Thin Clients und SmartCards an der HU

1
Thin Clients und SmartCards an der HU

• Roland Herbst
• Computer- und Medienservice
• herbst_at_cms.hu-berlin.de

2
Agenda

• Sichere Verwaltung, aber wie?
• Campus Adlershof
• Terminalserver, PCs und Thin Clients
• Authentifizierung
• SmartCards und Standards
• Projektaufgaben
• Projektergebnisse
• Ausblick

3
Glossar

• Windows 2000 XP 2003
• Microsoft Betriebssystem der neueren Generation
• Terminal-Server
• Spezieller Server, der zur Bereitstellung von
  Anwendungen genutzt wird
• Produkt Citrix MetaFrame
• Thin Client
• Spezieller Client, der nicht auf einem PC
  installiert ist, sondern ein eigenständiges
  System (intelligentes Terminal, auch Embedded
  System) darstellt
• Authentifizierung
• Client Rede ich mit dem richtigen Server?
• Server Rede ich mit dem richtigen Nutzer?
• SmartCard
• Spezielles Gerät zur Generierung und Speicherung
  von Authentifizierungs-Informationen unter
  Nutzung von asymmetrischen kryptografischen
  Verfahren

4
Sichere Verwaltung, aber wie?

• 1997-2000 DFN-Projekt Firewall
• Firewall-System mit IDS
• HU-CA
• 2000-2003 DFN-Projekt UVsec
• VPN-Technologie (IPSec)
• D-Zug
• FSV-GX
• HIS-POS
• Ausbau der HU-CA in eine HU-PKI
• Basis OpenCA

5
(No Transcript)
6
Campus Adlershof

• Campus Adlershof
• Stadt für Wissenschaft, Wirtschaft und Medien
• Erwin-Schrödinger Zentrum
• gemeinsam von Bibliothek und Computer- und
  Medienservice genutzt Informations- und
  Kommunikationszentrum
• Mit modernster Technik ausgestatteter Lesesaal,
  Hörsäle und Übungsräume
• 300 Öffentliche Computer-Arbeitsplätze
• PC
• Workstation
• Thin Clients

7
PC versus Thin Client
8
Terminal-Server-Prinzip
9
Was ist Authentifizierung?
10
Verfahren zur Authentifizierung

• Frage Ist der Kommunikationspartner tatsächlich
  derjenige, der er vorgibt, zu sein?
• Entwicklung
• UID / Passwort
• Challenge/Response
• Public/Private Key
• Zertifikat/Private Key (X.509)
• Biometrie (Iris, Fingerprint)
• SmartCard (Windows 2000 Logon)
• Client Rede ich mit dem richtigen Server?
• Server Rede ich mit dem richtigen Client?

11
SmartCards

• Anforderungen
• sichere Speicherung der Private Keys und von
  Zertifikaten
• Ortsunabhängigkeit
• 2 Faktor-Prinzip
• Wie werden sie erfüllt?
• Plastik-Körper in Kreditkarten-Größe (EC-Karte)
• Prozessor
• EEPROM, RAM, I/O
• Betriebssystem
• ISO 7816 (1-4)
• PC/SC (1.0)
• SmartCard-Reader
• PC/SC-Treiber

12
Schnittstellen

• Applikation
• CryptoAPI CSP (Microsoft)
• Cryptoki PKCS11 (RSA)
• PC/SC
• Ressource Manager
• Bibliotheken
• Geräte-Treiber
• z.B. GCR410, Reflex USB,
• Cardman 2020
• SmartCard
• APDU
• Cyberflex, Cryptoflex, iKey 2032, PKI Card Model
  330

13
Citrix MetaFrame FR2
Server
Winlogon
ICA Client 6.3
ICA
SSL
LSA
Kerberos
Resource Manager
SmartCard CSP
ICA
SSL
Reader
SmartCard
14
Projekt-Aufgaben

• Auswahl der Software
• Betriebssystem der Clients
• Auswahl der Hardware
• Thin Clients oder PCs
• SmartCards
• Anpassung des OpenSSL-Toolkits (Open Source)
• Zusammenarbeit mit Herstellern (Cherry, Citrix,
  Igel, Omnikey, Schlumberger)
• Aufbau eines Eval-Systems für die
  Authentifizierungslösung

15
Ergebnisse

• Citrix MetaFrame Serverfarm
• 19 Zoll Server
• Thin Clients mit PC/SC-Funktionalität
• Igel Premium 532
• Firmware 3.01.310 (für HU entwickelt)
• Linux (Kernel 2.4.x)
• ICA, X11
• SMB, NFS
• SmartCards
• Schlumberger Cyberflex Access 16
• Schlumberger Cryptoflex 16 (UNIX-Clients)

16
(No Transcript)
17
(No Transcript)
18
(No Transcript)
19
Wie geht es weiter?

• Pilotphase mit SmartCard-Authentifizierung
• FSV-GX in Produktion
• HIS-POS in Produktion
• F-Secure oder anderes Produkt?
• Einsatz einer Open Source Lösung (z.B. Windows
  2000/XP-IPSec mit FreeSwan)
• Ausbau der HU-CA in eine HU-PKI

20
Adressen

• http//www.hu-berlin.de/uvsec/
• http//www.openca.org/
• http//www.openssl.org/
• http//www.microsoft.com/
• http//www.citrix.de/
• http//www.omnikey.de/
• http//www.cherry.de/
• http//www.igel.de/
• http//www.cyberflex.com/
• http//www.cryptoflex.com/