Neues Konzept für einen DFN-weiten Zertifikatsserver

Größe: px
Ab Seite anzeigen:

Download "Neues Konzept für einen DFN-weiten Zertifikatsserver"

Transkript

1 Neues Konzept für einen DFN-weiten Zertifikatsserver Peter Gietz DAASI International GmbH 1 Einleitung Seit 1994 wurden vom BMBF finanzierte DFN-Forschungsprojekte zu Verzeichnisdiensten an der Universität Tübingen durchgeführt. In den ersten dieser Projekte stand der Aufbau und Betrieb eines verzeichnisses für die deutsche Forschung 1 im Vordergrund. Zum Aufrechterhalt dieser Dienste kamen in den Folgeprojekten weitere Aufgaben hinzu, wie z.b. der Aufbau des Verzeichnisdienst-Kompetenzzentrums DFN Directory Services 2. Neben dem ITU/ISO-Standard X.500 bekamen Implementierungen des Lightweight Directory Access Protocol (LDAP), welches mittlerweile in der Version 3 vorliegt [RFC3377], eine immer größere Bedeutung. Ein wichtiges Thema, welches in den letzten beiden Projektphasen angegangen wurde, war es, vorhandene LDAP-Speichermodelle für die Veröffentlichung von Zertifikaten, wie sie für die auf asymmetrische Verschlüsselungsverfahren basierende sogenannten Public Key Infrastructure (PKI) auftreten, zu evaluieren, sowie bei Bedarf ein neues optimiertes Modell zu erstellen. Die DAASI International GmbH wurde als Spin-Off der Universität Tübingen gegründet um als Nochfolgeinstitution der DFN-Projekte zu fungieren. Das letzte zweijährige Projekt 3 wurde von der DAASI International durchgeführt und in [DAASI] dokumentiert. In diesem Aufsatz werden die PKI-bezogenen Ergebnisse dieses letzten Projekts vorgestellt. 2 LDAP und PKI Das zuerst 1977 in [Rivest] vorgestellte asymmetrische Verschlüsselungsverfahren (nach den Authoren RSA genannt) baut auf einem Schlüsselpaar auf, bestehend aus einem öffentlichen und einem privaten Schlüssel. Dadurch, dass die beiden Schlüssel in einem mathematischen Zusammenhang stehen, der private Schlüssel aber ab einer gewissen Schlüssellänge nicht mittels des öffentlichen Schlüssel erschlossen werden kann, können mit dem privaten Schlüssel erstellte sogenannte digitale Signaturen mit dem öffentlichen Schlüssel verifiziert werden. Gleichzeitig kann man mit dem öffentlichen Schlüssel einen Text so verschlüsseln, dass er nur mit dem privaten Schlüssel entschlüsselt werden kann. Ein Zertifikat wird von einer Certification Authority (CA) genannten vertrauenswürdigen Instanz (einer sog. Third Trusted Party), erstellt. Hierbei bestätigt die CA die zu einem öffentlichen Schlüssel gehörigen Identität mittels einer digitalen Signatur, nachdem die Identität z.b. über einen Personalausweis verifiziert wurde. 1 AMBIX-D (Aufnahme von Mail-Benutzern in das X.500 Directory), siehe dfn.de/. 2 Vgl. wo auch die Projektergebnisse veröffentlicht wurden. 3 Ausbau und Weiterbetrieb eines Directory Kompetenzzentrums

2 460 Peter Gietz Eine entscheidende Voraussetzung für die effiziente Anwendbarkeit einer auf das RSA- Verfahren beruhende PKI ist die Verfügbarkeit der öffentlichen Schlüssel der teilnehmenden Benutzer. Speziell bei der -Kommunikation sind die Benutzer darauf angewiesen sei es, um dem Kommunikationspartner eine verschlüsselte Nachricht zu schicken, oder um eine signierte zu verifizieren. Obwohl bereits Alternativtechnologien wie XML [Ford] oder HTTP [Gutmann] vorgeschlagen wurden, gilt LDAP im Augenblick als die geeigneteste Technologie zur Veröffentlichung von Zertifikaten und ist als einzige der Alternativen bereits im produktiven Einsatz. Vorteile von LDAP sind hierbei das offene objektorientierte Datenmodell, das integrierte TCP/IP-basierte Netzwerkprotokoll, Verschlüsselbarkeit der Client-Server-Kommunikation, sichere Authentifizierungsmechanismen, die Verteilbarkeit der Daten auf verschiedene Server, sowie stabile Zugriffskontrollund Replikationsmechanismen. Eine kurze allgemeine Einführung in LDAP bietet z.b. [Gietz 2002a]. Nahezu alle -Programme unterstützen mittlerweile LDAP als Zugriffsprotokoll auf zentral verwaltete Adressbücher. Ein Teil der Programme bietet in diesem Zusammenhang auch die Möglichkeit, X.509 Zertifikate abzufragen, wobei der veraltete LDAPv2 Standard [RFC2559] verwendet wird. Eine Schema-Spezifikation für LDAPv3 ist auf dem Wege [Chadwick 2002a], welche aber das Problem multipler Zertifikate einer Person, wie hier zu zeigen sein wird, nur ungenügend löst. Der im Projekt erarbeitete Gegenvorschlag ermöglicht ohne großen Implementierungsaufwand ein zentrales Verzeichnis für Public- Key-Zertifikate, wobei auch multiple Zertifikate eines Teilnehmers ressourcenschonend unterstützt werden. Hierzu wurde ein LDAP Schema [Gietz 2003] definiert, in dem jedes Zertifikat als eigenständiger Eintrag im Verzeichnis gespeichert wird. Neben dem binären Zertifikat selber werden die wichtigsten Information über ein Zertifikat als normale LDAP- Attribute bereitgestellt, um so den Applikationen die Möglichkeit zu geben, bestimmte Zertifikate durch einfache LDAP-Filter auswählen zu können. 3 Zertifikate im Verzeichnis, die bisherigen Lösungen Bei einem Zertifikat handelt es sich um eine geschachtelte Datenstruktur, die Informationen zu Halter und Aussteller des Zertifikats enthält und durch einen verschlüsselten Hash dieser Informationen gesichert wird. Zertifikate werden bisher nur als BLOBs (Binary Large Object) im Verzeichnis abgelegt. In [Chadwick 2002a] wird ein solches LDAP(v3) Schema zur Speicherung von X.509 Zertifikaten spezifiziert. In beliebigen LDAP-Einträgen (sinnvollerweise Personeneinträge mit Informationen zu Name und -Adresse) wird mittels der Hilfsobjektklasse pkiuser das Attribut usercertificate hinzugefügt, mittels dessen man ein oder mehrere Zertifikate in Binärform ablegen kann. So kann ein Client z.b. nach der -Adresse suchen, und dann die in dem gefundenen Eintrag gespeicherten Zertifikate downloaden. Ein Problem besteht nun aber darin, bei mehreren Zertifikaten das richtige zu finden, also z.b. dasjenige, welches im Feld keyusage den Wert digitalsignature hat. Der Client muss die binäre Struktur jedes der gelieferten Zertifikate analysieren, um das vom Benutzer gesuchte Zertifikat zu finden. Dies kann bei vielen Zertifikaten einer Person zu erheblichen Performance-Problemen führen. Zwar bieten die Autoren eine Lösung für dieses

