Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Einsatz neuer PKI-basierter Chipkarten an der JLU Gießen

Veröffentlicht von:Heinrike Nemmers Geändert vor über 11 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Einsatz neuer PKI-basierter Chipkarten an der JLU Gießen"—  Präsentation transkript:

1 Einsatz neuer PKI-basierter Chipkarten an der JLU Gießen
Falko Fock Hochschulrechenzentrum 6. Tagung der DFN-Nutzergruppe Hochschulverwaltung, Potsdam, Mai 2003

2 Übersicht Bild der JLU-Chipkarte Ausgangspunkt
Public Key Infrastructure (PKI) Kosten Chipkarten-Ausgabe und -Aktualisierung Chipkarten-Herstellung (Personalisierung) Chipkarten-Einsatz Argumente für PKI-basierte Chipkarten Weitere Informationen, Links 14. Mai 2003 Falko Fock

3 JLU-Chipkarte, Vorderseite
14. Mai 2003 Falko Fock

4 JLU-Chipkarte, Rückseite
14. Mai 2003 Falko Fock

5 Ausgangspunkt (1) Signaturgesetz, Authentisierung im Internet
PGP-Einsatzproblem im kommerz. und administrativen Umfeld Keine Alternativen zur aufwendigen PKI Verbesserter, vielfältiger, umfassender Service mit Minimierung der Akzeptanzprobleme = eine multifunktionale Chipkarte Chipkarte als optischer Ausweis (mit ÖPNV-Semesterticket), Bibliotheksausweis (Barcode), mit kontaktlosem Einsatz als elektronische Geldbörse für inner-universitäre Kleinbeträge und beim Gebäudezugang, PKI für Authentisierung und Sicherheit im Internet Hessenweit einheitliche Ausweisnummer für Studierende, Hochschulmitarbeiter und andere Personengruppen vereinbart 14. Mai 2003 Falko Fock

6 Ausgangspunkt (2) Verfügbarkeit von Programmen für das PKI-Umfeld (Outlook, Netscape, Mozilla, Apache-Webserver) Problem, eine bezahlbare Lösung zu finden - eigener CA-Betrieb, CA-Kosten - Kosten i.allg. an Zertifikatsanzahl gekoppelt Problem mit der Sichtanzeige von Semesterticket (ja/nein) und Gültigkeitsdauer (sogenannte TRW-Folie, nur bei Hochschulen erforderlich) Lösung: - Eine Chipkarte mit kontaktbehafteten Kryptochip (32 KB) und kontaktlosem Mifare-Chip (1K, 16 Sektoren) - Einfache Anwendung = vorerst nur ein Schlüsselpaar - TRW-Folie muss eingesetzt werden (bei der JLU 15 mm breit) 14. Mai 2003 Falko Fock

7 Grundinformation “Public Key Infrastructure”
In einer PKI werden elektronische Schlüsselpaare verwaltet (geheimer und öffentlicher Schlüssel). Der geheime Schlüssel befindet sich fälschungssicher und nicht kopierbar auf der Chipkarte, nutzbar nur nach PIN-Eingabe. Der öffentliche Schlüssel wird von einer “Certification Authority” (CA) für eine feste Zeitdauer bestätigt, das sog. X.509-Zertifikat ist öffentlich verfügbar, zumindest auf der Chipkarte des Besitzers. Ein IT-Server-Programm prüft Zusammengehörigkeit beider Schlüssel und den Gültigkeitszeitbereich (Challenge-Response-Verfahren, Verschlüsseln/Entschlüsseln). Vertraut der Server oder Anwender der CA, hat sich der Anmelder mit seiner Chipkarte sicher authentisiert. Eine PKI ist eine aufwendige und komplexe Angelegenheit. 14. Mai 2003 Falko Fock

8 Kosten Hard- und Software 180.000 €
- Aus HBFG- und Landesmitteln finanziert - ohne Kosten für die Chipkarten und den Mifare-Einsatz bei Kassenterminals, Gebäude-Zugangseinrichtungen u.dgl.m. Chipkarten € (15 €/Stück, Studierende) - Studierender leistet Pfand (15 €) - daher Hochschul-Chipkartenkosten < € pro Jahr Personal, eine Projektstelle für 1 Jahr (durch die Universität bereitgestellt) Im Projekt sind 600 Chipkartenleser für öffentliche PCs und 6 “Druckstationen” enthalten, jedoch keine der universellen SB-Stationen wie bei früheren Chipkarten-Projekten. 14. Mai 2003 Falko Fock

