Neues Konzept für einen DFN-weiten Zertifikatsserver

Größe: px
Ab Seite anzeigen:

Download "Neues Konzept für einen DFN-weiten Zertifikatsserver"

Transkript

1 Neues Konzept für einen DFN-weiten Zertifikatsserver Peter Gietz DAASI International GmbH 1 Einleitung Seit 1994 wurden vom BMBF finanzierte DFN-Forschungsprojekte zu Verzeichnisdiensten an der Universität Tübingen durchgeführt. In den ersten dieser Projekte stand der Aufbau und Betrieb eines verzeichnisses für die deutsche Forschung 1 im Vordergrund. Zum Aufrechterhalt dieser Dienste kamen in den Folgeprojekten weitere Aufgaben hinzu, wie z.b. der Aufbau des Verzeichnisdienst-Kompetenzzentrums DFN Directory Services 2. Neben dem ITU/ISO-Standard X.500 bekamen Implementierungen des Lightweight Directory Access Protocol (LDAP), welches mittlerweile in der Version 3 vorliegt [RFC3377], eine immer größere Bedeutung. Ein wichtiges Thema, welches in den letzten beiden Projektphasen angegangen wurde, war es, vorhandene LDAP-Speichermodelle für die Veröffentlichung von Zertifikaten, wie sie für die auf asymmetrische Verschlüsselungsverfahren basierende sogenannten Public Key Infrastructure (PKI) auftreten, zu evaluieren, sowie bei Bedarf ein neues optimiertes Modell zu erstellen. Die DAASI International GmbH wurde als Spin-Off der Universität Tübingen gegründet um als Nochfolgeinstitution der DFN-Projekte zu fungieren. Das letzte zweijährige Projekt 3 wurde von der DAASI International durchgeführt und in [DAASI] dokumentiert. In diesem Aufsatz werden die PKI-bezogenen Ergebnisse dieses letzten Projekts vorgestellt. 2 LDAP und PKI Das zuerst 1977 in [Rivest] vorgestellte asymmetrische Verschlüsselungsverfahren (nach den Authoren RSA genannt) baut auf einem Schlüsselpaar auf, bestehend aus einem öffentlichen und einem privaten Schlüssel. Dadurch, dass die beiden Schlüssel in einem mathematischen Zusammenhang stehen, der private Schlüssel aber ab einer gewissen Schlüssellänge nicht mittels des öffentlichen Schlüssel erschlossen werden kann, können mit dem privaten Schlüssel erstellte sogenannte digitale Signaturen mit dem öffentlichen Schlüssel verifiziert werden. Gleichzeitig kann man mit dem öffentlichen Schlüssel einen Text so verschlüsseln, dass er nur mit dem privaten Schlüssel entschlüsselt werden kann. Ein Zertifikat wird von einer Certification Authority (CA) genannten vertrauenswürdigen Instanz (einer sog. Third Trusted Party), erstellt. Hierbei bestätigt die CA die zu einem öffentlichen Schlüssel gehörigen Identität mittels einer digitalen Signatur, nachdem die Identität z.b. über einen Personalausweis verifiziert wurde. 1 AMBIX-D (Aufnahme von Mail-Benutzern in das X.500 Directory), siehe dfn.de/. 2 Vgl. wo auch die Projektergebnisse veröffentlicht wurden. 3 Ausbau und Weiterbetrieb eines Directory Kompetenzzentrums

2 460 Peter Gietz Eine entscheidende Voraussetzung für die effiziente Anwendbarkeit einer auf das RSA- Verfahren beruhende PKI ist die Verfügbarkeit der öffentlichen Schlüssel der teilnehmenden Benutzer. Speziell bei der -Kommunikation sind die Benutzer darauf angewiesen sei es, um dem Kommunikationspartner eine verschlüsselte Nachricht zu schicken, oder um eine signierte zu verifizieren. Obwohl bereits Alternativtechnologien wie XML [Ford] oder HTTP [Gutmann] vorgeschlagen wurden, gilt LDAP im Augenblick als die geeigneteste Technologie zur Veröffentlichung von Zertifikaten und ist als einzige der Alternativen bereits im produktiven Einsatz. Vorteile von LDAP sind hierbei das offene objektorientierte Datenmodell, das integrierte TCP/IP-basierte Netzwerkprotokoll, Verschlüsselbarkeit der Client-Server-Kommunikation, sichere Authentifizierungsmechanismen, die Verteilbarkeit der Daten auf verschiedene Server, sowie stabile Zugriffskontrollund Replikationsmechanismen. Eine kurze allgemeine Einführung in LDAP bietet z.b. [Gietz 2002a]. Nahezu alle -Programme unterstützen mittlerweile LDAP als Zugriffsprotokoll auf zentral verwaltete Adressbücher. Ein Teil der Programme bietet in diesem Zusammenhang auch die Möglichkeit, X.509 Zertifikate abzufragen, wobei der veraltete LDAPv2 Standard [RFC2559] verwendet wird. Eine Schema-Spezifikation für LDAPv3 ist auf dem Wege [Chadwick 2002a], welche aber das Problem multipler Zertifikate einer Person, wie hier zu zeigen sein wird, nur ungenügend löst. Der im Projekt erarbeitete Gegenvorschlag ermöglicht ohne großen Implementierungsaufwand ein zentrales Verzeichnis für Public- Key-Zertifikate, wobei auch multiple Zertifikate eines Teilnehmers ressourcenschonend unterstützt werden. Hierzu wurde ein LDAP Schema [Gietz 2003] definiert, in dem jedes Zertifikat als eigenständiger Eintrag im Verzeichnis gespeichert wird. Neben dem binären Zertifikat selber werden die wichtigsten Information über ein Zertifikat als normale LDAP- Attribute bereitgestellt, um so den Applikationen die Möglichkeit zu geben, bestimmte Zertifikate durch einfache LDAP-Filter auswählen zu können. 3 Zertifikate im Verzeichnis, die bisherigen Lösungen Bei einem Zertifikat handelt es sich um eine geschachtelte Datenstruktur, die Informationen zu Halter und Aussteller des Zertifikats enthält und durch einen verschlüsselten Hash dieser Informationen gesichert wird. Zertifikate werden bisher nur als BLOBs (Binary Large Object) im Verzeichnis abgelegt. In [Chadwick 2002a] wird ein solches LDAP(v3) Schema zur Speicherung von X.509 Zertifikaten spezifiziert. In beliebigen LDAP-Einträgen (sinnvollerweise Personeneinträge mit Informationen zu Name und -Adresse) wird mittels der Hilfsobjektklasse pkiuser das Attribut usercertificate hinzugefügt, mittels dessen man ein oder mehrere Zertifikate in Binärform ablegen kann. So kann ein Client z.b. nach der -Adresse suchen, und dann die in dem gefundenen Eintrag gespeicherten Zertifikate downloaden. Ein Problem besteht nun aber darin, bei mehreren Zertifikaten das richtige zu finden, also z.b. dasjenige, welches im Feld keyusage den Wert digitalsignature hat. Der Client muss die binäre Struktur jedes der gelieferten Zertifikate analysieren, um das vom Benutzer gesuchte Zertifikat zu finden. Dies kann bei vielen Zertifikaten einer Person zu erheblichen Performance-Problemen führen. Zwar bieten die Autoren eine Lösung für dieses

