Deutsches Forschungsnetz

Zertifikate da muss sich Ihre„ ... Zertifikate, da muss sich Ihre Hochschule eine

Organisationsform einfallen lassen“lassen“

(H.-G. Hegering / Kanzlertagung / 11. Mai 2005)

Seite 2

Starke“ Zertifikate mit wenig Aufwand„Starke Zertifikate mit wenig Aufwand-

Welchen Nutzen bringt der neueWelchen Nutzen bringt der neue DFN Zertifizierungsdienst den Hochschulen?

11. Mai 2005Marcus Pattloch (DFN Verein)Marcus Pattloch (DFN-Verein)

Frage 1Frage 1

Was sind Zertifikate und was nutzen sie mir?

Seite 4

Was ist ein Zertifikat?

• Zertifikat = persönlicher Ausweis im Internet • jeder, der ein Zertifikat besitzt, kann im Netz

authentisch auftreten• jeder, dem ich im Netz mein Zertifikat zeige,

kann sicher sein wer ich binkann sicher sein, wer ich bin

Marcus Pattloch• häufigste Form als „Chipkarte“(aber: nicht jede Chipkarte(aber: nicht jede Chipkarte

enthält ein Zertifikat)

Seite 5

Was können Zertifikate?

• Zertifikate ersetzen Passwörterd ät li h EIN Z tifik t P (j d h t– grundsätzlich EIN Zertifikat pro Person (jeder hat

auch nur einen Ausweis)– Schluss mit vielen verschiedenen Passwörtern

(die man sich doch nicht merken kann)– Sicherheit von Zertifikaten grundsätzlich deutlich

höher als von Passwörtern– einfache Nutzung der Zertifikate möglich

(weitgehend transparent)(weitgehend transparent)

Seite 6

Anwendungsgebiete

• allgemeine Anwendungen, z.B.A ld A b it l t h– Anmelden am Arbeitsplatzrechner

– E-Mail Passwort– Zugriff auf Datenbanken

• Anwendungen in der Hochschulverwaltung– (dezentraler) Zugriff auf Haushaltsdaten( ) g– Austausch von Personaldaten

Zugriff auf Drittmitteldaten– Zugriff auf Drittmitteldaten– Zugriff auf Prüfungsnoten (QIS-Module)

Seite 7

Beispiel: HISQIS Modul POS

• Die Selbstbedienungsfunktion für Studierende unterstützt u a folgende Funktionenunterstützt u.a. folgende Funktionen– Anmeldung zu Prüfungen– Rücktritt von Prüfungen– Kontoauszug (Ansehen und Drucken)Kontoauszug (Ansehen und Drucken)– Notenübersichten

P tä d– Passwortänderung– Bescheinigungen in PDF

Marcus Pattloch

– Digitale Signatur von Bescheinigungen• Wie weist sich der Studierende online aus?

Seite 8

Wie weist sich der Studierende online aus?

häufige Problemlage

• viele Einrichtungen benötigen Zertifikate• ein Zertifizierungsdienst wird aufgesetzt,

aber es stellt sich herausaber es stellt sich heraus– der Aufwand für den Betrieb einer eigenen

Zertifizierungsstelle ist sehr hoch– insbesondere die Einstiegshürde ist sehr hochinsbesondere die Einstiegshürde ist sehr hoch

• der Zertifizierungsdienst „kommt nicht zum Fliegen“

Seite 9

Frage 2Frage 2

Was „kosten“ Zertifikate? (oder: braucht jeder eine eigene Bundesdruckerei?)

Seite 10

„üblicher“ Aufwand

sgab

etif

kata

ufü

r Zer

tuf

wan

d

0 1 10 100 1 000 1 000+

Au

Seite 11

0 1 ... 10 ... 100 ... 1.000 ... 1.000

Anzahl ausgegebener Zertifikate

Wie bekomme ich einen Ausweis?

Personalausweis Digitaler Ausweis

Ich benötige einen Ausweis Ich benötige ein Zertifikat

Meldestelle Registrierungsstelle

Bundesdruckerei ZertifizierungsdienstZertifizierungsstelle

Meldestelle Registrierungsstelle

Ich habe einen Ausweis Ich habe ein Zertifikat

Seite 12

Wie bekomme ich ein Zertifikat?

Digitaler Ausweis

Ich benötige ein Zertifikat

Registrierungsstelle

Zertifizierungsstelle

Registrierungsstelle„Bundes-druckerei“

Ich habe ein Zertifikat

Seite 13

Funktion der Registrierungsstelle

• Erfassen und Identifizieren der BenutzerP üf A i d k t– Prüfung Ausweisdokument

– z.B. bei der Immatrikulation• Weiterleitung der Zertifikatsanfragen an die

ZertifizierungsstelleZertifizierungsstelle• Funktion entspricht der „Meldestelle“

• Wahrnehmung durch „clevere Sekretärin“

Seite 14

Funktion der Zertifizierungsstelle

• Erstellung der Zertifikatei h h it k iti h V i i i h t– sicherheitskritischer Vorgang in einem gesicherten