3 Neues Konzept für einen DFN-weiten Zertifikatsserver 461 Problem an [Chadwick 2002b], sie ist aber sehr schwierig zu implementieren und wird, wenn überhaupt, erst in Jahren zur Verfügung stehen. Als Lösung wird dort ein LDAP Control 4 vorgeschlagen, das es dem Server erlaubt, nur bestimmte Werte eines Attributes zurückzuliefern. In Verbindung mit speziellen Vergleichsoperatoren (sogenannte Matching-Rules) für Zertifikate, die in generischer Form in [Legg] spezifiziert sind und in [Chadwick 2002a] Anwendung finden, ist es möglich, ein bestimmtes Zertifikat aus der Reihe der in einem Eintrag gespeicherten Zertifikate auszuwählen. Der Hauptvorteil dieses Ansatzes ist, dass keine Änderungen in der hierarchischen Baumstruktur (DIT, Directory Information Tree) des Verzeichnisses notwendig werden. Jedoch müssen alle beteiligten Anwendungen, also Clients und Server, erheblich modifiziert werden, um einen Nutzen aus diesem Ansatz ziehen zu können. Beide Seiten müssen die ASN.1-Struktur, durch die das Zertifikat-Format definiert ist, verstehen, und der Server muss in seinem internen Index die einzelnen Felder dieser Struktur indizieren. Erste Implementierungserfahrungen in einem TERENA Projekt 5 haben gezeigt, wie schwierig eine solche Implementierung ist. Diese Erfahrungen haben in jenem Projekt dazu geführt, auf die hier vorgeschlagene Lösung zurückzugreifen 6. Das dadurch bedingte völlig neue Design der Software ist in [Sahalayev] dokumentiert. 4 Vorschlag einer einfacheren Lösung Als einfache, leicht implementierbare Alternative 7 hierzu wird in [Gietz 2003] vorgeschlagen, alle Zertifikate aus einem Eintrag zu entfernen und stattdessen als eigenständige Einträge unterhalb des ursprünglichen Eintrags anzulegen. Mit einem spezifizierten LDAP- Schema werden die wichtigsten in [RFC3280] beschriebenen Zertifikatsfelder als LDAP- Attribute definiert, deren Inhalte für jeden Client leicht suchbar vorgehalten werden können. Mit solchen Attributen angereichert man kann hier auch von Metadaten sprechen (Daten über das Zertifikat) werden die Zertifikate gespeichert. Für eine Übergangszeit ist es auch möglich, die Zertifikate noch zusätzlich im ursprünglichen Eintrag zu belassen, so dass die Migration zu dem hier vorgeschlagenen LDAP Schema erleichtert wird. Jedoch muss in diesem Fall besonders auf die Integrität der redundant vorhandenen Informationen geachtet werden. Inkonsistenzen zwischen der binären Darstellung des Zertifikats und den daraus extrahierten eigenständigen Attributen sind jedoch nicht zu befürchten, wenn die Metadaten automatisch aus dem Zertifikat extrahiert werden. Eine Software, welche diese Extraktion durchführt und die entsprechenden LDAP-Einträge erzeugt, wurde im eingangs erwähnten DFN-Projekt erstellt. Die Lösung, jedes Zertifikat in einem eigenen LDAP-Eintrag vorzuhalten, bietet große Flexibilität in Bezug auf die Strukturierung des LDAP-Datenbaums (DIT). Man kann die Zer- 4 LDAP Controll ist eine der Erweiterungsmechanismen für LDAP, womit eine neue LDAP-Operation (Request und Response) im Protokoll definiert werden kann. 5 Adding Certificate Retrieval to OpenLDAP, vgl. OpenLDAP4PKIproposal.rtf 6 Vgl. das Protokoll über ein Project Review Meeting unter Doc/Review pdf 7 Die ursprüngliche Idee zu diesem Vorschlag entstammt [Greenblatt], ein längst verfallener Internet Draft, der allerdings wesentlich weniger Attribute vorschlägt.

4 462 Peter Gietz tifikate sowohl unterhalb eines Personeneintrags vorhalten, wie er in einem Personenverzeichnis (White Pages Dienst) vorkommt, als auch in einem reinen Zertifikatsverzeichnis ablegen. Für beide Alternativen wurden Namensregeln spezifiziert, wobei beim Zertifikatsverzeichnis, in dem nur die von einer CA ausgestellten Zertifikate vorgehalten werden, die Serien-Nummer des Zertifikats als eindeutiger Name (Relativ Distinguished Name, RDN) ausreicht. Bei der Speicherung in einem Personenverzeichnis, welches potentiell Zertifikate verschiedener CAs enthält, wird der RDN mittels CA-Name (IssuerDN) und Seriennummer gebildet. Da die Verzeichnisdienstimplementierung von Microsoft den LDAPv3- Standard nicht vollständig unterstützt und solche aus mehren Attributen zusammengesetzten RDNs (multi valued RDNs) nicht zulässt, wurde zusätzlich eine Namensregel definiert, bei der diese beiden Informationen in einem issuerserial genannten Attribut gespeichert werden können. Schließlich wurden bestimmte Attribute definiert, um von einem in einem reinen Zertifikatsverzeichnis gespeichertem Zertifikat auf einen Personeneintrag in einem getrennten Personenverzeichnis verweisen zu können. Auch der umgekehrte Verweis vom Personenverzeichnis auf das Zertifikatsverzeichnis wurde spezifiziert. Aus dieser Art der Speicherung ergeben sich verschiedene Vorteile. Die Implementierung der oben erwähnten zusätzlichen Matching Rules in Clients und Server ist nicht notwendig. Vielmehr kann jedes Attribut eines Zertifikats-Eintrags in einfachen LDAP-Filtern benutzt werden. Auch Informationen, die nicht im ursprünglichen Zertifikat vorhanden sind, etwa der Wiederrufsstatus, können prinzipiell in einem Suchfilter benutzt werden. Schließlich eignet sich dieser Metadaten-Ansatz dazu, in ein verteiltes und hochskalierbares indexbasiertes Zertifikats-Informationssystem integriert zu werden, wie es etwa mit dem Common Indexing Protocol (CIP) [RFC2651] realisiert werden kann (Vgl. Abb. 1). Es geht hierbei darum, Informationen, die auf beliebig vielen Daten-Servern vorgehalten werden, über ein zentrales Informationssystem zur Verfügung zu stellen. In diesem zentralen Index müssen nur die Metadaten-Attribute in Form von sogenannten Tagged Index Objects (TIO) gesammelt und vorgehalten werden. Ein LDAP-Client kann dann einem an diesen Indexobjekt-Server angeschlossenen LDAP-Server seine Anfrage stellen und wird von diesem mit einem Verweis (einem sogenannten LDAP-referral) bedient, wodurch der Client in die Lage versetzt wird, seine Anfrage nochmals, jetzt an den Server zu stellen, welcher die Antwort vorhält. Neben dem Metadatenmodell für Identitätszertifikate wurde auf der gleichen Grundidee basierende Datenmodelle auch für sogenannte Certificate Revocation Lists (CRLs), in denen Information zum Wiederruf von Zertifikaten vorgehalten werden, definiert [Chadwick 2003a], sowie für Attributzertifikate [Chadwick 2003b], mit denen man einem durch das Identitätszertifikat authentifizierbaren Benutzer zusätzliche Eigenschaften, wie z.b. Authorisierungsinformation zuordnen kann. Aufbauend auf einen LDAP-Zertifikatsserver, der sowohl Identitätszertifikate, als auch CRLs abbildet, können zusätzliche Dienste aufgebaut werden, wie z.b. ein Dienst zur Abfrage der Gültigkeit eines Zertifikats auf Basis des Online Certificate Status Protocol (OCSP) [RFC2560].

5 Neues Konzept für einen DFN-weiten Zertifikatsserver 463 Abbildung 1: Architektur eines CIP basierten Index Systems 5 PKI/LDAP Projekt in Baden Württemberg Im Rahmen eines Baden-Württembergischen Landesprojekts 8 werden die hier vorgestellten Technologien in einer landesweiten PKI realisiert. Projektpartner sind die Universitäten Freiburg, Heidelberg, Hohenheim, Karlsruhe, Konstanz, Mannheim, Stuttgart, Ulm und Tübingen, sowie DAASI International GmbH. Zum Arbeitsprogramm gehören u.a.: Evaluierung bestehender CAs und Verzeichnisdienste an Hochschulen in Baden- Württemberg Aufbau zentraler Serverdienste Unterstützung und Koordinierung der dezentralen Verzeichnisdienste Realisierung von auf PKI beruhenden Mehrwertdiensten (S/MIME, SSL, Web-Authorisierung, User-Interfaces) Folgende zentrale Dienste werden aufgebaut: Zentrales Zertifikatsverzeichnis für an die Projektinfrastruktur angeschlossene CAs, die keinen eigenen Verzeichnisdienst betreiben Index-Server, der Informationen der von an die Projektinfrastruktur angeschlossenen Verzeichnisdiensten Referenzserver auf Open-Source-Basis für teilnehmende CAs Die in Abb. 2 dargestellte Architektur zeigt, dass sich Zertifikatsverzeichnisse, die auf verschiedene Verzeichnisdienstimplementierungen, wie OpenLDAP, Novell edirectory oder Microsoft Active Directory (AD) aufbauen, integrieren lassen. Voraussetzung ist lediglich die Unterstützung des LDAPv3-Protokolls. 8 Projekt: Landesweite PKI auf Basis von indizierten Verzeichnisdiensten mit standardisierten LDAP Zugriffsmechanismen, Beginn: August 2003.

