdauer des ausgestellten Zertifikats und/oder die Anzahl der ausgestellten digitalen Zertifikaten ist, die durch die mindestens eine Richtlinie definiert werden
und/oder
das mindestens eine Überwachungskriterium die vorgegebenen kryptographischen Parameter von beglaubigten Schlüsseln sind, die durch die mindestens eine Richtlinie definiert werden.
7. Verfahren nach einem der vorhergehenden Ansprüche, wobei erfasste Informationen über die Geräte (104, 105) durch die
Geräte (104, 105) selbst an die Überwachungsvorrichtung (120, 121) übertragen werden und/oder Gerätesuchmaschinen verwendet werden, um die Geräte (104, 105) zu identifizieren und die Geräteinformationen abzurufen und/oder durch ein Mithören von Nachrichten zwischen der Zertifizierungsstelle (130, 131) und Geräten (104, 105) und/oder zwischen einem Gerät (104) und mindestens einem weiteren Gerät (105) erfolgt.
8. Überwachungsvorrichtung (120, 121), die dazu ausgelegt ist eine Zertifizierungsstelle (130, 131) für Geräte (104, 105) zu überwachen, die Vorrichtung umfassend:
eine Festlegeeinrichtung (301, 401), die derart ausge¬ legt ist, mindestens ein Überwachungskriterium für die Überwachungsvorrichtung (120, 121) basierend auf mindestens einer Richtlinie der Zertifizierungsstelle (130, 131) festzulegen;
eine Erfassungseinrichtung (302, 402), die derart ausgelegt ist, Informationen über von der Zertifizierungs¬ stelle (130, 131) ausgestellten digitalen Zertifikate und/oder über die Geräte (104, 105) mit einem digitalen Zertifikat zu erfassen;
eine Analyseeinrichtung (303, 403) , die derart ausgelegt ist, die erfassten Informationen unter Verwendung des mindestens einen Überwachungskriteriums zu analysieren; eine Bereitstellungseinrichtung (304, 404), die derart ausgelegt ist, ein Signal bei einem Verletzen eines Überwachungskriteriums bereitzustellen,
wobei die mindestens eine Zertifizierungsstelle (130, 131) innerhalb eines Teilbereichs einer Anlage angeordnet wird, wobei die jeweils mindestens eine Zertifizierungsstelle (130, 131) digitale Zertifikate für Geräte (104, 105) innerhalb dieses Teilbereichs der Anlage bereitstellt und
wobei beim Festlegen von mindestens einer Richtlinie durch die jeweils mindestens eine Zertifizierungsstelle (130, 131) ein wenig geschützter Datenspeicher (504, 604) verwendet wird .
9. Überwachungsvorrichtung (120, 121) nach Anspruch 8, wobei eine Eingabeeinrichtung die Informationen, welche bei der Verletzung des mindestens einen Überwachungskriteriums gewon- nen werden, automatisiert an eine gerätebezogene Datenbank übermittelt .
10. Überwachungsvorrichtung (120, 121) nach einem der vor- hergehenden Ansprüche, wobei die Erfassungseinrichtung (302,
402) innerhalb und die Analyseeinrichtung (303, 403) innerhalb oder außerhalb eines Teilbereichs einer Anlage angeord¬ net sind.
11. Überwachungsvorrichtung (120, 121) nach Anspruch 10, wobei die Analyseeinrichtung (403) derart angeordnet ist, dass diese die erfassten Informationen mehrerer Zertifizierungsstellen (130, 131) gleichzeitig auswertet.
12. Überwachungsvorrichtung (120, 121) nach einem der vorhergehenden Ansprüche, wobei die Analyseeinrichtung (303,
403) über detaillierte Geräteinformationen über jene Geräte (104, 105) verfügt, welche durch die Zertifizierungsstelle (130, 131) digitale Zertifikate erhalten haben.
13. Überwachungsvorrichtung (120, 121) nach einem der vorhergehenden Ansprüche, wobei die Bereitstellungseinrichtung (304, 404) basierend auf dem Signal eine Alarmmeldung erzeugt, und/oder
ein der Zertifizierungsstelle (130, 131) zugeordnetes Zerti¬ fikat widerruft und/oder durch die Zertifizierungsstelle (130, 131) ausgestelltes Zertifikat widerruft.
14. Zertifizierungsstelle (130, 131) zur Ausstellung digita- 1er Zertifikate umfassend:
eine Festlegeeinrichtung (503, 603) , die derart ausge¬ legt ist, mindestens eine Richtlinie für die Zertifizie¬ rungsstelle (130, 131) festzulegen;
eine Verteilungseinrichtung (505, 605) , die derart aus- gelegt ist, digitale Zertifikate nach der oder den
Richtlinien zu verteilen;
eine Verwaltungseinrichtung (502, 602), die derart ausgelegt ist, die digitalen Zertifikate zu verwalten, wo- bei die Verwaltungseinrichtung (502, 602) einen wenig geschützten Datenspeicher (504, 604) verwendet,
wobei sich die Zertifizierungsstelle (130, 131) innerhalb ei¬ nes Teilbereichs einer Anlage befindet, und
wobei die Zertifizierungsstelle (130, 131) digitale Zertifi¬ kate ausschließlich für den Teilbereich der Anlage bereitstellt .
15. Zertifizierungsstelle (131) nach Anspruch 14, wobei die Zertifizierungsstelle (131) eine Überwachungsvorrichtung
(120, 121) gemäß Anspruch 9 aufweist, die ein digitales Zer¬ tifikat nach dessen Erstellung prüft und die Überwachungsvorrichtung (120, 121) gemäß Anspruch 14 ein digitales Zertifi¬ kat widerruft und/oder eine Verteilung von einem digitalen Zertifikates verhindert, wenn eine Verletzung der Überwa¬ chungskriterien festgestellt wird.
16. Computerprogrammprodukt mit Programmbefehlen zur Durch¬ führung des Verfahrens (200) nach Ansprüchen 1-7.
17. Datenträger, der das Computerprogrammprodukt nach An¬ spruch 16 speichert.
PCT/EP2015/072772 2014-12-10 2015-10-02 Verfahren und vorrichtung zur überwachung einer zertifizierungsstelle WO2016091415A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102014225418.3A DE102014225418A1 (de) 2014-12-10 2014-12-10 Verfahren und Vorrichtung zur Überwachung einer Zertifizierungsstelle
DE102014225418.3 2014-12-10

