Erfahrungsbericht zum Einsatz von digitalen ... · HOCHSCHULE LANDSHUT UNIVERSITY OF APPLIED SCIENCES FAKULTÄT INFORMATIK DEPARTMENT OF COMPUTER SCIENCE Das Zertifikat als digitaler

Erfahrungsbericht zum Einsatz von digitalenNutzerzertifikaten in einer Hochschule

16.6.2010 Certification Authority University of Applied Sciences Landshut

Prof. Dr. Peter Hartmannund das FH-LA-CA-Team

HOCHSCHULE LANDSHUTUNIVERSITY OF APPLIED SCIENCES

FAKULTÄT INFORMATIKDEPARTMENT OF COMPUTER SCIENCE

Das Zertifikat als digitaler Ausweis

Alice BobAmazon

Zertifikat

Nur für Amazon

ZertifikatZertifikat

Verify

Prof. Dr. Hartmann2 Prof. Dr. Hartmann

� Ein Zertifikat kann mehr als Nachrichten verschlüsseln� Das Zertifikat bestätigt die Identität des Eigentümers.� Zur Sicherstellung der Integrität: das Zertifikat wird durch eine Zertifizierungsstelle (CA)

beglaubigt.

� In einer üblichen SSL Verbindung:� Der Server sendet sein Zertifikat an den Client.� Der Client braucht einen Verifikationsschlüssel der Zertifizierungsstelle (Wurzelzertifikat), um

die Echtheit der Identität zu bestätigen.� Dieser Verifikationskey wird in der Regel bei Installation des Browsers oder Betriebssystems

mitgeliefert.� Der Client weiß jetzt: Nachrichten der bestehenden Verbindung können nur vom Server

gelesen werden.



Zertifikate in der DFN Hierarchie

� Seit 1998 stellt der DFN Zertifikate aus� Zertifikate für Server seiner Kunden.� Zertifikate zur Beglaubigung von untergeordneten

Zertifizierungsstellen.

� Seit 2009 ist das Wurzelzertifikat des DFN in allen gängigen Browsern integriert.� Alle Zertifikate aus der DFN Hierarchie können weltweit

verifziert werden!

��

��

��

��


verifziert werden!

� Die Hochschule Landshut betreibt seit 2002 eine Zertifizierungsstelle in der DFN Hierarchie� Diese CA stellt Serverzertifikate aus:

� Damit werden SSL-Verbindungen aufgebaut,� Mailserver und andere Dienste gesichert.

� Und von Anfang an Zertifikate für Studierende und Mitarbeiter:

� Damit ist in SSL Verbindungen Client-Authentifizierung möglich,

� Und der Einsatz in anderen Anwendungen.

��

��

�� …

��

Zertifikat

Zertifikat

ZertifikatZertifikat



Die CA der Hochschule Landshut

� Entstanden aus einem Studienprojekt des Fachbereichs Informatik� Ziel: CA für FH-Server, Mitarbeiter und Studenten.

� Erste FH-LA-Zertifikate im Januar 2002.

� Anreiz für Studierende: Online Noteneinsicht mit Hilfe von Zertifikaten wird eingeführt.

� Warum eine eigene CA?


� Warum eine eigene CA?� Sichere Server und Dienste für die Mitarbeiter und

Studenten.

� Einsatz zur Mailsignatur/Mailverschlüsselung ist möglich.

� Starke Client-Authentifizierung wird möglich.

� Schon im ersten Semester wurden mehrere hundert Studenten-zertifikate ausgestellt.



Nutzerzertifikate an der Hochschule Landshut

� Sehr bald werden weitere zertifikatsbasierte Dienste für die Studierenden eingerichtet.

� Die Nutzerzertifikate werden daher von Anfang an stark nachgefragt.




� Im Wintersemester 2006� Das SB-Portal (HIS) mit Zertifikatsauthentifizierung für Studierende wird eingerichtet für

� Prüfungsanmeldung,

� Rückmeldung,

� Notenabfrage.

� Das Zertifikat wird verpflichtend für alle Studierenden (ca. 3000).

� Breite Akzeptanz des „digitalen Ausweises“ bei Studierenden und Verwaltung

Nutzerzertifikate an der Hochschule Landshut


� Breite Akzeptanz des „digitalen Ausweises“ bei Studierenden und Verwaltung� Spürbare Serviceverbesserung für die Studierenden.

