Thin Clients und SmartCards an der HU Roland Herbst Computer- und Medienservice herbst@cms.hu-berlin.de
Agenda Sichere Verwaltung, aber wie? Campus Adlershof Terminalserver, PCs und Thin Clients Authentifizierung SmartCards und Standards Projektaufgaben Projektergebnisse Ausblick Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
Glossar Windows 2000 [XP| 2003 ] Terminal-Server Thin Client Microsoft Betriebssystem der neueren Generation Terminal-Server Spezieller Server, der zur Bereitstellung von Anwendungen genutzt wird Produkt Citrix MetaFrame Thin Client Spezieller Client, der nicht auf einem PC installiert ist, sondern ein eigenständiges System (intelligentes Terminal, auch Embedded System) darstellt Authentifizierung Client: Rede ich mit dem richtigen Server? Server: Rede ich mit dem richtigen Nutzer? SmartCard Spezielles Gerät zur Generierung und Speicherung von Authentifizierungs-Informationen unter Nutzung von asymmetrischen kryptografischen Verfahren zu Beginn erst einmal ein paar einleitende Begriffe, die uns im Verlauf des Vortrages in unterschiedlichen Zusammenhängen immer wieder beschäftigen werden Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
Sichere Verwaltung, aber wie? 1997-2000 DFN-Projekt Firewall Firewall-System mit IDS HU-CA 2000-2003 DFN-Projekt UVsec VPN-Technologie (IPSec) D-Zug FSV-GX HIS-POS Ausbau der HU-CA in eine HU-PKI Basis OpenCA Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
Campus Adlershof Campus Adlershof Erwin-Schrödinger Zentrum Stadt für Wissenschaft, Wirtschaft und Medien Erwin-Schrödinger Zentrum gemeinsam von Bibliothek und Computer- und Medienservice genutzt [Informations- und Kommunikationszentrum] Mit modernster Technik ausgestatteter Lesesaal, Hörsäle und Übungsräume 300 Öffentliche Computer-Arbeitsplätze PC Workstation Thin Clients Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
PC versus Thin Client Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
Terminal-Server-Prinzip Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
Was ist Authentifizierung? Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
Verfahren zur Authentifizierung Frage: Ist der Kommunikationspartner tatsächlich derjenige, der er vorgibt, zu sein? Entwicklung UID / Passwort Challenge/Response Public/Private Key Zertifikat/Private Key (X.509) Biometrie (Iris, Fingerprint) SmartCard (Windows 2000 Logon) Client: Rede ich mit dem richtigen Server? Server: Rede ich mit dem richtigen Client? Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
SmartCards Anforderungen Wie werden sie erfüllt? SmartCard-Reader sichere Speicherung der Private Keys und von Zertifikaten Ortsunabhängigkeit 2 Faktor-Prinzip Wie werden sie erfüllt? Plastik-Körper in Kreditkarten-Größe (EC-Karte) Prozessor EEPROM, RAM, I/O Betriebssystem ISO 7816 (1-4) PC/SC (1.0) SmartCard-Reader PC/SC-Treiber Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
Schnittstellen Applikation PC/SC Geräte-Treiber SmartCard CryptoAPI CSP (Microsoft) Cryptoki PKCS#11 (RSA) PC/SC Ressource Manager Bibliotheken Geräte-Treiber z.B. GCR410, Reflex USB, Cardman 2020 SmartCard APDU Cyberflex, Cryptoflex, iKey 2032, PKI Card Model 330 Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
Citrix MetaFrame FR2 ICA SSL ICA SSL Server ICA Client 6.3 Winlogon LSA Kerberos Resource Manager ICA SmartCard CSP Reader SSL SmartCard Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
Projekt-Aufgaben Auswahl der Software Betriebssystem der Clients Auswahl der Hardware Thin Clients oder PC‘s SmartCards Anpassung des OpenSSL-Toolkits (Open Source) Zusammenarbeit mit Herstellern (Cherry, Citrix, Igel, Omnikey, Schlumberger) Aufbau eines Eval-Systems für die Authentifizierungslösung Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
Ergebnisse Citrix MetaFrame Serverfarm 19 Zoll Server Thin Clients mit PC/SC-Funktionalität Igel Premium 532 Firmware 3.01.310 (für HU entwickelt) Linux (Kernel 2.4.x) ICA, X11 SMB, NFS SmartCards Schlumberger Cyberflex Access 16 Schlumberger Cryptoflex 16 (UNIX-Clients) Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
Wie geht es weiter? Pilotphase mit SmartCard-Authentifizierung FSV-GX in Produktion HIS-POS in Produktion F-Secure oder anderes Produkt? Einsatz einer Open Source Lösung (z.B. Windows 2000/XP-IPSec mit FreeSwan) Ausbau der HU-CA in eine HU-PKI Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
Adressen http://www.hu-berlin.de/uvsec/ http://www.openca.org/ http://www.openssl.org/ http://www.microsoft.com/ http://www.citrix.de/ http://www.omnikey.de/ http://www.cherry.de/ http://www.igel.de/ http://www.cyberflex.com/ http://www.cryptoflex.com/ Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003