Zertifikatsserver

righteousgaggleData Management

Jan 31, 2013 (4 years and 6 months ago)

260 views

Montag, 18. März 2013

1

© FernUniversität in Hagen
-

Certification Authority (CA)

Automatische Zertifizierung von

Studierenden und Mitarbeitern

der FernUniversität in Hagen







Henning Mohren

FernUniversität in Hagen

Universitätsrechenzentrum

Universitätsstr. 21

58084 Hagen

Montag, 18. März 2013

2

© FernUniversität in Hagen
-

Certification Authority (CA)

Inhalt


1.
Historie


2.
Datenschutz und Datensicherheit


3.
Usability


4.
Der Server der FernUniversität


5.
eToken
-
Erweiterung


6.
Features des Zertifikatsservers der Certification Authority (CA)


7.
Projektpartner

Zertifikatsserver

Montag, 18. März 2013

3

© FernUniversität in Hagen
-

Certification Authority (CA)

Public
-
Key
-
Infrastrukturen an der FernUniversität



1996:

Beginn des DFN
-
Projekts „Public
-
Key Service“

gefördert durch DFN, BMBF

Technik: PGP


1997:

Erweiterung des Projekts um SSL
-
Verschlüsselung


2002:

Inbetriebnahme des Zertifizierungsautomaten für

SSL
-
Zertifikate


2003:

Zusammenarbeit mit NRW
-
Hochschulen,

eToken
-
Erweiterung

Historie

Montag, 18. März 2013

4

© FernUniversität in Hagen
-

Certification Authority (CA)


Internet ist ein „unsicheres“ Medium



Ursachen:

Betriebssysteme, Programme, Netze, Anforderungen



an Flexibilität und Funktionalität, Bedienfehler…



Typische Angriffe:


Sniffing („Mitlesen“)


Spoofing („Vortäuschen fremder Identitäten“)


Brute forcing („Methodische Versuche zum Passwort
-
Hacken“)


Bouncing („E
-
Mail
-
Relaying, Spamming“)


Denial of Service („Lastüberschreitungen“)






Trotzdem: Begehrlichkeiten, über Internet auch sensible Daten


zu erreichen, steigen

Datenschutz und
-
sicherheit

Montag, 18. März 2013

5

© FernUniversität in Hagen
-

Certification Authority (CA)


Sicherheit im Internet z.B. durch

organisatorisch/technische Maßnahmen



Firewalls


Viren
-
Checker


Kryptographie




Wie funktioniert Kryptographie?

Datenschutz und
-
sicherheit

Montag, 18. März 2013

6

© FernUniversität in Hagen
-

Certification Authority (CA)

Szenario (Flugreise): Was will der Kunde?

Datenschutz und
-
sicherheit

Benutzer

Server


Verschlüsseln der Verbindung


Authentizität des Servers


Unverfälschtheit der Daten



Zertifikat ist die digitale elektronische „Kreditkarte“ des Servers

Montag, 18. März 2013

7

© FernUniversität in Hagen
-

Certification Authority (CA)

Szenario (Wohnsitzwechsel): Was will der Betreiber des Servers?

Datenschutz und
-
sicherheit

Benutzer

Server


Verschlüsseln der Verbindung


Authentizität des Kunden


Unverfälschtheit der der Daten



Zertifikat ist die digitale elektronische „Kreditkarte“ des Kunden

Montag, 18. März 2013

8

© FernUniversität in Hagen
-

Certification Authority (CA)

Definition „Zertifikat“




Zertifikate sind „elektronische Kreditkarten / Ausweise“



Es gibt


Client
-
Zertifikate (für Personen)


Server
-
Zertifikate (für Maschinen)

Datenschutz und
-
sicherheit

Montag, 18. März 2013

9

© FernUniversität in Hagen
-

Certification Authority (CA)


Kryptographie ist „mehr“ als nur Accounting



Eigenschaften Kryptographischer Verfahren:

1.

Authentisierung

2.

Datenintegrität

3.

Vertraulichkeit

4.

Non
-
Repudiation (SigG, SigV)

Datenschutz und
-
sicherheit


Sniffing


Spoofing


Brute forcing


Bouncing


Denial of Service




Montag, 18. März 2013

10

© FernUniversität in Hagen
-

Certification Authority (CA)

Zugriff auf geschützte Seiten (Accounting)

Usability

Montag, 18. März 2013

11

© FernUniversität in Hagen
-

Certification Authority (CA)

Zugriff auf geschützte Seiten (Zertifikate)

Usability

Montag, 18. März 2013

12

© FernUniversität in Hagen
-

Certification Authority (CA)

Derzeitige Anwendungsmöglichkeiten an der FernUniversität

Usability

E
-
Mails

Netzzugang

Server
-
Login

PC
-
Login

eigene Appl.

