Sonntag, 26. Januar 20141© FernUniversität in Hagen - Certification Authority (CA) Automatische...

Dienstag, 11. April 2023 1© FernUniversität in Hagen - Certification Authority (CA)

Automatische Zertifizierung vonStudierenden und Mitarbeiternder FernUniversität in Hagen

Henning MohrenFernUniversität in Hagen

UniversitätsrechenzentrumUniversitätsstr. 21

58084 Hagen


Inhalt

1. Historie

2. Datenschutz und Datensicherheit

3. Usability

4. Der Server der FernUniversität

5. eToken-Erweiterung

6. Features des Zertifikatsservers der Certification Authority (CA)

7. Projektpartner

Zertifikatsserver


Public-Key-Infrastrukturen an der FernUniversität

1996: Beginn des DFN-Projekts „Public-Key Service“gefördert durch DFN, BMBFTechnik: PGP

1997: Erweiterung des Projekts um SSL-Verschlüsselung

2002: Inbetriebnahme des Zertifizierungsautomaten fürSSL-Zertifikate

2003: Zusammenarbeit mit NRW-Hochschulen,eToken-Erweiterung

Historie


• Internet ist ein „unsicheres“ Medium

• Ursachen: Betriebssysteme, Programme, Netze, Anforderungenan Flexibilität und Funktionalität, Bedienfehler…

• Typische Angriffe:• Sniffing („Mitlesen“)• Spoofing („Vortäuschen fremder Identitäten“)• Brute forcing („Methodische Versuche zum Passwort-Hacken“)• Bouncing („E-Mail-Relaying, Spamming“)• Denial of Service („Lastüberschreitungen“)

…

• Trotzdem: Begehrlichkeiten, über Internet auch sensible Datenzu erreichen, steigen

Datenschutz und -sicherheit


• Sicherheit im Internet z.B. durch organisatorisch/technische Maßnahmen

• Firewalls• Viren-Checker• Kryptographie

Wie funktioniert Kryptographie?



Szenario (Flugreise): Was will der Kunde?


Benutzer Server

• Verschlüsseln der Verbindung• Authentizität des Servers• Unverfälschtheit der Daten

Zertifikat ist die digitale elektronische „Kreditkarte“ des Servers


Szenario (Wohnsitzwechsel): Was will der Betreiber des Servers?


Benutzer Server

• Verschlüsseln der Verbindung• Authentizität des Kunden• Unverfälschtheit der der Daten

Zertifikat ist die digitale elektronische „Kreditkarte“ des Kunden


Definition „Zertifikat“

• Zertifikate sind „elektronische Kreditkarten / Ausweise“

• Es gibt• Client-Zertifikate (für Personen)• Server-Zertifikate (für Maschinen)



• Kryptographie ist „mehr“ als nur Accounting

• Eigenschaften Kryptographischer Verfahren:1. Authentisierung2. Datenintegrität3. Vertraulichkeit4. Non-Repudiation (SigG, SigV)


• Sniffing• Spoofing• Brute forcing• Bouncing• Denial of Service

…


Zugriff auf geschützte Seiten (Accounting)

Usability


Zugriff auf geschützte Seiten (Zertifikate)

Usability


Derzeitige Anwendungsmöglichkeiten an der FernUniversität

Usability

E-Mails Netzzugang Server-Login PC-Login eigene Appl.

Selbst erstellte Applikationen:

• Prüfungsleistungsauskunft• Pflege von Leistungsdaten• Abruf von Belegerlisten• Anmeldung zu Prüfungen• Anmeldung zu Praktika

…


Geplante Anwendungsmöglichkeiten an der FernUniversität

• ePayment-Funktionen (Bibliothek, z.B. Jason-System)

• Verschlüsselte Dateiablage (PrivateDisk, Multi-User-fähig)

• Access-Control

• Single-Sign-On

Usability


Mögliche Anwendungen (allgemein)

• eBusiness

• eGovernment

• eEducation

• eProcurement

• eEntry

…

„alles, was in Verbindung mit einem ‚e‘ gebracht werden kann“

Usability


Wie erhält der Benutzer sein Zertifikat?

• Zentrale Frage:Wie stelle ich sicher, dass Teilnehmer der PKI ein Zertifikat erhalten, ohne dass sie persönlich bei der Certification Authority erscheinen müssen?

