Automatische Zertifizierung von Studierenden und Mitarbeitern der FernUniversität in Hagen Henning Mohren FernUniversität in Hagen Universitätsrechenzentrum Universitätsstr. 21 58084 Hagen

Zertifikatsserver Inhalt Historie Datenschutz und Datensicherheit Usability Der Server der FernUniversität eToken-Erweiterung Features des Zertifikatsservers der Certification Authority (CA) Projektpartner

Historie Public-Key-Infrastrukturen an der FernUniversität 1996: Beginn des DFN-Projekts „Public-Key Service“ gefördert durch DFN, BMBF Technik: PGP 1997: Erweiterung des Projekts um SSL-Verschlüsselung 2002: Inbetriebnahme des Zertifizierungsautomaten für SSL-Zertifikate 2003: Zusammenarbeit mit NRW-Hochschulen, eToken-Erweiterung

Datenschutz und -sicherheit Internet ist ein „unsicheres“ Medium Ursachen: Betriebssysteme, Programme, Netze, Anforderungen an Flexibilität und Funktionalität, Bedienfehler… Typische Angriffe: Sniffing („Mitlesen“) Spoofing („Vortäuschen fremder Identitäten“) Brute forcing („Methodische Versuche zum Passwort-Hacken“) Bouncing („E-Mail-Relaying, Spamming“) Denial of Service („Lastüberschreitungen“) … Trotzdem: Begehrlichkeiten, über Internet auch sensible Daten zu erreichen, steigen

Datenschutz und -sicherheit Sicherheit im Internet z.B. durch organisatorisch/technische Maßnahmen Firewalls Viren-Checker Kryptographie  Wie funktioniert Kryptographie?

Datenschutz und -sicherheit Szenario (Flugreise): Was will der Kunde? Benutzer Server Verschlüsseln der Verbindung Authentizität des Servers Unverfälschtheit der Daten  Zertifikat ist die digitale elektronische „Kreditkarte“ des Servers

Datenschutz und -sicherheit Szenario (Wohnsitzwechsel): Was will der Betreiber des Servers? Benutzer Server Verschlüsseln der Verbindung Authentizität des Kunden Unverfälschtheit der der Daten  Zertifikat ist die digitale elektronische „Kreditkarte“ des Kunden

Datenschutz und -sicherheit Definition „Zertifikat“ Zertifikate sind „elektronische Kreditkarten / Ausweise“ Es gibt Client-Zertifikate (für Personen) Server-Zertifikate (für Maschinen)

Datenschutz und -sicherheit Kryptographie ist „mehr“ als nur Accounting Eigenschaften Kryptographischer Verfahren: 1. Authentisierung 2. Datenintegrität 3. Vertraulichkeit 4. Non-Repudiation (SigG, SigV) Sniffing Spoofing Brute forcing Bouncing Denial of Service …

Usability Zugriff auf geschützte Seiten (Accounting)

Usability Zugriff auf geschützte Seiten (Zertifikate)

Usability Derzeitige Anwendungsmöglichkeiten an der FernUniversität Selbst erstellte Applikationen: Prüfungsleistungsauskunft Pflege von Leistungsdaten Abruf von Belegerlisten Anmeldung zu Prüfungen Anmeldung zu Praktika … E-Mails Netzzugang Server-Login PC-Login eigene Appl.

Usability Geplante Anwendungsmöglichkeiten an der FernUniversität ePayment-Funktionen (Bibliothek, z.B. Jason-System) Verschlüsselte Dateiablage (PrivateDisk, Multi-User- fähig) Access-Control Single-Sign-On

Usability Mögliche Anwendungen (allgemein) eBusiness eGovernment eEducation eProcurement eEntry …  „alles, was in Verbindung mit einem ‚e‘ gebracht werden kann“

Zertifikatsserver Wie erhält der Benutzer sein Zertifikat? Zentrale Frage: Wie stelle ich sicher, dass Teilnehmer der PKI ein Zertifikat erhalten, ohne dass sie persönlich bei der Certification Authority erscheinen müssen? Randbedingungen: Mehrere Teilnehmergruppen, Client-, Serverzertifikate à verschiedene Möglichkeiten zur Authentisierung Lösung: Clientzertifikate: Authentisierung mit Hilfe von Daten, die der FernUniversität ohnehin vorliegen: Einschreibevorgang Einstellungsvorgang Behördenadressen Serverzertifikate: Außenwirkung! Persönliches Erscheinen bei Mitarbeitern der CA

Verifizierter Datenaustausch Zertifikatsserver Authentisierung der Teilnehmer: „Postverfahren“ Einschreibevorgang Verifizierter Datenaustausch Adresse HIS