6 464 Peter Gietz Abbildung 2: Architektur des PKI-LDAP-Projekts Der zentrale Indexserver indiziert sowohl die Zertifikate, die in lokalen Zertifikatsverzeichnissen gespeichert sind, als auch die des zentralen Zertifikatsverzeichnisses, welches für diejenigen CAs betrieben wird, welche nicht selber einen solchen Verzeichnisdienst betreiben wollen. Die von solchen CAs (in der Abbildung CA 4) ausgestellten Zertifikate werden über einen gesicherten Weg an den zentralen Dienst übertragen. Alle anderen Zertifikate werden von einem Crawler aus den lokalen Verzeichnissen gesammelt. Die zentralen Dienste stellen Schnittstellen über HTTP, OCSP sowie LDAP zur Verfügung. 6 Ausblick: DFN-weite PKI? Spätestens nach einem erfolgreichen Abschluss des Landesprojekts, wenn sich also der hier vorgestellte Ansatz im Produktiveinsatz bewährt hat, wird sich die Frage stellen, ob nicht auch in einem größeren Rahmen eine auf dieser Technologie beruhende PKI implementiert werden sollte. Die Bedeutung organisationsübergreifender Authentifizierungsund darauf aufbauende Authorisierungsverfahren, die es z.b. einem Studenten der Hochschule A ermöglichen, auf Ressourcen der Hochschule B zuzugreifen, wird im deutschen Forschungsumfeld zunehmend erkannt. Eine DFN-weite PKI könnte als Voraussetzung für solche Verfahren dienen. Für organisationsübergreifende Authorisierung lassen sich Regeln (Policy) aufstellen, die jedem, der ein Zertifikat einer beliebigen Hochschule eines unter einer solchen Policy ste-

7 Neues Konzept für einen DFN-weiten Zertifikatsserver 465 henden Verbundes besitzt, an einer anderen Hochschule dieses Verbunds das Recht gibt, dort Ressourcen zu nutzen. Wesentlich detaillierter könnten Berechtigungen spezifiziert werden, wenn eine PKI als Grundlage einer auf [RFC3281] beruhenden Attributzertifikats-Infrastruktur (Priviledge Management Infrastructure, PMI) mit Spezial-Authorisierungen genutzt würde. Schließlich kann eine PKI als Grundlage für Proxy-Zertifikate [Tuecke] dienen, wie sie zur Authorisierung im Grid-Computing verwendet werden. Jedenfalls könnten sich bundesweit Synergie-Effekte ergeben und ein großer Schritt hin zum gesamtdeutschen Forschungsraum geleistet werden. In Zeiten, in denen bereits von einem europäischen Forschungsraum gesprochen wird, ist es unumgänglich, solche Schritte anzugehen. Durch die langjährigen Aktivitäten der DFN-PCA (heute innerhalb der DFN-Cert GmbH) 9 sind bereits etliche Voraussetzungen für eine bundesweite Forschungs-PKI geschaffen worden. Besonders hervorzuheben sind hier die von allen Hochschul-CAs beachtete Certification Policy, die gemeinsame Zertifizierungsinfrastruktur, die dadurch hergestellt wurde, dass die CA-Schlüssel von der Policy CA (DFN-PCA) zertifiziert wurden, sowie der von der DFN-PCA geleistete CA-Support. Der einzig fehlende Bestandteil ist ein koordinierter Verzeichnisdienst. Hier können die Ergebnisse der DFN-Verzeichnisdienstprojekte, insbesondere das hier vorgestellte Datenschema und die darauf beruhende Testimplementierung, sowie die zukünftigen Erfahrungen aus dem PKI/LDAP-Projekt einfließen. Der mittlerweile aus drei Internet-Drafts [Chadwick 2003a] und b, [Gietz 2003] bestehende Vorschlag wurde intensiv in der IETF Arbeitsgruppe pkix diskutiert. Obwohl man in der IETF sehr bemüht ist, für eine Anwendung jeweils nur einen Vorschlag zu RFC-Status gelangen zu lassen, wurde in diesem Fall beschlossen, sowohl diesen Vorschlag, als auch den komplexeren, auf Compound Matching Rules beruhenden Vorschlag [Chadwick 2002a] und b, [Legg] als RFC zu veröffentlichen (wobei jedoch nur letzterer in der Kategorie Standards Track veröffentlicht wird). Für den hier vorgestellten Vorschlag gibt mittlerweile zwei unabhängige Implementierungen, für den Alternativvorschlag lediglich eine. Die Zukunft wird zeigen, welche der beiden Technologien von den Implementierungsherstellern besser angenommen wird. Es ist nicht auszuschließen, dass sich der hier vorgestellte Vorschlag letztendlich wegen der einfacheren Implementierbarkeit durchsetzt. Literatur [Chadwick 2002a] [Chadwick 2002b] [Chadwick 2003a] [Chadwick 2003b] 9 Vgl. Chadwick, D. and S. Legg: Internet X.509 Public Key Infrastructure LDAP Schema and Syntaxes for PKIs, Internet Draft (work in progress), June 2002, <draft-ietf-pkix-ldap-pki-schema-00.txt>. Chadwick, D., Mullan, S.: Returning Matched, Values with LDAPv3, Internet Draft (work in progress), June 2002, <draft-ietf-ldapext-matchedval-06.txt>. Chadwick, D. W., Sahalayev, M. V.: Internet X.509 Public Key Infrastructure LDAP schema for X.509 CRLs, Internet Draft (work in progress), June 2003, < draft-ietf-pkix-ldap-crl-schema-01.txt>. Chadwick, D. W., Sahalayev, M. V.: Internet X.509 Public Key Infrastructure LDAP Schema for X.509 Attribute Certificates, Internet Draft (work in progress), February 2003, <draft-ietf-pkix-ldap-ac-schema-00.txt>.

8 466 Peter Gietz [DAASI] [Ford] [Gietz 2002a] [Gietz 2003] [Greenblatt] [Gutmann] [Legg] [RFC2559] [RFC2560] [RFC2651] [RFC3039] [RFC3280] [RFC3281] [RFC3377] [Rivest] [Sahalayev] [Tuecke] DAASI International: Abschlussbericht für das Projekt Ausbau und Weiterbetrieb eines Directory Kompetenzzentrums (Auftragsnummer TK 602 SD 117) am Zentrum für Datenverarbeitung der Universität Tübingen durchgeführt von der DAASI International GmbH, April Ford, Warwick: XML Key Management Specification (XKMS), W3C Note 30, March 2001, Gietz, Peter: Verzeichnisdienste für Hochschulen auf Open Source Grundlage. In: v. Knop, Jan, Bode, Friedrich: Tagungsband über die Informations- und Verzeichnisdienste in Hochschulen, Düsseldorf Gietz, Peter, Klasen, Norbert: An LDAPv3 Schema for X.509 Certificates, Internet Draft (work in progress), June 2003, <draft-klasen-ldapx509certificateschema-03.txt>. Greenblatt, B.: LDAP Object Class for Holding Certificate Information. Internet Draft (expired), Februar Gutmann, Peter: Internet X.509 Public Key Infrastructure Operational Protocols: Certificate Store Access via HTTP, Internet Draft (work in progress), March 2003, <draft-ietf-pkix-certstore-http-05.txt>. Legg, S.: LDAP & X.500 Component Matching Rules, Internet Draft (work in progress), October 2002, <draft-legg-ldapext-component-matching-09.txt>. Boeyen, S., Howes, T., Richard, P.: Internet X.509 Public Key Infrastructure Operational Protocols - LDAPv2., RFC 2559, April Myers, M., et al., X.509 Internet Public Key Infrastructure Online Certificate Status Protocol OCSP, RFC 2560, June Allen, J., Mealling, M.: The Architecture of the Common Indexing Protocol (CIP), RFC 2651, August Santesson, S., Polk, W., Barzin, P., Nystrom, M.: Internet X.509 Public Key Infrastructure Qualified Certificate Profile, RFC 3039, January Housley, R., Polk, W., Ford, W., Solo, D.: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, RFC 3280, April Farrel, S., Housley, R., An Internet Attribute Certificate Profile for Authorization, RFC 3281, April Hodges, J., Morgan, R., Lightweight Directory Access Protocol (v3): Technical Specification, RFC 3377, September Rivest, Ronald L., Shamir, Adi, Adleman, Leonard: On Digital Signatures and Public Key Cryptosystems, MIT Laboratory for Computer Science Technical Memorandum 82, April Sahalayev, M., Chadwick, D.: Detailed Design of an LDAP X.509 Parsing Server, Februray 2003, Detailed\_Designv1-5.pdf. Tuecke, Steve, et al.: Internet X.509 Public Key Infrastructure Proxy Certificate Profile, Internet Draft (work in progress), May 2003, < draft-ietf-pkixproxy-06>.

