Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
Veröffentlicht von:Walahfried Hengst Geändert vor über 10 Jahren
1
Automatische Zertifizierung von Studierenden und Mitarbeitern
der FernUniversität in Hagen Henning Mohren FernUniversität in Hagen Universitätsrechenzentrum Universitätsstr. 21 58084 Hagen
2
Zertifikatsserver Inhalt Historie Datenschutz und Datensicherheit
Usability Der Server der FernUniversität eToken-Erweiterung Features des Zertifikatsservers der Certification Authority (CA) Projektpartner
3
Historie Public-Key-Infrastrukturen an der FernUniversität
1996: Beginn des DFN-Projekts „Public-Key Service“ gefördert durch DFN, BMBF Technik: PGP 1997: Erweiterung des Projekts um SSL-Verschlüsselung 2002: Inbetriebnahme des Zertifizierungsautomaten für SSL-Zertifikate 2003: Zusammenarbeit mit NRW-Hochschulen, eToken-Erweiterung
4
Datenschutz und -sicherheit
Internet ist ein „unsicheres“ Medium Ursachen: Betriebssysteme, Programme, Netze, Anforderungen an Flexibilität und Funktionalität, Bedienfehler… Typische Angriffe: Sniffing („Mitlesen“) Spoofing („Vortäuschen fremder Identitäten“) Brute forcing („Methodische Versuche zum Passwort-Hacken“) Bouncing („ -Relaying, Spamming“) Denial of Service („Lastüberschreitungen“) … Trotzdem: Begehrlichkeiten, über Internet auch sensible Daten zu erreichen, steigen
5
Datenschutz und -sicherheit
Sicherheit im Internet z.B. durch organisatorisch/technische Maßnahmen Firewalls Viren-Checker Kryptographie Wie funktioniert Kryptographie?
6
Datenschutz und -sicherheit
Szenario (Flugreise): Was will der Kunde? Benutzer Server Verschlüsseln der Verbindung Authentizität des Servers Unverfälschtheit der Daten Zertifikat ist die digitale elektronische „Kreditkarte“ des Servers
7
Datenschutz und -sicherheit
Szenario (Wohnsitzwechsel): Was will der Betreiber des Servers? Benutzer Server Verschlüsseln der Verbindung Authentizität des Kunden Unverfälschtheit der der Daten Zertifikat ist die digitale elektronische „Kreditkarte“ des Kunden
8
Datenschutz und -sicherheit
Definition „Zertifikat“ Zertifikate sind „elektronische Kreditkarten / Ausweise“ Es gibt Client-Zertifikate (für Personen) Server-Zertifikate (für Maschinen)
9
Datenschutz und -sicherheit
Kryptographie ist „mehr“ als nur Accounting Eigenschaften Kryptographischer Verfahren: 1. Authentisierung 2. Datenintegrität 3. Vertraulichkeit 4. Non-Repudiation (SigG, SigV) Sniffing Spoofing Brute forcing Bouncing Denial of Service …
10
Usability Zugriff auf geschützte Seiten (Accounting)
11
Usability Zugriff auf geschützte Seiten (Zertifikate)
12
Usability Derzeitige Anwendungsmöglichkeiten an der FernUniversität
Selbst erstellte Applikationen: Prüfungsleistungsauskunft Pflege von Leistungsdaten Abruf von Belegerlisten Anmeldung zu Prüfungen Anmeldung zu Praktika … s Netzzugang Server-Login PC-Login eigene Appl.
13
Usability Geplante Anwendungsmöglichkeiten an der FernUniversität
ePayment-Funktionen (Bibliothek, z.B. Jason-System) Verschlüsselte Dateiablage (PrivateDisk, Multi-User- fähig) Access-Control Single-Sign-On
14
Usability Mögliche Anwendungen (allgemein) eBusiness eGovernment
eEducation eProcurement eEntry … „alles, was in Verbindung mit einem ‚e‘ gebracht werden kann“
15
Zertifikatsserver Wie erhält der Benutzer sein Zertifikat?
