WILLKOMMEN BEI BROKAT Infosystems AG Marc Mausch
BROKAT heute Gegründet 1994 mit 5 Partnern in Deutschland Heute Niederlassungen in USA, England, Schweiz, Irland, Singapur, Österreich, Luxemburg, Südafrika und in Australien Anbieter der integrierten E-Services Plattform BROKAT Twister, die Multi-Channel-Lösungen für elektronische Transaktions-Applikationen ermöglicht. Führender Anbieter von Financial E-Services Applikationen die auf Twister basieren Deutschland 90% Europa 60 % 500 Mitarbeiter (Juni 99) (nach Fusion mit MeTechnology) Erfolge in neuen Geschäftsbereichen
Auszug-Trendsetter XsPRESSO Retail Banking England COOP Bank Online First Direct Online Deutschland Bank 24 Online ConSors Discount-Broker Online Deutsche Bank Online Schmidt Bank Online Hypo Bank Online Advance Bank Online comdirect Online Allianz Kapitalanlagegesellschaft Online Raiffeisenbanken 731 Online Sparkassen 2 Online Bausparkasse Schwäbisch Hall Online Mehr als 1000 Sparkassen und Raiffeisenbanken in Realisierung Schweiz Zürcher Kantonalbank Online Mehr als 100 Privatbanken in Realisierung Österreich Alle Österreichischen Raiffeisenbanken 700 Online sonstige Fortis Bank (LUX) Online Egnatia Bank (GR) Online POS Bank (SG) Online Liechtensteinische Landesbank (FL)
Städtewettbewerb MEDIA@Komm Alle drei MEDIA@Komm-Siegerkonzepte nutzen BROKAT-Know-How: Bremen Esslingen Nürnberg Einsatz von BROKAT Twister als technologische Plattform für Sichere Client-Anbindung über verschiedene Kanäle Backend-Integration Signaturgesetzkonforme Anwendungen
Was bedeutet Sicherheit? Vertraulichkeit Keiner außer den Kommunikationspartnern kann die ausgetauschten Nachrichten mithören. Integrität Die empfangenen Nachrichten sind identisch mit den gesendeten Nachrichten. Authentifizierung Die Identität des Kommunikationspartners ist eindeutig nachgewiesen. Nichtabstreitbarkeit Keine der beteiligten Parteien kann abstreiten, daß eine bestimmte Nachricht ausgetauscht worden ist.
SECURITY - SYMMETRISCHE VERSCHLÜSSELUNG Beide Kommunikationspartner benutzen denselben geheimen Schlüssel Algorithmen: IDEA, DES, 3DES, RC2, RC4, ... Bob Alice Verschlüsselung Klartext Ciphertext Entschlüsselung Geheimer Schlüssel
SECURITY - ASYMMETRISCHE VERSCHLÜSSELUNG Die Kommunikationspartner benutzen unterschiedliche Schlüssel Es existieren Schlüsselpaare: privater und öffentlicher Schlüssel Algorithmen: RSA, ElGamal, Elliptische Kurven, ... Bob Alice Verschlüsselung Klartext Ciphertext Entschlüsselung Öffentlicher Schlüssel Bob Privater Schlüssel Bob
SECURITY - SSL STANDARD Internet entschlüsseln Ciphertext Klartext verschlüsseln/ verschlüsseln Öffentlicher Schlüssel Bob Privater Schlüssel Bob Zufalls- zahlen- Generator 1 2 3 4 Browser Alice Server Bob Symmetrischer Sitzungsschlüssel Symmetrischer Sitzungsschlüssel
Problemfelder und Schutzmechanismen: Vertraulichkeit Problemfelder und Schutzmechanismen: Zugriff auf ‚gelagerte‘ Daten (Zutritt zu einem Aktenarchiv) Schutzmechanismen: Firewall (schützt vor unberechtigten Zugriff) Paßwortschutz (schützt vor unberechtigter Berechtigung) Abhören von ‚bewegten‘ Daten (Überfall auf einen Aktentransporter) Verschlüsselung (die geraubten Akten sind unleserlich) Symmetrische 128-bit-Verschlüsselung: 1 Mio.$ HW benötigt das Lebensalter der Erde, um sämtliche Kombinationen zu testen. Asymmetrische gilt ab 1024 bit als sicher. Kreditkartenzahlung mit symmetrischer 56-bit-Verschlüsselung Standard-Verschlüsselungsfunktion von Browsern: 40 bit
Integrität und Authentizität Verschiedene Sicherheitsstufen: Datenabgleich (z.B. Kartennummer und Kartengültigkeit) PIN PIN/TAN Softwarezertifikat Kartenbasiert Kartenbasiert nach digitalem Signaturgesetz Biometrie Grundprinzip der kartenbasierten Lösungen: Asymmetrische Verschlüsselung
Integrität und Authentizität Sämtliche Authentifzierungsmethoden benötigen eine Zertifizierungsinstanz: Datenabgleich: Plausibilität bzw. zentrale Datenbank PIN: Privat geführte Datenbank PIN/TAN: Privat geführte Datenbank Softwarezertifikat: Datenbank, TrustCenter oder Net of Trust Kartenbasiert: Privat geführtes TrustCenter Kartenbasiert nach dig. Signaturgesetz: Unabhängiges TrustCenter
THANK YOU FOR LISTENING www.brokat.com
SECURITY - TWISTER IN VERTEILTEN UMGEBUNGEN Certificate Management Service Certificate Management Service Gateway Gateway Internet Twister Service Twister Object Twister Object Twister Service SSL Twister A Twister B
SECURITY - TWISTER-INTERNE KONZEPTE IIOP Kommunikation zwischen Twister-Komponenten optional durch SSL abgesichert Gateways Twister Services Twister Objects Ermöglicht die Verteilung von Twister-Komponenten und die sichere Kommunikation zwischen Twister-Installationen über öffentliche Netze Einfache Verwaltung von Twister-internen Zertifikaten mit Hilfe des Certificate Management Service
SECURITY - TWISTER-INTERNE PKI (1/2) Twister Gateways, Services, Node Manager und Object Manager besitzen eine digitale Identität PSE (Personal Secure Environment): Privater RSA-Schlüssel Zertifikat, Zertifikatsliste (X.509) Vertrauenswürdige Zertifikate Gateway Node Manager Object Naming Service PSE Load Balancing S.
