Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
1
WILLKOMMEN BEI BROKAT Infosystems AG
Marc Mausch
2
BROKAT heute Gegründet 1994 mit 5 Partnern in Deutschland
Heute Niederlassungen in USA, England, Schweiz, Irland, Singapur, Österreich, Luxemburg, Südafrika und in Australien Anbieter der integrierten E-Services Plattform BROKAT Twister, die Multi-Channel-Lösungen für elektronische Transaktions-Applikationen ermöglicht. Führender Anbieter von Financial E-Services Applikationen die auf Twister basieren Deutschland 90% Europa 60 % 500 Mitarbeiter (Juni 99) (nach Fusion mit MeTechnology) Erfolge in neuen Geschäftsbereichen
3
Auszug-Trendsetter XsPRESSO Retail Banking
England COOP Bank Online First Direct Online Deutschland Bank 24 Online ConSors Discount-Broker Online Deutsche Bank Online Schmidt Bank Online Hypo Bank Online Advance Bank Online comdirect Online Allianz Kapitalanlagegesellschaft Online Raiffeisenbanken 731 Online Sparkassen 2 Online Bausparkasse Schwäbisch Hall Online Mehr als 1000 Sparkassen und Raiffeisenbanken in Realisierung Schweiz Zürcher Kantonalbank Online Mehr als 100 Privatbanken in Realisierung Österreich Alle Österreichischen Raiffeisenbanken Online sonstige Fortis Bank (LUX) Online Egnatia Bank (GR) Online POS Bank (SG) Online Liechtensteinische Landesbank (FL)
4
Städtewettbewerb MEDIA@Komm
Alle drei nutzen BROKAT-Know-How: Bremen Esslingen Nürnberg Einsatz von BROKAT Twister als technologische Plattform für Sichere Client-Anbindung über verschiedene Kanäle Backend-Integration Signaturgesetzkonforme Anwendungen
5
Was bedeutet Sicherheit?
Vertraulichkeit Keiner außer den Kommunikationspartnern kann die ausgetauschten Nachrichten mithören. Integrität Die empfangenen Nachrichten sind identisch mit den gesendeten Nachrichten. Authentifizierung Die Identität des Kommunikationspartners ist eindeutig nachgewiesen. Nichtabstreitbarkeit Keine der beteiligten Parteien kann abstreiten, daß eine bestimmte Nachricht ausgetauscht worden ist.
6
SECURITY - SYMMETRISCHE VERSCHLÜSSELUNG
Beide Kommunikationspartner benutzen denselben geheimen Schlüssel Algorithmen: IDEA, DES, 3DES, RC2, RC4, ... Bob Alice Verschlüsselung Klartext Ciphertext Entschlüsselung Geheimer Schlüssel
7
SECURITY - ASYMMETRISCHE VERSCHLÜSSELUNG
Die Kommunikationspartner benutzen unterschiedliche Schlüssel Es existieren Schlüsselpaare: privater und öffentlicher Schlüssel Algorithmen: RSA, ElGamal, Elliptische Kurven, ... Bob Alice Verschlüsselung Klartext Ciphertext Entschlüsselung Öffentlicher Schlüssel Bob Privater Schlüssel Bob
8
SECURITY - SSL STANDARD
Internet entschlüsseln Ciphertext Klartext verschlüsseln/ verschlüsseln Öffentlicher Schlüssel Bob Privater Schlüssel Bob Zufalls- zahlen- Generator 1 2 3 4 Browser Alice Server Bob Symmetrischer Sitzungsschlüssel Symmetrischer Sitzungsschlüssel
9
Problemfelder und Schutzmechanismen:
Vertraulichkeit Problemfelder und Schutzmechanismen: Zugriff auf ‚gelagerte‘ Daten (Zutritt zu einem Aktenarchiv) Schutzmechanismen: Firewall (schützt vor unberechtigten Zugriff) Paßwortschutz (schützt vor unberechtigter Berechtigung) Abhören von ‚bewegten‘ Daten (Überfall auf einen Aktentransporter) Verschlüsselung (die geraubten Akten sind unleserlich) Symmetrische 128-bit-Verschlüsselung: 1 Mio.$ HW benötigt das Lebensalter der Erde, um sämtliche Kombinationen zu testen. Asymmetrische gilt ab 1024 bit als sicher. Kreditkartenzahlung mit symmetrischer 56-bit-Verschlüsselung Standard-Verschlüsselungsfunktion von Browsern: 40 bit
10
Integrität und Authentizität
Verschiedene Sicherheitsstufen: Datenabgleich (z.B. Kartennummer und Kartengültigkeit) PIN PIN/TAN Softwarezertifikat Kartenbasiert Kartenbasiert nach digitalem Signaturgesetz Biometrie Grundprinzip der kartenbasierten Lösungen: Asymmetrische Verschlüsselung
11
Integrität und Authentizität
Sämtliche Authentifzierungsmethoden benötigen eine Zertifizierungsinstanz: Datenabgleich: Plausibilität bzw. zentrale Datenbank PIN: Privat geführte Datenbank PIN/TAN: Privat geführte Datenbank Softwarezertifikat: Datenbank, TrustCenter oder Net of Trust Kartenbasiert: Privat geführtes TrustCenter Kartenbasiert nach dig. Signaturgesetz: Unabhängiges TrustCenter
12
THANK YOU FOR LISTENING
13
SECURITY - TWISTER IN VERTEILTEN UMGEBUNGEN
Certificate Management Service Certificate Management Service Gateway Gateway Internet Twister Service Twister Object Twister Object Twister Service SSL Twister A Twister B
14
SECURITY - TWISTER-INTERNE KONZEPTE
IIOP Kommunikation zwischen Twister-Komponenten optional durch SSL abgesichert Gateways Twister Services Twister Objects Ermöglicht die Verteilung von Twister-Komponenten und die sichere Kommunikation zwischen Twister-Installationen über öffentliche Netze Einfache Verwaltung von Twister-internen Zertifikaten mit Hilfe des Certificate Management Service
15
SECURITY - TWISTER-INTERNE PKI (1/2)
Twister Gateways, Services, Node Manager und Object Manager besitzen eine digitale Identität PSE (Personal Secure Environment): Privater RSA-Schlüssel Zertifikat, Zertifikatsliste (X.509) Vertrauenswürdige Zertifikate Gateway Node Manager Object Naming Service PSE Load Balancing S.
