Zertifikate da muss sich Ihre„ ... Zertifikate, da muss sich Ihre Hochschule eine
Organisationsform einfallen lassen“lassen“
(H.-G. Hegering / Kanzlertagung / 11. Mai 2005)
Seite 2
Starke“ Zertifikate mit wenig Aufwand„Starke Zertifikate mit wenig Aufwand-
Welchen Nutzen bringt der neueWelchen Nutzen bringt der neue DFN Zertifizierungsdienst den Hochschulen?
11. Mai 2005Marcus Pattloch (DFN Verein)Marcus Pattloch (DFN-Verein)
Was ist ein Zertifikat?
• Zertifikat = persönlicher Ausweis im Internet • jeder, der ein Zertifikat besitzt, kann im Netz
authentisch auftreten• jeder, dem ich im Netz mein Zertifikat zeige,
kann sicher sein wer ich binkann sicher sein, wer ich bin
Marcus Pattloch• häufigste Form als „Chipkarte“(aber: nicht jede Chipkarte(aber: nicht jede Chipkarte
enthält ein Zertifikat)
Seite 5
Was können Zertifikate?
• Zertifikate ersetzen Passwörterd ät li h EIN Z tifik t P (j d h t– grundsätzlich EIN Zertifikat pro Person (jeder hat
auch nur einen Ausweis)– Schluss mit vielen verschiedenen Passwörtern
(die man sich doch nicht merken kann)– Sicherheit von Zertifikaten grundsätzlich deutlich
höher als von Passwörtern– einfache Nutzung der Zertifikate möglich
(weitgehend transparent)(weitgehend transparent)
Seite 6
Anwendungsgebiete
• allgemeine Anwendungen, z.B.A ld A b it l t h– Anmelden am Arbeitsplatzrechner
– E-Mail Passwort– Zugriff auf Datenbanken
• Anwendungen in der Hochschulverwaltung– (dezentraler) Zugriff auf Haushaltsdaten( ) g– Austausch von Personaldaten
Zugriff auf Drittmitteldaten– Zugriff auf Drittmitteldaten– Zugriff auf Prüfungsnoten (QIS-Module)
Seite 7
Beispiel: HISQIS Modul POS
• Die Selbstbedienungsfunktion für Studierende unterstützt u a folgende Funktionenunterstützt u.a. folgende Funktionen– Anmeldung zu Prüfungen– Rücktritt von Prüfungen– Kontoauszug (Ansehen und Drucken)Kontoauszug (Ansehen und Drucken)– Notenübersichten
P tä d– Passwortänderung– Bescheinigungen in PDF
Marcus Pattloch
– Digitale Signatur von Bescheinigungen• Wie weist sich der Studierende online aus?
Seite 8
Wie weist sich der Studierende online aus?
häufige Problemlage
• viele Einrichtungen benötigen Zertifikate• ein Zertifizierungsdienst wird aufgesetzt,
aber es stellt sich herausaber es stellt sich heraus– der Aufwand für den Betrieb einer eigenen
Zertifizierungsstelle ist sehr hoch– insbesondere die Einstiegshürde ist sehr hochinsbesondere die Einstiegshürde ist sehr hoch
• der Zertifizierungsdienst „kommt nicht zum Fliegen“
Seite 9
Frage 2Frage 2
Was „kosten“ Zertifikate? (oder: braucht jeder eine eigene Bundesdruckerei?)
Seite 10
„üblicher“ Aufwand
sgab
etif
kata
ufü
r Zer
tuf
wan
d
0 1 10 100 1 000 1 000+
Au
Seite 11
0 1 ... 10 ... 100 ... 1.000 ... 1.000
Anzahl ausgegebener Zertifikate
Wie bekomme ich einen Ausweis?
Personalausweis Digitaler Ausweis
Ich benötige einen Ausweis Ich benötige ein Zertifikat
Meldestelle Registrierungsstelle
Bundesdruckerei ZertifizierungsdienstZertifizierungsstelle
Meldestelle Registrierungsstelle
Ich habe einen Ausweis Ich habe ein Zertifikat
Seite 12
Wie bekomme ich ein Zertifikat?