Publications (1)

Publication Number Publication Date
WO2016091415A1 true WO2016091415A1 (de) 2016-06-16

Family

ID=54288770

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2015/072772 WO2016091415A1 (de) 2014-12-10 2015-10-02 Verfahren und vorrichtung zur überwachung einer zertifizierungsstelle

Country Status (2)

Country Link
DE (1) DE102014225418A1 (de)
WO (1) WO2016091415A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3288215A1 (de) * 2016-08-24 2018-02-28 Siemens Aktiengesellschaft Verfahren und vorrichtung zur ausgabe von authentizitätsbescheinigungen sowie ein sicherheitsmodul

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3641216A1 (de) * 2018-10-19 2020-04-22 Siemens Aktiengesellschaft Verfahren zum sicheren betreiben eines industriellen automatisierungsgeräts in einem automatisierungssystem und ein automatisierungsgerät, ein inbetriebnahmegerät sowie eine registrierungsstelle
EP4187413A1 (de) * 2021-11-25 2023-05-31 Siemens Aktiengesellschaft Leitsystem für eine verfahrenstechnische anlage und verfahren zum erstellen einer automatisierung für komponenten einer verfahrenstechnischen anlage

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102010044518A1 (de) * 2010-09-07 2012-03-08 Siemens Aktiengesellschaft Verfahren zur Zertifikats-basierten Authentisierung
DE102011081804A1 (de) * 2011-08-30 2013-02-28 Siemens Aktiengesellschaft Verfahren und System zum Bereitstellen von gerätespezifischen Betreiberdaten für ein Automatisierungsgerät einer Automatisierungsanlage

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070050777A1 (en) * 2003-06-09 2007-03-01 Hutchinson Thomas W Duration of alerts and scanning of large data stores
US20050076201A1 (en) * 2003-08-15 2005-04-07 Imcentric, Inc. System for discovering SSL-enabled network devices and certificates
US7546454B2 (en) * 2004-06-30 2009-06-09 At&T Intellectual Property I, L.P. Automated digital certificate discovery and management
SG11201403482TA (en) * 2011-12-21 2014-07-30 Ssh Comm Security Oyj Automated access, key, certificate, and credential management