Ein Vorschlag zur Veröffentlichung von X.509-Zertifikaten

Ein Vorschlag zur Veröffentlichung von X.509-Zertifikaten Ein Vorschlag zur Veröffentlichung von X.509-Zertifikaten Oberseminar Theoretische Informatik, TU Darmstadt, 30.11.2004 Peter Gietz, CEO, DAASI International GmbH Peter.gietz@daasi.de Agenda DFN Projekt:

Mehr

Verteilung von Zertifikaten

Verteilung von Zertifikaten Verteilung von Zertifikaten Der Verzeichnisdienst für PKI Peter Gietz DFN Directory Services peter.gietz@directory.dfn.de DFN Directory Services / Zertifikatsverteilung 1 Agenda " Warum Schlüssel verteilen?

Mehr

Programmiertechnik II

Programmiertechnik II X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel

Mehr

Integration von Zertifikaten in Benutzerverwaltungssysteme

Integration von Zertifikaten in Benutzerverwaltungssysteme Integration von Zertifikaten in Benutzerverwaltungssysteme FernUniversität in Hagen Universitätsrechenzentrum Certification Authority (CA) Universitätsstr. 21 58084 Hagen 1 Inhalt Zertifikate Was können

Mehr

PKI (public key infrastructure)

PKI (public key infrastructure) PKI (public key infrastructure) am Fritz-Haber-Institut 11. Mai 2015, Bilder: Mehr Sicherheit durch PKI-Technologie, Network Training and Consulting Verschlüsselung allgemein Bei einer Übertragung von

Mehr

Sichere Identitäten in Smart Grids

Sichere Identitäten in Smart Grids Informationstag "IT-Sicherheit im Smart Grid" Berlin, 23.05.2012 Sichere Identitäten in Smart Grids Dr. Thomas Störtkuhl, Agenda 1 2 Beispiele für Kommunikationen Digitale Zertifikate: Basis für Authentifizierung

Mehr

Was ist LDAP. Aufbau einer LDAP-Injection. Sicherheitsmaßnahmen. Agenda. LDAP-Injection. ITSB2006 WS 09/10 Netzwerkkonfiguration und Security

Was ist LDAP. Aufbau einer LDAP-Injection. Sicherheitsmaßnahmen. Agenda. LDAP-Injection. ITSB2006 WS 09/10 Netzwerkkonfiguration und Security Agenda Was ist LDAP Aufbau einer Sicherheitsmaßnahmen Was ist LDAP Abstract RFC4510 The Lightweight Directory Access Protocol (LDAP) is an Internetprotocol for accessing distributed directory services

Mehr

Allgemeine Erläuterungen zu

Allgemeine Erläuterungen zu en zu persönliche Zertifikate Wurzelzertifikate Zertifikatssperrliste/Widerrufsliste (CRL) Public Key Infrastructure (PKI) Signierung und Verschlüsselung mit S/MIME 1. zum Thema Zertifikate Zertifikate

Mehr

Secure Messaging. Ihnen? Stephan Wappler IT Security. IT-Sicherheitstag. Sicherheitstag,, Ahaus 16.11.2004

Secure Messaging. Ihnen? Stephan Wappler IT Security. IT-Sicherheitstag. Sicherheitstag,, Ahaus 16.11.2004 Secure Messaging Stephan Wappler IT Security Welche Lösung L passt zu Ihnen? IT-Sicherheitstag Sicherheitstag,, Ahaus 16.11.2004 Agenda Einleitung in die Thematik Secure E-Mail To-End To-Site Zusammenfassung

Mehr

Stammtisch 04.12.2008. Zertifikate

Stammtisch 04.12.2008. Zertifikate Stammtisch Zertifikate Ein Zertifikat ist eine Zusicherung / Bestätigung / Beglaubigung eines Sachverhalts durch eine Institution in einem definierten formalen Rahmen 1 Zertifikate? 2 Digitale X.509 Zertifikate

Mehr

Internet Security: Verfahren & Protokolle

Internet Security: Verfahren & Protokolle Internet Security: Verfahren & Protokolle 39 20 13 Vorlesung im Grundstudium NWI (auch MGS) im Sommersemester 2003 2 SWS, Freitag 10-12, H10 Peter Koch pk@techfak.uni-bielefeld.de 30.05.2003 Internet Security:

Mehr

OpenLDAP, adieu? Ein LDAP Server in Java: ApacheDS Reality Check. Stefan Zörner

OpenLDAP, adieu? Ein LDAP Server in Java: ApacheDS Reality Check. Stefan Zörner OpenLDAP, adieu? Ein LDAP Server in Java: ApacheDS Reality Check Stefan Zörner Zusammenfassung. Short Talk: OpenLDAP, adieu? Ein LDAP Server in Java: ApacheDS Reality Check Das Apache Directory Projekt

Mehr

PKI Was soll das? LugBE. Public Key Infrastructures - PKI

PKI Was soll das? LugBE. Public Key Infrastructures - PKI Key Infrastructures - PKI PKI Was soll das? K ennt jemand eine nette G rafik z u PKI s? LugBE 23. März 2006 Markus Wernig Einleitung Symmetrisch vs. asymmetrisch Trusted Third Party Hierarchisches Modell

Mehr

Directory Services mit LDAP

Directory Services mit LDAP Directory Services mit LDAP Dipl.-Chem. Technische Fakultät Universität Bielefeld ro@techfak.uni-bielefeld.de AG Rechnerbetrieb WS 2003/04 Directory Services mit LDAP 1 von 21 Übersicht Directory Services

Mehr

Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009. IT-Security. Teil 2: Zertifikate, X.509, PKI Dr.

Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009. IT-Security. Teil 2: Zertifikate, X.509, PKI Dr. Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009 IT-Security Teil 2: Zertifikate, X.509, PKI Dr. Erwin Hoffmann E-Mail: it-security@fehcom.de Einsatz von Zertifikaten Ein Zertifikat

Mehr

E-Mail-Verschlüsselung mit Geschäftspartnern

E-Mail-Verschlüsselung mit Geschäftspartnern E-Mail-Verschlüsselung mit (Anleitung für Siemens Mitarbeiter) Datum: 13.07.2011 Dokumentenart: Anwenderbeschreibung Version: 3.0 : Redaktionsteam PKI cio.siemens.com Inhaltsverzeichnis 1. Zweck des Dokumentes:...3

Mehr

Technische Grundlagen und Anforderungen

Technische Grundlagen und Anforderungen Technische Grundlagen und Anforderungen Thomas Kessler, In&Out AG 28. März 2001 1 Inhalt Public Key Kryptographie Verschlüsseln und signieren Das PKI Puzzle Anwendungsfälle und deren Anforderungen Advanced

Mehr

Apache Directory Studio. Ihre Eintrittskarte in die Verzeichniswelt. Über mich

Apache Directory Studio. Ihre Eintrittskarte in die Verzeichniswelt. Über mich Apache Directory Studio Ihre Eintrittskarte in die Verzeichniswelt Über mich Stefan Zörner, Dipl.Math. Berater und Trainer bei oose seit Juli 2006, Stefan.Zoerner@oose.de zuvor u.a. 5 Jahre IT Architect

Mehr

KYPTOGRAPHIE und Verschlüsselungsverfahren

KYPTOGRAPHIE und Verschlüsselungsverfahren KYPTOGRAPHIE und Verschlüsselungsverfahren 1 Kryptographie Abgeleitet von zwei griechischen Wörtern: kryptós - verborgen Gráphein - schreiben Was verstehen Sie unter Kryptographie bzw. was verbinden Sie

Mehr

Zertifikate Exchange Server / WLAN. Referent: Marc Grote

Zertifikate Exchange Server / WLAN. Referent: Marc Grote Zertifikate Exchange Server / WLAN Referent: Marc Grote Agenda Verwendungszweck von Zertifikaten Krytografiegrundlagen Symmetrische / Asymmetrische Verschluesselungsverfahren Windows Zertifizierungsstellen

Mehr

Web Service Security

Web Service Security Hochschule für Angewandte Wissenschaften Hamburg Fachbereich Elektrotechnik und Informatik SS 2005 Masterstudiengang Anwendungen I Kai von Luck Web Service Security Thies Rubarth rubart_t@informatik.haw-hamburg.de

Mehr

Public Key Infrastructures

Public Key Infrastructures Public Key Infrastructures Eine Basistechnologie für sichere Kommunikation Autor: Jan Grell Herausgeber: grell-netz.de computer services Jan Grell Auf dem Damm 36 53501 Grafschaft http://www.grell-netz.de

Mehr

Verzeichnisdienst-Projekte im DFN Geschichte, Status und Ausblicke

Verzeichnisdienst-Projekte im DFN Geschichte, Status und Ausblicke Verzeichnisdienst-Projekte im DFN Geschichte, Status und Ausblicke DFN Betriebstagung Berlin, 12.11.2002 Peter Gietz, CEO, DAASI International GmbH Peter.gietz@daasi.de Agenda AMBIX Konzept Datenschutz

Mehr

MS Active Directory Services & MS Group Policy Object. ITTK A09 Laßnig-Walder Karl Surtmann Klaus

MS Active Directory Services & MS Group Policy Object. ITTK A09 Laßnig-Walder Karl Surtmann Klaus MS Active Directory Services & MS Group Policy Object ITTK A09 Laßnig-Walder Karl Surtmann Klaus Inhaltsverzeichnis Was ist MS Active Directory? Aufbau Struktur DC, GC, Replikation, FSMO Hauptkomponenten

Mehr

Merkblatt: HSM. Version 1.01. Systemvoraussetzungen, Setup und Trouble Shooting. pdfsupport@pdf-tools.com

Merkblatt: HSM. Version 1.01. Systemvoraussetzungen, Setup und Trouble Shooting. pdfsupport@pdf-tools.com Merkblatt: HSM Version 1.01 Systemvoraussetzungen, Setup und Trouble Shooting Kontakt: pdfsupport@pdf-tools.com Besitzer: PDF Tools AG Kasernenstrasse 1 8184 Bachenbülach Schweiz www.pdf-tools.com Copyright

Mehr

Trustcenter der Deutschen Rentenversicherung

Trustcenter der Deutschen Rentenversicherung Trustcenter der Deutschen Rentenversicherung Certificate Policy und Certification Practice Statement für nicht-qualifizierte Serverzertifikate der Wurzelzertifizierungsstelle der Deutschen Rentenversicherung

Mehr

Neue Entwicklungen. Vortrag beim Directory Forum der 32. DFN-Betriebstagung am 23.3.2000 in Berlin

Neue Entwicklungen. Vortrag beim Directory Forum der 32. DFN-Betriebstagung am 23.3.2000 in Berlin Neue Entwicklungen bei LDAP Vortrag beim Directory Forum der 32. DFN-Betriebstagung am 23.3.2000 in Berlin Peter Gietz DFN Directory Services peter.gietz@directory.dfn.de DFN Directory Services / LDAP

Mehr

Föderiertes Identity Management

Föderiertes Identity Management Föderiertes Identity Management 10. Tagung der DFN-Nutzergruppe Hochschulverwaltung Berlin, 09.05.-11.05.2011 Peter Gietz, CEO, DAASI International GmbH Peter.gietz@daasi.de 1 von 23 (c) Mai 2011 DAASI

Mehr

E-Mailkommunikation: Erst die Vertrauenswürdigkeit schafft Sicherheit. Stefan Cink Produktmanager

E-Mailkommunikation: Erst die Vertrauenswürdigkeit schafft Sicherheit. Stefan Cink Produktmanager E-Mailkommunikation: Erst die Vertrauenswürdigkeit schafft Sicherheit Stefan Cink Produktmanager Wer wir sind Net at Work entwickelt das innovative Secure E- Mail-Gateway NoSpamProxy für einen umfassenden

Mehr

Einführung in OpenSSL und X.509-Zertifikate. Martin Kaiser http://www.kaiser.cx/

Einführung in OpenSSL und X.509-Zertifikate. Martin Kaiser http://www.kaiser.cx/ Einführung in OpenSSL und X.509-Zertifikate Martin Kaiser http://www.kaiser.cx/ Über mich Elektrotechnik-Studium Uni Karlsruhe System-Ingenieur UNIX und IP-Netze (2001-2003) Embedded Software-Entwicklung

Mehr

Einführung in die symmetrische und asymmetrische Verschlüsselung

Einführung in die symmetrische und asymmetrische Verschlüsselung Einführung in die symmetrische und asymmetrische Verschlüsselung Enigmail Andreas Grupp grupp@elektronikschule.de Download der Präsentation unter http://grupp-web.de by A. Grupp, 2007-2010. Dieses Werk

Mehr

Server Installation 1/6 20.10.04

Server Installation 1/6 20.10.04 Server Installation Netzwerkeinrichtung Nach der Installation müssen die Netzwerkeinstellungen vorgenommen werden. Hierzu wird eine feste IP- Adresse sowie der Servername eingetragen. Beispiel: IP-Adresse:

Mehr

Public-Key-Infrastrukturen

Public-Key-Infrastrukturen TECHNISCHE UNIVERSITÄT DARMSTADT FACHGEBIET THEORETISCHE INFORMATIK PROF. DR. J. BUCHMANN DR. A. WIESMAIER 9. Übung zur Vorlesung Public-Key-Infrastrukturen Sommersemester 2011 Aufgabe 1: Indirekte CRL

Mehr

Infrastruktur: Vertrauen herstellen, Zertifikate finden

Infrastruktur: Vertrauen herstellen, Zertifikate finden TeleTrusT Bundesverband IT-Sicherheit e.v. Infrastruktur: Vertrauen herstellen, Zertifikate finden Allgemeines zur TeleTrusT EBCA Seit 2001 Zusammenschluss einzelner, gleichberechtigter n zu -Verbund einfacher,

Mehr

OFTP2 - Checkliste für die Implementierung

OFTP2 - Checkliste für die Implementierung connect. move. share. Whitepaper OFTP2 - Checkliste für die Implementierung Die reibungslose Integration des neuen Odette-Standards OFTP2 in den Datenaustausch- Workflow setzt einige Anpassungen der Systemumgebung

Mehr

Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen. Public-Key-Kryptographie (2 Termine)

Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen. Public-Key-Kryptographie (2 Termine) Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen Vorlesung im Sommersemester 2010 an der Technischen Universität Ilmenau von Privatdozent Dr.-Ing. habil. Jürgen

Mehr

PKI-Outsourcing: Vertrauen ist gut, Kryptografie ist besser

PKI-Outsourcing: Vertrauen ist gut, Kryptografie ist besser PKI-Outsourcing: Vertrauen ist gut, Kryptografie ist besser Theoretische Informatik Prof. Johannes Buchmann Technische Universität Darmstadt Graduiertenkolleg Enabling Technologies for Electronic Commerce