� Entlastung der Studentensekretariate (Rückmeldung, Prüfungsanmeldung).

� Seit Sommersemester 2009� Das SB-Portal wird verwendet zur Leistungsverbuchung.

� Das Zertifikate ist verpflichtend für alle Professoren und Lehrbeauftragten.

� Weitere Anwendungen zur Verbesserung von Geschäftsprozessen� Digitale Signaturen,

� Verschlüsselung vertraulicher Dokumente.



Warum keine Passwortauthentifizierung?� Passwortcracker können immer stärkere Passwörter knacken.

� Starke Passwörter verleiten zum Aufschreiben.

� Passwörter können leicht durch Keylogger abgehört werden.

� Und:




SB-Portal – Ansicht für Studierende

Herr Michael Maiermmaier2


Ist ein Zugang über Passwortschutz akzeptabel?



SB-Portal – Ansicht für Lehrende


Passwortschutz ist für manche Funktionen nicht ausreichend!!



Zertifikatsanwendung: Elektronische Signaturen

� Das Signaturgesetz unterscheidet drei Typen elektronischer Signaturen:

� Elektronische Signatur

� Keine Anforderungen außer der elektronischen Form

� Fortgeschrittene elektronische Signatur

� Mit public/private Key Verfahren erzeugt

� Erzeugung unter Kontrolle des Eigentümers


� Erzeugung unter Kontrolle des Eigentümers

� Signiertes Dokument nicht veränderbar

� Anwendungen wie S/MIME, pgp, SSL

� Qualifizierte elektronische Signatur

� Mit geprüften und zugelassenen technischen Komponenten erzeugt.

� Beruht auf Zertifikaten staatlich anerkannter Zertifizierungsdienstanbieter.

� Die qualifizierte Signatur ist der handschriftlichen Unterschrift gleichgestellt

� Für die meisten Rechtsgeschäfte fordert der Gesetzgeber nicht die Schriftform. Hier ist die fortgeschrittene Signatur ein sinnvolles Instrument



Fortgeschrittene Signatur von pdf-Dateien


� Die digitale Signatur � Erleichtert und beschleunigt Geschäftsprozesse.

� Ist weltweit verifizierbar.



Fortgeschrittene Signatur in der Mail: S/MIME


� Die digitale Signatur in der Email� Schafft Vertrauen in den Absender.

� Zeigt, dass es sich nicht um Spam handelt.



Mail Verschlüsselung – S/MIME


� Die Mailverschlüsselung� Macht Geschäftsprozesse sicher

� Erlaubt den Austausch sensibler Daten



Aufbewahrung der digitalen Identität

� SmartCard� Das Zertifikat mit privatem Schlüssel wird auf eine Smartcard

geschrieben.� Der private Schlüssel kann die Smartcard nie verlassen. � Zugang zur Smartcard nur mit PIN oder Passwort.� Vorteil

� Der private Schlüssel ist untrennbar an die Smartcard gebunden. Nur Verlust von Smartcard und Pin kompromittieren den Schlüssel.


� Nachteil� Jeder Client muss mit Lesegerät ausgestattet sein, zusätzliche

Software ist erforderlich.

� Software Token� Das Zertifikat wird in einer Datei gespeichert.� Der private Schlüssel ist in dieser Datei mit einem Passwort

geschützt.� Vorteil

� Das Zertifikat kann z.B. per Mail oder mit USB-Stick verteilt werden und sofort in viele Standard-Anwendungen integriert werden.

� Nachteil� Das Zertifikat kann kopiert werden oder vergessen werden –

der Schutz ist dann nur so sicher wie das Passwort.



Das Nutzerzertifikat in Landshut

� FH LA verwendet Software Token (PKCS12 – Dateien)� Das Zertifikat wird passwort-geschützt in einer Datei gespeichert.� Der Anwender erhält bei der Beantragung ein starkes Passwort.� Das Zertifikat kann dann von dem CA-Webserver heruntergeladen

werden.

� Anwender müssen wissen: Das Zertifikat ist ein Ausweis!� Den Teilnehmern muss das Bewusstsein vermittelt werden, dass diese

Datei ein digitaler Ausweis ist, auf den er aufpassen muss wie auf den


Datei ein digitaler Ausweis ist, auf den er aufpassen muss wie auf den Personalausweis.

