![Page 1: DFN Nutzertagung John20070508 John - hochschulverwaltung.de · PKI und Kartenmanagement ¾Key-Backup und Key-Recovery • Zweites Schlüsselpaar für Datenverschlüsselung ÆSicherung](https://reader030.vdocuments.mx/reader030/viewer/2022040310/5d49b2b288c993de768b5c25/html5/thumbnails/1.jpg)
TUD-ChipkarteDigitale Identität
für Studierende und Bedienstete
Ronny JohnTechnische Universität DarmstadtHochschulrechenzentrum (HRZ)
![Page 2: DFN Nutzertagung John20070508 John - hochschulverwaltung.de · PKI und Kartenmanagement ¾Key-Backup und Key-Recovery • Zweites Schlüsselpaar für Datenverschlüsselung ÆSicherung](https://reader030.vdocuments.mx/reader030/viewer/2022040310/5d49b2b288c993de768b5c25/html5/thumbnails/2.jpg)
2TUD-Chipkarte • Ronny John • 08.05.2007
Inhalt
„Die TUD-Chipkarte als digitale IDfür Studierende und Bedienstete
der Technischen Universität Darmstadt“
Projekt TUD-Chipkarte
PKI und KartenmanagementFokus auf Prozesse für „Bedienstetenkarte“
![Page 3: DFN Nutzertagung John20070508 John - hochschulverwaltung.de · PKI und Kartenmanagement ¾Key-Backup und Key-Recovery • Zweites Schlüsselpaar für Datenverschlüsselung ÆSicherung](https://reader030.vdocuments.mx/reader030/viewer/2022040310/5d49b2b288c993de768b5c25/html5/thumbnails/3.jpg)
3TUD-Chipkarte • Ronny John • 08.05.2007
Projekt TUD-Chipkarte
Projekt TUD-Chipkarte
TUD Chipkarte („TUDCard“) für Studierende und Bedienstete
• Funktionen und Anwendungen • Kartentechnik und Karteninhalt• Organisation
RJ
![Page 4: DFN Nutzertagung John20070508 John - hochschulverwaltung.de · PKI und Kartenmanagement ¾Key-Backup und Key-Recovery • Zweites Schlüsselpaar für Datenverschlüsselung ÆSicherung](https://reader030.vdocuments.mx/reader030/viewer/2022040310/5d49b2b288c993de768b5c25/html5/thumbnails/4.jpg)
Folie 3
RJ5 Aussehen:- Vorder- und Hinterseite im TUD-Design- sichtbarer Kryptoprozessor und eingebetter, unsichtbarer Funkchip- Nummer für Bezahlfunktion auf Vorderseite- optisch anonym“ --> ohne Foto, Name, Matrikel-Nr., R/W-FolieRonny John; 05.09.2006
![Page 5: DFN Nutzertagung John20070508 John - hochschulverwaltung.de · PKI und Kartenmanagement ¾Key-Backup und Key-Recovery • Zweites Schlüsselpaar für Datenverschlüsselung ÆSicherung](https://reader030.vdocuments.mx/reader030/viewer/2022040310/5d49b2b288c993de768b5c25/html5/thumbnails/5.jpg)
4TUD-Chipkarte • Ronny John • 08.05.2007
Projekt TUD-Chipkarte
1. Funktion „Digitale Identität“• Authentifizierung
– Zugang zu Webanwendungen und Webseiten• E-Learning (Clix, Autorenwerkzeuge)• Verwaltungsanwendungen (HISPOS, HISLSF)• Unterlagen für Vorlesung und Übungen
– mobiler Internet-Zugang über VPN– SmartCard-Logon in den HRZ-Rechnerpools
• Signatur und Verschlüsselung– Signatur und Verschlüsselung von E-Mails und Dateien– signaturbasierte Zutrittskontrolle (HRZ-Rechnerpool)
2. Bezahlfunktion• Bargeldlos an alle Kassen und Automaten