Zertifikatsserver Authentisierung der Teilnehmer: „Postverfahren“ Ausnutzen des Einschreibevorgangs für den Zertifikatsserver:  Zertifikatsserver „ Client ƒ ‚ Client fordert Passwort an 2. Zertifikatsserver holt Adresse aus HIS-Datenbank 3. Zertifikatsserver schreibt Passwort in Zertifikatsdatenbank 4. Zertifikatsserver schickt Passwort per Post an Adresse aus HIS Datenbankserver HIS

Zertifikatsserver Authentisierung der Teilnehmer: „Postverfahren“ Ausnutzen des Einschreibevorgangs für den Zertifikatsserver:  Zertifikatsserver „ Client ‚ ƒ Client fordert Zertifikat an 2. Zertifikatsserver verifiziert Passwort gegen Zertifikatsdatenbank 3. Zertifikatsserver stellt Zertifikat aus; schreibt es in Zertifikatsdatenbank 4. Zertifikatsserver bietet Zertifikat zum Download an; Client holt es ab Datenbankserver HIS

Zertifikatsserver Technische Realisierung: Hardware, Security SUN Solaris Apache – WebServer OpenSSL / modSSL - Cryptomodul PHP + Ergänzungen Zertifikatsserver OracleNet Firewall, ACL‘s Datenbankserver HIS SUN Solaris Oracle – Datenbank IBM AIX Informix – Datenbank

Datenbankabstraktion Zertifikatsserver Technische Realisierung: Schichtenarchitektur WebPräsentation Apache Unabhängigkeit vom RDBMS? Designänderung? HTML - Generator Smarty - Engine Programmierung PHP Datenbankabstraktion PEAR::DB Datenhaltung Oracle

Zertifikatsserver Technische Realisierung: 3-Server-System Eigentlich: Drei Server (Nach außen zugänglicher) Zertifikatsserver, „usermode“ (Nach außen abgeschotteter) Zertifikatsserver, „adminmode“ Cronjob-Server (Zusatz-Features) Wichtig: gemeinsame Konfigurationsdatei (XML!) separate Funktionen (Sicherheit!)

Zertifikatsserver Technische Realisierung: Das Datenbanksystem Datenbankserver RDBMS: MySQL, Oracle, PostgreSQL, InterBase, Mini SQL, Microsoft SQL Server, ODBC, Sybase, Informix, Frontbase Tabellen: Authentisierungsdaten Clientzertifikate Serverzertifikate

Zertifikatsserver Technische Realisierung: Benutzerführung Client Browsersupport: Internet Explorer, Netscape, Opera, Mozilla, Konqueror auf Windows, Unix Dies bedeutet: Clientseitige VBScript-, ActiveX-Nutzung (Microsoft-Browser) Hintergrund: Schlüsselerzeugung bei Microsoft-Browsern nur mit Scripting möglich!

eToken-Erweiterung Erweiterung: eToken Lösung: Zertifikate auf Hardware abspeichern eToken / SmartCards Mitnahme von Zertifikaten durch Mitnahme der Hardware Sicherheitsgewinn: Authentisierung durch Wissen und Besitz Problem: Mobilität von Zertifikaten Zertifikatsspeicher ist unflexibel Zur Mitnahme von Zertifikaten Export/Import erforderlich

eToken-Erweiterung eToken-Erweiterung: Einbindung der eToken/SmartCards über betriebssystem-nahe Gerätetreiber  Keine Hersteller-/Hardwareabhängigkeit Aber: gute Erfahrungen mit Aladdin  Nutzen von Applikationen des Herstellers

Standards und Features Standards des Zertifikatsservers der Certification Authority (CA): Zertifikate nach X.509v3-Norm CRL‘s nach X.509v1/v2-Norm Unterstützung des PKCS-Protokolls SQL-Datenbank-Unterstützung TCP/IP und OracleNet-Netzwerk-Verbindung PHP/Smarty/PEAR::DB/XML Languages OpenSSL-Cryptolibrary

Standards und Features Features des Zertifikatsservers der Certification Authority (CA): Vollautomatische Authentizitätsprüfung und Ausstellung von Zertifikaten Vollautomatisches CRL-Handling Vollautomatische Verwaltung von Zertifikaten (ausliefern, veröffentlichen, archivieren, sperren) in einer SQL-Datenbank Halbautomatischer First-Level-Support Ausstellen von Serverzertifikaten Unterstützung aller Speichermedien

Nutzung durch andere Hochschulen Der Zertifikatsserver der FernUniversität wird derzeit erprobt durch:

Q&A Henning Mohren FernUniversität in Hagen Universitätsrechenzentrum Universitätsstr. 21 58084 Hagen