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102010044518A1 (de) * 2010-09-07 2012-03-08 Siemens Aktiengesellschaft Verfahren zur Zertifikats-basierten Authentisierung
DE102011081804A1 (de) * 2011-08-30 2013-02-28 Siemens Aktiengesellschaft Verfahren und System zum Bereitstellen von gerätespezifischen Betreiberdaten für ein Automatisierungsgerät einer Automatisierungsanlage

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
FIEDLER ARNO ET AL: "Certificate Transparency", DATENSCHUTZ UND DATENSICHERHEIT - DUD, SP GABLER VERLAG, WIESBADEN, vol. 38, no. 10, 1 October 2014 (2014-10-01), pages 679 - 683, XP035400884, ISSN: 1614-0702, [retrieved on 20141001], DOI: 10.1007/S11623-014-0270-Y *
GUTMANN P ET AL: "Internet X.509 Public Key Infrastructure Operational Protocols: Certificate Store Access via HTTP", RFC 4387, INTERNET ENGINEERING TASK FORCE, IETF, 1 February 2006 (2006-02-01), XP015044819 *
LAURIE B ET AL: "Certificate Transparency", RFC 6962, INTERNET ENGINEERING TASK FORCE, IETF, 6 June 2013 (2013-06-06), XP015095009 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3288215A1 (de) * 2016-08-24 2018-02-28 Siemens Aktiengesellschaft Verfahren und vorrichtung zur ausgabe von authentizitätsbescheinigungen sowie ein sicherheitsmodul

Also Published As

Publication number Publication date
DE102014225418A1 (de) 2016-06-16

Similar Documents

Publication Publication Date Title
EP2159653B1 (de) Verfahren zur Einräumung einer Zugriffsberechtigung auf ein rechnerbasiertes Objekt in einem Automatisierungssystem, Computerprogramm und Automatisierungssystem
CN105139139A (zh) 用于运维审计的数据处理方法和装置及系统
EP2812839B2 (de) Verfahren zur kommunikation von energieverbrauchsspezifischen messdatenelementen von einer smart meter vorrichtung an ein computersystem eines energieversorgers und/oder messstellenbetreibers
EP3605253B1 (de) Automatisierte public key infrastructure initialisierung
WO2016091415A1 (de) Verfahren und vorrichtung zur überwachung einer zertifizierungsstelle
EP3985532B1 (de) Zertifikatsmanagement für technische anlagen
WO2003025758A2 (de) Vorrichtung und verfahren zur etablierung einer sicherheitspolitik in einem verteilten system
WO2001098899A2 (de) Serverüberwachung
WO2020011777A1 (de) Verfahren zur einrichtung eines berechtigungsnachweises für ein erstes gerät
EP2812840B1 (de) Verfahren zur initialisierung eines speicherbereichs, welcher einem smart-meter zugeordnet ist
EP3762845B1 (de) Projektbezogenes zertifikatsmanagement
EP3025476B1 (de) Anpassen von zugriffsregeln für einen datenaustausch zwischen einem ersten netzwerk und einem zweiten netzwerk
EP2812837A1 (de) Verfahren zur personalisierung eines smart meter oder smart meter gateway sicherheitsmoduls
EP3339994A1 (de) Verfahren zum überprüfen einer mandantenzuordnung, computerprogrammprodukt und vorrichtung
EP3832508B1 (de) Sperrung oder widerruf eines gerätezertifikats
WO2019115580A1 (de) Verfahren zum betreiben eines dezentralen speichersystems
DE102012203354A1 (de) Verfahren zur Personalisierung eines Smart Meter oder Smart Meter Gateway Sicherheitsmoduls
DE102012203356B4 (de) Verfahren zur Initialisierung eines Speicherbereichs, welcher einem Smart-Meter zugeordnet ist
WO2017190857A1 (de) Verfahren und vorrichtung zur absicherung von gerätezugriffen
EP4174691A1 (de) Leitsystem für eine technische anlage und verfahren zum entfernen eines oder mehrerer zertifikate
WO2006082177A1 (de) Verfahren und vorrichtung zur kontrolle von netzelementen in einem dezentralen netzwerk
WO2024105073A1 (de) Überwachungssystem zum nachgelagerten prüfen einer systemintegrität
DE102019211314A1 (de) Vertrauenswürdige Datenverarbeitung
EP2812838B1 (de) Verfahren zur initialisierung eines speicherbereichs, welcher einem smart-meter zugeordnet ist
CN114462798A (zh) 一种异源设备及web应用系统的数据集成方法和装置

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 15777910

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 15777910

Country of ref document: EP

Kind code of ref document: A1