![Page 6: DFN Nutzertagung John20070508 John - hochschulverwaltung.de · PKI und Kartenmanagement ¾Key-Backup und Key-Recovery • Zweites Schlüsselpaar für Datenverschlüsselung ÆSicherung](https://reader030.vdocuments.mx/reader030/viewer/2022040310/5d49b2b288c993de768b5c25/html5/thumbnails/6.jpg)
5TUD-Chipkarte • Ronny John • 08.05.2007
Projekt TUD-Chipkarte
Kartentechnik und Karteninhalt• Aussehen
– optisch anonym“ ohne Foto, Name, Matrikel, R/W-Streifen• Kryptoprozessor
– „Digitale Identität“ in Form eines Schlüsselpaares und Zertifikat mit Name, E-Mail und Benutzername des Inhabers
• getrennte Schlüsselpaare für Signatur und Verschlüsslung– privater Schlüssel nicht auslesbar und mit PIN geschützt– kontaktbehaftet, 1024 Bit RSA, TCOS 2.03
• Funkchip– „elektronische Geldbörse“ mit Nummer für Bezahlfunktion
(Schattenkonto), PKZ, Saldo, letzte Transaktion– Bezahlfunktion anonym: physische und logische Trennung
zwischen „digitaler Identität“ und Bezahlfunktion– kontaktlos im Kartenkörper integriert, Typ „Mifare“
![Page 7: DFN Nutzertagung John20070508 John - hochschulverwaltung.de · PKI und Kartenmanagement ¾Key-Backup und Key-Recovery • Zweites Schlüsselpaar für Datenverschlüsselung ÆSicherung](https://reader030.vdocuments.mx/reader030/viewer/2022040310/5d49b2b288c993de768b5c25/html5/thumbnails/7.jpg)
6TUD-Chipkarte • Ronny John • 08.05.2007
Projekt TUD-Chipkarte
Organisation• Studierende erhalten erste Karte kostenlos
– für die Gesamtdauer des Studiums gültig
• Karten für Bedienstete zentral finanziert• „Roll-Out“ und Nutzung der Karten
– Versand per Post durch externen Projektpartner oder über Hauspost
– Kartenaktivierung mit selbstentwickeltem „Card Manager“
• Bezahlfunktion nach ersten Aufladevorgang aktiv• Kartenverwaltung durch das Nutzerbüro des HRZ
– Kartenverlust, Kartendefekt, Sperre, Neuausgabe
• Clearingstelle Bezahlfunktion: Studentenwerk Darmstadt
![Page 8: DFN Nutzertagung John20070508 John - hochschulverwaltung.de · PKI und Kartenmanagement ¾Key-Backup und Key-Recovery • Zweites Schlüsselpaar für Datenverschlüsselung ÆSicherung](https://reader030.vdocuments.mx/reader030/viewer/2022040310/5d49b2b288c993de768b5c25/html5/thumbnails/8.jpg)
7TUD-Chipkarte • Ronny John • 08.05.2007
PKI und Kartenmanagement
PKI und Kartenmanagement
Public-Key Infrastruktur (PKI)• Zertifizierungshierarchie• Komponenten der PKI• Verknüpfung der PKI-Komponenten• Registrierung durch Identitätsmanagement
Kartenmanagement• Architektur• Kartenaktivierung• Key-Backup und Key-Recovery
![Page 9: DFN Nutzertagung John20070508 John - hochschulverwaltung.de · PKI und Kartenmanagement ¾Key-Backup und Key-Recovery • Zweites Schlüsselpaar für Datenverschlüsselung ÆSicherung](https://reader030.vdocuments.mx/reader030/viewer/2022040310/5d49b2b288c993de768b5c25/html5/thumbnails/9.jpg)
8TUD-Chipkarte • Ronny John • 08.05.2007
PKI und Kartenmanagement
Zertifizierungshierarchie
![Page 10: DFN Nutzertagung John20070508 John - hochschulverwaltung.de · PKI und Kartenmanagement ¾Key-Backup und Key-Recovery • Zweites Schlüsselpaar für Datenverschlüsselung ÆSicherung](https://reader030.vdocuments.mx/reader030/viewer/2022040310/5d49b2b288c993de768b5c25/html5/thumbnails/10.jpg)
