Einsatz neuer PKI-basierter Chipkarten an der JLU Gießen

Slides:

Advertisements

Ähnliche Präsentationen

Security Lösungen, die Ihnen echten Schutz bieten!

Advertisements

Software Assurance Erweiterte Software Assurance Services

- IT-Intelligence for your Business -

Inxmail GmbH Vertrieb und Pflege des Marketing Tools.

Mündliche Fachprüfung

Für Studierende im Bereich Bibliotheks- und Informationswesen Präsentation an der Fachhochschule Köln am

Fachhochschule Südwestfalen

Präsentation Der Gruppe: Boll, Barbosa, Blädel Klasse: WG 05 a.

Die Chipkarte kommt! Einführung des elektronischen Studierendenausweis

Internet-Sicherheit (2)

Thin Clients und SmartCards an der HU

Terminalserver-Dienste für die HU

für das Schulnetz der BS Roth

Druckkosten-Abrechnungssystem an öffentlichen PCs

Pflege der Internetdienste

1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.

Ulrich Kähler, DFN-Verein

REGIERUNGSPRÄSIDIUM TÜBINGEN Online-System Fortbildungsveranstaltungen Berufliche Schulen Dienstbesprechung Teamleiter BS Sigmaringen, 22. Mai 2007 Wolfgang.

Verschlüsselungsverfahren Gruppe 3/ Judith Neu / Stephanie Czichon

Sicherheit und Personalisierung Internet Portal der Universität München.

EGo-AKTUELL Zweckverband Elektronische Verwaltung für Saarländische Kommunen SAAR Dienstag, 27. Mai 2008 big Eppel – Kultur und Kongress, Eppelborn eGo-NET.

E-Learning/Neue Medien

Tag der offenen Tür – 21. Juni Dienstleistungsangebote des HRZs HRZ als IT-Kompetenz- und -Dienstleistungszentrum der JLU Günter Partosch Tag der.

Service-Angebote des Hochschulrechenzentrums für Studierende

Göttinger FunkLAN GoeMobile Chancen für den schnellen Netzzugang

1.WICHTIG: Bringen Sie Ihr Betriebssystem möglichst "offline" auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.

Workgroupmanagement mit MS OUTLOOK ohne MS Exchange Server ?! Dieter Fritzsche.

THOSKA Einführung der multifunktionalen Chipkarte in Thüringen

Online-Dienste übers Internet – sicher ohne Chipkarte

Aufbau einer Sicherheitsinfrastruktur an der HU Berlin

Smartphones im Kanzleinetz Vergleich der technischen Umsetzung COLLEGA - TAG Freitag, 27. November 2009.

Public-Key-Infrastruktur

Humboldt-Universität zu Berlin Computer- und Medienservice Softwareportal an der HU Bereitstellung von Software für Lizenzinhaber an der HU.

Elektronische Signatur

Das Call- Car- Center Projekt

Einstellungen im Web für Outlook

Weltweit – Erste Plug-and-Play Hardware zur Ferneinwahl

Neues Computernetzwerk Eine Kurzbeschreibung der Neuerungen.

Weltweite Kommunikation mit Exchange Server über das Internet

IT-Infrastruktur an der FHS

Gliederung Einleitung eID-Infrastruktur und Komponenten

Sicherheit beim Internet-Banking

Citrix MetaFrame Access Suite

Der führende Anbieter von SecureZIP Lösungen 20. July, 2004.

Freie Universität Bozen

Das integrierte Lösungsportfolio

RWTH – DFN Zertifizierungsdienst Antrag, Einrichtung und Verwendung mit Firefox und Thunderbird.

Digitale Signatur in s Antrag, Einrichtung und Verwendung in Outlook.

ICT – Netzwerk und PC ICT – Modul Netzwerk und PC Gymnasium Kirchenfeld Thomas Jampen Sebastian Forster.

© 1 T/bone XML Security Mobile Smart Card Projekt Präsentation Stand

Quellen: Internet INTRANET Ausarbeitung von Sven Strasser und Sascha Aufderheide im Modul Netzwerktechnik, Klasse INBS Mai 2003.

Verschlüsselung Von Daniel Dohr.

Benutzerleitfaden TrustMail Erhalt von verschlüsselten s Kurzinformation und Anwendungsbeschreibung secure! Mails.

