Upload
frieda-welty
View
116
Download
3
Embed Size (px)
Citation preview
Thin Clients und Thin Clients und SmartCards an der HUSmartCards an der HU
Roland HerbstRoland Herbst
Computer- und MedienserviceComputer- und Medienservice
[email protected]@cms.hu-berlin.de
Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
AgendaAgenda
Sichere Verwaltung, aber wie?Sichere Verwaltung, aber wie? Campus AdlershofCampus Adlershof Terminalserver, PCs und Thin ClientsTerminalserver, PCs und Thin Clients AuthentifizierungAuthentifizierung SmartCards und StandardsSmartCards und Standards ProjektaufgabenProjektaufgaben ProjektergebnisseProjektergebnisse AusblickAusblick
Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
GlossarGlossar Windows 2000 [XP| 2003 ]Windows 2000 [XP| 2003 ]
Microsoft Betriebssystem der neueren GenerationMicrosoft Betriebssystem der neueren Generation Terminal-ServerTerminal-Server
Spezieller Server, der zur Bereitstellung von Anwendungen genutzt wirdSpezieller Server, der zur Bereitstellung von Anwendungen genutzt wird Produkt Citrix MetaFrameProdukt Citrix MetaFrame
Thin ClientThin Client Spezieller Client, der nicht auf einem PC installiert ist, sondern ein Spezieller Client, der nicht auf einem PC installiert ist, sondern ein
eigenständiges System (intelligentes Terminal, auch Embedded System) eigenständiges System (intelligentes Terminal, auch Embedded System) darstelltdarstellt
AuthentifizierungAuthentifizierung Client: Rede ich mit dem richtigen Server?Client: Rede ich mit dem richtigen Server? Server: Rede ich mit dem richtigen Nutzer?Server: Rede ich mit dem richtigen Nutzer?
SmartCardSmartCard Spezielles Gerät zur Generierung und Speicherung von Authentifizierungs-Spezielles Gerät zur Generierung und Speicherung von Authentifizierungs-
Informationen unter Nutzung von asymmetrischen kryptografischen Informationen unter Nutzung von asymmetrischen kryptografischen Verfahren Verfahren
Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
Sichere Verwaltung, aber wie?Sichere Verwaltung, aber wie?
1997-20001997-2000 DFN-Projekt Firewall DFN-Projekt Firewall Firewall-System mit IDSFirewall-System mit IDS HU-CAHU-CA
2000-20032000-2003 DFN-Projekt UVsec DFN-Projekt UVsec VPN-Technologie (IPSec)VPN-Technologie (IPSec)
D-Zug D-Zug FSV-GXFSV-GX HIS-POSHIS-POS
Ausbau der HU-CA in eine HU-PKIAusbau der HU-CA in eine HU-PKI Basis OpenCABasis OpenCA
Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
Campus AdlershofCampus Adlershof
Campus AdlershofCampus Adlershof Stadt für Wissenschaft, Wirtschaft und MedienStadt für Wissenschaft, Wirtschaft und Medien
Erwin-Schrödinger ZentrumErwin-Schrödinger Zentrum gemeinsam von Bibliothek und Computer- und gemeinsam von Bibliothek und Computer- und
Medienservice genutzt [Informations- und Medienservice genutzt [Informations- und Kommunikationszentrum] Kommunikationszentrum]
Mit modernster Technik ausgestatteter Lesesaal, Mit modernster Technik ausgestatteter Lesesaal, Hörsäle und ÜbungsräumeHörsäle und Übungsräume
300 Öffentliche Computer-Arbeitsplätze300 Öffentliche Computer-Arbeitsplätze PCPC WorkstationWorkstation Thin ClientsThin Clients
Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
PC versus Thin ClientPC versus Thin Client
Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
Terminal-Server-PrinzipTerminal-Server-Prinzip
Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
Was ist Authentifizierung?Was ist Authentifizierung?
Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
Verfahren zur AuthentifizierungVerfahren zur Authentifizierung
FrageFrage: Ist der Kommunikationspartner : Ist der Kommunikationspartner tatsächlich derjenige, der er vorgibt, zu sein?tatsächlich derjenige, der er vorgibt, zu sein?
EntwicklungEntwicklung UID / UID / PasswortPasswort Challenge/Challenge/ResponseResponse Public/Public/PrivatePrivate Key Key Zertifikat/Zertifikat/PrivatePrivate Key (X.509)Key (X.509) Biometrie (Biometrie (Iris, FingerprintIris, Fingerprint)) SmartCardSmartCard (Windows 2000 Logon) (Windows 2000 Logon)
Client: Rede ich mit dem richtigen Server?Client: Rede ich mit dem richtigen Server? Server: Rede ich mit dem richtigen Client?Server: Rede ich mit dem richtigen Client?
FrageFrage: Ist der Kommunikationspartner : Ist der Kommunikationspartner tatsächlich derjenige, der er vorgibt, zu sein?tatsächlich derjenige, der er vorgibt, zu sein?
EntwicklungEntwicklung UID / UID / PasswortPasswort Challenge/Challenge/ResponseResponse Public/Public/PrivatePrivate Key Key Zertifikat/Zertifikat/PrivatePrivate Key (X.509)Key (X.509) Biometrie (Biometrie (Iris, FingerprintIris, Fingerprint)) SmartCardSmartCard (Windows 2000 Logon) (Windows 2000 Logon)
Client: Rede ich mit dem richtigen Server?Client: Rede ich mit dem richtigen Server? Server: Rede ich mit dem richtigen Client?Server: Rede ich mit dem richtigen Client?
Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
SmartCardsSmartCards
AnforderungenAnforderungen sichere Speicherung der Private Keys und von Zertifikatensichere Speicherung der Private Keys und von Zertifikaten OrtsunabhängigkeitOrtsunabhängigkeit 2 Faktor-Prinzip2 Faktor-Prinzip
Wie werden sie erfüllt?Wie werden sie erfüllt? Plastik-Körper in Kreditkarten-Größe (EC-Karte)Plastik-Körper in Kreditkarten-Größe (EC-Karte) ProzessorProzessor EEPROM, RAM, I/OEEPROM, RAM, I/O Betriebssystem Betriebssystem ISO 7816 (1-4)ISO 7816 (1-4) PC/SC (1.0)PC/SC (1.0)
SmartCard-Reader SmartCard-Reader PC/SC-TreiberPC/SC-Treiber
AnforderungenAnforderungen sichere Speicherung der Private Keys und von Zertifikatensichere Speicherung der Private Keys und von Zertifikaten OrtsunabhängigkeitOrtsunabhängigkeit 2 Faktor-Prinzip2 Faktor-Prinzip
Wie werden sie erfüllt?Wie werden sie erfüllt? Plastik-Körper in Kreditkarten-Größe (EC-Karte)Plastik-Körper in Kreditkarten-Größe (EC-Karte) ProzessorProzessor EEPROM, RAM, I/OEEPROM, RAM, I/O Betriebssystem Betriebssystem ISO 7816 (1-4)ISO 7816 (1-4) PC/SC (1.0)PC/SC (1.0)
SmartCard-Reader SmartCard-Reader PC/SC-TreiberPC/SC-Treiber
Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
SchnittstellenSchnittstellen
ApplikationApplikation CryptoAPI CSP (Microsoft)CryptoAPI CSP (Microsoft) Cryptoki PKCS#11 (RSA)Cryptoki PKCS#11 (RSA)
PC/SCPC/SC Ressource ManagerRessource Manager BibliothekenBibliotheken
Geräte-TreiberGeräte-Treiber z.B. GCR410, Reflex USB, z.B. GCR410, Reflex USB,
Cardman 2020Cardman 2020
SmartCardSmartCard APDUAPDU Cyberflex, Cryptoflex, iKey 2032, PKI Card Model 330Cyberflex, Cryptoflex, iKey 2032, PKI Card Model 330