16
SECURITY - TWISTER-INTERNE PKI (2/2)
PSE Tool PSE Certificate Management Service Twister Certificate Issuer Gateway PSE Tool: Erzeugung und Verwaltung der PSEs von Twister-Komponenten Erzeugung von RSA-Schlüsselpaaren und PKCS#10 Zertifikatsanfragen Java und C++ Kommandozeilen-Tool Certificate Management Service: Generische Zertifikats-Management Dienste Bereitstellung von CRLs (Zertifikats-Rückruflisten) Twister Certificate Issuer: Erzeugung und Verwaltung von X.509 Zertifikaten für Twister-Komponenten
17
SECURITY - INTEGRATION VON EXTERNEN CAs
Personalisierung Registration Authority Ausstellung/Rückruf von Zertifikaten CA LDAP Verzeichnis SC Leser CRL Prüfung LDAP Accessor PKCS#11 Modul XsPRESSO Gateway Twister Applet SSL Browser
18
SECURITY - INTEGRATION VON INTERNEN CAs
Personalisierung CA LDAP Verzeichnis Ausstellung/Rückruf von Zertifikaten CRL Prüfung SC Leser CA Accessor LDAP Accessor PKCS#11 Modul XsPRESSO Gateway Twister RA Applet SSL Browser
19
SECURITY - SSL HANDSHAKE
CLIENT SERVER ClientHello ServerHello Certificate* CertificateRequest* ServerKeyExchange* ServerHelloDone Certificate* ClientKeyExchange CertificateVerify* change cipher spec Finished change cipher spec Finished Applikationsdaten Applikationsdaten * optionale Nachrichten
20
SECURITY - METHODEN DER CLIENT-AUTHENTIFIZIERUNG
Digitale Zertifikate: Eingebunden im SSL-Protokoll Basierend auf X.509 Zertifikaten Speicherung von privaten Schlüsseln und Zertifikaten: Smartcard oder PSE HTTP/1.0 Authentication: UserID und Paßwort Directory-basiert oder Twister Session-basiert Weitere Methoden der Client-Authentifizierung: Ausführung auf der Applikationsebene PIN/TAN (PIN und einmalige Transaktionsnummern) Challenge/Response Hardware Token Mobile digitale Signaturen
21
SECURITY - CLIENT-AUTHENTIFIZIERUNG, ZERTIFIKATS/PKI INTEGRATION (1/2)
Certificate Management Service: Zentrales Zertifikats-Interface für Twister Standard-Komponente der Twister-Installation zur Benutzung von Zertifikaten (intern oder extern) Stellt ein generisches Interface für Applikationsprogrammierer zur Verfügung und abstrahiert tatsächlich verwendete CA Verwaltung von Zertifikaten für Twister-Komponenten, welche für interne SSL-Verschlüsselung benutzt werden (Twister Certificate Issuer), sowie von Client-Zertifikaten (über optionalen CA Accessor) Zentraler Zugriffspunkt für CRLs (Certificate Revocation Lists), entweder als lokale Kopie oder über optionalen LDAP Accessor aus Verzeichnissen Auslieferung mit generischen RDOs (Funktionalität hängt von angebunden CA-Produkten ab) Extensions für iD2, Baltimore & Entrust
22
SECURITY - CLIENT-AUTHENTIFIZIERUNG, ZERTIFIKATS/PKI INTEGRATION (2/2)
CERTIFICATE MANAGEMENT SERVICE CA- spezifisch generisch Twister RDOs Certificate Management Service CA Extension Verwendet CA-spezi-fische API Twister Certificate Issuer iD2 CA (Baltimore) (Entrust) ..... CRL-Prüfung Zertifikats-Anfrage Zertifikats-Widerruf ..... Verwaltet CRLs Request Queuing
Ähnliche Präsentationen