3 Neues Konzept für einen DFN-weiten Zertifikatsserver 461 Problem an [Chadwick 2002b], sie ist aber sehr schwierig zu implementieren und wird, wenn überhaupt, erst in Jahren zur Verfügung stehen. Als Lösung wird dort ein LDAP Control 4 vorgeschlagen, das es dem Server erlaubt, nur bestimmte Werte eines Attributes zurückzuliefern. In Verbindung mit speziellen Vergleichsoperatoren (sogenannte Matching-Rules) für Zertifikate, die in generischer Form in [Legg] spezifiziert sind und in [Chadwick 2002a] Anwendung finden, ist es möglich, ein bestimmtes Zertifikat aus der Reihe der in einem Eintrag gespeicherten Zertifikate auszuwählen. Der Hauptvorteil dieses Ansatzes ist, dass keine Änderungen in der hierarchischen Baumstruktur (DIT, Directory Information Tree) des Verzeichnisses notwendig werden. Jedoch müssen alle beteiligten Anwendungen, also Clients und Server, erheblich modifiziert werden, um einen Nutzen aus diesem Ansatz ziehen zu können. Beide Seiten müssen die ASN.1-Struktur, durch die das Zertifikat-Format definiert ist, verstehen, und der Server muss in seinem internen Index die einzelnen Felder dieser Struktur indizieren. Erste Implementierungserfahrungen in einem TERENA Projekt 5 haben gezeigt, wie schwierig eine solche Implementierung ist. Diese Erfahrungen haben in jenem Projekt dazu geführt, auf die hier vorgeschlagene Lösung zurückzugreifen 6. Das dadurch bedingte völlig neue Design der Software ist in [Sahalayev] dokumentiert. 4 Vorschlag einer einfacheren Lösung Als einfache, leicht implementierbare Alternative 7 hierzu wird in [Gietz 2003] vorgeschlagen, alle Zertifikate aus einem Eintrag zu entfernen und stattdessen als eigenständige Einträge unterhalb des ursprünglichen Eintrags anzulegen. Mit einem spezifizierten LDAP- Schema werden die wichtigsten in [RFC3280] beschriebenen Zertifikatsfelder als LDAP- Attribute definiert, deren Inhalte für jeden Client leicht suchbar vorgehalten werden können. Mit solchen Attributen angereichert man kann hier auch von Metadaten sprechen (Daten über das Zertifikat) werden die Zertifikate gespeichert. Für eine Übergangszeit ist es auch möglich, die Zertifikate noch zusätzlich im ursprünglichen Eintrag zu belassen, so dass die Migration zu dem hier vorgeschlagenen LDAP Schema erleichtert wird. Jedoch muss in diesem Fall besonders auf die Integrität der redundant vorhandenen Informationen geachtet werden. Inkonsistenzen zwischen der binären Darstellung des Zertifikats und den daraus extrahierten eigenständigen Attributen sind jedoch nicht zu befürchten, wenn die Metadaten automatisch aus dem Zertifikat extrahiert werden. Eine Software, welche diese Extraktion durchführt und die entsprechenden LDAP-Einträge erzeugt, wurde im eingangs erwähnten DFN-Projekt erstellt. Die Lösung, jedes Zertifikat in einem eigenen LDAP-Eintrag vorzuhalten, bietet große Flexibilität in Bezug auf die Strukturierung des LDAP-Datenbaums (DIT). Man kann die Zer- 4 LDAP Controll ist eine der Erweiterungsmechanismen für LDAP, womit eine neue LDAP-Operation (Request und Response) im Protokoll definiert werden kann. 5 Adding Certificate Retrieval to OpenLDAP, vgl. OpenLDAP4PKIproposal.rtf 6 Vgl. das Protokoll über ein Project Review Meeting unter Doc/Review pdf 7 Die ursprüngliche Idee zu diesem Vorschlag entstammt [Greenblatt], ein längst verfallener Internet Draft, der allerdings wesentlich weniger Attribute vorschlägt.

4 462 Peter Gietz tifikate sowohl unterhalb eines Personeneintrags vorhalten, wie er in einem Personenverzeichnis (White Pages Dienst) vorkommt, als auch in einem reinen Zertifikatsverzeichnis ablegen. Für beide Alternativen wurden Namensregeln spezifiziert, wobei beim Zertifikatsverzeichnis, in dem nur die von einer CA ausgestellten Zertifikate vorgehalten werden, die Serien-Nummer des Zertifikats als eindeutiger Name (Relativ Distinguished Name, RDN) ausreicht. Bei der Speicherung in einem Personenverzeichnis, welches potentiell Zertifikate verschiedener CAs enthält, wird der RDN mittels CA-Name (IssuerDN) und Seriennummer gebildet. Da die Verzeichnisdienstimplementierung von Microsoft den LDAPv3- Standard nicht vollständig unterstützt und solche aus mehren Attributen zusammengesetzten RDNs (multi valued RDNs) nicht zulässt, wurde zusätzlich eine Namensregel definiert, bei der diese beiden Informationen in einem issuerserial genannten Attribut gespeichert werden können. Schließlich wurden bestimmte Attribute definiert, um von einem in einem reinen Zertifikatsverzeichnis gespeichertem Zertifikat auf einen Personeneintrag in einem getrennten Personenverzeichnis verweisen zu können. Auch der umgekehrte Verweis vom Personenverzeichnis auf das Zertifikatsverzeichnis wurde spezifiziert. Aus dieser Art der Speicherung ergeben sich verschiedene Vorteile. Die Implementierung der oben erwähnten zusätzlichen Matching Rules in Clients und Server ist nicht notwendig. Vielmehr kann jedes Attribut eines Zertifikats-Eintrags in einfachen LDAP-Filtern benutzt werden. Auch Informationen, die nicht im ursprünglichen Zertifikat vorhanden sind, etwa der Wiederrufsstatus, können prinzipiell in einem Suchfilter benutzt werden. Schließlich eignet sich dieser Metadaten-Ansatz dazu, in ein verteiltes und hochskalierbares indexbasiertes Zertifikats-Informationssystem integriert zu werden, wie es etwa mit dem Common Indexing Protocol (CIP) [RFC2651] realisiert werden kann (Vgl. Abb. 1). Es geht hierbei darum, Informationen, die auf beliebig vielen Daten-Servern vorgehalten werden, über ein zentrales Informationssystem zur Verfügung zu stellen. In diesem zentralen Index müssen nur die Metadaten-Attribute in Form von sogenannten Tagged Index Objects (TIO) gesammelt und vorgehalten werden. Ein LDAP-Client kann dann einem an diesen Indexobjekt-Server angeschlossenen LDAP-Server seine Anfrage stellen und wird von diesem mit einem Verweis (einem sogenannten LDAP-referral) bedient, wodurch der Client in die Lage versetzt wird, seine Anfrage nochmals, jetzt an den Server zu stellen, welcher die Antwort vorhält. Neben dem Metadatenmodell für Identitätszertifikate wurde auf der gleichen Grundidee basierende Datenmodelle auch für sogenannte Certificate Revocation Lists (CRLs), in denen Information zum Wiederruf von Zertifikaten vorgehalten werden, definiert [Chadwick 2003a], sowie für Attributzertifikate [Chadwick 2003b], mit denen man einem durch das Identitätszertifikat authentifizierbaren Benutzer zusätzliche Eigenschaften, wie z.b. Authorisierungsinformation zuordnen kann. Aufbauend auf einen LDAP-Zertifikatsserver, der sowohl Identitätszertifikate, als auch CRLs abbildet, können zusätzliche Dienste aufgebaut werden, wie z.b. ein Dienst zur Abfrage der Gültigkeit eines Zertifikats auf Basis des Online Certificate Status Protocol (OCSP) [RFC2560].

5 Neues Konzept für einen DFN-weiten Zertifikatsserver 463 Abbildung 1: Architektur eines CIP basierten Index Systems 5 PKI/LDAP Projekt in Baden Württemberg Im Rahmen eines Baden-Württembergischen Landesprojekts 8 werden die hier vorgestellten Technologien in einer landesweiten PKI realisiert. Projektpartner sind die Universitäten Freiburg, Heidelberg, Hohenheim, Karlsruhe, Konstanz, Mannheim, Stuttgart, Ulm und Tübingen, sowie DAASI International GmbH. Zum Arbeitsprogramm gehören u.a.: Evaluierung bestehender CAs und Verzeichnisdienste an Hochschulen in Baden- Württemberg Aufbau zentraler Serverdienste Unterstützung und Koordinierung der dezentralen Verzeichnisdienste Realisierung von auf PKI beruhenden Mehrwertdiensten (S/MIME, SSL, Web-Authorisierung, User-Interfaces) Folgende zentrale Dienste werden aufgebaut: Zentrales Zertifikatsverzeichnis für an die Projektinfrastruktur angeschlossene CAs, die keinen eigenen Verzeichnisdienst betreiben Index-Server, der Informationen der von an die Projektinfrastruktur angeschlossenen Verzeichnisdiensten Referenzserver auf Open-Source-Basis für teilnehmende CAs Die in Abb. 2 dargestellte Architektur zeigt, dass sich Zertifikatsverzeichnisse, die auf verschiedene Verzeichnisdienstimplementierungen, wie OpenLDAP, Novell edirectory oder Microsoft Active Directory (AD) aufbauen, integrieren lassen. Voraussetzung ist lediglich die Unterstützung des LDAPv3-Protokolls. 8 Projekt: Landesweite PKI auf Basis von indizierten Verzeichnisdiensten mit standardisierten LDAP Zugriffsmechanismen, Beginn: August 2003.

6 464 Peter Gietz Abbildung 2: Architektur des PKI-LDAP-Projekts Der zentrale Indexserver indiziert sowohl die Zertifikate, die in lokalen Zertifikatsverzeichnissen gespeichert sind, als auch die des zentralen Zertifikatsverzeichnisses, welches für diejenigen CAs betrieben wird, welche nicht selber einen solchen Verzeichnisdienst betreiben wollen. Die von solchen CAs (in der Abbildung CA 4) ausgestellten Zertifikate werden über einen gesicherten Weg an den zentralen Dienst übertragen. Alle anderen Zertifikate werden von einem Crawler aus den lokalen Verzeichnissen gesammelt. Die zentralen Dienste stellen Schnittstellen über HTTP, OCSP sowie LDAP zur Verfügung. 6 Ausblick: DFN-weite PKI? Spätestens nach einem erfolgreichen Abschluss des Landesprojekts, wenn sich also der hier vorgestellte Ansatz im Produktiveinsatz bewährt hat, wird sich die Frage stellen, ob nicht auch in einem größeren Rahmen eine auf dieser Technologie beruhende PKI implementiert werden sollte. Die Bedeutung organisationsübergreifender Authentifizierungsund darauf aufbauende Authorisierungsverfahren, die es z.b. einem Studenten der Hochschule A ermöglichen, auf Ressourcen der Hochschule B zuzugreifen, wird im deutschen Forschungsumfeld zunehmend erkannt. Eine DFN-weite PKI könnte als Voraussetzung für solche Verfahren dienen. Für organisationsübergreifende Authorisierung lassen sich Regeln (Policy) aufstellen, die jedem, der ein Zertifikat einer beliebigen Hochschule eines unter einer solchen Policy ste-

7 Neues Konzept für einen DFN-weiten Zertifikatsserver 465 henden Verbundes besitzt, an einer anderen Hochschule dieses Verbunds das Recht gibt, dort Ressourcen zu nutzen. Wesentlich detaillierter könnten Berechtigungen spezifiziert werden, wenn eine PKI als Grundlage einer auf [RFC3281] beruhenden Attributzertifikats-Infrastruktur (Priviledge Management Infrastructure, PMI) mit Spezial-Authorisierungen genutzt würde. Schließlich kann eine PKI als Grundlage für Proxy-Zertifikate [Tuecke] dienen, wie sie zur Authorisierung im Grid-Computing verwendet werden. Jedenfalls könnten sich bundesweit Synergie-Effekte ergeben und ein großer Schritt hin zum gesamtdeutschen Forschungsraum geleistet werden. In Zeiten, in denen bereits von einem europäischen Forschungsraum gesprochen wird, ist es unumgänglich, solche Schritte anzugehen. Durch die langjährigen Aktivitäten der DFN-PCA (heute innerhalb der DFN-Cert GmbH) 9 sind bereits etliche Voraussetzungen für eine bundesweite Forschungs-PKI geschaffen worden. Besonders hervorzuheben sind hier die von allen Hochschul-CAs beachtete Certification Policy, die gemeinsame Zertifizierungsinfrastruktur, die dadurch hergestellt wurde, dass die CA-Schlüssel von der Policy CA (DFN-PCA) zertifiziert wurden, sowie der von der DFN-PCA geleistete CA-Support. Der einzig fehlende Bestandteil ist ein koordinierter Verzeichnisdienst. Hier können die Ergebnisse der DFN-Verzeichnisdienstprojekte, insbesondere das hier vorgestellte Datenschema und die darauf beruhende Testimplementierung, sowie die zukünftigen Erfahrungen aus dem PKI/LDAP-Projekt einfließen. Der mittlerweile aus drei Internet-Drafts [Chadwick 2003a] und b, [Gietz 2003] bestehende Vorschlag wurde intensiv in der IETF Arbeitsgruppe pkix diskutiert. Obwohl man in der IETF sehr bemüht ist, für eine Anwendung jeweils nur einen Vorschlag zu RFC-Status gelangen zu lassen, wurde in diesem Fall beschlossen, sowohl diesen Vorschlag, als auch den komplexeren, auf Compound Matching Rules beruhenden Vorschlag [Chadwick 2002a] und b, [Legg] als RFC zu veröffentlichen (wobei jedoch nur letzterer in der Kategorie Standards Track veröffentlicht wird). Für den hier vorgestellten Vorschlag gibt mittlerweile zwei unabhängige Implementierungen, für den Alternativvorschlag lediglich eine. Die Zukunft wird zeigen, welche der beiden Technologien von den Implementierungsherstellern besser angenommen wird. Es ist nicht auszuschließen, dass sich der hier vorgestellte Vorschlag letztendlich wegen der einfacheren Implementierbarkeit durchsetzt. Literatur [Chadwick 2002a] [Chadwick 2002b] [Chadwick 2003a] [Chadwick 2003b] 9 Vgl. Chadwick, D. and S. Legg: Internet X.509 Public Key Infrastructure LDAP Schema and Syntaxes for PKIs, Internet Draft (work in progress), June 2002, <draft-ietf-pkix-ldap-pki-schema-00.txt>. Chadwick, D., Mullan, S.: Returning Matched, Values with LDAPv3, Internet Draft (work in progress), June 2002, <draft-ietf-ldapext-matchedval-06.txt>. Chadwick, D. W., Sahalayev, M. V.: Internet X.509 Public Key Infrastructure LDAP schema for X.509 CRLs, Internet Draft (work in progress), June 2003, < draft-ietf-pkix-ldap-crl-schema-01.txt>. Chadwick, D. W., Sahalayev, M. V.: Internet X.509 Public Key Infrastructure LDAP Schema for X.509 Attribute Certificates, Internet Draft (work in progress), February 2003, <draft-ietf-pkix-ldap-ac-schema-00.txt>.

