Dienstag, 11. April 2023 1© FernUniversität in Hagen - Certification Authority (CA)
Automatische Zertifizierung vonStudierenden und Mitarbeiternder FernUniversität in Hagen
Henning MohrenFernUniversität in Hagen
UniversitätsrechenzentrumUniversitätsstr. 21
58084 Hagen
Dienstag, 11. April 2023 2© FernUniversität in Hagen - Certification Authority (CA)
Inhalt
1. Historie
2. Datenschutz und Datensicherheit
3. Usability
4. Der Server der FernUniversität
5. eToken-Erweiterung
6. Features des Zertifikatsservers der Certification Authority (CA)
7. Projektpartner
Zertifikatsserver
Dienstag, 11. April 2023 3© FernUniversität in Hagen - Certification Authority (CA)
Public-Key-Infrastrukturen an der FernUniversität
1996: Beginn des DFN-Projekts „Public-Key Service“gefördert durch DFN, BMBFTechnik: PGP
1997: Erweiterung des Projekts um SSL-Verschlüsselung
2002: Inbetriebnahme des Zertifizierungsautomaten fürSSL-Zertifikate
2003: Zusammenarbeit mit NRW-Hochschulen,eToken-Erweiterung
Historie
Dienstag, 11. April 2023 4© FernUniversität in Hagen - Certification Authority (CA)
• Internet ist ein „unsicheres“ Medium
• Ursachen: Betriebssysteme, Programme, Netze, Anforderungenan Flexibilität und Funktionalität, Bedienfehler…
• Typische Angriffe:• Sniffing („Mitlesen“)• Spoofing („Vortäuschen fremder Identitäten“)• Brute forcing („Methodische Versuche zum Passwort-Hacken“)• Bouncing („E-Mail-Relaying, Spamming“)• Denial of Service („Lastüberschreitungen“)
…
• Trotzdem: Begehrlichkeiten, über Internet auch sensible Datenzu erreichen, steigen
Datenschutz und -sicherheit
Dienstag, 11. April 2023 5© FernUniversität in Hagen - Certification Authority (CA)
• Sicherheit im Internet z.B. durch organisatorisch/technische Maßnahmen
• Firewalls• Viren-Checker• Kryptographie
Wie funktioniert Kryptographie?
Datenschutz und -sicherheit
Dienstag, 11. April 2023 6© FernUniversität in Hagen - Certification Authority (CA)
Szenario (Flugreise): Was will der Kunde?
Datenschutz und -sicherheit
Benutzer Server
• Verschlüsseln der Verbindung• Authentizität des Servers• Unverfälschtheit der Daten
Zertifikat ist die digitale elektronische „Kreditkarte“ des Servers
Dienstag, 11. April 2023 7© FernUniversität in Hagen - Certification Authority (CA)
Szenario (Wohnsitzwechsel): Was will der Betreiber des Servers?
Datenschutz und -sicherheit
Benutzer Server
• Verschlüsseln der Verbindung• Authentizität des Kunden• Unverfälschtheit der der Daten
Zertifikat ist die digitale elektronische „Kreditkarte“ des Kunden
Dienstag, 11. April 2023 8© FernUniversität in Hagen - Certification Authority (CA)
Definition „Zertifikat“
• Zertifikate sind „elektronische Kreditkarten / Ausweise“
• Es gibt• Client-Zertifikate (für Personen)• Server-Zertifikate (für Maschinen)
Datenschutz und -sicherheit
Dienstag, 11. April 2023 9© FernUniversität in Hagen - Certification Authority (CA)
• Kryptographie ist „mehr“ als nur Accounting
• Eigenschaften Kryptographischer Verfahren:1. Authentisierung2. Datenintegrität3. Vertraulichkeit4. Non-Repudiation (SigG, SigV)
Datenschutz und -sicherheit
• Sniffing• Spoofing• Brute forcing• Bouncing• Denial of Service
…
Dienstag, 11. April 2023 10© FernUniversität in Hagen - Certification Authority (CA)
Zugriff auf geschützte Seiten (Accounting)
Usability
Dienstag, 11. April 2023 11© FernUniversität in Hagen - Certification Authority (CA)
Zugriff auf geschützte Seiten (Zertifikate)
Usability
Dienstag, 11. April 2023 12© FernUniversität in Hagen - Certification Authority (CA)
Derzeitige Anwendungsmöglichkeiten an der FernUniversität
Usability
E-Mails Netzzugang Server-Login PC-Login eigene Appl.