9TUD-Chipkarte • Ronny John • 08.05.2007
PKI und Kartenmanagement
Komponenten der PKI• CA, RA & IS: Trustcenter Software „FlexiTrust“
(FlexSecure GmbH) • PSE: TUD-Chipkarte• Verzeichnis: Novell eDirectory
Anwendungen & Benutzer
PSE
CA
Verzeichnis
CA: Certification Authority
RA: Registration Authority
IS: Infrastructure Services
PSE: Personal Security Environment
RA & IS
![Page 11: DFN Nutzertagung John20070508 John - hochschulverwaltung.de · PKI und Kartenmanagement ¾Key-Backup und Key-Recovery • Zweites Schlüsselpaar für Datenverschlüsselung ÆSicherung](https://reader030.vdocuments.mx/reader030/viewer/2022040310/5d49b2b288c993de768b5c25/html5/thumbnails/11.jpg)
10TUD-Chipkarte • Ronny John • 08.05.2007
Verknüpfung der PKI-Komponenten
PKI und Kartenmanagement
RA
ISVerzeichnis
Antrag Registration und Widerruf
Zertifikate und CRL
Registration und Widerruf
Veröffentlichung der Zertifikate
und CRL
Information per E-MailZertifikats-download
Aktivierung (PIN, PUK)
CA
automatische Prozesse
manuelle Prozesse
![Page 12: DFN Nutzertagung John20070508 John - hochschulverwaltung.de · PKI und Kartenmanagement ¾Key-Backup und Key-Recovery • Zweites Schlüsselpaar für Datenverschlüsselung ÆSicherung](https://reader030.vdocuments.mx/reader030/viewer/2022040310/5d49b2b288c993de768b5c25/html5/thumbnails/12.jpg)
11TUD-Chipkarte • Ronny John • 08.05.2007
PKI und Kartenmanagement
Registrierung durch Identitätsmanagement (1) 1. Datenimport aus SAP/HR
– implizite Prüfung der Identität (Einstellung - Personalbogen)– alle Bediensteten werden im IdM als Identitäten erfasst– automatische Pflege der Daten
2. Einmalige Registrierung im web-basierten „Self-Service“– Information über gespeicherte Daten– Auswahl eines Benutzernamen – „TUD-ID“– Passwort setzen– ggf. Verknüpfung mit bisherigen („alten“) Benutzerkonto– Abfrage weitere Daten, die nicht in SAP/HR gepflegt werden:
• E-Mail Adresse (…@xxx.tu-darmstadt.de)• dienstl. Telefon- und Faxnummer• Gebäude- und Raumnummer des Arbeitsplatzes
![Page 13: DFN Nutzertagung John20070508 John - hochschulverwaltung.de · PKI und Kartenmanagement ¾Key-Backup und Key-Recovery • Zweites Schlüsselpaar für Datenverschlüsselung ÆSicherung](https://reader030.vdocuments.mx/reader030/viewer/2022040310/5d49b2b288c993de768b5c25/html5/thumbnails/13.jpg)
12TUD-Chipkarte • Ronny John • 08.05.2007
PKI und Kartenmanagement
Registrierung durch Identitätsmanagement (2) 3. Erstellung eines Accounts im Benutzerverzeichnis
– nach Registrierung– abgeleitet und verknüpft mit Identität im IdM– Basis für Chipkartenverwaltung
4. Ausgabe einer Chipkarte an den Bediensteten– nach Registrierung– Nummer und öffentlicher Schlüssel der ausgegebenen Karte
wird zusammen im Account vermerkt– direkte Identifikation über Chipkarte möglich:
privater Schlüssel Karte Kartennummer öffentlicher Schlüssel Account