8 466 Peter Gietz [DAASI] [Ford] [Gietz 2002a] [Gietz 2003] [Greenblatt] [Gutmann] [Legg] [RFC2559] [RFC2560] [RFC2651] [RFC3039] [RFC3280] [RFC3281] [RFC3377] [Rivest] [Sahalayev] [Tuecke] DAASI International: Abschlussbericht für das Projekt Ausbau und Weiterbetrieb eines Directory Kompetenzzentrums (Auftragsnummer TK 602 SD 117) am Zentrum für Datenverarbeitung der Universität Tübingen durchgeführt von der DAASI International GmbH, April Ford, Warwick: XML Key Management Specification (XKMS), W3C Note 30, March 2001, Gietz, Peter: Verzeichnisdienste für Hochschulen auf Open Source Grundlage. In: v. Knop, Jan, Bode, Friedrich: Tagungsband über die Informations- und Verzeichnisdienste in Hochschulen, Düsseldorf Gietz, Peter, Klasen, Norbert: An LDAPv3 Schema for X.509 Certificates, Internet Draft (work in progress), June 2003, <draft-klasen-ldapx509certificateschema-03.txt>. Greenblatt, B.: LDAP Object Class for Holding Certificate Information. Internet Draft (expired), Februar Gutmann, Peter: Internet X.509 Public Key Infrastructure Operational Protocols: Certificate Store Access via HTTP, Internet Draft (work in progress), March 2003, <draft-ietf-pkix-certstore-http-05.txt>. Legg, S.: LDAP & X.500 Component Matching Rules, Internet Draft (work in progress), October 2002, <draft-legg-ldapext-component-matching-09.txt>. Boeyen, S., Howes, T., Richard, P.: Internet X.509 Public Key Infrastructure Operational Protocols - LDAPv2., RFC 2559, April Myers, M., et al., X.509 Internet Public Key Infrastructure Online Certificate Status Protocol OCSP, RFC 2560, June Allen, J., Mealling, M.: The Architecture of the Common Indexing Protocol (CIP), RFC 2651, August Santesson, S., Polk, W., Barzin, P., Nystrom, M.: Internet X.509 Public Key Infrastructure Qualified Certificate Profile, RFC 3039, January Housley, R., Polk, W., Ford, W., Solo, D.: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, RFC 3280, April Farrel, S., Housley, R., An Internet Attribute Certificate Profile for Authorization, RFC 3281, April Hodges, J., Morgan, R., Lightweight Directory Access Protocol (v3): Technical Specification, RFC 3377, September Rivest, Ronald L., Shamir, Adi, Adleman, Leonard: On Digital Signatures and Public Key Cryptosystems, MIT Laboratory for Computer Science Technical Memorandum 82, April Sahalayev, M., Chadwick, D.: Detailed Design of an LDAP X.509 Parsing Server, Februray 2003, Detailed\_Designv1-5.pdf. Tuecke, Steve, et al.: Internet X.509 Public Key Infrastructure Proxy Certificate Profile, Internet Draft (work in progress), May 2003, < draft-ietf-pkixproxy-06>.

Projekt PKI-LDAP Das Teilprojekt Zentrale Server

Projekt PKI-LDAP Das Teilprojekt Zentrale Server Projekt PKI-LDAP Das Teilprojekt Zentrale Server Treffen des ZKI Arbeitskreis Verzeichnisdienste, Ilmenau, 15.-16.12.2004 Peter Gietz, CEO, DAASI International GmbH Peter.gietz@daasi.de Agenda PKI/LDAP

Mehr

Ein Vorschlag zur Veröffentlichung von X.509-Zertifikaten

Ein Vorschlag zur Veröffentlichung von X.509-Zertifikaten Ein Vorschlag zur Veröffentlichung von X.509-Zertifikaten Oberseminar Theoretische Informatik, TU Darmstadt, 30.11.2004 Peter Gietz, CEO, DAASI International GmbH Peter.gietz@daasi.de Agenda DFN Projekt:

Mehr

Chancen durch Verzeichnisdienste im Intraund. Junited Gründermesse, 4.4.2002, Reutlingen Peter Gietz Peter.Gietz@daasi.de

Chancen durch Verzeichnisdienste im Intraund. Junited Gründermesse, 4.4.2002, Reutlingen Peter Gietz Peter.Gietz@daasi.de Chancen durch Verzeichnisdienste im Intraund Internet Junited Gründermesse, 4.4.2002, Reutlingen Peter Gietz Peter.Gietz@daasi.de 1 Inhalt DAASI International Was ist ein Verzeichnisdienst? Wozu können

Mehr

Verteilung von Zertifikaten

Verteilung von Zertifikaten Verteilung von Zertifikaten Der Verzeichnisdienst für PKI Peter Gietz DFN Directory Services peter.gietz@directory.dfn.de DFN Directory Services / Zertifikatsverteilung 1 Agenda " Warum Schlüssel verteilen?