Zentrale Frage: Wie stelle ich sicher, dass Teilnehmer der PKI ein Zertifikat erhalten, ohne dass sie persönlich bei der Certification Authority erscheinen müssen? Randbedingungen: Mehrere Teilnehmergruppen, Client-, Serverzertifikate à verschiedene Möglichkeiten zur Authentisierung Lösung: Clientzertifikate: Authentisierung mit Hilfe von Daten, die der FernUniversität ohnehin vorliegen: Einschreibevorgang Einstellungsvorgang Behördenadressen Serverzertifikate: Außenwirkung! Persönliches Erscheinen bei Mitarbeitern der CA
16
Verifizierter Datenaustausch
Zertifikatsserver Authentisierung der Teilnehmer: „Postverfahren“ Einschreibevorgang Verifizierter Datenaustausch Adresse HIS
17
Zertifikatsserver Authentisierung der Teilnehmer: „Postverfahren“
Ausnutzen des Einschreibevorgangs für den Zertifikatsserver: Zertifikatsserver „ Client ƒ ‚ Client fordert Passwort an 2. Zertifikatsserver holt Adresse aus HIS-Datenbank 3. Zertifikatsserver schreibt Passwort in Zertifikatsdatenbank 4. Zertifikatsserver schickt Passwort per Post an Adresse aus HIS Datenbankserver HIS
18
Zertifikatsserver Authentisierung der Teilnehmer: „Postverfahren“
Ausnutzen des Einschreibevorgangs für den Zertifikatsserver: Zertifikatsserver „ Client ‚ ƒ Client fordert Zertifikat an 2. Zertifikatsserver verifiziert Passwort gegen Zertifikatsdatenbank 3. Zertifikatsserver stellt Zertifikat aus; schreibt es in Zertifikatsdatenbank 4. Zertifikatsserver bietet Zertifikat zum Download an; Client holt es ab Datenbankserver HIS
19
Zertifikatsserver Technische Realisierung: Hardware, Security
SUN Solaris Apache – WebServer OpenSSL / modSSL - Cryptomodul PHP + Ergänzungen Zertifikatsserver OracleNet Firewall, ACL‘s Datenbankserver HIS SUN Solaris Oracle – Datenbank IBM AIX Informix – Datenbank
20
Datenbankabstraktion
Zertifikatsserver Technische Realisierung: Schichtenarchitektur WebPräsentation Apache Unabhängigkeit vom RDBMS? Designänderung? HTML - Generator Smarty - Engine Programmierung PHP Datenbankabstraktion PEAR::DB Datenhaltung Oracle
21
Zertifikatsserver Technische Realisierung: 3-Server-System
Eigentlich: Drei Server (Nach außen zugänglicher) Zertifikatsserver, „usermode“ (Nach außen abgeschotteter) Zertifikatsserver, „adminmode“ Cronjob-Server (Zusatz-Features) Wichtig: gemeinsame Konfigurationsdatei (XML!) separate Funktionen (Sicherheit!)
22
Zertifikatsserver Technische Realisierung: Das Datenbanksystem
Datenbankserver RDBMS: MySQL, Oracle, PostgreSQL, InterBase, Mini SQL, Microsoft SQL Server, ODBC, Sybase, Informix, Frontbase Tabellen: Authentisierungsdaten Clientzertifikate Serverzertifikate
23
Zertifikatsserver Technische Realisierung: Benutzerführung
Client Browsersupport: Internet Explorer, Netscape, Opera, Mozilla, Konqueror auf Windows, Unix Dies bedeutet: Clientseitige VBScript-, ActiveX-Nutzung (Microsoft-Browser) Hintergrund: Schlüsselerzeugung bei Microsoft-Browsern nur mit Scripting möglich!
24
eToken-Erweiterung Erweiterung: eToken Lösung:
Zertifikate auf Hardware abspeichern eToken / SmartCards Mitnahme von Zertifikaten durch Mitnahme der Hardware Sicherheitsgewinn: Authentisierung durch Wissen und Besitz Problem: Mobilität von Zertifikaten Zertifikatsspeicher ist unflexibel Zur Mitnahme von Zertifikaten Export/Import erforderlich
25
eToken-Erweiterung eToken-Erweiterung:
Einbindung der eToken/SmartCards über betriebssystem-nahe Gerätetreiber Keine Hersteller-/Hardwareabhängigkeit Aber: gute Erfahrungen mit Aladdin Nutzen von Applikationen des Herstellers
26
Standards und Features
Standards des Zertifikatsservers der Certification Authority (CA): Zertifikate nach X.509v3-Norm CRL‘s nach X.509v1/v2-Norm Unterstützung des PKCS-Protokolls SQL-Datenbank-Unterstützung TCP/IP und OracleNet-Netzwerk-Verbindung PHP/Smarty/PEAR::DB/XML Languages OpenSSL-Cryptolibrary
27
Standards und Features
Features des Zertifikatsservers der Certification Authority (CA): Vollautomatische Authentizitätsprüfung und Ausstellung von Zertifikaten Vollautomatisches CRL-Handling Vollautomatische Verwaltung von Zertifikaten (ausliefern, veröffentlichen, archivieren, sperren) in einer SQL-Datenbank Halbautomatischer First-Level-Support Ausstellen von Serverzertifikaten Unterstützung aller Speichermedien
28
Nutzung durch andere Hochschulen
Der Zertifikatsserver der FernUniversität wird derzeit erprobt durch:
29
Q&A Henning Mohren FernUniversität in Hagen Universitätsrechenzentrum
Universitätsstr. 21 58084 Hagen
Ähnliche Präsentationen
© 2024 SlidePlayer.org Inc.
All rights reserved.