Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Sonntag, 26. Januar 20141© FernUniversität in Hagen - Certification Authority (CA) Automatische Zertifizierung von Studierenden und Mitarbeitern der FernUniversität.

Ähnliche Präsentationen


Präsentation zum Thema: "Sonntag, 26. Januar 20141© FernUniversität in Hagen - Certification Authority (CA) Automatische Zertifizierung von Studierenden und Mitarbeitern der FernUniversität."—  Präsentation transkript:

1 Sonntag, 26. Januar 20141© FernUniversität in Hagen - Certification Authority (CA) Automatische Zertifizierung von Studierenden und Mitarbeitern der FernUniversität in Hagen Henning Mohren FernUniversität in Hagen Universitätsrechenzentrum Universitätsstr Hagen

2 Sonntag, 26. Januar 20142© FernUniversität in Hagen - Certification Authority (CA) Inhalt 1.Historie 2.Datenschutz und Datensicherheit 3.Usability 4.Der Server der FernUniversität 5.eToken-Erweiterung 6.Features des Zertifikatsservers der Certification Authority (CA) 7.Projektpartner Zertifikatsserver

3 Sonntag, 26. Januar 20143© FernUniversität in Hagen - Certification Authority (CA) Public-Key-Infrastrukturen an der FernUniversität 1996:Beginn des DFN-Projekts Public-Key Service gefördert durch DFN, BMBF Technik: PGP 1997:Erweiterung des Projekts um SSL-Verschlüsselung 2002:Inbetriebnahme des Zertifizierungsautomaten für SSL-Zertifikate 2003:Zusammenarbeit mit NRW-Hochschulen, eToken-Erweiterung Historie

4 Sonntag, 26. Januar 20144© FernUniversität in Hagen - Certification Authority (CA) Internet ist ein unsicheres Medium Ursachen:Betriebssysteme, Programme, Netze, Anforderungen an Flexibilität und Funktionalität, Bedienfehler… Typische Angriffe: Sniffing (Mitlesen) Spoofing (Vortäuschen fremder Identitäten) Brute forcing (Methodische Versuche zum Passwort-Hacken) Bouncing ( -Relaying, Spamming) Denial of Service (Lastüberschreitungen) … Trotzdem: Begehrlichkeiten, über Internet auch sensible Daten zu erreichen, steigen Datenschutz und -sicherheit

5 Sonntag, 26. Januar 20145© FernUniversität in Hagen - Certification Authority (CA) Sicherheit im Internet z.B. durch organisatorisch/technische Maßnahmen Firewalls Viren-Checker Kryptographie Wie funktioniert Kryptographie? Datenschutz und -sicherheit

6 Sonntag, 26. Januar 20146© FernUniversität in Hagen - Certification Authority (CA) Szenario (Flugreise): Was will der Kunde? Datenschutz und -sicherheit Benutzer Server Verschlüsseln der Verbindung Authentizität des Servers Unverfälschtheit der Daten Zertifikat ist die digitale elektronische Kreditkarte des Servers

7 Sonntag, 26. Januar 20147© FernUniversität in Hagen - Certification Authority (CA) Szenario (Wohnsitzwechsel): Was will der Betreiber des Servers? Datenschutz und -sicherheit Benutzer Server Verschlüsseln der Verbindung Authentizität des Kunden Unverfälschtheit der der Daten Zertifikat ist die digitale elektronische Kreditkarte des Kunden

8 Sonntag, 26. Januar 20148© FernUniversität in Hagen - Certification Authority (CA) Definition Zertifikat Zertifikate sind elektronische Kreditkarten / Ausweise Es gibt Client-Zertifikate (für Personen) Server-Zertifikate (für Maschinen) Datenschutz und -sicherheit

9 Sonntag, 26. Januar 20149© FernUniversität in Hagen - Certification Authority (CA) Kryptographie ist mehr als nur Accounting Eigenschaften Kryptographischer Verfahren: 1.Authentisierung 2.Datenintegrität 3.Vertraulichkeit 4.Non-Repudiation (SigG, SigV) Datenschutz und -sicherheit Sniffing Spoofing Brute forcing Bouncing Denial of Service …