9 Chipkarten-Ausgabe und -Aktualisierung
Studierende erhalten bei der Immatrikulation einen vorläufigen Papierausweis können ihre Chipkarte 4-10 Tage später abholen (persönlich), Abholbereitschaft wird im Web angezeigt aktualisieren ihre Chipkarte halbjährlich im Rahmen der Rückmeldung, zeitlich unabhängig: (a) den Kryptochip mit einem Chipkartenleser-PC (an öffentlichen PCs der Hochschule oder über das Internet, mit PIN-Eingabe) = Zertifikatswechsel (b) den Mifare-Chip und die optische Angaben an einer Druckstation auf dem Campus (bei diesem Vorgang erfolgt auch der Bescheinigungsdruck) 14. Mai 2003 Falko Fock

10 Eltron-Drucker zur Kartenpersonalisierung
27x53x26 cm (HxBxT) 14. Mai 2003 Falko Fock

11 Chipkarten-Herstellung (Personalisierung)
Beim 1. Kartendurchlauf werden alle Studierendendaten auf den Kartenrohling gebracht und der Zertifikatsantrag erzeugt. (2 min) Der 2. Durchlauf (am nächsten Tag) schreibt das Zertifikat in den Kryptochip und druckt den “PIN-Brief”. (1 min) PIN-Brief ist ein DIN-A4-Blatt mit - Chipkarten- und Chipkarten-Info-Empfangsbestätigung - Start-PIN (Personal Identification Number) - PUK (Personal Unblock Key) - Sperrcode PIN, PUK, Sperrcode und Chipkarte werden in einem verschlossenen Briefumschlag zur Abholung bereitgehalten. 14. Mai 2003 Falko Fock

12 Kobil-Chipkartenleser
KAAN Standard Plus HBCI-Klasse 2 14. Mai 2003 Falko Fock

13 Chipkarten-Einsatz (1) Kryptochip
Authentisierung im Internet - für die Mailweiterleitung einer fiktiven Hochschul-Mailbox an reale, externe Benutzer-Mailbox - beim Zugang zum Hochschul-Intranet (z.B. über VPN-Server) - bei der verbindlichen Anmeldung zu jeder Art von Diensten - z.B. beim Zugang zum Hochschul-Prüfungsorganisationssystem - z.B. beim Zugang zu RZ- oder Fachbereichsserver Alle Zugänge sind mit der selben Chipkarte und PIN gesichert, defacto nur ein Passwort (PIN). Mit der Chipkarte sind die alten Passwort-Probleme behoben: Man braucht Besitz (Karte) und Wissen (PIN). Versenden verbindlicher, elektronisch signierter, ggf. auch verschlüsselter Dateisicherung durch Verschlüsselung mit der Karte Einsparen von (Fahr- und Warte-)Zeit und Geld durch Zugang vom heimischen PC zu allen Hochschuldiensten 14. Mai 2003 Falko Fock

14 Chipkarten-Einsatz (2) Mifare-Chip und optische Angaben
Studienausweis mit Lichtbild Bibliotheksausweis (Barcode) Maschinenlesbarer Ausweis in Klausuren (Barcode) ÖPNV-Fahrkarte (Semesterticket) Bargeldloses Bezahlen im Studentenwerk und Hochschulbereich (Kleinbeträge) Kontaktloser, elektronischer Schlüssel für Raum- und Gebäudezugang Gleitzeitkarte für Mitarbeiter 14. Mai 2003 Falko Fock

15 Chipkarten-Einsatz (3) Sperrmöglichkeiten
Durch Studierende und Mitarbeiter über Webseite (Sperrcode und Angaben für Rückfrage erforderlich) Sonst Fax, Postbrief oder persönlich Sperre kann temporär (max. 14 Tage, noch keine neue Karte) oder dauerhaft erfolgen (mit kostenpflichtiger neuer Karte) Weitergabe der Einzel-Sperr-Info sofort per Mail, Summe geht zusätzlich über nacht an alle interessierten/berechtigten Hochschul-Institutionen Automatischer Gültigkeitsablauf am Semesterende Kein Schlüsselersatz, kein Schlüsselrisiko 14. Mai 2003 Falko Fock

16 Argumente für PKI-basierte Chipkarten (1) technische
Eine Chipkarte für alle Anwendungen = Akzeptanz Keine Alternative zur PKI “Relativ preiswert” (15 €/Karte für alle Anwendungen, alternativ 5-10 €/Karte für SOS/POS-campus-orientierte Chipkarten-Lösung) Für Studierende und Mitarbeiter kann die gleiche Chipkarte, Software- und Hardware-Ausstattung benutzt werden. Viele IT-Dienste sind auf die PKI/X.509-basierten Zertifikate bereits vorbereitet: Windows2000, XP, Mailprogramme, VPN- und Webserver. Aus unseren Erfahrungen sind Chipkartenpfand und Chipkartenleser für zu Hause kein Gegenargument (ggf. Weiterverkauf des Lesers wie mit Fachbüchern, Verwendung für das Homebanking). 14. Mai 2003 Falko Fock