![Page 14: DFN Nutzertagung John20070508 John - hochschulverwaltung.de · PKI und Kartenmanagement ¾Key-Backup und Key-Recovery • Zweites Schlüsselpaar für Datenverschlüsselung ÆSicherung](https://reader030.vdocuments.mx/reader030/viewer/2022040310/5d49b2b288c993de768b5c25/html5/thumbnails/14.jpg)
13TUD-Chipkarte • Ronny John • 08.05.2007
PKI und Kartenmanagement
Registrierung durch Identitätsmanagement (3) 5. Zertifikatsantrag
– erfolgt automatisch, wenn alle Daten im Benutzerverzeichnis vorhanden:• Name und E-Mail Adresse• ausgegebene (zugewiesene) Chipkarte
– RA prüft online Status im Benutzerverzeichnis und erstellt automatisch einen Zertifizierungsantrag
6. Veröffentlichung des Zertifikats– automatisch nach Generierung durch die CA– Schlüsselverzeichnis = Personenverzeichnis
• Verteilung / Synchronisation durch IdM– Speicherung des Zertifikats auf die Chipkarte
![Page 15: DFN Nutzertagung John20070508 John - hochschulverwaltung.de · PKI und Kartenmanagement ¾Key-Backup und Key-Recovery • Zweites Schlüsselpaar für Datenverschlüsselung ÆSicherung](https://reader030.vdocuments.mx/reader030/viewer/2022040310/5d49b2b288c993de768b5c25/html5/thumbnails/15.jpg)
14TUD-Chipkarte • Ronny John • 08.05.2007
IdM System
PKI und Kartenmanagement
Registrierung durch Identitätsmanagement (4)
SAP/HR
VerzeichnisSchlüssel-verzeichnis
Registrierung„Self-Service“
![Page 16: DFN Nutzertagung John20070508 John - hochschulverwaltung.de · PKI und Kartenmanagement ¾Key-Backup und Key-Recovery • Zweites Schlüsselpaar für Datenverschlüsselung ÆSicherung](https://reader030.vdocuments.mx/reader030/viewer/2022040310/5d49b2b288c993de768b5c25/html5/thumbnails/16.jpg)
15TUD-Chipkarte • Ronny John • 08.05.2007
PKI und Kartenmanagement
Registrierung durch Identitätsmanagement (5)• Vorteile
– Insgesamt nur zwei Kontakte– Bedienstete müssen nicht persönlich erscheinen
• Brief mit PIN für Registrierung per Hauspost• Versand der Karte per Hauspost• Registrierung des Accounts im web-basierten „Self-Service“
– Aktivierung der Karte + Zertifikatsdownload per „Card Manager“• Java „Web Start“ - Anwendung• am Arbeitsplatz oder zentralen Kiosk-PCs
– Registrierung einfach• geringer Personalaufwand
– Erhalt der Gesamtsicherheit der PKI
![Page 17: DFN Nutzertagung John20070508 John - hochschulverwaltung.de · PKI und Kartenmanagement ¾Key-Backup und Key-Recovery • Zweites Schlüsselpaar für Datenverschlüsselung ÆSicherung](https://reader030.vdocuments.mx/reader030/viewer/2022040310/5d49b2b288c993de768b5c25/html5/thumbnails/17.jpg)
16TUD-Chipkarte • Ronny John • 08.05.2007
PKI und Kartenmanagement
Kartenmanagement: Architektur (1)• in das Benutzerverzeichnis integrierte angepasste
Trustcenter-Software (RA & IS)– bekannt Nutzung bestehender Ressourcen– zentralisiert und sicher (Redundanz, Backup…)– hohe Automatisierung und skalierbar
• Verwendung vorbeschlüsselter Chipkarten– öffentlicher Schlüssel sofort bekannt und nach Versand für
Zertifizierung verfügbar
• Versand per Hauspost– Reduzierung des Betreuungspersonals– besserer Service für die Bediensteten