Mehr

Programmiertechnik II

Programmiertechnik II X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel

Mehr

Public Key Infrastructure (PKI) Funktion und Organisation einer PKI

Public Key Infrastructure (PKI) Funktion und Organisation einer PKI Public Key Infrastructure (PKI) Funktion und Organisation einer PKI Übersicht Einleitung Begriffe Vertrauensmodelle Zertifikatswiderruf Verzeichnisse Inhalt eines Zertifikats 29.10.2003 Prof. Dr. P. Trommler

Mehr

Integration von Zertifikaten in Benutzerverwaltungssysteme

Integration von Zertifikaten in Benutzerverwaltungssysteme Integration von Zertifikaten in Benutzerverwaltungssysteme FernUniversität in Hagen Universitätsrechenzentrum Certification Authority (CA) Universitätsstr. 21 58084 Hagen 1 Inhalt Zertifikate Was können

Mehr

Public Key Infrastruktur. Georg Gruber & Georg Refenner 26.Jänner 2009 ITTK 09

Public Key Infrastruktur. Georg Gruber & Georg Refenner 26.Jänner 2009 ITTK 09 Public Key Infrastruktur Georg Gruber & Georg Refenner 26.Jänner 2009 ITTK 09 Grundlagen Symmetrische Verschlüsselung Asymmetrische Verschlüsselung Hybridverschlüsselung Hashverfahren/Digitale Signaturen

Mehr

IT-Sicherheit Kapitel 5 Public Key Infrastructure

IT-Sicherheit Kapitel 5 Public Key Infrastructure IT-Sicherheit Kapitel 5 Public Key Infrastructure Dr. Christian Rathgeb Sommersemester 2014 1 Einführung Problembetrachtung: Alice bezieht den Public Key von Bob aus einem öffentlichen Verzeichnis, verschlüsselt

Mehr

Public Key Infrastrukturen (PKI)

Public Key Infrastrukturen (PKI) IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Public Key Infrastrukturen (PKI) safuat.hamdy@secorvo.de Seite1 Inhalt Komponenten einer PKI Zertifikate PKI-Anwendungen Zusammenfassung Seite2

Mehr

Was ist LDAP. Aufbau einer LDAP-Injection. Sicherheitsmaßnahmen. Agenda. LDAP-Injection. ITSB2006 WS 09/10 Netzwerkkonfiguration und Security

Was ist LDAP. Aufbau einer LDAP-Injection. Sicherheitsmaßnahmen. Agenda. LDAP-Injection. ITSB2006 WS 09/10 Netzwerkkonfiguration und Security Agenda Was ist LDAP Aufbau einer Sicherheitsmaßnahmen Was ist LDAP Abstract RFC4510 The Lightweight Directory Access Protocol (LDAP) is an Internetprotocol for accessing distributed directory services

Mehr

Sichere Identitäten in Smart Grids

Sichere Identitäten in Smart Grids Informationstag "IT-Sicherheit im Smart Grid" Berlin, 23.05.2012 Sichere Identitäten in Smart Grids Dr. Thomas Störtkuhl, Agenda 1 2 Beispiele für Kommunikationen Digitale Zertifikate: Basis für Authentifizierung

Mehr

PKI (public key infrastructure)

PKI (public key infrastructure) PKI (public key infrastructure) am Fritz-Haber-Institut 11. Mai 2015, Bilder: Mehr Sicherheit durch PKI-Technologie, Network Training and Consulting Verschlüsselung allgemein Bei einer Übertragung von

Mehr

Stammtisch 04.12.2008. Zertifikate

Stammtisch 04.12.2008. Zertifikate Stammtisch Zertifikate Ein Zertifikat ist eine Zusicherung / Bestätigung / Beglaubigung eines Sachverhalts durch eine Institution in einem definierten formalen Rahmen 1 Zertifikate? 2 Digitale X.509 Zertifikate

Mehr

Authentication and Credential Management

Authentication and Credential Management Authentication and Credential Management Christopher Kunz & Ralf Gröper Seminar Grid-Computing WS 05/06 Agenda Einführung Asymmetrische Verschlüsselung Digitale Signaturen Zertifikate, CAs Authentifizierung

Mehr

Allgemeine Erläuterungen zu

Allgemeine Erläuterungen zu en zu persönliche Zertifikate Wurzelzertifikate Zertifikatssperrliste/Widerrufsliste (CRL) Public Key Infrastructure (PKI) Signierung und Verschlüsselung mit S/MIME 1. zum Thema Zertifikate Zertifikate

Mehr

Digitale Identitäten in der Industrieautomation

Digitale Identitäten in der Industrieautomation Digitale Identitäten in der Industrieautomation Basis für die IT Security Dr. Thomas Störtkuhl TÜV SÜD AG, Embedded Systems 1 Agenda Kommunikationen: Vision, Beispiele Digitale Zertifikate: Basis für Authentifizierung

Mehr

Secure Messaging. Ihnen? Stephan Wappler IT Security. IT-Sicherheitstag. Sicherheitstag,, Ahaus 16.11.2004

Secure Messaging. Ihnen? Stephan Wappler IT Security. IT-Sicherheitstag. Sicherheitstag,, Ahaus 16.11.2004 Secure Messaging Stephan Wappler IT Security Welche Lösung L passt zu Ihnen? IT-Sicherheitstag Sicherheitstag,, Ahaus 16.11.2004 Agenda Einleitung in die Thematik Secure E-Mail To-End To-Site Zusammenfassung

Mehr

OpenLDAP, adieu? Ein LDAP Server in Java: ApacheDS Reality Check. Stefan Zörner

OpenLDAP, adieu? Ein LDAP Server in Java: ApacheDS Reality Check. Stefan Zörner OpenLDAP, adieu? Ein LDAP Server in Java: ApacheDS Reality Check Stefan Zörner Zusammenfassung. Short Talk: OpenLDAP, adieu? Ein LDAP Server in Java: ApacheDS Reality Check Das Apache Directory Projekt