Mehr

Securing SOAP e-services

Securing SOAP e-services Securing SOAP e-services Nilson Reyes Sommersemester 2004 aus: E. Damiani, S. De Capitani di Vermercati, S. Paraboschi, P. Samarati, Securing SOAP e-sservices, IJIS, Ausgabe 1 (2002), S.110-115. Gliederung

Mehr

LDAP. Lightweight Directory. Desanka Bogicevic 1121621 Michael Wenig 1220567 Rupert Eisl 1220225

LDAP. Lightweight Directory. Desanka Bogicevic 1121621 Michael Wenig 1220567 Rupert Eisl 1220225 LDAP Lightweight Directory Access Protokoll Desanka Bogicevic 1121621 Michael Wenig 1220567 Rupert Eisl 1220225 LDAP Was ist LDAP? Was sind Verzeichnisdienste? Was ist ein Verzeichnis? Geschichte http://directory.apache.org/apacheds/basic-ug/1.2-some-background.html

Mehr

E-Mail-Verschlüsselung mit Geschäftspartnern

E-Mail-Verschlüsselung mit Geschäftspartnern E-Mail-Verschlüsselung mit (Anleitung für Geschäftspartner) Datum: 15.07.2013 Dokumentenart: Anwenderbeschreibung Version: 3.2 : Redaktionsteam PKI cio.siemens.com Inhaltsverzeichnis 1. Zweck des Dokumentes:...

Mehr

Kundenleitfaden Secure E-Mail

Kundenleitfaden Secure E-Mail Vorwort Wir leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie das Versenden von E-Mails. Neben den großen Vorteilen, die uns elektronische

Mehr

Denn es geht um ihr Geld:

Denn es geht um ihr Geld: Denn es geht um ihr Geld: [A]symmetrische Verschlüsselung, Hashing, Zertifikate, SSL/TLS Warum Verschlüsselung? Austausch sensibler Daten über das Netz: Adressen, Passwörter, Bankdaten, PINs,... Gefahr

Mehr

UH-CA: Zertifikate für digitale Signaturen und Verschlüsselung an der Universität Hannover

UH-CA: Zertifikate für digitale Signaturen und Verschlüsselung an der Universität Hannover UH-CA: Zertifikate für digitale Signaturen und Verschlüsselung an der Universität Hannover Sicherheitstage WS 04/05 Birgit Gersbeck-Schierholz, RRZN Einleitung und Überblick Warum werden digitale Signaturen

Mehr

Secure Socket Layer v. 3.0

Secure Socket Layer v. 3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer v. 3.0 (SSLv3) Zheng Yao 05.07.2004-1 - 1. Was ist SSL? SSL steht für Secure Socket Layer, ein Protokoll zur Übertragung

Mehr

E-Mails versenden aber sicher! Secure E-Mail. Kundenleitfaden. Sparkasse Landshut

E-Mails versenden aber sicher! Secure E-Mail. Kundenleitfaden. Sparkasse Landshut E-Mails versenden aber sicher! Secure E-Mail Kundenleitfaden S Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie

Mehr

Active Directory unter Linux

Active Directory unter Linux CeBIT 2015 Active Directory unter Linux Prof- Dr.-Ing. Kai-Oliver Detken DECOIT GmbH Fahrenheitstraße 9 D-28359 Bremen http://www.decoit.de detken@decoit.de DECOIT GmbH Kurzvorstellung der DECOIT GmbH

Mehr

Content-Verwertungsmodelle und ihre Umsetzung in mobilen Systemen

Content-Verwertungsmodelle und ihre Umsetzung in mobilen Systemen Content-Verwertungsmodelle und ihre Umsetzung in mobilen Systemen Digital Rights Management 4FriendsOnly.com Internet Technologies AG Vorlesung im Sommersemester an der Technischen Universität Ilmenau

Mehr

E-Mail-Verschlüsselung mit Geschäftspartnern

E-Mail-Verschlüsselung mit Geschäftspartnern E-Mail-Verschlüsselung mit (Anleitung für Geschäftspartner) Datum: 13.07.2011 Dokumentenart: Anwenderbeschreibung Version: 3.0 : Redaktionsteam PKI cio.siemens.com Inhaltsverzeichnis 1. Zweck des Dokumentes:...3

Mehr

Digital Signature and Public Key Infrastructure

Digital Signature and Public Key Infrastructure E-Governement-Seminar am Institut für Informatik an der Universität Freiburg (CH) Unter der Leitung von Prof. Dr. Andreas Meier Digital Signature and Public Key Infrastructure Von Düdingen, im Januar 2004

Mehr

Projektidee Metadirectory Kompetenzentrum

Projektidee Metadirectory Kompetenzentrum Projektidee Metadirectory Kompetenzentrum ZKI AK Zentrale Verzeichnisdienste HU-Berlin 9.12.2003 Peter Gietz, CEO, DAASI International GmbH Peter.gietz@daasi.de Agenda Verzeichnisdienste und Identity Management

Mehr

E-Mail-Verschlüsselung Vorrausetzungen

E-Mail-Verschlüsselung Vorrausetzungen E-Mail-Verschlüsselung Vorrausetzungen Datum: 09.08.2011 Dokumentenart: Anwenderbeschreibung Version: 2.0 : Redaktionsteam PKI cio.siemens.com Inhaltsverzeichnis 1. Zweck des Dokumentes:...3 2. Voraussetzungen...4

Mehr

Rechneranmeldung mit Smartcard oder USB-Token

Rechneranmeldung mit Smartcard oder USB-Token Rechneranmeldung mit Smartcard oder USB-Token Verfahren zur Authentifizierung am Rechnersystem und angebotenen Diensten, SS2005 1 Inhalt: 1. Systemanmeldung 2. Grundlagen 3. Technik (letzte Woche) 4. Standards

Mehr

Doris Jung. 27. Mai 2001

Doris Jung. 27. Mai 2001 Einführung in LDAP Doris Jung 27. Mai 2001 1 LDAP Protokoll LDAP ist ein Netz Protokoll, ein erweiterbares Directory Access Protokoll, also eine Sprache in der Klient und Server miteinander kommunizieren

Mehr

LDAPS (LDAP Secure) Internet Architektur, Protokolle, Management 3 (SS2004) Jens Festag (Jens.Festag@FH-Worms.de)

LDAPS (LDAP Secure) Internet Architektur, Protokolle, Management 3 (SS2004) Jens Festag (Jens.Festag@FH-Worms.de) LDAPS (LDAP Secure) Internet Architektur, Protokolle, Management 3 (SS2004) Jens Festag (Jens.Festag@FH-Worms.de) 25.05.2004 Inhaltsverzeichnis 1 Grundlagen Kryptologie 2 1.1 Allgemeines...............................

Mehr

PKI-Lösungen in Windows-Netzwerken

PKI-Lösungen in Windows-Netzwerken Döres AG Stolberger Straße 78 50933 Köln Telefon: 0221-95 44 85-0 Telefax: 0221-95 44 85-80 Internet: www.doeres.com PKI-Lösungen in Windows-Netzwerken Agenda: I. zur Thema Windows PKI: Vorstellung einer

Mehr

IT-Sicherheit Kapitel 3 Public Key Kryptographie

IT-Sicherheit Kapitel 3 Public Key Kryptographie IT-Sicherheit Kapitel 3 Public Key Kryptographie Dr. Christian Rathgeb Sommersemester 2013 1 Einführung In der symmetrischen Kryptographie verwenden Sender und Empfänger den selben Schlüssel die Teilnehmer

Mehr

SSL Algorithmen und Anwendung

SSL Algorithmen und Anwendung SSL Algorithmen und Anwendung Stefan Pfab sisspfab@stud.uni-erlangen.de Abstract Viele Anwendungen erfordern nicht nur eine eindeutige und zuverlässige Identifizierung der an einer Kommunikation beteiligten

Mehr

VERZEICHNISDIENSTE IN E-GOVERNMENTSYSTEMEN

VERZEICHNISDIENSTE IN E-GOVERNMENTSYSTEMEN Marcel Huth, 31.07.2008 VERZEICHNISDIENSTE IN E-GOVERNMENTSYSTEMEN Schwerpunkt DVDV und SAFE Huth, Strack Inhalt 1. Allgemeines zu Verzeichnisdiensten 2. Das Projekt DVDV 1. Allgemeines 2. Komponenten