Aloaha Software – Martin Wrocklage 05451/943522) Aloaha Software Portfolio.

Universität Bielefeld

Hamburger BV AK Informations- und Medientechnik AK Betriebswirtschaft, Management und Vertrieb Heinz Friedrich Web-Portal 1 Internes Web-Portal.

Präsentation der neuen Möglichkeiten des Telekommunikationssystems der Kreisverwaltung Segeberg.

AUGE e.V. - Der Verein der Computeranwender Nepper, Schlepper, Surferfänger Auf was man beim Surfen im www achten sollte, um Risiken und Nebenwirkungen.

Aloaha Software – Martin Wrocklage 05451/943522) Aloaha Mobile Smartcard Connector (CSP)

Walter Langmann Sichere Authentifizierung von W-LAN in einer Windows 2003 Server Umgebung 5AIH Diplomarbeit im Fach Technische Informatik.

Webserver Apache & Xampp Referenten: Elena, Luziano und Sükran

CIP-Raum CC11 CIP-Raum CC1 - Allgemeines Arbeiten mit Technologie und Software für die Zukunft.

MyCoRe in einem in einem Detlev Degenhardt Jena, den Umfeld - Umfeld.

Asymmetrische Kryptographie

Folie Nr. Stand Jänner 2008 RSA ist nach seinen Erfindern Rivest, Shamir und Adleman benannt RSA ist ein asymmetrisches Kryptosystem 

verschlüsselung Praxisanleitung verschlüsselung mit GnuPG, Mozilla Thunderbird & Enigmail.

LugBE Linux User Group Bern PKI – Was soll das? Einleitung Symmetrisch vs. asymmetrisch Trusted Third Party Hierarchisches Modell Web of Trust Links LugBE.

Lars Tremmel ETH Informatikdienste Managed Services September 2013

Präsentation transkript:

Einsatz neuer PKI-basierter Chipkarten an der JLU Gießen Falko Fock Hochschulrechenzentrum 6. Tagung der DFN-Nutzergruppe Hochschulverwaltung, Potsdam, 13.-15. Mai 2003

Übersicht Bild der JLU-Chipkarte Ausgangspunkt Public Key Infrastructure (PKI) Kosten Chipkarten-Ausgabe und -Aktualisierung Chipkarten-Herstellung (Personalisierung) Chipkarten-Einsatz Argumente für PKI-basierte Chipkarten Weitere Informationen, Links 14. Mai 2003 Falko Fock

JLU-Chipkarte, Vorderseite 14. Mai 2003 Falko Fock

JLU-Chipkarte, Rückseite 14. Mai 2003 Falko Fock

Ausgangspunkt (1) Signaturgesetz, Authentisierung im Internet PGP-Einsatzproblem im kommerz. und administrativen Umfeld Keine Alternativen zur aufwendigen PKI Verbesserter, vielfältiger, umfassender Service mit Minimierung der Akzeptanzprobleme = eine multifunktionale Chipkarte Chipkarte als optischer Ausweis (mit ÖPNV-Semesterticket), Bibliotheksausweis (Barcode), mit kontaktlosem Einsatz als elektronische Geldbörse für inner-universitäre Kleinbeträge und beim Gebäudezugang, PKI für Authentisierung und Sicherheit im Internet Hessenweit einheitliche Ausweisnummer für Studierende, Hochschulmitarbeiter und andere Personengruppen vereinbart 14. Mai 2003 Falko Fock

Ausgangspunkt (2) Verfügbarkeit von Programmen für das PKI-Umfeld (Outlook, Netscape, Mozilla, Apache-Webserver) Problem, eine bezahlbare Lösung zu finden - eigener CA-Betrieb, CA-Kosten - Kosten i.allg. an Zertifikatsanzahl gekoppelt Problem mit der Sichtanzeige von Semesterticket (ja/nein) und Gültigkeitsdauer (sogenannte TRW-Folie, nur bei Hochschulen erforderlich) Lösung: - Eine Chipkarte mit kontaktbehafteten Kryptochip (32 KB) und kontaktlosem Mifare-Chip (1K, 16 Sektoren) - Einfache Anwendung = vorerst nur ein Schlüsselpaar - TRW-Folie muss eingesetzt werden (bei der JLU 15 mm breit) 14. Mai 2003 Falko Fock