17 Argumente für PKI-basierte Chipkarten (2) organisatorisch/politische
Der Umstieg auf PKI-basierte Chipkarten erfordert Zeit und Organisationsaufwand, Mitarbeit der IT-Abteilung/RZ sinnvoll bzw. nötig. Es gibt ernsthafte PKI-Planungen öffentlicher Institutionen (z.B. BundOnline2005, Städte, Hochschulen) und Realisationen in Großbetrieben (z.B. LH mit , BMW mit Mitarbeitern) sowie in vielen Mittelbetrieben. Hochschulen sollten die Studierenden mit dem komplexen Umfeld einer PKI vertraut machen. Hochschulen erhalten für ihre Netzinfrastruktur und den Serverbetrieb einen hohen Sicherheitsgewinn, wenn sie PKI-basierte Chipkarten verwenden. Hochschul-Chipkarte und Chipkarten-Einsatz sind für die Mehrzahl der Studierenden etwas Positives, auch dann, wenn sie persönlich (noch) keinen technischen Vorteil mit der Chipkarte erhalten oder nutzen. 14. Mai 2003 Falko Fock

18 Weitere Information Zum Chipkarten-Betrieb:
- Zur Planung (2000/2001 z.T. überholt): - Projekt-Partner: - Projektleiter: - - siehe auch > Überblick/Personal > X.500/LDAP-Verzeichnis 14. Mai 2003 Falko Fock

Herunterladen ppt "Einsatz neuer PKI-basierter Chipkarten an der JLU Gießen"

Ähnliche Präsentationen

Security Lösungen, die Ihnen echten Schutz bieten!

Security Lösungen, die Ihnen echten Schutz bieten!
Software Assurance Erweiterte Software Assurance Services

Software Assurance Erweiterte Software Assurance Services
- IT-Intelligence for your Business -

- IT-Intelligence for your Business -
Inxmail GmbH Vertrieb und Pflege des Marketing Tools.

Inxmail GmbH Vertrieb und Pflege des Marketing Tools.
Mündliche Fachprüfung

Mündliche Fachprüfung
Für Studierende im Bereich Bibliotheks- und Informationswesen Präsentation an der Fachhochschule Köln am 04.12.02.

Für Studierende im Bereich Bibliotheks- und Informationswesen Präsentation an der Fachhochschule Köln am
Fachhochschule Südwestfalen

Fachhochschule Südwestfalen
Präsentation Der Gruppe: Boll, Barbosa, Blädel Klasse: WG 05 a.

Präsentation Der Gruppe: Boll, Barbosa, Blädel Klasse: WG 05 a.
Die Chipkarte kommt! Einführung des elektronischen Studierendenausweis

Die Chipkarte kommt! Einführung des elektronischen Studierendenausweis
Internet-Sicherheit (2)

Internet-Sicherheit (2)
Thin Clients und SmartCards an der HU

Thin Clients und SmartCards an der HU
Terminalserver-Dienste für die HU

Terminalserver-Dienste für die HU
für das Schulnetz der BS Roth

für das Schulnetz der BS Roth
Druckkosten-Abrechnungssystem an öffentlichen PCs

Druckkosten-Abrechnungssystem an öffentlichen PCs
Pflege der Internetdienste

Pflege der Internetdienste
1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.

1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.
Ulrich Kähler, DFN-Verein

Ulrich Kähler, DFN-Verein
REGIERUNGSPRÄSIDIUM TÜBINGEN Online-System Fortbildungsveranstaltungen Berufliche Schulen Dienstbesprechung Teamleiter BS Sigmaringen, 22. Mai 2007 Wolfgang.

REGIERUNGSPRÄSIDIUM TÜBINGEN Online-System Fortbildungsveranstaltungen Berufliche Schulen Dienstbesprechung Teamleiter BS Sigmaringen, 22. Mai 2007 Wolfgang.
Verschlüsselungsverfahren Gruppe 3/ Judith Neu / Stephanie Czichon

Verschlüsselungsverfahren Gruppe 3/ Judith Neu / Stephanie Czichon
Sicherheit und Personalisierung Internet Portal der Universität München.

Sicherheit und Personalisierung Internet Portal der Universität München.

Ähnliche Präsentationen

Google-Anzeigen