SECURITY - TWISTER-INTERNE PKI (2/2) PSE Tool PSE Certificate Management Service Twister Certificate Issuer Gateway PSE Tool: Erzeugung und Verwaltung der PSEs von Twister-Komponenten Erzeugung von RSA-Schlüsselpaaren und PKCS#10 Zertifikatsanfragen Java und C++ Kommandozeilen-Tool Certificate Management Service: Generische Zertifikats-Management Dienste Bereitstellung von CRLs (Zertifikats-Rückruflisten) Twister Certificate Issuer: Erzeugung und Verwaltung von X.509 Zertifikaten für Twister-Komponenten
SECURITY - INTEGRATION VON EXTERNEN CAs Personalisierung Registration Authority Ausstellung/Rückruf von Zertifikaten CA LDAP Verzeichnis SC Leser CRL Prüfung LDAP Accessor PKCS#11 Modul XsPRESSO Gateway Twister Applet SSL Browser
SECURITY - INTEGRATION VON INTERNEN CAs Personalisierung CA LDAP Verzeichnis Ausstellung/Rückruf von Zertifikaten CRL Prüfung SC Leser CA Accessor LDAP Accessor PKCS#11 Modul XsPRESSO Gateway Twister RA Applet SSL Browser
SECURITY - SSL HANDSHAKE CLIENT SERVER ClientHello ServerHello Certificate* CertificateRequest* ServerKeyExchange* ServerHelloDone Certificate* ClientKeyExchange CertificateVerify* change cipher spec Finished change cipher spec Finished Applikationsdaten Applikationsdaten * optionale Nachrichten
SECURITY - METHODEN DER CLIENT-AUTHENTIFIZIERUNG Digitale Zertifikate: Eingebunden im SSL-Protokoll Basierend auf X.509 Zertifikaten Speicherung von privaten Schlüsseln und Zertifikaten: Smartcard oder PSE HTTP/1.0 Authentication: UserID und Paßwort Directory-basiert oder Twister Session-basiert Weitere Methoden der Client-Authentifizierung: Ausführung auf der Applikationsebene PIN/TAN (PIN und einmalige Transaktionsnummern) Challenge/Response Hardware Token Mobile digitale Signaturen
SECURITY - CLIENT-AUTHENTIFIZIERUNG, ZERTIFIKATS/PKI INTEGRATION (1/2) Certificate Management Service: Zentrales Zertifikats-Interface für Twister Standard-Komponente der Twister-Installation zur Benutzung von Zertifikaten (intern oder extern) Stellt ein generisches Interface für Applikationsprogrammierer zur Verfügung und abstrahiert tatsächlich verwendete CA Verwaltung von Zertifikaten für Twister-Komponenten, welche für interne SSL-Verschlüsselung benutzt werden (Twister Certificate Issuer), sowie von Client-Zertifikaten (über optionalen CA Accessor) Zentraler Zugriffspunkt für CRLs (Certificate Revocation Lists), entweder als lokale Kopie oder über optionalen LDAP Accessor aus Verzeichnissen Auslieferung mit generischen RDOs (Funktionalität hängt von angebunden CA-Produkten ab) Extensions für iD2, Baltimore & Entrust
SECURITY - CLIENT-AUTHENTIFIZIERUNG, ZERTIFIKATS/PKI INTEGRATION (2/2) CERTIFICATE MANAGEMENT SERVICE CA- spezifisch generisch Twister RDOs Certificate Management Service CA Extension Verwendet CA-spezi-fische API Twister Certificate Issuer iD2 CA (Baltimore) (Entrust) ..... CRL-Prüfung Zertifikats-Anfrage Zertifikats-Widerruf ..... Verwaltet CRLs Request Queuing