• Randbedingungen:Mehrere Teilnehmergruppen, Client-, Serverzertifikate verschiedene Möglichkeiten zur Authentisierung

Zertifikatsserver

Clientzertifikate: Authentisierung mit Hilfe von Daten, die der FernUniversität ohnehin vorliegen:

• Einschreibevorgang• Einstellungsvorgang• Behördenadressen

Serverzertifikate: Außenwirkung!Persönliches Erscheinen bei Mitarbeitern der CA

• Lösung:


Authentisierung der Teilnehmer: „Postverfahren“

Einschreibevorgang

HIS

Verifizierter Datenaustausch

Adresse

Zertifikatsserver



Ausnutzen des Einschreibevorgangs für den Zertifikatsserver:

1. Client fordert Passwort an

‚ƒ

„Client

Zertifikatsserver

HISDatenbankserver

2. Zertifikatsserver holt Adresse ausHIS-Datenbank

3. Zertifikatsserver schreibt Passwortin Zertifikatsdatenbank

4. Zertifikatsserver schickt Passwortper Post an Adresse aus HIS

Zertifikatsserver



Ausnutzen des Einschreibevorgangs für den Zertifikatsserver:

‚ ƒ

„

Zertifikatsserver

HISDatenbankserver

1. Client fordert Zertifikat an2. Zertifikatsserver verifiziert Passwort

gegen Zertifikatsdatenbank3. Zertifikatsserver stellt Zertifikat aus;

schreibt es in Zertifikatsdatenbank4. Zertifikatsserver bietet Zertifikat

zum Download an; Client holtes ab

Zertifikatsserver

Client


Technische Realisierung: Hardware, Security

Zertifikatsserver

HISDatenbankserver

SUN SolarisOracle – Datenbank

Firewall, ACL‘s

IBM AIXInformix – Datenbank

SUN SolarisApache – WebServerOpenSSL / modSSL - CryptomodulPHP + Ergänzungen

OracleNet

Zertifikatsserver


Technische Realisierung: Schichtenarchitektur

Datenhaltung

Programmierung

WebPräsentation

Oracle

PHP

Apache

PEAR::DB

Smarty - Engine

Datenbankabstraktion

HTML - Generator

Zertifikatsserver

Designänderung?

Unabhängigkeit vom RDBMS?


Technische Realisierung: 3-Server-System

Zertifikatsserver

Eigentlich: Drei Server• (Nach außen zugänglicher) Zertifikatsserver, „usermode“• (Nach außen abgeschotteter) Zertifikatsserver, „adminmode“• Cronjob-Server (Zusatz-Features)

Wichtig: gemeinsame Konfigurationsdatei (XML!)separate Funktionen (Sicherheit!)

Zertifikatsserver


Technische Realisierung: Das Datenbanksystem

Datenbankserver

RDBMS: MySQL, Oracle, PostgreSQL, InterBase, Mini SQL,

Microsoft SQL Server, ODBC, Sybase, Informix,Frontbase

Tabellen: AuthentisierungsdatenClientzertifikateServerzertifikate

Zertifikatsserver


Technische Realisierung: Benutzerführung

Browsersupport: Internet Explorer, Netscape, Opera, Mozilla,Konqueror auf Windows, Unix

Dies bedeutet: Clientseitige VBScript-, ActiveX-Nutzung(Microsoft-Browser)

Hintergrund: Schlüsselerzeugung bei Microsoft-Browsern nur

mit Scripting möglich!

Client

Zertifikatsserver


Erweiterung: eToken

Problem:

• Mobilität von Zertifikaten• Zertifikatsspeicher ist unflexibel• Zur Mitnahme von Zertifikaten Export/Import erforderlich

eToken-Erweiterung

Lösung:

• Zertifikate auf Hardware abspeichern• eToken / SmartCards• Mitnahme von Zertifikaten durch Mitnahme der Hardware• Sicherheitsgewinn: Authentisierung durch Wissen und Besitz


eToken-Erweiterung:

• Einbindung der eToken/SmartCards über betriebssystem-nahe Gerätetreiber

Keine Hersteller-/HardwareabhängigkeitAber: gute Erfahrungen mit Aladdin

Nutzen von Applikationen des Herstellers

eToken-Erweiterung


Standards des Zertifikatsservers der Certification Authority (CA):

Zertifikate nach X.509v3-Norm

CRL‘s nach X.509v1/v2-Norm

Unterstützung des PKCS-Protokolls

SQL-Datenbank-Unterstützung

TCP/IP und OracleNet-Netzwerk-Verbindung

PHP/Smarty/PEAR::DB/XML Languages

OpenSSL-Cryptolibrary

Standards und Features


Features des Zertifikatsservers der Certification Authority (CA):

Vollautomatische Authentizitätsprüfung und Ausstellung von Zertifikaten

Vollautomatisches CRL-Handling

Vollautomatische Verwaltung von Zertifikaten (ausliefern, veröffentlichen, archivieren, sperren) in einer SQL-Datenbank

Halbautomatischer First-Level-Support

Ausstellen von Serverzertifikaten

Unterstützung aller Speichermedien

Standards und Features


Der Zertifikatsserver der FernUniversität wird derzeiterprobt durch:

Nutzung durch andere Hochschulen


Q&A

Henning MohrenFernUniversität in Hagen

UniversitätsrechenzentrumUniversitätsstr. 21

58084 Hagen

Sonntag, 26. Januar 20141© FernUniversität in Hagen - Certification Authority (CA) Automatische...

Documents

Transcript of Sonntag, 26. Januar 20141© FernUniversität in Hagen - Certification Authority (CA) Automatische...