In Sammlung (en) In der gespeicherten
  1. Ingenieurwissenschaft
  2. Informatik
  3. Datenbank

Zertifikatsserver

Werbung 
Automatische Zertifizierung von
Studierenden und Mitarbeitern
der FernUniversität in Hagen
Henning Mohren
FernUniversität in Hagen
Universitätsrechenzentrum
Universitätsstr. 21
58084 Hagen
Montag, 16. Mai 2016
© FernUniversität in Hagen - Certification Authority (CA)
1
Zertifikatsserver
Inhalt
1. Historie
2. Datenschutz und Datensicherheit
3. Usability
4. Der Server der FernUniversität
5. eToken-Erweiterung
6. Features des Zertifikatsservers der Certification Authority (CA)
7. Projektpartner
Montag, 16. Mai 2016
© FernUniversität in Hagen - Certification Authority (CA)
2
Historie
Public-Key-Infrastrukturen an der FernUniversität
1996: Beginn des DFN-Projekts „Public-Key Service“
gefördert durch DFN, BMBF
Technik: PGP
1997: Erweiterung des Projekts um SSL-Verschlüsselung
2002: Inbetriebnahme des Zertifizierungsautomaten für
SSL-Zertifikate
2003: Zusammenarbeit mit NRW-Hochschulen,
eToken-Erweiterung
Montag, 16. Mai 2016
© FernUniversität in Hagen - Certification Authority (CA)
3
Datenschutz und -sicherheit
• Internet ist ein „unsicheres“ Medium
• Ursachen: Betriebssysteme, Programme, Netze, Anforderungen
an Flexibilität und Funktionalität, Bedienfehler…
• Typische Angriffe:
• Sniffing („Mitlesen“)
• Spoofing („Vortäuschen fremder Identitäten“)
• Brute forcing („Methodische Versuche zum Passwort-Hacken“)
• Bouncing („E-Mail-Relaying, Spamming“)
• Denial of Service („Lastüberschreitungen“)
…
• Trotzdem: Begehrlichkeiten, über Internet auch sensible Daten
zu erreichen, steigen
Montag, 16. Mai 2016
© FernUniversität in Hagen - Certification Authority (CA)
4
Datenschutz und -sicherheit
• Sicherheit im Internet z.B. durch
organisatorisch/technische Maßnahmen
• Firewalls
• Viren-Checker
• Kryptographie
 Wie funktioniert Kryptographie?
Montag, 16. Mai 2016
© FernUniversität in Hagen - Certification Authority (CA)
5
Datenschutz und -sicherheit
Szenario (Flugreise): Was will der Kunde?
Server
Benutzer
• Verschlüsseln der Verbindung
• Authentizität des Servers
• Unverfälschtheit der Daten
 Zertifikat ist die digitale elektronische „Kreditkarte“ des Servers
Montag, 16. Mai 2016
© FernUniversität in Hagen - Certification Authority (CA)
6
Datenschutz und -sicherheit
Szenario (Wohnsitzwechsel): Was will der Betreiber des Servers?
Server
Benutzer
• Verschlüsseln der Verbindung
• Authentizität des Kunden
• Unverfälschtheit der der Daten
 Zertifikat ist die digitale elektronische „Kreditkarte“ des Kunden
Montag, 16. Mai 2016
© FernUniversität in Hagen - Certification Authority (CA)
7
Datenschutz und -sicherheit
Definition „Zertifikat“
• Zertifikate sind „elektronische Kreditkarten / Ausweise“
• Es gibt
• Client-Zertifikate (für Personen)
• Server-Zertifikate (für Maschinen)
Montag, 16. Mai 2016
© FernUniversität in Hagen - Certification Authority (CA)
8
Datenschutz und -sicherheit
• Kryptographie ist „mehr“ als nur Accounting
• Eigenschaften Kryptographischer Verfahren:
1. Authentisierung
2. Datenintegrität
3. Vertraulichkeit
4. Non-Repudiation (SigG, SigV)
•
•
•
•
•
Sniffing
Spoofing
Brute forcing
Bouncing
Denial of Service
…
Montag, 16. Mai 2016
© FernUniversität in Hagen - Certification Authority (CA)
9
Usability
Zugriff auf geschützte Seiten (Accounting)
Montag, 16. Mai 2016
© FernUniversität in Hagen - Certification Authority (CA)
10
Usability
Zugriff auf geschützte Seiten (Zertifikate)
Montag, 16. Mai 2016
© FernUniversität in Hagen - Certification Authority (CA)
11
Usability
Derzeitige Anwendungsmöglichkeiten an der FernUniversität
Selbst erstellte Applikationen:
E-Mails
• Prüfungsleistungsauskunft
• Pflege von Leistungsdaten
• Abruf von Belegerlisten
• Anmeldung zu Prüfungen
• Anmeldung
zu Praktika
Netzzugang
Server-Login
PC-Login
…
Montag, 16. Mai 2016
© FernUniversität in Hagen - Certification Authority (CA)
eigene Appl.
12
Usability
Geplante Anwendungsmöglichkeiten an der FernUniversität
• ePayment-Funktionen (Bibliothek, z.B. Jason-System)
• Verschlüsselte Dateiablage (PrivateDisk, Multi-Userfähig)
• Access-Control
• Single-Sign-On
Montag, 16. Mai 2016
© FernUniversität in Hagen - Certification Authority (CA)
13
Usability
Mögliche Anwendungen (allgemein)
• eBusiness
• eGovernment
• eEducation
• eProcurement
• eEntry
…
 „alles, was in Verbindung mit einem ‚e‘ gebracht werden kann“
Montag, 16. Mai 2016
© FernUniversität in Hagen - Certification Authority (CA)
14
Zertifikatsserver
Wie erhält der Benutzer sein Zertifikat?
• Zentrale Frage:
Wie stelle ich sicher, dass Teilnehmer der PKI ein Zertifikat
erhalten, ohne dass sie persönlich bei der Certification
Authority erscheinen müssen?
• Randbedingungen:
Mehrere Teilnehmergruppen, Client-, Serverzertifikate
 verschiedene Möglichkeiten zur Authentisierung
• Lösung:
Clientzertifikate:
Serverzertifikate:
Montag, 16. Mai 2016
Außenwirkung! mit Hilfe von Daten,
Authentisierung
die der FernUniversität
Persönliches
Erscheinenohnehin
bei Mitarbeitern
vorliegen:
der
• CA
Einschreibevorgang
• Einstellungsvorgang
• Behördenadressen
© FernUniversität in Hagen - Certification Authority (CA)
15
Zertifikatsserver
Authentisierung der Teilnehmer: „Postverfahren“
Einschreibevorgang
Verifizierter Datenaustausch
Adresse
HIS
Montag, 16. Mai 2016
© FernUniversität in Hagen - Certification Authority (CA)
16
Zertifikatsserver
Authentisierung der Teilnehmer: „Postverfahren“
Ausnutzen des Einschreibevorgangs für den Zertifikatsserver:

Zertifikatsserver

Client

1. Client fordert Passwort an
2. Zertifikatsserver holt Adresse aus
HIS-Datenbank
3. Zertifikatsserver schreibt Passwort
in Zertifikatsdatenbank
4. Zertifikatsserver schickt Passwort
per Post an Adresse aus HIS
Montag, 16. Mai 2016
Datenbankserver
© FernUniversität in Hagen - Certification Authority (CA)

HIS
17
Zertifikatsserver
Authentisierung der Teilnehmer: „Postverfahren“
Ausnutzen des Einschreibevorgangs für den Zertifikatsserver:

Zertifikatsserver

Client
1. Client fordert Zertifikat an
2. Zertifikatsserver verifiziert Passwort
gegen Zertifikatsdatenbank
3. Zertifikatsserver stellt Zertifikat aus;
schreibt es in Zertifikatsdatenbank
4. Zertifikatsserver bietet Zertifikat
zum Download an; Client holt
es ab
Montag, 16. Mai 2016


Datenbankserver
© FernUniversität in Hagen - Certification Authority (CA)
HIS
18
Zertifikatsserver
Technische Realisierung: Hardware, Security
Zertifikatsserver
SUN Solaris
Apache – WebServer
OpenSSL / modSSL - Cryptomodul
PHP + Ergänzungen
Firewall, ACL‘s
OracleNet
Datenbankserver
SUN Solaris
Oracle – Datenbank
Montag, 16. Mai 2016
HIS
IBM AIX
Informix – Datenbank
© FernUniversität in Hagen - Certification Authority (CA)
19
Zertifikatsserver
Technische Realisierung: Schichtenarchitektur
WebPräsentation
Apache
HTML - Generator
Smarty - Engine
Programmierung
PHP
Datenbankabstraktion
PEAR::DB
Datenhaltung
Oracle
Montag, 16. Mai 2016
© FernUniversität in Hagen - Certification Authority (CA)
20
Zertifikatsserver
Technische Realisierung: 3-Server-System
Zertifikatsserver
Eigentlich: Drei Server
• (Nach außen zugänglicher) Zertifikatsserver, „usermode“
• (Nach außen abgeschotteter) Zertifikatsserver, „adminmode“
• Cronjob-Server (Zusatz-Features)
Wichtig: gemeinsame Konfigurationsdatei (XML!)
separate Funktionen (Sicherheit!)
Montag, 16. Mai 2016
© FernUniversität in Hagen - Certification Authority (CA)
21
Zertifikatsserver
Technische Realisierung: Das Datenbanksystem
Datenbankserver
RDBMS:
MySQL, Oracle, PostgreSQL, InterBase, Mini SQL,
Microsoft SQL Server, ODBC, Sybase, Informix,
Frontbase
Tabellen:
Authentisierungsdaten
Clientzertifikate
Serverzertifikate
Montag, 16. Mai 2016
© FernUniversität in Hagen - Certification Authority (CA)
22
Zertifikatsserver
Technische Realisierung: Benutzerführung
Client
Browsersupport:
Internet Explorer, Netscape, Opera, Mozilla,
Konqueror auf Windows, Unix
Dies bedeutet:
Clientseitige VBScript-, ActiveX-Nutzung
(Microsoft-Browser)
Hintergrund:
Schlüsselerzeugung bei Microsoft-Browsern nur
mit Scripting möglich!
Montag, 16. Mai 2016
© FernUniversität in Hagen - Certification Authority (CA)
23
eToken-Erweiterung
Erweiterung: eToken
Problem:
Lösung:
•
•
•
•
Mobilität
Zertifikate
von
aufZertifikaten
Hardware abspeichern
Zertifikatsspeicher