![Page 18: DFN Nutzertagung John20070508 John - hochschulverwaltung.de · PKI und Kartenmanagement ¾Key-Backup und Key-Recovery • Zweites Schlüsselpaar für Datenverschlüsselung ÆSicherung](https://reader030.vdocuments.mx/reader030/viewer/2022040310/5d49b2b288c993de768b5c25/html5/thumbnails/18.jpg)
17TUD-Chipkarte • Ronny John • 08.05.2007
PKI und Kartenmanagement
Kartenmanagement: Architektur (2)• kein PIN-Brief
– einfacher Kartenversand und flexible Kartenausgabe (Ersatz…)– „Null-PIN“ Verfahren: eigene Überprüfung, ob Karte bereits
eingesetzt wurde– „blinded PUK“ auf der Karte (mit öffentlichen Schlüssel
verschlüsselt)– Stärkung der Vertrauenswürdigkeit
• „Card Manager“ als Java „Web Start“ - Anwendung – Kartenaktivierung im „Self-Service“– Java, damit plattformunabhängig– einfache Administration (Beispiel: Aktualisierung der
Software)
![Page 19: DFN Nutzertagung John20070508 John - hochschulverwaltung.de · PKI und Kartenmanagement ¾Key-Backup und Key-Recovery • Zweites Schlüsselpaar für Datenverschlüsselung ÆSicherung](https://reader030.vdocuments.mx/reader030/viewer/2022040310/5d49b2b288c993de768b5c25/html5/thumbnails/19.jpg)
18TUD-Chipkarte • Ronny John • 08.05.2007
PKI und Kartenmanagement
Im Detail: Kartenaktivierung (1)• Ablage des zertifizierten Schlüssels• Verwendung des „Card Managers“
– Brechen der „Null-PIN“– Anzeigen und Löschen der PUK– „Download“ des Zertifikats auf die Karte
• „Veröffentlichung“ des zertifizierten Schlüssels• Status-Änderungen
![Page 20: DFN Nutzertagung John20070508 John - hochschulverwaltung.de · PKI und Kartenmanagement ¾Key-Backup und Key-Recovery • Zweites Schlüsselpaar für Datenverschlüsselung ÆSicherung](https://reader030.vdocuments.mx/reader030/viewer/2022040310/5d49b2b288c993de768b5c25/html5/thumbnails/20.jpg)
19TUD-Chipkarte • Ronny John • 08.05.2007
PKI und Kartenmanagement
Im Detail: Kartenaktivierung (2)• Ablage des zertifizierten Schlüssels
CA ISzertifizierter Schlüssel
Aktivierung
E-Mail an Benutzer, dass Zertifikat verfügbar
Verzeichniszertifizierter Schlüssel,
verschlüsselt mit öffentlichen Schlüssel des Benutzers
Status-Änderungen
![Page 21: DFN Nutzertagung John20070508 John - hochschulverwaltung.de · PKI und Kartenmanagement ¾Key-Backup und Key-Recovery • Zweites Schlüsselpaar für Datenverschlüsselung ÆSicherung](https://reader030.vdocuments.mx/reader030/viewer/2022040310/5d49b2b288c993de768b5c25/html5/thumbnails/21.jpg)
20TUD-Chipkarte • Ronny John • 08.05.2007
PKI und Kartenmanagement
Im Detail: Kartenaktivierung (3)Verzeichnis Card Manager Benutzer
Auswahl der Operation
Anmeldung an Nutzerkonto
Status anzeigen
Null-PIN brechen und PIN festlegen
PUK entschlüsseln und anzeigen
PUK löschen
verschlüsseltes Zertifikat abrufen
Zertifikat entschlüsseln (PIN)
Zertifikat in Zertifikatsfeld schreiben
Zertifikat auf Karte schreiben
Status über Web-Service ändern
![Page 22: DFN Nutzertagung John20070508 John - hochschulverwaltung.de · PKI und Kartenmanagement ¾Key-Backup und Key-Recovery • Zweites Schlüsselpaar für Datenverschlüsselung ÆSicherung](https://reader030.vdocuments.mx/reader030/viewer/2022040310/5d49b2b288c993de768b5c25/html5/thumbnails/22.jpg)