Mehr

E-Mails versenden aber sicher! Secure E-Mail

E-Mails versenden aber sicher! Secure E-Mail E-Mails versenden aber sicher! Secure E-Mail Leitfaden S Kreisparkasse Verden 1 Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische

Mehr

Verschlüsselung der Kommunikation zwischen Rechnern

Verschlüsselung der Kommunikation zwischen Rechnern Verschlüsselung der Kommunikation zwischen Rechnern Stand: 11. Mai 2007 Rechenzentrum Hochschule Harz Sandra Thielert Hochschule Harz Friedrichstr. 57 59 38855 Wernigerode 03943 / 659 0 Inhalt 1 Einleitung

Mehr

Implementierung einer LDAP basierenden Patientenverwaltung

Implementierung einer LDAP basierenden Patientenverwaltung FH Heilbronn / Uni Heidelberg Studiengang Medizinische Informatik Praktikum Datenbank- und Informationssysteme im Gesundheitswesen Implementierung einer LDAP basierenden Patientenverwaltung Handout zur

Mehr

Projekt CampusConnect Baden-Württemberg

Projekt CampusConnect Baden-Württemberg Projekt CampusConnect Baden-Württemberg Dr. Claudia Pauli Universität Ulm Berlin 11.05.2011 Kopplung von Campus Management und Learning Management Systemen Seite 2 Agenda Kopplung von ILIAS-Systemen untereinander

Mehr

LDAP verstehen, OpenLDAP einsetzen

LDAP verstehen, OpenLDAP einsetzen Dieter Klünter Jochen Laser LDAP verstehen, OpenLDAP einsetzen Grundlagen, Praxiseinsatz und Single-sign-on-Mechanismen Technische Universität Darmstadt FACHBEREICH INFORMATIK Invanter-Nr, J Standort:

Mehr

IT-Sicherheitsmanagement Teil 8: Einführung in die Kryptographie

IT-Sicherheitsmanagement Teil 8: Einführung in die Kryptographie IT-Sicherheitsmanagement Teil 8: Einführung in die Kryptographie 28.04.15 1 Literatur I mit ein paar Kommentaren [8-1] Burnett, Steve; Paine, Spephen: Kryptographie. RSA Security s Official Guide. RSA

Mehr

Benutzerhandbuch für die Zertifizierung mit dem Internet Explorer

Benutzerhandbuch für die Zertifizierung mit dem Internet Explorer Benutzerhandbuch für die Zertifizierung mit dem Internet Explorer Mit diesem Handbuch soll den Benutzern der Zertifizierungsinstanz der Leibniz Universität Hannover, der UH-CA, ein Leitfaden zur Zertifikatbeantragung

Mehr

SSL/TLS und SSL-Zertifikate

SSL/TLS und SSL-Zertifikate SSL/TLS und SSL-Zertifikate Konzepte von Betriebssystem-Komponenten Informatik Lehrstuhl 4 16.06.10 KvBK Wolfgang Hüttenhofer sethur_blackcoat@web.de Motivation Sichere, verschlüsselte End-to-End Verbindung

Mehr

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. "For your eyes only" Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. For your eyes only Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo. Karlsruher IT-Sicherheitsinitiative - 26. April 2001 "For your eyes only" Sichere E-Mail in Unternehmen Dr. Dörte Neundorf neundorf@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131

Mehr

Warum das Thema PKI im Forum VoIP? - Evaluierung von Public Key Infrastrukturen zum Einsatz in Unternehmensnetzen

Warum das Thema PKI im Forum VoIP? - Evaluierung von Public Key Infrastrukturen zum Einsatz in Unternehmensnetzen Warum das Thema PKI im Forum VoIP? - Evaluierung von Public Key Infrastrukturen zum Einsatz in Unternehmensnetzen B. Sc. Jochen Kunkel Hochschule für Technik und Wirtschaft des Saarlandes 20. Oktober 2008

Mehr

Inhaltsverzeichnis Vorwort Konzepte des Active Directory

Inhaltsverzeichnis Vorwort Konzepte des Active Directory Vorwort.................................................................. XI Warum dieses Buch.................................................... XI Kapitelübersicht.......................................................

Mehr

Vorwort. Sichere E-Mail bietet. Kundenleitfaden Sichere E-Mail

Vorwort. Sichere E-Mail bietet. Kundenleitfaden Sichere E-Mail Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie das Versenden von E-Mails. Neben den großen Vorteilen, die uns

Mehr

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure)

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Unterrichtseinheit 5: Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Verschlüsselung mit öffentlichen Schlüsseln ist eine bedeutende Technologie für E- Commerce, Intranets,

Mehr

Verzeichnisdienste für Hochschulen auf Open Source Grundlage

Verzeichnisdienste für Hochschulen auf Open Source Grundlage Verzeichnisdienste für Hochschulen auf Open Source Grundlage Peter Gietz, DAASI International GmbH Peter.gietz@daasi.de Ausarbeitung eines Vortrags gehalten beim Workshop Informations- und Verzeichnisdienste

Mehr

Zertifizierungsrichtlinien

Zertifizierungsrichtlinien Zertifizierungsrichtlinien Certification Practice Statement (CPS) Migros Corporate PKI NG-PKI 2014 Interne CA Hierarchie keyon AG Schlüsselstrasse 6 8645 Jona Tel +41 55 220 64 00 www.keyon.ch Switzerland

Mehr

Installationsanleitung für die h_da Zertifikate

Installationsanleitung für die h_da Zertifikate Zentrale Serverdienste Installationsanleitung für die h_da Zertifikate Dokumentennummer: IT-ZSD-008 Version 1.3 Stand 23.05.2013 Historie Version Datum Änderung Autor 1.0 22.10.2008 Dokument angelegt tbo

Mehr

Netzsicherheit Architekturen und Protokolle Grundlagen PKI/PMI

Netzsicherheit Architekturen und Protokolle Grundlagen PKI/PMI Grundlagen PKI/PMI 1 Motivation 2 Digitale Zertifikate 3 Infrastrukturen 4 PKI (Bausteine) 5 Vertrauensmodelle Wiederholung Kryptographie Symmetrische Kryptographie 1 Schlüssel für Ver- und Entschlüsselung

Mehr

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Ein Großteil der heutigen Kommunikation geschieht per email. Kaum ein anderes Medium ist schneller und effizienter. Allerdings

Mehr

SIC CA Zertifizierungsrichtlinien Certificate Practice Statement (CPS) der SIC Customer ID CA 1024 Level 2

SIC CA Zertifizierungsrichtlinien Certificate Practice Statement (CPS) der SIC Customer ID CA 1024 Level 2 SIC CA Zertifizierungsrichtlinien Certificate Practice Statement (CPS) der SIC Customer ID CA 1024 Level 2 Version 2.2 / Dezember 2012 1 Hinweise Die in diesem Dokument enthaltenen Angaben sind ohne Gewähr

Mehr

1 Was ist SSL? 3 1.1 SSL im OSI-Modell... 3 1.2 Der SSL-Verbindungsaufbau... 3

1 Was ist SSL? 3 1.1 SSL im OSI-Modell... 3 1.2 Der SSL-Verbindungsaufbau... 3 SSL und Zertifikate INHALTSVERZEICHNIS INHALTSVERZEICHNIS Inhaltsverzeichnis 1 Was ist SSL? 3 1.1 SSL im OSI-Modell.................................... 3 1.2 Der SSL-Verbindungsaufbau...............................