eToken / SmartCards
ist unflexibel
Zur
Mitnahme
Mitnahme
von von
Zertifikaten
Zertifikaten
durch
Export/Import
Mitnahme der
erforderlich
Hardware
Sicherheitsgewinn: Authentisierung durch Wissen und Besitz
Montag, 16. Mai 2016
© FernUniversität in Hagen - Certification Authority (CA)
24
eToken-Erweiterung
eToken-Erweiterung:
•
Einbindung der eToken/SmartCards über betriebssystemnahe Gerätetreiber

Keine Hersteller-/Hardwareabhängigkeit
Aber: gute Erfahrungen mit Aladdin

Nutzen von Applikationen des Herstellers
Montag, 16. Mai 2016
© FernUniversität in Hagen - Certification Authority (CA)
25
Standards und Features
Standards des Zertifikatsservers der Certification Authority (CA):
 Zertifikate nach X.509v3-Norm
 CRL‘s nach X.509v1/v2-Norm
 Unterstützung des PKCS-Protokolls
 SQL-Datenbank-Unterstützung
 TCP/IP und OracleNet-Netzwerk-Verbindung
 PHP/Smarty/PEAR::DB/XML Languages
 OpenSSL-Cryptolibrary
Montag, 16. Mai 2016
© FernUniversität in Hagen - Certification Authority (CA)
26
Standards und Features
Features des Zertifikatsservers der Certification Authority (CA):
 Vollautomatische Authentizitätsprüfung und Ausstellung von
Zertifikaten
 Vollautomatisches CRL-Handling
 Vollautomatische Verwaltung von Zertifikaten (ausliefern,
veröffentlichen, archivieren, sperren) in einer SQL-Datenbank
 Halbautomatischer First-Level-Support
 Ausstellen von Serverzertifikaten
 Unterstützung aller Speichermedien
Montag, 16. Mai 2016
© FernUniversität in Hagen - Certification Authority (CA)
27
Nutzung durch andere Hochschulen
Der Zertifikatsserver der FernUniversität wird derzeit
erprobt durch:
Montag, 16. Mai 2016
© FernUniversität in Hagen - Certification Authority (CA)
28
Q&A
Henning Mohren
FernUniversität in Hagen
Universitätsrechenzentrum
Universitätsstr. 21
58084 Hagen
Montag, 16. Mai 2016
© FernUniversität in Hagen - Certification Authority (CA)
29
Zugehörige Unterlagen
Stellenausschreibung
Stellenausschreibung
Moralische Dinge. Materialität und Sittlichkeit in der Literatur
Moralische Dinge. Materialität und Sittlichkeit in der Literatur
Folien
Folien
Protokoll vom 2. April mit Frau Hagen Entwurf!
Protokoll vom 2. April mit Frau Hagen Entwurf!
Hier - Kirche in anderem Licht
Hier - Kirche in anderem Licht
Hagen Quartet
Hagen Quartet
Praxisbroschüre zum
Praxisbroschüre zum
FB 400 – Auskunftsbogen Angebot
FB 400 – Auskunftsbogen Angebot
Dynamiken von Emotionskulturen - Sektion Wissenssoziologie der
Dynamiken von Emotionskulturen - Sektion Wissenssoziologie der
Hinweise zum Export von Tieren
Hinweise zum Export von Tieren
Helmut Fritsch - FernUniversität in Hagen
Helmut Fritsch - FernUniversität in Hagen
Auskunftsbogen Kunde FB 400 Auskunftsbogen zur Erstellung eines
Auskunftsbogen Kunde FB 400 Auskunftsbogen zur Erstellung eines
Herunterladen
Werbung