Jun 21, 2018

Es war einmal eine große Firma. Eine richtig große Firma. Die hatte fast alles im Programm. Von Atommeilen bis zu Waschmaschinen. Na gut, mit den Atommeilern läuft es in letzter Zeit nicht so gut und die Waschmaschinen hat man gerade abgegeben. Aber das ist für unsere Geschichte nicht so wichtig.

Die große Firma hatte ein kleines Problem. Weil sie so groß war. Denn an jedem Werktagmorgen, wenn sich so zwischen 8:00 und 9:00 Uhr die gut dreihunderttausend Mitarbeiter an ihren PCs, Laptops oder sonstigen Stationen per persönlicher Chipkarte einloggen wollten, musste sie erst einmal warten. Und warten. Und warten.

Das auf der persönlichen Chipkarte verschlüsselt gespeicherte Zertifikat musste beim Login nämlich erst einmal als aktuell und gültig bestätigt werden. Und da in dieser großen Firma viele Kommunikationsvorgänge mit Zertifikaten abgesichert wurden, waren täglich bis zu mehrere Millionen Anfragen auf Zertifikatsüberprüfung zu bearbeiten. Dabei wurde die Echtheit und Aktualität mit sogenannten Zertifikatsperrlisten abgeglichen. Bei unserer großen Firma enthielten diese Sperrlisten sämtliche seit Einführung der Chipkarten in den 90er Jahren ausgegebenen Zertifikate. Und diese Listen wurden mit jedem Eintrag länger und länger…

Da hatte eine vergleichsweise kleine Firma eine große Idee: Es wurde eine OCSP Server Instanz implementiert. Das Online Certificate Status Protocol (OCSP), kann im Gegensatz zu den Sperrlisten die Zertifikatsgültigkeiten bescheinigen. Es findet also kein Negativabgleich statt, sondern es wird nachgefragt, ob ein bestimmtes Zertifikat zum Zeitpunkt der Authentifizierungsfrage gültig ist. Das geht nicht nur sehr viel schneller es ist auch deutlich aktueller und damit sicherer. Während Sperrlisten in Intervallen aktualisiert werden, liefern die sogenannten OCSP-Responder sekundenaktuelle Sperrinformationen. Außerdem sind die Antworten des Responders immer digital signiert, das heißt, der Client kann sie auf Echtheit und Unverfälschtheit überprüfen. Darüber hinaus wurde mit OCSP auch die Verteilung von Software Updates an Sensoren, Maschinen und ganze Anlagen vereinfacht und beschleunigt.

Die große Firma möchte nicht genannt werden. Schade, sie haben es doch gut gemacht. Die kleine Firma, Überraschung, ist KOBIL. Und die Lösung ist KOBIL Trust OCSP. Mehr dazu hier:

Trustcenter

Thomas Siegner