Selbst erstellte Applikationen:



Prüfungsleistungsauskunft


Pflege von Leistungsdaten


Abruf von Belegerlisten


Anmeldung zu Prüfungen


Anmeldung zu Praktika




Montag, 18. März 2013

13

© FernUniversität in Hagen
-

Certification Authority (CA)

Geplante Anwendungsmöglichkeiten an der FernUniversität



ePayment
-
Funktionen (Bibliothek, z.B. Jason
-
System)



Verschlüsselte Dateiablage (PrivateDisk, Multi
-
User
-

fähig)



Access
-
Control



Single
-
Sign
-
On

Usability

Montag, 18. März 2013

14

© FernUniversität in Hagen
-

Certification Authority (CA)

Mögliche Anwendungen (allgemein)



eBusiness



eGovernment



eEducation



eProcurement



eEntry









„alles, was in Verbindung mit einem ‚e‘ gebracht werden kann“

Usability

Montag, 18. März 2013

15

© FernUniversität in Hagen
-

Certification Authority (CA)

Wie erhält der Benutzer sein Zertifikat?



Zentrale Frage:

Wie stelle ich sicher, dass Teilnehmer der PKI ein Zertifikat

erhalten, ohne dass sie persönlich bei der Certification

Authority erscheinen müssen?



Randbedingungen:

Mehrere Teilnehmergruppen, Client
-
, Serverzertifikate



verschiedene Möglichkeiten zur Authentisierung

Zertifikatsserver

Clientzertifikate:

Authentisierung mit Hilfe von Daten,

die der FernUniversität ohnehin vorliegen:


Einschreibevorgang


Einstellungsvorgang


Behördenadressen

Serverzertifikate:

Außenwirkung!


Persönliches Erscheinen bei Mitarbeitern

der CA


Lösung:

Montag, 18. März 2013

16

© FernUniversität in Hagen
-

Certification Authority (CA)

Authentisierung der Teilnehmer: „Postverfahren“


Einschreibevorgang

HIS

Verifizierter Datenaustausch

Adresse

Zertifikatsserver

Montag, 18. März 2013

17

© FernUniversität in Hagen
-

Certification Authority (CA)

Authentisierung der Teilnehmer: „Postverfahren“


Ausnutzen des Einschreibevorgangs für den Zertifikatsserver:

1.
Client fordert Passwort an









Client

Zertifikatsserver

HIS

Datenbankserver

2.

Zertifikatsserver holt Adresse aus


HIS
-
Datenbank

3.

Zertifikatsserver schreibt Passwort


in Zertifikatsdatenbank

4.

Zertifikatsserver schickt Passwort


per Post an Adresse aus HIS

Zertifikatsserver

Montag, 18. März 2013

18

© FernUniversität in Hagen
-

Certification Authority (CA)

Authentisierung der Teilnehmer: „Postverfahren“


Ausnutzen des Einschreibevorgangs für den Zertifikatsserver:









Zertifikatsserver

HIS

Datenbankserver

1.
Client fordert Zertifikat an

2.

Zertifikatsserver verifiziert Passwort


gegen Zertifikatsdatenbank

3.

Zertifikatsserver stellt Zertifikat aus;


schreibt es in Zertifikatsdatenbank

4.

Zertifikatsserver bietet Zertifikat

zum Download an; Client holt

es ab

Zertifikatsserver

Client

Montag, 18. März 2013

19

© FernUniversität in Hagen
-

Certification Authority (CA)

Technische Realisierung: Hardware, Security

Zertifikatsserver

HIS

Datenbankserver

SUN Solaris

Oracle


Datenbank

Firewall, ACL‘s

IBM AIX

Informix


Datenbank

SUN Solaris

Apache


WebServer

OpenSSL / modSSL
-

Cryptomodul

PHP + Ergänzungen

OracleNet

Zertifikatsserver

Montag, 18. März 2013

20

© FernUniversität in Hagen
-

Certification Authority (CA)