Mehr

PKI Was soll das? LugBE. Public Key Infrastructures - PKI

PKI Was soll das? LugBE. Public Key Infrastructures - PKI Key Infrastructures - PKI PKI Was soll das? K ennt jemand eine nette G rafik z u PKI s? LugBE 23. März 2006 Markus Wernig Einleitung Symmetrisch vs. asymmetrisch Trusted Third Party Hierarchisches Modell

Mehr

Directory Services mit LDAP

Directory Services mit LDAP Directory Services mit LDAP Dipl.-Chem. Technische Fakultät Universität Bielefeld ro@techfak.uni-bielefeld.de AG Rechnerbetrieb WS 2003/04 Directory Services mit LDAP 1 von 21 Übersicht Directory Services

Mehr

Zertifizierungsrichtlinie der BTU Root CA

Zertifizierungsrichtlinie der BTU Root CA Brandenburgische Technische Universität Universitätsrechenzentrum BTU Root CA Konrad-Wachsmann-Allee 1 03046 Cottbus Tel.: 0355 69 3573 0355 69 2874 der BTU Root CA Vorbemerkung Dies ist die Version 1.3

Mehr

Betriebssysteme und Sicherheit Sicherheit. Signaturen, Zertifikate, Sichere E-Mail

Betriebssysteme und Sicherheit Sicherheit. Signaturen, Zertifikate, Sichere E-Mail Betriebssysteme und Sicherheit Sicherheit Signaturen, Zertifikate, Sichere E-Mail Frage Public-Key Verschlüsselung stellt Vertraulichkeit sicher Kann man auch Integrität und Authentizität mit Public-Key

Mehr

Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009. IT-Security. Teil 2: Zertifikate, X.509, PKI Dr.

Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009. IT-Security. Teil 2: Zertifikate, X.509, PKI Dr. Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009 IT-Security Teil 2: Zertifikate, X.509, PKI Dr. Erwin Hoffmann E-Mail: it-security@fehcom.de Einsatz von Zertifikaten Ein Zertifikat

Mehr

Web Service Security

Web Service Security Hochschule für Angewandte Wissenschaften Hamburg Fachbereich Elektrotechnik und Informatik SS 2005 Masterstudiengang Anwendungen I Kai von Luck Web Service Security Thies Rubarth rubart_t@informatik.haw-hamburg.de

Mehr

Internet Security: Verfahren & Protokolle

Internet Security: Verfahren & Protokolle Internet Security: Verfahren & Protokolle 39 20 13 Vorlesung im Grundstudium NWI (auch MGS) im Sommersemester 2003 2 SWS, Freitag 10-12, H10 Peter Koch pk@techfak.uni-bielefeld.de 30.05.2003 Internet Security:

Mehr

Zertifikate Exchange Server / WLAN. Referent: Marc Grote

Zertifikate Exchange Server / WLAN. Referent: Marc Grote Zertifikate Exchange Server / WLAN Referent: Marc Grote Agenda Verwendungszweck von Zertifikaten Krytografiegrundlagen Symmetrische / Asymmetrische Verschluesselungsverfahren Windows Zertifizierungsstellen

Mehr

Rechneranmeldung mit Smartcard oder USB-Token

Rechneranmeldung mit Smartcard oder USB-Token Rechneranmeldung mit Smartcard oder USB-Token Verfahren zur Authentifizierung am Rechnersystem und angebotenen Diensten, SS2005 1 Inhalt: 1. Systemanmeldung 2. Grundlagen 3. Technik (letzte Woche) 4. Standards

Mehr

KYPTOGRAPHIE und Verschlüsselungsverfahren

KYPTOGRAPHIE und Verschlüsselungsverfahren KYPTOGRAPHIE und Verschlüsselungsverfahren 1 Kryptographie Abgeleitet von zwei griechischen Wörtern: kryptós - verborgen Gráphein - schreiben Was verstehen Sie unter Kryptographie bzw. was verbinden Sie

Mehr

E-Mail-Verschlüsselung mit Geschäftspartnern

E-Mail-Verschlüsselung mit Geschäftspartnern E-Mail-Verschlüsselung mit (Anleitung für Siemens Mitarbeiter) Datum: 13.07.2011 Dokumentenart: Anwenderbeschreibung Version: 3.0 : Redaktionsteam PKI cio.siemens.com Inhaltsverzeichnis 1. Zweck des Dokumentes:...3

Mehr

Technische Grundlagen und Anforderungen

Technische Grundlagen und Anforderungen Technische Grundlagen und Anforderungen Thomas Kessler, In&Out AG 28. März 2001 1 Inhalt Public Key Kryptographie Verschlüsseln und signieren Das PKI Puzzle Anwendungsfälle und deren Anforderungen Advanced

Mehr

Grid-Systeme. Betrachtung verschiedener Softwareplattformen zur Realisierung von Grids und Vorstellung des Globus Toolkit. 07.06.2002 Grid Systeme 1

Grid-Systeme. Betrachtung verschiedener Softwareplattformen zur Realisierung von Grids und Vorstellung des Globus Toolkit. 07.06.2002 Grid Systeme 1 Grid-Systeme Betrachtung verschiedener Softwareplattformen zur Realisierung von Grids und Vorstellung des Globus Toolkit 07.06.2002 Grid Systeme 1 Gliederung Vorstellung verschiedener Plattformen Globus

Mehr

Active Directory unter Linux

Active Directory unter Linux CeBIT 2015 Active Directory unter Linux Prof- Dr.-Ing. Kai-Oliver Detken DECOIT GmbH Fahrenheitstraße 9 D-28359 Bremen http://www.decoit.de detken@decoit.de DECOIT GmbH Kurzvorstellung der DECOIT GmbH

