Thin Clients und SmartCards an der HU Roland Herbst Computer- und Medienservice...

20
Thin Clients und Thin Clients und SmartCards an der SmartCards an der HU HU Roland Herbst Roland Herbst Computer- und Computer- und Medienservice Medienservice [email protected] [email protected]

Transcript of Thin Clients und SmartCards an der HU Roland Herbst Computer- und Medienservice...

Page 1: Thin Clients und SmartCards an der HU Roland Herbst Computer- und Medienservice herbst@cms.hu-berlin.de.

Thin Clients und Thin Clients und SmartCards an der HUSmartCards an der HU

Roland HerbstRoland Herbst

Computer- und MedienserviceComputer- und Medienservice

[email protected]@cms.hu-berlin.de

Page 2: Thin Clients und SmartCards an der HU Roland Herbst Computer- und Medienservice herbst@cms.hu-berlin.de.

Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

AgendaAgenda

Sichere Verwaltung, aber wie?Sichere Verwaltung, aber wie? Campus AdlershofCampus Adlershof Terminalserver, PCs und Thin ClientsTerminalserver, PCs und Thin Clients AuthentifizierungAuthentifizierung SmartCards und StandardsSmartCards und Standards ProjektaufgabenProjektaufgaben ProjektergebnisseProjektergebnisse AusblickAusblick

Page 3: Thin Clients und SmartCards an der HU Roland Herbst Computer- und Medienservice herbst@cms.hu-berlin.de.

Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

GlossarGlossar Windows 2000 [XP| 2003 ]Windows 2000 [XP| 2003 ]

Microsoft Betriebssystem der neueren GenerationMicrosoft Betriebssystem der neueren Generation Terminal-ServerTerminal-Server

Spezieller Server, der zur Bereitstellung von Anwendungen genutzt wirdSpezieller Server, der zur Bereitstellung von Anwendungen genutzt wird Produkt Citrix MetaFrameProdukt Citrix MetaFrame

Thin ClientThin Client Spezieller Client, der nicht auf einem PC installiert ist, sondern ein Spezieller Client, der nicht auf einem PC installiert ist, sondern ein

eigenständiges System (intelligentes Terminal, auch Embedded System) eigenständiges System (intelligentes Terminal, auch Embedded System) darstelltdarstellt

AuthentifizierungAuthentifizierung Client: Rede ich mit dem richtigen Server?Client: Rede ich mit dem richtigen Server? Server: Rede ich mit dem richtigen Nutzer?Server: Rede ich mit dem richtigen Nutzer?

SmartCardSmartCard Spezielles Gerät zur Generierung und Speicherung von Authentifizierungs-Spezielles Gerät zur Generierung und Speicherung von Authentifizierungs-

Informationen unter Nutzung von asymmetrischen kryptografischen Informationen unter Nutzung von asymmetrischen kryptografischen Verfahren Verfahren

Page 4: Thin Clients und SmartCards an der HU Roland Herbst Computer- und Medienservice herbst@cms.hu-berlin.de.

Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

Sichere Verwaltung, aber wie?Sichere Verwaltung, aber wie?

1997-20001997-2000 DFN-Projekt Firewall DFN-Projekt Firewall Firewall-System mit IDSFirewall-System mit IDS HU-CAHU-CA

2000-20032000-2003 DFN-Projekt UVsec DFN-Projekt UVsec VPN-Technologie (IPSec)VPN-Technologie (IPSec)

D-Zug D-Zug FSV-GXFSV-GX HIS-POSHIS-POS

Ausbau der HU-CA in eine HU-PKIAusbau der HU-CA in eine HU-PKI Basis OpenCABasis OpenCA

Page 5: Thin Clients und SmartCards an der HU Roland Herbst Computer- und Medienservice herbst@cms.hu-berlin.de.

Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

Page 6: Thin Clients und SmartCards an der HU Roland Herbst Computer- und Medienservice herbst@cms.hu-berlin.de.

Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

Campus AdlershofCampus Adlershof

Campus AdlershofCampus Adlershof Stadt für Wissenschaft, Wirtschaft und MedienStadt für Wissenschaft, Wirtschaft und Medien

Erwin-Schrödinger ZentrumErwin-Schrödinger Zentrum gemeinsam von Bibliothek und Computer- und gemeinsam von Bibliothek und Computer- und

Medienservice genutzt [Informations- und Medienservice genutzt [Informations- und Kommunikationszentrum] Kommunikationszentrum]

Mit modernster Technik ausgestatteter Lesesaal, Mit modernster Technik ausgestatteter Lesesaal, Hörsäle und ÜbungsräumeHörsäle und Übungsräume

300 Öffentliche Computer-Arbeitsplätze300 Öffentliche Computer-Arbeitsplätze PCPC WorkstationWorkstation Thin ClientsThin Clients

Page 7: Thin Clients und SmartCards an der HU Roland Herbst Computer- und Medienservice herbst@cms.hu-berlin.de.

Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

PC versus Thin ClientPC versus Thin Client

Page 8: Thin Clients und SmartCards an der HU Roland Herbst Computer- und Medienservice herbst@cms.hu-berlin.de.

Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

Terminal-Server-PrinzipTerminal-Server-Prinzip

Page 9: Thin Clients und SmartCards an der HU Roland Herbst Computer- und Medienservice herbst@cms.hu-berlin.de.

Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

Was ist Authentifizierung?Was ist Authentifizierung?

Page 10: Thin Clients und SmartCards an der HU Roland Herbst Computer- und Medienservice herbst@cms.hu-berlin.de.

Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

Verfahren zur AuthentifizierungVerfahren zur Authentifizierung

FrageFrage: Ist der Kommunikationspartner : Ist der Kommunikationspartner tatsächlich derjenige, der er vorgibt, zu sein?tatsächlich derjenige, der er vorgibt, zu sein?

EntwicklungEntwicklung UID / UID / PasswortPasswort Challenge/Challenge/ResponseResponse Public/Public/PrivatePrivate Key Key Zertifikat/Zertifikat/PrivatePrivate Key (X.509)Key (X.509) Biometrie (Biometrie (Iris, FingerprintIris, Fingerprint)) SmartCardSmartCard (Windows 2000 Logon) (Windows 2000 Logon)

Client: Rede ich mit dem richtigen Server?Client: Rede ich mit dem richtigen Server? Server: Rede ich mit dem richtigen Client?Server: Rede ich mit dem richtigen Client?

FrageFrage: Ist der Kommunikationspartner : Ist der Kommunikationspartner tatsächlich derjenige, der er vorgibt, zu sein?tatsächlich derjenige, der er vorgibt, zu sein?

EntwicklungEntwicklung UID / UID / PasswortPasswort Challenge/Challenge/ResponseResponse Public/Public/PrivatePrivate Key Key Zertifikat/Zertifikat/PrivatePrivate Key (X.509)Key (X.509) Biometrie (Biometrie (Iris, FingerprintIris, Fingerprint)) SmartCardSmartCard (Windows 2000 Logon) (Windows 2000 Logon)

Client: Rede ich mit dem richtigen Server?Client: Rede ich mit dem richtigen Server? Server: Rede ich mit dem richtigen Client?Server: Rede ich mit dem richtigen Client?

Page 11: Thin Clients und SmartCards an der HU Roland Herbst Computer- und Medienservice herbst@cms.hu-berlin.de.

Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

SmartCardsSmartCards

AnforderungenAnforderungen sichere Speicherung der Private Keys und von Zertifikatensichere Speicherung der Private Keys und von Zertifikaten OrtsunabhängigkeitOrtsunabhängigkeit 2 Faktor-Prinzip2 Faktor-Prinzip

Wie werden sie erfüllt?Wie werden sie erfüllt? Plastik-Körper in Kreditkarten-Größe (EC-Karte)Plastik-Körper in Kreditkarten-Größe (EC-Karte) ProzessorProzessor EEPROM, RAM, I/OEEPROM, RAM, I/O Betriebssystem Betriebssystem ISO 7816 (1-4)ISO 7816 (1-4) PC/SC (1.0)PC/SC (1.0)

SmartCard-Reader SmartCard-Reader PC/SC-TreiberPC/SC-Treiber

AnforderungenAnforderungen sichere Speicherung der Private Keys und von Zertifikatensichere Speicherung der Private Keys und von Zertifikaten OrtsunabhängigkeitOrtsunabhängigkeit 2 Faktor-Prinzip2 Faktor-Prinzip

Wie werden sie erfüllt?Wie werden sie erfüllt? Plastik-Körper in Kreditkarten-Größe (EC-Karte)Plastik-Körper in Kreditkarten-Größe (EC-Karte) ProzessorProzessor EEPROM, RAM, I/OEEPROM, RAM, I/O Betriebssystem Betriebssystem ISO 7816 (1-4)ISO 7816 (1-4) PC/SC (1.0)PC/SC (1.0)

SmartCard-Reader SmartCard-Reader PC/SC-TreiberPC/SC-Treiber

Page 12: Thin Clients und SmartCards an der HU Roland Herbst Computer- und Medienservice herbst@cms.hu-berlin.de.

Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

SchnittstellenSchnittstellen

ApplikationApplikation CryptoAPI CSP (Microsoft)CryptoAPI CSP (Microsoft) Cryptoki PKCS#11 (RSA)Cryptoki PKCS#11 (RSA)

PC/SCPC/SC Ressource ManagerRessource Manager BibliothekenBibliotheken

Geräte-TreiberGeräte-Treiber z.B. GCR410, Reflex USB, z.B. GCR410, Reflex USB,

Cardman 2020Cardman 2020

SmartCardSmartCard APDUAPDU Cyberflex, Cryptoflex, iKey 2032, PKI Card Model 330Cyberflex, Cryptoflex, iKey 2032, PKI Card Model 330

ApplikationApplikation CryptoAPI CSP (Microsoft)CryptoAPI CSP (Microsoft) Cryptoki PKCS#11 (RSA)Cryptoki PKCS#11 (RSA)

PC/SCPC/SC Ressource ManagerRessource Manager BibliothekenBibliotheken

Geräte-TreiberGeräte-Treiber z.B. GCR410, Reflex USB, z.B. GCR410, Reflex USB,

Cardman 2020Cardman 2020

SmartCardSmartCard APDUAPDU Cyberflex, Cryptoflex, iKey 2032, PKI Card Model 330Cyberflex, Cryptoflex, iKey 2032, PKI Card Model 330

Page 13: Thin Clients und SmartCards an der HU Roland Herbst Computer- und Medienservice herbst@cms.hu-berlin.de.

Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

Citrix MetaFrame FR2Citrix MetaFrame FR2

ServerServer

KerberosKerberos

SmartCardSmartCard CSP CSPResource ManagerResource Manager

ReaderReader

WinlogonWinlogon

SmartCardSmartCard

LSALSA

ICA Client 6.3ICA Client 6.3

ICAICA

ICAICA

SSLSSL

SSLSSL

Page 14: Thin Clients und SmartCards an der HU Roland Herbst Computer- und Medienservice herbst@cms.hu-berlin.de.

Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

Projekt-AufgabenProjekt-Aufgaben

Auswahl der SoftwareAuswahl der Software Betriebssystem der ClientsBetriebssystem der Clients Auswahl der HardwareAuswahl der Hardware Thin Clients oder PC‘sThin Clients oder PC‘s SmartCardsSmartCards Anpassung des OpenSSL-Toolkits (Open Anpassung des OpenSSL-Toolkits (Open

Source)Source) Zusammenarbeit mit Herstellern (Cherry, Citrix, Zusammenarbeit mit Herstellern (Cherry, Citrix,

Igel, Omnikey, Schlumberger)Igel, Omnikey, Schlumberger) Aufbau eines Eval-Systems für die Aufbau eines Eval-Systems für die

AuthentifizierungslösungAuthentifizierungslösung

Page 15: Thin Clients und SmartCards an der HU Roland Herbst Computer- und Medienservice herbst@cms.hu-berlin.de.

Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

ErgebnisseErgebnisse

Citrix MetaFrame ServerfarmCitrix MetaFrame Serverfarm 19 Zoll Server19 Zoll Server

Thin Clients mit PC/SC-FunktionalitätThin Clients mit PC/SC-Funktionalität Igel Premium 532Igel Premium 532 Firmware 3.01.310 (für HU entwickelt)Firmware 3.01.310 (für HU entwickelt) Linux (Kernel 2.4.x)Linux (Kernel 2.4.x) ICA, X11ICA, X11 SMB, NFSSMB, NFS

SmartCardsSmartCards Schlumberger Cyberflex Access 16Schlumberger Cyberflex Access 16 Schlumberger Cryptoflex 16 (UNIX-Clients)Schlumberger Cryptoflex 16 (UNIX-Clients)

Page 16: Thin Clients und SmartCards an der HU Roland Herbst Computer- und Medienservice herbst@cms.hu-berlin.de.

Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

Page 17: Thin Clients und SmartCards an der HU Roland Herbst Computer- und Medienservice herbst@cms.hu-berlin.de.

Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

Page 18: Thin Clients und SmartCards an der HU Roland Herbst Computer- und Medienservice herbst@cms.hu-berlin.de.

Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

Page 19: Thin Clients und SmartCards an der HU Roland Herbst Computer- und Medienservice herbst@cms.hu-berlin.de.

Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

Wie geht es weiter?Wie geht es weiter?

Pilotphase mit SmartCard-Pilotphase mit SmartCard-AuthentifizierungAuthentifizierung

FSV-GX in ProduktionFSV-GX in Produktion HIS-POS in ProduktionHIS-POS in Produktion F-Secure oder anderes Produkt?F-Secure oder anderes Produkt? Einsatz einer Open Source Lösung (z.B. Einsatz einer Open Source Lösung (z.B.

Windows 2000/XP-IPSec mit FreeSwan)Windows 2000/XP-IPSec mit FreeSwan) Ausbau der HU-CA in eine HU-PKIAusbau der HU-CA in eine HU-PKI

Page 20: Thin Clients und SmartCards an der HU Roland Herbst Computer- und Medienservice herbst@cms.hu-berlin.de.

Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003

AdressenAdressen

http://http://www.hu-berlin.dewww.hu-berlin.de//uvsecuvsec// http://http://www.openca.orgwww.openca.org// http://www.openssl.org/http://www.openssl.org/ http://http://www.microsoft.comwww.microsoft.com// http://http://www.citrix.dewww.citrix.de// http://http://www.omnikey.dewww.omnikey.de// http://http://www.cherry.dewww.cherry.de// http://http://www.igel.dewww.igel.de// http://http://www.cyberflex.comwww.cyberflex.com// http://http://www.cryptoflex.comwww.cryptoflex.com//