Technische Realisierung: Schichtenarchitektur

Datenhaltung

Programmierung

WebPräsentation

Oracle

PHP

Apache

PEAR::DB

Smarty
-

Engine

Datenbankabstraktion

HTML
-

Generator

Zertifikatsserver

Montag, 18. März 2013

21

© FernUniversität in Hagen
-

Certification Authority (CA)

Technische Realisierung: 3
-
Server
-
System

Zertifikatsserver

Eigentlich: Drei Server


(Nach außen zugänglicher) Zertifikatsserver, „usermode“


(Nach außen abgeschotteter) Zertifikatsserver, „adminmode“


Cronjob
-
Server (Zusatz
-
Features)


Wichtig:

gemeinsame Konfigurationsdatei (XML!)



separate Funktionen (Sicherheit!)

Zertifikatsserver

Montag, 18. März 2013

22

© FernUniversität in Hagen
-

Certification Authority (CA)

Technische Realisierung: Das Datenbanksystem

Datenbankserver

RDBMS:

MySQL
,
Oracle
, PostgreSQL, InterBase, Mini SQL,


Microsoft SQL Server, ODBC, Sybase, Informix,


Frontbase


Tabellen:

Authentisierungsdaten



Clientzertifikate



Serverzertifikate

Zertifikatsserver

Montag, 18. März 2013

23

© FernUniversität in Hagen
-

Certification Authority (CA)

Technische Realisierung: Benutzerführung

Browsersupport:

Internet Explorer, Netscape, Opera, Mozilla,



Konqueror auf Windows, Unix


Dies bedeutet:

Clientseitige VBScript
-
, ActiveX
-
Nutzung


(Microsoft
-
Browser)


Hintergrund:

Schlüsselerzeugung bei Microsoft
-
Browsern nur



mit Scripting möglich!

Client

Zertifikatsserver

Montag, 18. März 2013

24

© FernUniversität in Hagen
-

Certification Authority (CA)

Erweiterung: eToken

Problem:



Mobilität von Zertifikaten


Zertifikatsspeicher ist unflexibel


Zur Mitnahme von Zertifikaten Export/Import erforderlich

eToken
-
Erweiterung

Lösung:



Zertifikate auf Hardware abspeichern


eToken / SmartCards


Mitnahme von Zertifikaten durch Mitnahme der Hardware


Sicherheitsgewinn: Authentisierung durch Wissen und Besitz

Montag, 18. März 2013

25

© FernUniversität in Hagen
-

Certification Authority (CA)

eToken
-
Erweiterung:



Einbindung der eToken/SmartCards über betriebssystem
-
nahe Gerätetreiber





Keine

Hersteller
-
/Hardwareabhängigkeit



Aber
: gute Erfahrungen mit Aladdin





Nutzen von Applikationen des Herstellers

eToken
-
Erweiterung

Montag, 18. März 2013

26

© FernUniversität in Hagen
-

Certification Authority (CA)

Standards des Zertifikatsservers der Certification Authority (CA):


Zertifikate nach X.509v3
-
Norm



CRL‘s nach X.509v1/v2
-
Norm



Unterstützung des PKCS
-
Protokolls



SQL
-
Datenbank
-
Unterstützung



TCP/IP und OracleNet
-
Netzwerk
-
Verbindung



PHP/Smarty/PEAR::DB/XML Languages



OpenSSL
-
Cryptolibrary

Standards und Features

Montag, 18. März 2013

27

© FernUniversität in Hagen
-

Certification Authority (CA)

Features des Zertifikatsservers der Certification Authority (CA):


Vollautomatische

Authentizitätsprüfung und Ausstellung von
Zertifikaten



Vollautomatisches

CRL
-
Handling



Vollautomatische

Verwaltung von Zertifikaten (ausliefern,
veröffentlichen, archivieren, sperren) in einer SQL
-
Datenbank



Halbautomatischer

First
-
Level
-
Support



Ausstellen von Serverzertifikaten



Unterstützung
aller

Speichermedien

Standards und Features

Montag, 18. März 2013

28

© FernUniversität in Hagen
-

Certification Authority (CA)

Der Zertifikatsserver der FernUniversität wird derzeit

erprobt durch:

Nutzung durch andere Hochschulen

Montag, 18. März 2013

29

© FernUniversität in Hagen
-

Certification Authority (CA)

Q&A





Henning Mohren

FernUniversität in Hagen

Universitätsrechenzentrum

Universitätsstr. 21

58084 Hagen