Raum auf einem gesicherten Rechner• Kommunikation mit Registrierungsstelle

– Annahme der ZertifizierungsanträgeAnnahme der Zertifizierungsanträge– Rückgabe der erzeugten Zertifikate

F kti t i ht d B d d k i“• Funktion entspricht der „Bundesdruckerei“

Seite 15

• Wahrnehmung durch technische Experten

Das Konzept - Trennung der Aufgaben

• Registrierungsstelle– vergleichbar der Meldestelle– administrative Arbeitenadministrative Arbeiten– verbleibt in der Hochschule

• Zertifizierungsstelleg– vergleichbar der Bundesdruckerei

technisch aufwändige Arbeiten– technisch aufwändige Arbeiten – kann an DFN ausgelagert werden

Seite 16

Aufwand mit AuslagerungAufwand der Hochschule

sgab

e ausgelagerter Aufwand (DFN)

tifka

tau

für Z

ert

ufw

and

0 1 10 100 1 000 1 000+

Au

Seite 17

0 1 ... 10 ... 100 ... 1.000 ... 1.000

Anzahl ausgegebener Zertifikate

Kostenabschätzung

• Betrieb eigener Zertifizierungsstelle 2 bi 4 P j i d t 25 bi 50%– 2 bis 4 Personen zu je mindestens 25 bis 50%

• rechnerisch mindestens eine Vollzeitstelle • hochqualifiziert, mindestens einer immer verfügbar

– Geräte, die nur hierfür benutzt werden können– Safe, Bankschließfach, ...

• Ausgelagerte Zertifizierungsstelle an DFN: ca. 10.000 Euro/Jahr (unverbindlich!!)

Seite 18

Frage 3Frage 3

Wie „sicher“ sind Zertifikate?

Seite 19

Qualität von Zertifikaten

• Wie gut (sicher) sind Passwörter?i P i i t b– im Prinzip gut, aber ...

• zu komplex: Zettel unter der Schreibtischunterlage• zu einfach: leicht von einem Angreifer zu erraten

– hängt ab von konkreter Umsetzung• Wie gut (sicher) sind Zertifikate?

im Prinzip gut aber– im Prinzip gut, aber ...– die Anforderungen sind hoch

Seite 20

Qualität DFN Zertifizierungsdienst

• Sicherheitsniveau wird definiert durchhtli h R l D t h t t lrechtliche Regelungen, Datenschutz et al.

Anwendungsbereich DFN-weit / (inter)nationalhohes Vertrauen in sichere Identifikation und korrekte Zertifikatausstellunggsehr gut geschultes PersonalNachhaltigkeit ( Schwarze Listen“ et al )Nachhaltigkeit („Schwarze Listen et al.)Skalierbarkeit beim Aufbau / Ausbau(wirtschaftlich für ein Zertifikat und für Übergang zu hunderten / tausenden Zertifikaten)

Seite 21

Frage 4Frage 4

Zertifikate -funktioniert das wirklich?

Seite 22

Beispiel: HU Berlin

HISQIS-PrinzipskizzeHISQIS PrinzipskizzeDienstag, 26. April 2005

Windows2003-Terminalserverfarm mit den GX -Anwendungen PCs in der Verwaltung

DomaincontrollerFileserver

Domaincontroller

Router/Switchtechnik

Firewallzone (außen ) Firewallzone (innen)

Internet -PCs bzw. SB-Stationen

TerminalserverTerminalserver

Fileserver

Router/Switchtechnik

Internet -PCs bzw. SB-Stationen

Original-Datenbankserver mStudierenden - und

Prüfungsdaten

Seite 23

Web-Server für QIS -Anwendungen

Application -Server für QIS-Anwendungen

Pilotphase DFN-PKI (Produktion)

• Seit Januar 2005• Teilnehmer u.a.

– Univ. Hannover, GWDG Göttingen (MPG), LRZ , g ( ),• Status

U t lä ft f l i h– Umsetzung läuft erfolgreich– Abstimmung mit Anforderungen der Anwender– Pilotphase endet 31.12.2005– jetzt: offen für weitere Teilnehmerjetzt: offen für weitere Teilnehmer

Regelbetrieb beginnt am 1 1 2006 (Start X-WiN)

Seite 24

Regelbetrieb beginnt am 1.1.2006 (Start X WiN)

Zusammenfassung (und Empfehlung)

Seite 25

Zusammenfassung

• In Zusammenarbeit mit Anwendern wurde der DFN Zertifizierungsdienst neu gestaltetder DFN Zertifizierungsdienst neu gestaltet

• hohe Qualität & wirtschaftlich attraktiv– Vorteile für Anwender, die bereits etwas haben

Möglichkeit zum Einstieg für kleine“ Anwender– Möglichkeit zum Einstieg für „kleine Anwender

• Kontakt: sicherheit@dfn.deKontakt: sicherheit@dfn.de

Wenn Ihre Hochschule einen ZertifizierungsdienstWenn Ihre Hochschule einen Zertifizierungsdienst hat oder neu aufbauen will, nutzen Sie die Vorteile des neuen DFN Zertifizierungsdienstes

Seite 26

des neuen DFN Zertifizierungsdienstes