ApplikationApplikation CryptoAPI CSP (Microsoft)CryptoAPI CSP (Microsoft) Cryptoki PKCS#11 (RSA)Cryptoki PKCS#11 (RSA)
PC/SCPC/SC Ressource ManagerRessource Manager BibliothekenBibliotheken
Geräte-TreiberGeräte-Treiber z.B. GCR410, Reflex USB, z.B. GCR410, Reflex USB,
Cardman 2020Cardman 2020
SmartCardSmartCard APDUAPDU Cyberflex, Cryptoflex, iKey 2032, PKI Card Model 330Cyberflex, Cryptoflex, iKey 2032, PKI Card Model 330
Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
Citrix MetaFrame FR2Citrix MetaFrame FR2
ServerServer
KerberosKerberos
SmartCardSmartCard CSP CSPResource ManagerResource Manager
ReaderReader
WinlogonWinlogon
SmartCardSmartCard
LSALSA
ICA Client 6.3ICA Client 6.3
ICAICA
ICAICA
SSLSSL
SSLSSL
Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
Projekt-AufgabenProjekt-Aufgaben
Auswahl der SoftwareAuswahl der Software Betriebssystem der ClientsBetriebssystem der Clients Auswahl der HardwareAuswahl der Hardware Thin Clients oder PC‘sThin Clients oder PC‘s SmartCardsSmartCards Anpassung des OpenSSL-Toolkits (Open Anpassung des OpenSSL-Toolkits (Open
Source)Source) Zusammenarbeit mit Herstellern (Cherry, Citrix, Zusammenarbeit mit Herstellern (Cherry, Citrix,
Igel, Omnikey, Schlumberger)Igel, Omnikey, Schlumberger) Aufbau eines Eval-Systems für die Aufbau eines Eval-Systems für die
AuthentifizierungslösungAuthentifizierungslösung
Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
ErgebnisseErgebnisse
Citrix MetaFrame ServerfarmCitrix MetaFrame Serverfarm 19 Zoll Server19 Zoll Server
Thin Clients mit PC/SC-FunktionalitätThin Clients mit PC/SC-Funktionalität Igel Premium 532Igel Premium 532 Firmware 3.01.310 (für HU entwickelt)Firmware 3.01.310 (für HU entwickelt) Linux (Kernel 2.4.x)Linux (Kernel 2.4.x) ICA, X11ICA, X11 SMB, NFSSMB, NFS
SmartCardsSmartCards Schlumberger Cyberflex Access 16Schlumberger Cyberflex Access 16 Schlumberger Cryptoflex 16 (UNIX-Clients)Schlumberger Cryptoflex 16 (UNIX-Clients)
Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
Wie geht es weiter?Wie geht es weiter?
Pilotphase mit SmartCard-Pilotphase mit SmartCard-AuthentifizierungAuthentifizierung
FSV-GX in ProduktionFSV-GX in Produktion HIS-POS in ProduktionHIS-POS in Produktion F-Secure oder anderes Produkt?F-Secure oder anderes Produkt? Einsatz einer Open Source Lösung (z.B. Einsatz einer Open Source Lösung (z.B.
Windows 2000/XP-IPSec mit FreeSwan)Windows 2000/XP-IPSec mit FreeSwan) Ausbau der HU-CA in eine HU-PKIAusbau der HU-CA in eine HU-PKI
Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003Roland Herbst, Humboldt-Universität zu Berlin, CMS, Verwaltung@eUniversity, 14.05.2003
AdressenAdressen
http://http://www.hu-berlin.dewww.hu-berlin.de//uvsecuvsec// http://http://www.openca.orgwww.openca.org// http://www.openssl.org/http://www.openssl.org/ http://http://www.microsoft.comwww.microsoft.com// http://http://www.citrix.dewww.citrix.de// http://http://www.omnikey.dewww.omnikey.de// http://http://www.cherry.dewww.cherry.de// http://http://www.igel.dewww.igel.de// http://http://www.cyberflex.comwww.cyberflex.com// http://http://www.cryptoflex.comwww.cryptoflex.com//