Grundinformation “Public Key Infrastructure” In einer PKI werden elektronische Schlüsselpaare verwaltet (geheimer und öffentlicher Schlüssel). Der geheime Schlüssel befindet sich fälschungssicher und nicht kopierbar auf der Chipkarte, nutzbar nur nach PIN-Eingabe. Der öffentliche Schlüssel wird von einer “Certification Authority” (CA) für eine feste Zeitdauer bestätigt, das sog. X.509-Zertifikat ist öffentlich verfügbar, zumindest auf der Chipkarte des Besitzers. Ein IT-Server-Programm prüft Zusammengehörigkeit beider Schlüssel und den Gültigkeitszeitbereich (Challenge-Response-Verfahren, Verschlüsseln/Entschlüsseln). Vertraut der Server oder Anwender der CA, hat sich der Anmelder mit seiner Chipkarte sicher authentisiert. Eine PKI ist eine aufwendige und komplexe Angelegenheit. 14. Mai 2003 Falko Fock

Kosten Hard- und Software 180.000 € - Aus HBFG- und Landesmitteln finanziert - ohne Kosten für die Chipkarten und den Mifare-Einsatz bei Kassenterminals, Gebäude-Zugangseinrichtungen u.dgl.m. Chipkarten 300.000 € (15 €/Stück, 20.000 Studierende) - Studierender leistet Pfand (15 €) - daher Hochschul-Chipkartenkosten < 75.000 € pro Jahr Personal, eine Projektstelle für 1 Jahr (durch die Universität bereitgestellt) Im Projekt sind 600 Chipkartenleser für öffentliche PCs und 6 “Druckstationen” enthalten, jedoch keine der universellen SB-Stationen wie bei früheren Chipkarten-Projekten. 14. Mai 2003 Falko Fock

Chipkarten-Ausgabe und -Aktualisierung Studierende erhalten bei der Immatrikulation einen vorläufigen Papierausweis können ihre Chipkarte 4-10 Tage später abholen (persönlich), Abholbereitschaft wird im Web angezeigt aktualisieren ihre Chipkarte halbjährlich im Rahmen der Rückmeldung, zeitlich unabhängig: (a) den Kryptochip mit einem Chipkartenleser-PC (an öffentlichen PCs der Hochschule oder über das Internet, mit PIN-Eingabe) = Zertifikatswechsel (b) den Mifare-Chip und die optische Angaben an einer Druckstation auf dem Campus (bei diesem Vorgang erfolgt auch der Bescheinigungsdruck) 14. Mai 2003 Falko Fock

Eltron-Drucker zur Kartenpersonalisierung 27x53x26 cm (HxBxT) 14. Mai 2003 Falko Fock

Chipkarten-Herstellung (Personalisierung) Beim 1. Kartendurchlauf werden alle Studierendendaten auf den Kartenrohling gebracht und der Zertifikatsantrag erzeugt. (2 min) Der 2. Durchlauf (am nächsten Tag) schreibt das Zertifikat in den Kryptochip und druckt den “PIN-Brief”. (1 min) PIN-Brief ist ein DIN-A4-Blatt mit - Chipkarten- und Chipkarten-Info-Empfangsbestätigung - Start-PIN (Personal Identification Number) - PUK (Personal Unblock Key) - Sperrcode PIN, PUK, Sperrcode und Chipkarte werden in einem verschlossenen Briefumschlag zur Abholung bereitgehalten. 14. Mai 2003 Falko Fock

Kobil-Chipkartenleser KAAN Standard Plus HBCI-Klasse 2 14. Mai 2003 Falko Fock

Chipkarten-Einsatz (1) Kryptochip Authentisierung im Internet - für die Mailweiterleitung einer fiktiven Hochschul-Mailbox an reale, externe Benutzer-Mailbox - beim Zugang zum Hochschul-Intranet (z.B. über VPN-Server) - bei der verbindlichen Anmeldung zu jeder Art von Diensten - z.B. beim Zugang zum Hochschul-Prüfungsorganisationssystem - z.B. beim Zugang zu RZ- oder Fachbereichsserver Alle Zugänge sind mit der selben Chipkarte und PIN gesichert, defacto nur ein Passwort (PIN). Mit der Chipkarte sind die alten Passwort-Probleme behoben: Man braucht Besitz (Karte) und Wissen (PIN). Versenden verbindlicher, elektronisch signierter, ggf. auch verschlüsselter E-Mail Dateisicherung durch Verschlüsselung mit der Karte Einsparen von (Fahr- und Warte-)Zeit und Geld durch Zugang vom heimischen PC zu allen Hochschuldiensten 14. Mai 2003 Falko Fock

