Notes ID Sicherheit

    Hallo,


    ich befasse mich gerade mit der Sicherheit der ID-Dateien.
    Speziell für den Fall, das eine ID-Datei gestohlen wird.


    Dazu habe ich ein paar Test gemacht, die mich verwundert haben.


    Ich habe einen TestUser angelegt und ihn danach im Adressbuch gelöscht.


    Der User existiert nur noch als Name in einer Gruppe, die den Zugriff auf den Server regelt.


    Servereinstellungen:
    Anonyme Verbindungen werden nicht zugelassen.
    Öffentliche Schlüssel werden nicht verglichen


    Ergebnis: Der User kann auch ohne vorhandenes Personendokument auf den Server zugreifen. Es reicht der Name in der erwähnten Gruppe...


    Den selben User, welcher nun ohne Personendokument ist, habe ich in einer anderen Domäne in einer ACL aufgenommen.


    Ergebnis: Auch hier kann der User weiterhin fröhlich zugreifen.


    Die andere Domäne hat ein Gegenzertifikat für den Zertifizierer mit dem der TestUser erstellt worden ist.
    1) Liegt es eventuell daran das der Zugriff erhalten bleibt?


    2) Wie funktioniert die Authentifizierung bei diesem Fall im Detail?


    3) Kann es sogar sein, dass jemand mit einem eigenen gleichnamigen Zertifizierer einen gleichnamigen User einrichtet (Welchen es in meiner Domäne gibt) und sich somit Zugriff auf meine Server verschaffen kann?

    1) Ja
    2) Der Client präsentiert den Login-Popup, du gibst dein Passwort ein, der Client prüft gegen die ID und meldet gegen den Server zurück, ob OK oder nicht. Dann ist es abhängig davon, ob Schlüsselabgleich eingestellt ist, oder nicht. Wenn nicht, reicht der Client im Endeffekt nur deinen Notesnamen mit der bestätigten Authentifizierung an den Server weiter, der dann basierend auf der jeweiligen ACL die Authorisierung vornimmt. Beim Schlüsselabgleich hingegen, wird dein Private Key und der im Personendokument hinterlegte Public Key verglichen. Existiert kein Personendokument, kann der Abgleich nicht vorgenommen werden, du wirst abgewisen.
    3) Nein, da der nacherstellte Certifier andere Schlüssel hat, damit deine ID eben auch. Damit stimmt dein Key nicht mehr mit dem Gegenzertifikat überein.

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

    Vielen Dank, die Infos helfen mir schon erheblich weiter.


    Ich hätte da noch zwei Fragen :)


    1) Es gibt in der Notes-ID des Server ein Zertifikat von Typ
    "Notes Zertifizierungsstelle", ich vermute mal dieses wird zur Prüfung herangezogen?


    2) Kannst Du vielleicht noch erklären wie im Detail der Aspekt der Authentifizierung abläuft und wo der Unterschied zur Authentifizierung über ein Gegenzertifikat liegt?

    1) Ich verstehe nicht, worauf du hinaus willst. Der Certifier des Servers muss nicht zwangsläufig dem Certifier entsprechen unter dem ein User zugelassen ist. Was exakt ist deine Frage?


    2) Die Authentifizierung, die der Client via Passwortabfrage vornimmt, hat rein gar nichts mit Querzertifikaten zu tun.


    Zu den Mechanismen und Begrifflichkeiten einer PKI gibt es im Internet haufenweise Material zu lesen. Sinnvollerweise liest du dich erst einmal in die Basics ein.

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

    Hallo RockWilder,


    meine Frage basierter darauf, was nutzt der Server um die Gültigkeit eines Zertifikates zu berechnen.


    1) Wenn er ein Cross-Zertifikat hat nutzt er dies, wenn er keines hat, auf was genau greift er dann zurück?


    2) Ein Cross-Zertifikat enthält nur den Namen einer ID und den Schlüsselbezeichner. Jedenfalls reichen diese Informationen um ein Cross-Zertifikat anzulegen. Ich hätte erwartet, dass man den Public Key eines Zertifikates angeben muss, muss man aber nicht.

    Die Gültigkeit errechnet er aus dem Key


    1) Ein Gegenzertifikat gibt nur an, bis wann ein Schlüssel gültig sein _könnte_. Ob der Schlüssel, genauer: die anfragende ID noch gut ist, ist in der ID selbst verdrahtet (genauer: errechnet sich aus dem Key).


    2) Dann schau doch mal bitte ins Dokument. Das kryptische Zeichengewusel ist ein Key, der sich aus dem zertifizierendem und der zertifiziertem Key errechnet.


    Wie ich bereits sagte: ließ dich in die Mechanismen einer PKI im Speziellen und den Dominomechanismen im Besonderen ein.

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl