Angesichts der zentralen Rolle der Root-Zertifizierungsstellen als Vertrauensanker der Web PKI und der in der Vergangenheit aufgetretenen Vorfälle mit unberechtigt oder inkorrekt ausgestellten Zertifikaten, ist die Transparenz und Verantwortlichkeit dieser Root CAs von großer Bedeutung. Seit der Einführung von Certificate Transparency Logs werden alle von Certificate Authorities ausgestellten Zertifikate in diese öffentlichen Logs eingetragen.
Die Arbeit stellt die Problematik der eingeschränkten Zugänglichkeit dieser Daten für die Wissenschaft dar und entwickelt ein Werkzeug, dass eine unabhängige Aufzeichnung und Auswertung von Certificate Transparency Logs ermöglicht. Das entwickelte System nutzt eine containerbasierte Architektur und Elasticsearch zur effizienten Speicherung und Analyse der Daten. Es bewältigt ein hohes Datenaufkommen von durchschnittlich 25 Millionen Log-Einträgen pro Tag und ermöglicht eine anpassbare Datenverarbeitung und -auswertung. Die Vorverarbeitung und Indexierung sowie die Auswertung der Daten erfolgte mit Python, was eine flexible Anpassung des Systems an unterschiedliche Forschungsfragen erlaubt.
Über einen Zeitraum von 42 Tagen wurden insgesamt 645 Millionen CT Log-Einträge aufgezeichnet und analysiert. Aus den Auswertungen geht hervor, wie verschiedene CAs und deren Root-Zertifikate genutzt werden und wie stark die unterschiedlichen CT Logs von CAs verwendet werden.
Die Arbeit identifiziert jedoch auch Herausforderungen, wie den hohen Speicherbedarf und notwendige Optimierungen in der Datenindexierung.:1 Einleitung
1.1 Problemstellung
1.2 Zielstellung
2 Grundlagen
2.1 X509-Zertifikate
2.1.1 Felder
2.1.2 Erweiterungen
2.2 Certificate Transparency
2.2.1 Certificate Transparency Log
2.2.2 Überprüfung durch User Agents
2.2.3 Überprüfung durch Monitors
2.2.4 Eintragung durch Certificate Authorities
3 Konzeptionierung
3.1 Abfrage der CT Logs
3.2 Verarbeitung der Zertifikate
3.3 Speicherung & Auswertung der Daten
3.4 Überwachung
3.5 Docker
4 Implementierung
4.1 Plattform
4.2 Überwachung
4.3 certstream-server
4.4 Verarbeitung
4.4.1 Pufferung (stream-to-queue-publisher)
4.4.2 Vorverarbeitung (cert-indexer)
4.5 Elasticsearch
4.5.1 Speicherverbrauch
4.5.2 Field Mappings
5 Auswertung
5.1 Logs & Log-Betreiber
5.2 Certificate Authorites
5.3 Zertifikats-Größe
5.4 Gültigkeitsdauer
6 Schluss
6.1 Fazit
6.2 Ausblick
A Beispiel X509 Leaf-Zertifikat
B Beispiel X509 Root-Zertifikat
C Beispiele Elasticsearch Abfragen
Literatur
Abbildungsverzeichnis
Tabellenverzeichnis / In view of the central role of the root certification authorities as trust anchors of the Web PKI and the incidents that have occurred in the past with unauthorised or incorrectly issued certificates, the transparency and accountability of these root CAs is of great importance. With the introduction of Certificate Transparency Logs, all certificates issued by Certificate Authorities are now entered in public logs.
The work presents the problem of the limited accessibility of this data for science and develops a tool that enables an independent recording and evaluation of Certificate Transparency Logs. The developed system uses a container-based architecture and Elasticsearch to efficiently store and analyse the data. It can handle a high volume of data, averaging 25 million log entries per day, and enables customisable data processing and analysis. Python was used to pre-process, index and analyse the data, allowing the system to be flexibly adapted to different research questions.
A total of 645 million CT log entries were recorded and analysed over a period of 42 days. The analyses show how different CAs and their root certificates are used and how much the different CT logs are used by CAs.
However, the work also identifies challenges, such as the high memory requirements and necessary optimisations in data indexing.:1 Einleitung
1.1 Problemstellung
1.2 Zielstellung
2 Grundlagen
2.1 X509-Zertifikate
2.1.1 Felder
2.1.2 Erweiterungen
2.2 Certificate Transparency
2.2.1 Certificate Transparency Log
2.2.2 Überprüfung durch User Agents
2.2.3 Überprüfung durch Monitors
2.2.4 Eintragung durch Certificate Authorities
3 Konzeptionierung
3.1 Abfrage der CT Logs
3.2 Verarbeitung der Zertifikate
3.3 Speicherung & Auswertung der Daten
3.4 Überwachung
3.5 Docker
4 Implementierung
4.1 Plattform
4.2 Überwachung
4.3 certstream-server
4.4 Verarbeitung
4.4.1 Pufferung (stream-to-queue-publisher)
4.4.2 Vorverarbeitung (cert-indexer)
4.5 Elasticsearch
4.5.1 Speicherverbrauch
4.5.2 Field Mappings
5 Auswertung
5.1 Logs & Log-Betreiber
5.2 Certificate Authorites
5.3 Zertifikats-Größe
5.4 Gültigkeitsdauer
6 Schluss
6.1 Fazit
6.2 Ausblick
A Beispiel X509 Leaf-Zertifikat
B Beispiel X509 Root-Zertifikat
C Beispiele Elasticsearch Abfragen
Literatur
Abbildungsverzeichnis
Tabellenverzeichnis
Identifer | oai:union.ndltd.org:DRESDEN/oai:qucosa:de:qucosa:92601 |
Date | 13 July 2024 |
Creators | Meesters, Johannes |
Contributors | Müller, Jean-Alexander, Ulbricht, Marian, Hochschule für Technik, Wirtschaft und Kultur Leipzig |
Source Sets | Hochschulschriftenserver (HSSS) der SLUB Dresden |
Language | German |
Detected Language | German |
Type | doc-type:bachelorThesis, info:eu-repo/semantics/bachelorThesis, doc-type:Text |
Rights | info:eu-repo/semantics/openAccess |
Page generated in 0.0034 seconds