Chipkarten-Einsatz (2) Mifare-Chip und optische Angaben Studienausweis mit Lichtbild Bibliotheksausweis (Barcode) Maschinenlesbarer Ausweis in Klausuren (Barcode) ÖPNV-Fahrkarte (Semesterticket) Bargeldloses Bezahlen im Studentenwerk und Hochschulbereich (Kleinbeträge) Kontaktloser, elektronischer Schlüssel für Raum- und Gebäudezugang Gleitzeitkarte für Mitarbeiter 14. Mai 2003 Falko Fock

Chipkarten-Einsatz (3) Sperrmöglichkeiten Durch Studierende und Mitarbeiter über Webseite (Sperrcode und Angaben für Rückfrage erforderlich) Sonst Fax, Postbrief oder persönlich Sperre kann temporär (max. 14 Tage, noch keine neue Karte) oder dauerhaft erfolgen (mit kostenpflichtiger neuer Karte) Weitergabe der Einzel-Sperr-Info sofort per Mail, Summe geht zusätzlich über nacht an alle interessierten/berechtigten Hochschul-Institutionen Automatischer Gültigkeitsablauf am Semesterende Kein Schlüsselersatz, kein Schlüsselrisiko 14. Mai 2003 Falko Fock

Argumente für PKI-basierte Chipkarten (1) technische Eine Chipkarte für alle Anwendungen = Akzeptanz Keine Alternative zur PKI “Relativ preiswert” (15 €/Karte für alle Anwendungen, alternativ 5-10 €/Karte für SOS/POS-campus-orientierte Chipkarten-Lösung) Für Studierende und Mitarbeiter kann die gleiche Chipkarte, Software- und Hardware-Ausstattung benutzt werden. Viele IT-Dienste sind auf die PKI/X.509-basierten Zertifikate bereits vorbereitet: Windows2000, XP, Mailprogramme, VPN- und Webserver. Aus unseren Erfahrungen sind Chipkartenpfand und Chipkartenleser für zu Hause kein Gegenargument (ggf. Weiterverkauf des Lesers wie mit Fachbüchern, Verwendung für das Homebanking). 14. Mai 2003 Falko Fock

Argumente für PKI-basierte Chipkarten (2) organisatorisch/politische Der Umstieg auf PKI-basierte Chipkarten erfordert Zeit und Organisationsaufwand, Mitarbeit der IT-Abteilung/RZ sinnvoll bzw. nötig. Es gibt ernsthafte PKI-Planungen öffentlicher Institutionen (z.B. BundOnline2005, Städte, Hochschulen) und Realisationen in Großbetrieben (z.B. LH mit 60.000, BMW mit 45.000 Mitarbeitern) sowie in vielen Mittelbetrieben. Hochschulen sollten die Studierenden mit dem komplexen Umfeld einer PKI vertraut machen. Hochschulen erhalten für ihre Netzinfrastruktur und den Serverbetrieb einen hohen Sicherheitsgewinn, wenn sie PKI-basierte Chipkarten verwenden. Hochschul-Chipkarte und Chipkarten-Einsatz sind für die Mehrzahl der Studierenden etwas Positives, auch dann, wenn sie persönlich (noch) keinen technischen Vorteil mit der Chipkarte erhalten oder nutzen. 14. Mai 2003 Falko Fock

Weitere Information Zum Chipkarten-Betrieb: - http://www.uni-giessen.de/chipkarte/ Zur Planung (2000/2001 z.T. überholt): - http://…/chipkarte/vorplanung/ Projekt-Partner: - http://…/chipkarte/projekt-partner/ Projektleiter: - Falko.Fock@hrz.uni-giessen.de - siehe auch www.uni-giessen.de > Überblick/Personal > X.500/LDAP-Verzeichnis 14. Mai 2003 Falko Fock