� Empfohlen wird die Verwendung des Etoken� Der Etoken ist eine Smartcard mit USB-Anschluss.� Der private Schlüssel bleibt auf dem Token.� Kryptooperationen finden auf dem Token statt. � Im Vergleich zur Smartcard:

� Treiberinstallataion ist nötig, aber dann gute Integration in Windows und Mozilla.

� Smartcardreader muss nicht vorhanden sein.� Sicherheit ist vergleichbar mit Smartcard.

� Vor allem Mitarbeiter mit sicherheitskritischen Anwendungen sollten unbedingt den Etoken verwenden!



Ablauf der Zertifikatserstellung


� Nach der Immatrikulation stellen die Studierenden in der Registrierungsstelle einen schriftlichen Antrag.

� Die Identität wird anhand des Ausweises überprüft,

� Die Berechtigung für das Zertifikat anhand der Studierendendatenbank.

� Der Studierende erhält ein Passwort für den Download des fertigen Zertifikats. Mit diesem Passwort ist auch der private Teil des Zertifikats geschützt.




� Die Überprüfung der Identität wird vom Mitarbeiter der Registrierungsstelle beglaubigt.

� Das beglaubigte (pdf)-Dokument wird abgelegt.

� Auch diese Beglaubigung erfolgt mit Hilfe eines Nutzerzertifikats der Hochschule.



Der Webserver der Zertifizierungsstelle




Download des Zertifikats




Online Verlängerung




Online Verlängerung




Support im Webserver




Der Supportaufwand ist erheblich




� Aufwand� Die Softwareerstellung und Pflege erfolgt im Wesentlichen durch studentische

Projekte.

� Inzwischen bietet der DFN Softwareassistenten zum Betrieb von hochschuleigenen Zertifizierungsstellen.

� Der Hardwareaufwand ist gering (zwei virtuelle Server, ein Tablet PC).

� Beantragung von Zertifikaten ist in die Benutzerverwaltung integriert.

Kosten / Nutzen


� Personalaufwand fällt an für den Support (ca. ½ Stelle, erbracht durch studentische Hilfskräfte).

� Nutzen� Besserer Zugriffschutz und Datensicherheit bei der Nutzung von HIS (SB-Portal).

� Weitere Anwendungen zur Verbesserung der Geschäftsprozesse.

� Akzeptanz� Seit dem Beginn der Zertifizierung: die Zertifikate werden von den Studierenden als

nützlich angesehen und sind weit verbreitet.

� Die Verpflichtung zur Zertifikatsnutzung bei den Studierenden trifft auf keinen Widerstand.



� Weitere Einsatzbereiche des Zertifikats sind geplant oder in der Diskussion� VPN Anbindung für Heimarbeitsplätze.

� Zugang zum Moodle-Server der Hochschule zum Blended Learning.

� Zugang zum WLAN der Hochschule.

� Single Sign On an die Rechner der Hochschule mit USB-Stick oder E-Token.

� Durchführung der Evaluierung von Lehrveranstaltungen:

Was haben wir noch vor


� Es wird gewährleistet, dass nur berechtigte Studierende evaluieren, jeder höchstens einmal.

� Die Anonymität der Evaluierenden muss gewährleistet bleiben und glaubhaft gemacht werden.

� Können irgendwann Hochschulwahlen online abgehalten werden?

� …



Der Einsatz von digitalenNutzerzertifikaten in einer Hochschule

� Aus Sicht der Hochschule� Sichere Authentifizierung von Mitarbeitern und Studierenden� Beschleunigung interner Abläufe: mehr Geschwindigkeit, bessere

Arbeitsbedingungen, geringere Kosten� Schutz sensibler Daten

� Aus Mitarbeitersicht


� Aus Mitarbeitersicht� Vereinfachung interner Abläufe� Wegfall von Papierschnittstellen� Komfortabel, da überall einsetzbar� Vertrauliche Kommunikation zwischen Mitarbeitern, auch von außerhalb der

Hochschule

� Aus Sicht der Studierenden� Vereinfachung von Verwaltungsabläufen� Weniger Wege zur Verwaltung, schneller Zugriff auf eigene Daten.� Möglichkeit der Arbeit von zu Hause.

Documents

Erfahrungsbericht zum Einsatz von digitalen ... · HOCHSCHULE LANDSHUT UNIVERSITY OF APPLIED SCIENCES FAKULTÄT INFORMATIK DEPARTMENT OF COMPUTER SCIENCE Das Zertifikat als digitaler