Mehr

Anwendungsintegration an Hochschulen am Beispiel von Identity Management. Norbert Weinberger - Sun Summit Bonn 26.4.2006

Anwendungsintegration an Hochschulen am Beispiel von Identity Management. Norbert Weinberger - Sun Summit Bonn 26.4.2006 Anwendungsintegration an Hochschulen am Beispiel von Identity Management Norbert Weinberger - Sun Summit Bonn 26.4.2006 Ausgangslage: Anwendungsinseln Zugang zu IT- Ressourcen, z.b. Radius Rechenzentrum

Mehr

CAcert Was ist das? Michael Kohlert Erlanger Linuxtag 2015

CAcert Was ist das? Michael Kohlert Erlanger Linuxtag 2015 CAcert Was ist das? Michael Kohlert Erlanger Linuxtag 2015 Was ist CAcert? Sichere Kommunikation Was ist CAcert? B ob A lic e PROLIANT 8000 DL PROLIANT 8000 D PROLIANT 8000 Was ist CAcert? Unverschlüsselte

Mehr

Digitale Signatur. Digitale Signatur. Anwendungen der Kryptographie. Secret Sharing / Splitting. Ziele SSL / TLS

Digitale Signatur. Digitale Signatur. Anwendungen der Kryptographie. Secret Sharing / Splitting. Ziele SSL / TLS Digitale Signatur Digitale Signatur kombiniert Hash Funktion und Signatur M, SIGK(HASH(M)) wichtige Frage: Wie wird der Bithaufen M interpretiert Struktur von M muss klar definiert sein Wie weiss ich,

Mehr

Signieren und Verschlüsseln mit Outlook 2013

Signieren und Verschlüsseln mit Outlook 2013 Anleitung: Von Tobias Neumayer (support@thi.de) MAIL-VERSCHLÜSSELUNG / SIGNIERUNG Einführung Die meisten Mailprogramme unterstützen den Umgang mit S/MIME-Zertifikaten zur Verschlüsselung bzw. Signierung

Mehr

BEKO-Forum Juni 2007 Server-Zertifikate an der Uni Bern

BEKO-Forum Juni 2007 Server-Zertifikate an der Uni Bern BEKO-Forum Juni 2007 Server-Zertifikate an der Uni Bern Informatikdienste Gruppe Security Universität Bern Agenda Demo: Ein bisschen Kryptologie für Sie und Ihn Aufgaben und Nutzen von Server-Zertifikaten

Mehr

Aus diesem Grund unterscheidet sich dieser Artikel etwas von der erfolgreichen Reihe der Step-by-Step Anleitungen auf www.msisafaq.de.

Aus diesem Grund unterscheidet sich dieser Artikel etwas von der erfolgreichen Reihe der Step-by-Step Anleitungen auf www.msisafaq.de. Seite 1 von 19 ISA Server 2004 ISA Server 2004 Zertifikatmanagement - Von Marc Grote -------------------------------------------------------------------------------- Die Informationen in diesem Artikel

Mehr

Automatische Zertifikatssuche in Outlook-Express einrichten

Automatische Zertifikatssuche in Outlook-Express einrichten Automatische Zertifikatssuche in Outlook-Express einrichten Verwenden des LDAP-Verzeichnisdienstes der DFN-PKI UHH-CA, Version2.0, 10.02.2011 Für den täglichen Gebrauch ist die manuelle Suche nach Zertifikaten

Mehr

keyon / Validation Server

keyon / Validation Server keyon / Validation Server V2.0-03/2014 Keyon AG Schlüsselstrasse 6 8645 Jona Tel +41 55 220 64 00 www.keyon.ch Switzerland Fax +41 55 220 64 01 info@keyon.ch Inhaltsverzeichnis 1 Einführung... 3 2 Validation

Mehr

Sicherheit im E-Business

Sicherheit im E-Business Sicherheit im E-Business Roger Halbheer Global Risk Management Solutions Einige Zahlen Im Durchschnitt wird auf jede neu installierte Web-Seite nach 28 Sekunden das erste Mal zugegriffen - nach 5 Stunden

Mehr

LDAP für PKI. von. Marc Saal

LDAP für PKI. von. Marc Saal LDAP für PKI von Inhalt - Einführung - Die Infrastruktur - Benötigte Objektklassen - Aufbau der Einträge in den Objektklassen - Quiz - Literatur Einführung PKI: System, welches es ermöglicht, digitale

Mehr

Technische Beschreibung: EPOD Server

Technische Beschreibung: EPOD Server EPOD Encrypted Private Online Disc Technische Beschreibung: EPOD Server Fördergeber Förderprogramm Fördernehmer Projektleitung Projekt Metadaten Internet Foundation Austria netidee JKU Linz Institut für

Mehr

Active Directory REGIONALES RECHENZENTRUM ERLANGEN [RRZE]

Active Directory REGIONALES RECHENZENTRUM ERLANGEN [RRZE] REGIONALES RECHENZENTRUM ERLANGEN [RRZE] Active Directory Systemausbildung Grundlagen und Aspekte von Betriebssystemen und systemnahen Diensten Sebastian Schmitt, 27.05.2015 Agenda Einführung Hauptkomponenten

Mehr

Enterprise Web-SSO mit CAS und OpenSSO

Enterprise Web-SSO mit CAS und OpenSSO Enterprise Web-SSO mit CAS und OpenSSO Agenda Gründe für SSO Web-SSO selbst gemacht Enterprise Web-SSO mit CAS Enterprise Web-SSO mit SUN OpenSSO Federation-Management Zusammenfassung Gründe für SSO Logins

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

Christian J. Dietrich. 9. Kryptotag

Christian J. Dietrich. 9. Kryptotag Extended Access Control (epa epa) Christian J. Dietrich 2008-11-10 9. Kryptotag Inhalt 1. Einleitung 2. Der elektronische Personalausweis 3. Die Authentisierungsfunktion im Detail 4. Kurzvorstellung der

Mehr

Ingo Schubert Technical Consultant Central Europe +49 89 540 523-01 ischubert@baltimore.com

Ingo Schubert Technical Consultant Central Europe +49 89 540 523-01 ischubert@baltimore.com 1 Ingo Schubert Technical Consultant Central Europe +49 89 540 523-01 ischubert@baltimore.com 2 Baltimore auf einen Blick Weltmarktführer für e security Produkte, Service, und Lösungen Weltweite Niederlassungen

Mehr

Secure Socket Layer V.3.0

Secure Socket Layer V.3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer V.3.0 (SSLv3) Zheng Yao 05.07.2004 1 Überblick 1.Was ist SSL? Bestandteile von SSL-Protokoll, Verbindungherstellung

Mehr

Mobile Agenten am Beispiel JADE (Java Agent DEvelopment Framework) Vorstellung in der Übung zu Konzepte Verteilter Systeme

Mobile Agenten am Beispiel JADE (Java Agent DEvelopment Framework) Vorstellung in der Übung zu Konzepte Verteilter Systeme Mobile Agenten am Beispiel JADE (Java Agent DEvelopment Framework) Vorstellung in der Übung zu Konzepte Verteilter Systeme Agenda Mobile Agenten allgemein JADE - Java Agent DEvelopment Framework Anwendungsfall

Mehr

Sichere Kommunikation unter Einsatz der E-Signatur

Sichere Kommunikation unter Einsatz der E-Signatur Sichere Kommunikation unter Einsatz der E-Signatur Emails signieren und verschlüsseln Michael Rautert Agenda: Gefahren bei der Email-Kommunikation Signaturen und Verschlüsselung Anforderungen und Arten

Mehr

Sicherheitsaspekte von Web Services. Hauptseminar Rechnernetze

Sicherheitsaspekte von Web Services. Hauptseminar Rechnernetze Sicherheitsaspekte von Web Services Hauptseminar Rechnernetze Stefan Hennig sh790883@inf.tu-dresden.de 21. Januar 2005 Gliederung Einführung Überblick Sicherheit auf Netzwerk- und Transportebene XML-Sicherheit

Mehr

E-Mails versenden aber sicher!

E-Mails versenden aber sicher! E-Mails versenden aber sicher! Sichere E-Mail mit Secure E-Mail - Kundenleitfaden - S Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische

Mehr

Active Directory Integration Mac OS X. René Meusel Betriebssystemadministration

Active Directory Integration Mac OS X. René Meusel Betriebssystemadministration Active Directory Integration Mac OS X René Meusel Betriebssystemadministration Sommersemester 2009 Gliederung 2 Motivation Was ist Active Directory? Allgemeine Definition Funktionsweise Unterstützung in

Mehr