Selbst erstellte Applikationen:
• Prüfungsleistungsauskunft• Pflege von Leistungsdaten• Abruf von Belegerlisten• Anmeldung zu Prüfungen• Anmeldung zu Praktika
…
Dienstag, 11. April 2023 13© FernUniversität in Hagen - Certification Authority (CA)
Geplante Anwendungsmöglichkeiten an der FernUniversität
• ePayment-Funktionen (Bibliothek, z.B. Jason-System)
• Verschlüsselte Dateiablage (PrivateDisk, Multi-User-fähig)
• Access-Control
• Single-Sign-On
Usability
Dienstag, 11. April 2023 14© FernUniversität in Hagen - Certification Authority (CA)
Mögliche Anwendungen (allgemein)
• eBusiness
• eGovernment
• eEducation
• eProcurement
• eEntry
…
„alles, was in Verbindung mit einem ‚e‘ gebracht werden kann“
Usability
Dienstag, 11. April 2023 15© FernUniversität in Hagen - Certification Authority (CA)
Wie erhält der Benutzer sein Zertifikat?
• Zentrale Frage:Wie stelle ich sicher, dass Teilnehmer der PKI ein Zertifikat erhalten, ohne dass sie persönlich bei der Certification Authority erscheinen müssen?
• Randbedingungen:Mehrere Teilnehmergruppen, Client-, Serverzertifikate verschiedene Möglichkeiten zur Authentisierung
Zertifikatsserver
Clientzertifikate: Authentisierung mit Hilfe von Daten, die der FernUniversität ohnehin vorliegen:
• Einschreibevorgang• Einstellungsvorgang• Behördenadressen
Serverzertifikate: Außenwirkung!Persönliches Erscheinen bei Mitarbeitern der CA
• Lösung:
Dienstag, 11. April 2023 16© FernUniversität in Hagen - Certification Authority (CA)
Authentisierung der Teilnehmer: „Postverfahren“
Einschreibevorgang
HIS
Verifizierter Datenaustausch
Adresse
Zertifikatsserver
Dienstag, 11. April 2023 17© FernUniversität in Hagen - Certification Authority (CA)
Authentisierung der Teilnehmer: „Postverfahren“
Ausnutzen des Einschreibevorgangs für den Zertifikatsserver:
1. Client fordert Passwort an
‚ƒ
„Client
Zertifikatsserver
HISDatenbankserver
2. Zertifikatsserver holt Adresse ausHIS-Datenbank
3. Zertifikatsserver schreibt Passwortin Zertifikatsdatenbank
4. Zertifikatsserver schickt Passwortper Post an Adresse aus HIS
Zertifikatsserver
Dienstag, 11. April 2023 18© FernUniversität in Hagen - Certification Authority (CA)
Authentisierung der Teilnehmer: „Postverfahren“
Ausnutzen des Einschreibevorgangs für den Zertifikatsserver:
‚ ƒ
„
Zertifikatsserver
HISDatenbankserver
1. Client fordert Zertifikat an2. Zertifikatsserver verifiziert Passwort
gegen Zertifikatsdatenbank3. Zertifikatsserver stellt Zertifikat aus;
schreibt es in Zertifikatsdatenbank4. Zertifikatsserver bietet Zertifikat
zum Download an; Client holtes ab
Zertifikatsserver
Client
Dienstag, 11. April 2023 19© FernUniversität in Hagen - Certification Authority (CA)
Technische Realisierung: Hardware, Security
Zertifikatsserver
HISDatenbankserver
SUN SolarisOracle – Datenbank
Firewall, ACL‘s
IBM AIXInformix – Datenbank
SUN SolarisApache – WebServerOpenSSL / modSSL - CryptomodulPHP + Ergänzungen
OracleNet
Zertifikatsserver
Dienstag, 11. April 2023 20© FernUniversität in Hagen - Certification Authority (CA)
Technische Realisierung: Schichtenarchitektur
Datenhaltung
Programmierung
WebPräsentation
Oracle
PHP
Apache
PEAR::DB
Smarty - Engine
Datenbankabstraktion
HTML - Generator
Zertifikatsserver
Designänderung?