Digitaler Ausweis
Ich benötige ein Zertifikat
Registrierungsstelle
Zertifizierungsstelle
Registrierungsstelle„Bundes-druckerei“
Ich habe ein Zertifikat
Seite 13
Funktion der Registrierungsstelle
• Erfassen und Identifizieren der BenutzerP üf A i d k t– Prüfung Ausweisdokument
– z.B. bei der Immatrikulation• Weiterleitung der Zertifikatsanfragen an die
ZertifizierungsstelleZertifizierungsstelle• Funktion entspricht der „Meldestelle“
• Wahrnehmung durch „clevere Sekretärin“
Seite 14
Funktion der Zertifizierungsstelle
• Erstellung der Zertifikatei h h it k iti h V i i i h t– sicherheitskritischer Vorgang in einem gesicherten
Raum auf einem gesicherten Rechner• Kommunikation mit Registrierungsstelle
– Annahme der ZertifizierungsanträgeAnnahme der Zertifizierungsanträge– Rückgabe der erzeugten Zertifikate
F kti t i ht d B d d k i“• Funktion entspricht der „Bundesdruckerei“
Seite 15
• Wahrnehmung durch technische Experten
Das Konzept - Trennung der Aufgaben
• Registrierungsstelle– vergleichbar der Meldestelle– administrative Arbeitenadministrative Arbeiten– verbleibt in der Hochschule
• Zertifizierungsstelleg– vergleichbar der Bundesdruckerei
technisch aufwändige Arbeiten– technisch aufwändige Arbeiten – kann an DFN ausgelagert werden
Seite 16
Aufwand mit AuslagerungAufwand der Hochschule
sgab
e ausgelagerter Aufwand (DFN)
tifka
tau
für Z
ert
ufw
and
0 1 10 100 1 000 1 000+
Au
Seite 17
0 1 ... 10 ... 100 ... 1.000 ... 1.000
Anzahl ausgegebener Zertifikate
Kostenabschätzung
• Betrieb eigener Zertifizierungsstelle 2 bi 4 P j i d t 25 bi 50%– 2 bis 4 Personen zu je mindestens 25 bis 50%
• rechnerisch mindestens eine Vollzeitstelle • hochqualifiziert, mindestens einer immer verfügbar
– Geräte, die nur hierfür benutzt werden können– Safe, Bankschließfach, ...
• Ausgelagerte Zertifizierungsstelle an DFN: ca. 10.000 Euro/Jahr (unverbindlich!!)
Seite 18
Qualität von Zertifikaten
• Wie gut (sicher) sind Passwörter?i P i i t b– im Prinzip gut, aber ...
• zu komplex: Zettel unter der Schreibtischunterlage• zu einfach: leicht von einem Angreifer zu erraten
– hängt ab von konkreter Umsetzung• Wie gut (sicher) sind Zertifikate?
im Prinzip gut aber– im Prinzip gut, aber ...– die Anforderungen sind hoch
Seite 20
Qualität DFN Zertifizierungsdienst
• Sicherheitsniveau wird definiert durchhtli h R l D t h t t lrechtliche Regelungen, Datenschutz et al.
Anwendungsbereich DFN-weit / (inter)nationalhohes Vertrauen in sichere Identifikation und korrekte Zertifikatausstellunggsehr gut geschultes PersonalNachhaltigkeit ( Schwarze Listen“ et al )Nachhaltigkeit („Schwarze Listen et al.)Skalierbarkeit beim Aufbau / Ausbau(wirtschaftlich für ein Zertifikat und für Übergang zu hunderten / tausenden Zertifikaten)
Seite 21
Beispiel: HU Berlin
HISQIS-PrinzipskizzeHISQIS PrinzipskizzeDienstag, 26. April 2005
Windows2003-Terminalserverfarm mit den GX -Anwendungen PCs in der Verwaltung
DomaincontrollerFileserver
Domaincontroller
Router/Switchtechnik
Firewallzone (außen ) Firewallzone (innen)
Internet -PCs bzw. SB-Stationen
TerminalserverTerminalserver
Fileserver
Router/Switchtechnik
Internet -PCs bzw. SB-Stationen
Original-Datenbankserver mStudierenden - und
Prüfungsdaten
Seite 23
Web-Server für QIS -Anwendungen
Application -Server für QIS-Anwendungen
Pilotphase DFN-PKI (Produktion)
• Seit Januar 2005• Teilnehmer u.a.
– Univ. Hannover, GWDG Göttingen (MPG), LRZ , g ( ),• Status
U t lä ft f l i h– Umsetzung läuft erfolgreich– Abstimmung mit Anforderungen der Anwender– Pilotphase endet 31.12.2005– jetzt: offen für weitere Teilnehmerjetzt: offen für weitere Teilnehmer
Regelbetrieb beginnt am 1 1 2006 (Start X-WiN)
Seite 24
Regelbetrieb beginnt am 1.1.2006 (Start X WiN)
Zusammenfassung
• In Zusammenarbeit mit Anwendern wurde der DFN Zertifizierungsdienst neu gestaltetder DFN Zertifizierungsdienst neu gestaltet
• hohe Qualität & wirtschaftlich attraktiv– Vorteile für Anwender, die bereits etwas haben
Möglichkeit zum Einstieg für kleine“ Anwender– Möglichkeit zum Einstieg für „kleine Anwender
• Kontakt: [email protected]: [email protected]
Wenn Ihre Hochschule einen ZertifizierungsdienstWenn Ihre Hochschule einen Zertifizierungsdienst hat oder neu aufbauen will, nutzen Sie die Vorteile des neuen DFN Zertifizierungsdienstes
Seite 26
des neuen DFN Zertifizierungsdienstes