10 Sonntag, 26. Januar © FernUniversität in Hagen - Certification Authority (CA) Zugriff auf geschützte Seiten (Accounting) Usability

11 Sonntag, 26. Januar © FernUniversität in Hagen - Certification Authority (CA) Zugriff auf geschützte Seiten (Zertifikate) Usability

12 Sonntag, 26. Januar © FernUniversität in Hagen - Certification Authority (CA) Derzeitige Anwendungsmöglichkeiten an der FernUniversität Usability sNetzzugangServer-LoginPC-Logineigene Appl. Selbst erstellte Applikationen: Prüfungsleistungsauskunft Pflege von Leistungsdaten Abruf von Belegerlisten Anmeldung zu Prüfungen Anmeldung zu Praktika …

13 Sonntag, 26. Januar © FernUniversität in Hagen - Certification Authority (CA) Geplante Anwendungsmöglichkeiten an der FernUniversität ePayment-Funktionen (Bibliothek, z.B. Jason-System) Verschlüsselte Dateiablage (PrivateDisk, Multi-User- fähig) Access-Control Single-Sign-On Usability

14 Sonntag, 26. Januar © FernUniversität in Hagen - Certification Authority (CA) Mögliche Anwendungen (allgemein) eBusiness eGovernment eEducation eProcurement eEntry … alles, was in Verbindung mit einem e gebracht werden kann Usability

15 Sonntag, 26. Januar © FernUniversität in Hagen - Certification Authority (CA) Wie erhält der Benutzer sein Zertifikat? Zentrale Frage: Wie stelle ich sicher, dass Teilnehmer der PKI ein Zertifikat erhalten, ohne dass sie persönlich bei der Certification Authority erscheinen müssen? Randbedingungen: Mehrere Teilnehmergruppen, Client-, Serverzertifikate verschiedene Möglichkeiten zur Authentisierung Zertifikatsserver Clientzertifikate:Authentisierung mit Hilfe von Daten, die der FernUniversität ohnehin vorliegen: Einschreibevorgang Einstellungsvorgang Behördenadressen Serverzertifikate:Außenwirkung! Persönliches Erscheinen bei Mitarbeitern der CA Lösung:

16 Sonntag, 26. Januar © FernUniversität in Hagen - Certification Authority (CA) Authentisierung der Teilnehmer: Postverfahren Einschreibevorgang HIS Verifizierter Datenaustausch Adresse Zertifikatsserver

17 Sonntag, 26. Januar © FernUniversität in Hagen - Certification Authority (CA) Authentisierung der Teilnehmer: Postverfahren Ausnutzen des Einschreibevorgangs für den Zertifikatsserver: 1.Client fordert Passwort an Client Zertifikatsserver HISDatenbankserver 2.Zertifikatsserver holt Adresse aus HIS-Datenbank 3.Zertifikatsserver schreibt Passwort in Zertifikatsdatenbank 4.Zertifikatsserver schickt Passwort per Post an Adresse aus HIS Zertifikatsserver

18 Sonntag, 26. Januar © FernUniversität in Hagen - Certification Authority (CA) Authentisierung der Teilnehmer: Postverfahren Ausnutzen des Einschreibevorgangs für den Zertifikatsserver: Zertifikatsserver HISDatenbankserver 1.Client fordert Zertifikat an 2.Zertifikatsserver verifiziert Passwort gegen Zertifikatsdatenbank 3.Zertifikatsserver stellt Zertifikat aus; schreibt es in Zertifikatsdatenbank 4.Zertifikatsserver bietet Zertifikat zum Download an; Client holt es ab Zertifikatsserver Client

19 Sonntag, 26. Januar © FernUniversität in Hagen - Certification Authority (CA) Technische Realisierung: Hardware, Security Zertifikatsserver HISDatenbankserver SUN Solaris Oracle – Datenbank Firewall, ACLs IBM AIX Informix – Datenbank SUN Solaris Apache – WebServer OpenSSL / modSSL - Cryptomodul PHP + Ergänzungen OracleNet Zertifikatsserver

20 Sonntag, 26. Januar © FernUniversität in Hagen - Certification Authority (CA) Technische Realisierung: Schichtenarchitektur Datenhaltung Programmierung WebPräsentation Oracle PHP Apache PEAR::DB Smarty - Engine Datenbankabstraktion HTML - Generator Zertifikatsserver D e s i g n ä n d e r u n g ? U n a b h ä n g i g k e i t v o m R D B M S ?

21 Sonntag, 26. Januar © FernUniversität in Hagen - Certification Authority (CA) Technische Realisierung: 3-Server-System Zertifikatsserver Eigentlich: Drei Server (Nach außen zugänglicher) Zertifikatsserver, usermode (Nach außen abgeschotteter) Zertifikatsserver, adminmode Cronjob-Server (Zusatz-Features) Wichtig:gemeinsame Konfigurationsdatei (XML!) separate Funktionen (Sicherheit!) Zertifikatsserver

22 Sonntag, 26. Januar © FernUniversität in Hagen - Certification Authority (CA) Technische Realisierung: Das Datenbanksystem Datenbankserver RDBMS:MySQL, Oracle, PostgreSQL, InterBase, Mini SQL, Microsoft SQL Server, ODBC, Sybase, Informix, Frontbase Tabellen:Authentisierungsdaten Clientzertifikate Serverzertifikate Zertifikatsserver

23 Sonntag, 26. Januar © FernUniversität in Hagen - Certification Authority (CA) Technische Realisierung: Benutzerführung Browsersupport:Internet Explorer, Netscape, Opera, Mozilla, Konqueror auf Windows, Unix Dies bedeutet:Clientseitige VBScript-, ActiveX-Nutzung (Microsoft-Browser) Hintergrund:Schlüsselerzeugung bei Microsoft-Browsern nur mit Scripting möglich! Client Zertifikatsserver

24 Sonntag, 26. Januar © FernUniversität in Hagen - Certification Authority (CA) Erweiterung: eToken Problem: Mobilität von Zertifikaten Zertifikatsspeicher ist unflexibel Zur Mitnahme von Zertifikaten Export/Import erforderlich eToken-Erweiterung Lösung: Zertifikate auf Hardware abspeichern eToken / SmartCards Mitnahme von Zertifikaten durch Mitnahme der Hardware Sicherheitsgewinn: Authentisierung durch Wissen und Besitz

25 Sonntag, 26. Januar © FernUniversität in Hagen - Certification Authority (CA) eToken-Erweiterung: Einbindung der eToken/SmartCards über betriebssystem- nahe Gerätetreiber Keine Hersteller-/Hardwareabhängigkeit Aber: gute Erfahrungen mit Aladdin Nutzen von Applikationen des Herstellers eToken-Erweiterung

26 Sonntag, 26. Januar © FernUniversität in Hagen - Certification Authority (CA) Standards des Zertifikatsservers der Certification Authority (CA): Zertifikate nach X.509v3-Norm CRLs nach X.509v1/v2-Norm Unterstützung des PKCS-Protokolls SQL-Datenbank-Unterstützung TCP/IP und OracleNet-Netzwerk-Verbindung PHP/Smarty/PEAR::DB/XML Languages OpenSSL-Cryptolibrary Standards und Features

27 Sonntag, 26. Januar © FernUniversität in Hagen - Certification Authority (CA) Features des Zertifikatsservers der Certification Authority (CA): Vollautomatische Authentizitätsprüfung und Ausstellung von Zertifikaten Vollautomatisches CRL-Handling Vollautomatische Verwaltung von Zertifikaten (ausliefern, veröffentlichen, archivieren, sperren) in einer SQL-Datenbank Halbautomatischer First-Level-Support Ausstellen von Serverzertifikaten Unterstützung aller Speichermedien Standards und Features

28 Sonntag, 26. Januar © FernUniversität in Hagen - Certification Authority (CA) Der Zertifikatsserver der FernUniversität wird derzeit erprobt durch: Nutzung durch andere Hochschulen

29 Sonntag, 26. Januar © FernUniversität in Hagen - Certification Authority (CA) Q&A Henning Mohren FernUniversität in Hagen Universitätsrechenzentrum Universitätsstr Hagen


Herunterladen ppt "Sonntag, 26. Januar 20141© FernUniversität in Hagen - Certification Authority (CA) Automatische Zertifizierung von Studierenden und Mitarbeitern der FernUniversität."

Ähnliche Präsentationen


Google-Anzeigen