21TUD-Chipkarte • Ronny John • 08.05.2007
PKI und Kartenmanagement
Key-Backup und Key-Recovery• Zweites Schlüsselpaar für Datenverschlüsselung
Sicherung des privaten Schlüssels notwendig• Key-Backup während der Vorbeschlüsselung durch
Projektpartner• Key-Recovery eines Schlüssels im Mehraugenprinzip
– 2 Gruppen mit jeweils 5 Operatoren– Wiederhergestellter Schlüssel als PKCS#12 Datei mit
integrierten aktuellen Zertifikat an Benutzer senden– Transportpasswort für PKCS#12 Datei über Hauspost– PKCS#12 Datei kann in Anwendungen importiert werden
• Umschlüsselung der verschlüsselten Daten• Weiterverwendung der verschlüsselten Daten
![Page 23: DFN Nutzertagung John20070508 John - hochschulverwaltung.de · PKI und Kartenmanagement ¾Key-Backup und Key-Recovery • Zweites Schlüsselpaar für Datenverschlüsselung ÆSicherung](https://reader030.vdocuments.mx/reader030/viewer/2022040310/5d49b2b288c993de768b5c25/html5/thumbnails/23.jpg)
22TUD-Chipkarte • Ronny John • 08.05.2007
PKI und Kartenmanagement
Key-Backup im Detail• Sicherung der privaten Schlüssel im PKCS#12 Format
– PKCS#12 Datei nach Kryptoprozessor-Nummer benannt– 40 Zeichen Transportpasswort für PKCS#12 Dateien– erste Hälfte des Transportpasswortes mit Schlüssel der ersten
Operator-Gruppe verschlüsselt– zweite Hälfte des Transportpasswortes mit Schlüssel der zweiten
Operator-Gruppe verschlüsselt
• Operator-Schlüssel auf Chipkarten mit individueller PIN• Sicherung auf nichtflüchtigen, mehrfach duplizierten
Datenspeicher– CD-ROM– MO-Medium
![Page 24: DFN Nutzertagung John20070508 John - hochschulverwaltung.de · PKI und Kartenmanagement ¾Key-Backup und Key-Recovery • Zweites Schlüsselpaar für Datenverschlüsselung ÆSicherung](https://reader030.vdocuments.mx/reader030/viewer/2022040310/5d49b2b288c993de768b5c25/html5/thumbnails/24.jpg)
23TUD-Chipkarte • Ronny John • 08.05.2007
PKI und Kartenmanagement
Key-Recovery im Detail• Wiederherstellung eines privaten Schlüssel mit
selbstentwickeltem „Key-Recovery Tool“1. Übertragung der Kryptoprozessor-Nummer und des aktuellen
Zertifikats auf Offline-Laptop2. Zugehörige PKCS#12 Datei mit Kryptoprozessor-Nummer von
CD-ROM lesen3. erste und zweite Hälfte des Transportpasswortes mit
Operatorkarten entschlüsseln4. PKCS#12 Datei mit Transportpasswort entschlüsseln5. Neue PKCS#12 Datei für Benutzer mit wiederhergestellten
privaten Schlüssel und aktuellem Zertifikat erzeugen6. Sicherung der neuen PKCS#12 Datei mit zufallsgeniertem
Transportpasswort
![Page 25: DFN Nutzertagung John20070508 John - hochschulverwaltung.de · PKI und Kartenmanagement ¾Key-Backup und Key-Recovery • Zweites Schlüsselpaar für Datenverschlüsselung ÆSicherung](https://reader030.vdocuments.mx/reader030/viewer/2022040310/5d49b2b288c993de768b5c25/html5/thumbnails/25.jpg)
Vielen Dank für Ihre Aufmerksamkeit!
Kontakt und weitere InformationenRonny JohnTelefon: (0 61 51) 16-45 [email protected]://www.tu-darmstadt.de/hrz/chipkarte/