Unabhängigkeit vom RDBMS?
Dienstag, 11. April 2023 21© FernUniversität in Hagen - Certification Authority (CA)
Technische Realisierung: 3-Server-System
Zertifikatsserver
Eigentlich: Drei Server• (Nach außen zugänglicher) Zertifikatsserver, „usermode“• (Nach außen abgeschotteter) Zertifikatsserver, „adminmode“• Cronjob-Server (Zusatz-Features)
Wichtig: gemeinsame Konfigurationsdatei (XML!)separate Funktionen (Sicherheit!)
Zertifikatsserver
Dienstag, 11. April 2023 22© FernUniversität in Hagen - Certification Authority (CA)
Technische Realisierung: Das Datenbanksystem
Datenbankserver
RDBMS: MySQL, Oracle, PostgreSQL, InterBase, Mini SQL,
Microsoft SQL Server, ODBC, Sybase, Informix,Frontbase
Tabellen: AuthentisierungsdatenClientzertifikateServerzertifikate
Zertifikatsserver
Dienstag, 11. April 2023 23© FernUniversität in Hagen - Certification Authority (CA)
Technische Realisierung: Benutzerführung
Browsersupport: Internet Explorer, Netscape, Opera, Mozilla,Konqueror auf Windows, Unix
Dies bedeutet: Clientseitige VBScript-, ActiveX-Nutzung(Microsoft-Browser)
Hintergrund: Schlüsselerzeugung bei Microsoft-Browsern nur
mit Scripting möglich!
Client
Zertifikatsserver
Dienstag, 11. April 2023 24© FernUniversität in Hagen - Certification Authority (CA)
Erweiterung: eToken
Problem:
• Mobilität von Zertifikaten• Zertifikatsspeicher ist unflexibel• Zur Mitnahme von Zertifikaten Export/Import erforderlich
eToken-Erweiterung
Lösung:
• Zertifikate auf Hardware abspeichern• eToken / SmartCards• Mitnahme von Zertifikaten durch Mitnahme der Hardware• Sicherheitsgewinn: Authentisierung durch Wissen und Besitz
Dienstag, 11. April 2023 25© FernUniversität in Hagen - Certification Authority (CA)
eToken-Erweiterung:
• Einbindung der eToken/SmartCards über betriebssystem-nahe Gerätetreiber
Keine Hersteller-/HardwareabhängigkeitAber: gute Erfahrungen mit Aladdin
Nutzen von Applikationen des Herstellers
eToken-Erweiterung
Dienstag, 11. April 2023 26© FernUniversität in Hagen - Certification Authority (CA)
Standards des Zertifikatsservers der Certification Authority (CA):
Zertifikate nach X.509v3-Norm
CRL‘s nach X.509v1/v2-Norm
Unterstützung des PKCS-Protokolls
SQL-Datenbank-Unterstützung
TCP/IP und OracleNet-Netzwerk-Verbindung
PHP/Smarty/PEAR::DB/XML Languages
OpenSSL-Cryptolibrary
Standards und Features
Dienstag, 11. April 2023 27© FernUniversität in Hagen - Certification Authority (CA)
Features des Zertifikatsservers der Certification Authority (CA):
Vollautomatische Authentizitätsprüfung und Ausstellung von Zertifikaten
Vollautomatisches CRL-Handling
Vollautomatische Verwaltung von Zertifikaten (ausliefern, veröffentlichen, archivieren, sperren) in einer SQL-Datenbank
Halbautomatischer First-Level-Support
Ausstellen von Serverzertifikaten
Unterstützung aller Speichermedien
Standards und Features
Dienstag, 11. April 2023 28© FernUniversität in Hagen - Certification Authority (CA)
Der Zertifikatsserver der FernUniversität wird derzeiterprobt durch:
Nutzung durch andere Hochschulen
Dienstag, 11. April 2023 29© FernUniversität in Hagen - Certification Authority (CA)
Q&A
Henning MohrenFernUniversität in Hagen
UniversitätsrechenzentrumUniversitätsstr. 21
58084 Hagen
Top Related