Datenschutz sensibler Datenaustausch

Datenschutz sensibler Datenaustausch

Mit KeyTalk sichern Sie den Datenaustausch zwischen Benutzern, Portalen oder Systemen und somit Apps, die mit Ihnen kommunizieren, auf Basis von Two-Way SSL.

Für den Austausch von (sehr) sensiblen Daten ist die klassische HTTPS-Verbindung nicht sicher genug. Mit KeyTalk CKMS ist es möglich, um extra Sicherheit hinzuzufügen: mithilfe von Benutzerzertifikaten wird Two-Way SSL erstellt. Möglicherweise mit Zwei-Faktor-Authentifizierung (2FA), basierend auf einem Gerät oder Token. Dies macht zum Beispiel man-in-the-middle Angriffe nicht mehr möglich.

Wie funktioniert es in der Praxis?

Auf der Benutzerseite: Benutzer laden die KeyTalk App runter und melden sich mit ihren üblichen Zugangsdaten an. Die App ruft dann ein Zertifikat und ein Schlüsselpaar ab und installiert dieses automatisch auf dem Gerät. Auf dieser Basis hat der Benutzer Zugriff auf das Portal oder das Backend-System. Solange das Zertifikat gültig ist, ist erneutes anmelden nicht notwendig.

  • KeyTalk wird mit dem AD verbunden, eine Authentifizierung mit Kerberos ist auch möglich. Eventuell kann die Hardwareerkennung als zweiter Faktor (2FA) eingestellt werden, so dass sich die Benutzer einzeln auf einem vertrauenswürdigen Gerät anmelden können.
  • Die Gültigkeitsdauer vom Zertifikat ist pro Benutzer oder Benutzergruppe einstellbar. Der Benutzer braucht sich während der Gültigkeitsdauer (zum Beispiel ein Tag oder eine Woche) nur einmal anzumelden, der Rest der Gültigkeit wird automatisch über das Zertifikat ausgeführt.

Kostenlose interne private Zertifikate (und Schlüssel)

KeyTalk kann mit externen öffentlichen CA’s wie GMO GlobalSign oder Digicert QuoVadis verknüpft werden. Für geschlossene Benutzergruppen bieten wir eine kostengünstige Alternative: KeyTalk interne CA generiert kostenlose (!) interne private Zertifikate (und Schlüssel). Teure öffentliche Zertifikate sind somit nicht mehr notwendig.

Technische Details

Anwendungen, die die zertifikatbasierte Clientauthentifizierung unterstützen (wie Outlook/Exchange (Online), SharePoint, IIS, Apache, TomCat und viele andere) können so konfiguriert werden, dass dies angefordert wird. Meistens geschieht dies auf der Grundlage von einem oder mehreren explizit vertrauenswürdigen CA Quelle(n) und eines (Benutzer)Namens im Zertifikat.

Basierend auf einem Public-Private Key-Handshake baut die Anwendung die Verbindung auf und validiert die Daten des angebotenen Client-Zertifikats.

Sobald der Server und die Anwendung festgestellt haben, dass alles korrekt ist, richten die meisten Anwendungen eine zweiseitige SSL-authentifizierte Verbindung oder TLS ein. Auf diese Weise sind Sie sogar vor Man-in-the-Middle-Angriffen (MITM-Angriffe) wie Modlishka geschützt.

Weitere Informationen?

Möchten Sie eine Demo, Proof of Concept oder eine direkte technische Vertiefung mit einem unserer PKI-Experten? Nimm Kontakt mit uns auf, wir denken gerne mit dir mit!