Mehr

Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen. Public-Key-Kryptographie (2 Termine)

Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen. Public-Key-Kryptographie (2 Termine) Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen Vorlesung im Sommersemester 2010 an der Technischen Universität Ilmenau von Privatdozent Dr.-Ing. habil. Jürgen

Mehr

Vorlesung SS 2001: Sicherheit in offenen Netzen

Vorlesung SS 2001: Sicherheit in offenen Netzen Vorlesung SS 2001: Sicherheit in offenen Netzen 2.15 Verzeichnisdienst - LDAP Prof. Dr. Christoph Meinel Informatik, Universität Trier & Institut für Telematik, Trier Prof. Dr. sc. nat. Christoph Meinel,

Mehr

Apache Directory Studio. Ihre Eintrittskarte in die Verzeichniswelt. Über mich

Apache Directory Studio. Ihre Eintrittskarte in die Verzeichniswelt. Über mich Apache Directory Studio Ihre Eintrittskarte in die Verzeichniswelt Über mich Stefan Zörner, Dipl.Math. Berater und Trainer bei oose seit Juli 2006, Stefan.Zoerner@oose.de zuvor u.a. 5 Jahre IT Architect

Mehr

Public-Key-Infrastrukturen

Public-Key-Infrastrukturen TECHNISCHE UNIVERSITÄT DARMSTADT FACHGEBIET THEORETISCHE INFORMATIK PROF. DR. J. BUCHMANN DR. A. WIESMAIER 9. Übung zur Vorlesung Public-Key-Infrastrukturen Sommersemester 2011 Aufgabe 1: Indirekte CRL

Mehr

smis_secure mail in der srg / pflichtenheft /

smis_secure mail in der srg / pflichtenheft / smis_secure mail in der srg / pflichtenheft / Dok.-Nr: Version: 1.1 PH.002 Status: Klassifizierung: Autor: Verteiler: Draft Erik Mulder, Thanh Diep Erik Mulder, Thanh Diep Pflichtenheft, Seite 2 / 2 Änderungskontrolle

Mehr

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel Bernd Blümel 2001 Verschlüsselung Gliederung 1. Symetrische Verschlüsselung 2. Asymetrische Verschlüsselung 3. Hybride Verfahren 4. SSL 5. pgp Verschlüsselung 111101111100001110000111000011 1100110 111101111100001110000111000011

Mehr

Secure Socket Layer v. 3.0

Secure Socket Layer v. 3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer v. 3.0 (SSLv3) Zheng Yao 05.07.2004-1 - 1. Was ist SSL? SSL steht für Secure Socket Layer, ein Protokoll zur Übertragung

Mehr

SSL Algorithmen und Anwendung

SSL Algorithmen und Anwendung SSL Algorithmen und Anwendung Stefan Pfab sisspfab@stud.uni-erlangen.de Abstract Viele Anwendungen erfordern nicht nur eine eindeutige und zuverlässige Identifizierung der an einer Kommunikation beteiligten

Mehr

Verzeichnisdienst-Projekte im DFN Geschichte, Status und Ausblicke

Verzeichnisdienst-Projekte im DFN Geschichte, Status und Ausblicke Verzeichnisdienst-Projekte im DFN Geschichte, Status und Ausblicke DFN Betriebstagung Berlin, 12.11.2002 Peter Gietz, CEO, DAASI International GmbH Peter.gietz@daasi.de Agenda AMBIX Konzept Datenschutz

Mehr

E-Mail-Verschlüsselung mit Geschäftspartnern

E-Mail-Verschlüsselung mit Geschäftspartnern E-Mail-Verschlüsselung mit (Anleitung für Geschäftspartner) Datum: 15.07.2013 Dokumentenart: Anwenderbeschreibung Version: 3.2 : Redaktionsteam PKI cio.siemens.com Inhaltsverzeichnis 1. Zweck des Dokumentes:...

Mehr

Netzsicherheit Architekturen und Protokolle Privilege Management Infrastructure. 1. Privilege Management Infrastructure 2. X.509-Attributzertifikate

Netzsicherheit Architekturen und Protokolle Privilege Management Infrastructure. 1. Privilege Management Infrastructure 2. X.509-Attributzertifikate 1. 2. X.509-Attributzertifikate PMI Motivation Autorisierung über Zugangskontrolllisten anhand von Identität (via Passwort/Ticket/etc., z.b. pop, imap, smtp-auth) Besitz eines privaten Schlüssels (z.b.

Mehr

Merkblatt: HSM. Version 1.01. Systemvoraussetzungen, Setup und Trouble Shooting. pdfsupport@pdf-tools.com

Merkblatt: HSM. Version 1.01. Systemvoraussetzungen, Setup und Trouble Shooting. pdfsupport@pdf-tools.com Merkblatt: HSM Version 1.01 Systemvoraussetzungen, Setup und Trouble Shooting Kontakt: pdfsupport@pdf-tools.com Besitzer: PDF Tools AG Kasernenstrasse 1 8184 Bachenbülach Schweiz www.pdf-tools.com Copyright

Mehr

Einführung in OpenSSL und X.509-Zertifikate. Martin Kaiser http://www.kaiser.cx/

Einführung in OpenSSL und X.509-Zertifikate. Martin Kaiser http://www.kaiser.cx/ Einführung in OpenSSL und X.509-Zertifikate Martin Kaiser http://www.kaiser.cx/ Über mich Elektrotechnik-Studium Uni Karlsruhe System-Ingenieur UNIX und IP-Netze (2001-2003) Embedded Software-Entwicklung

Mehr

Securing SOAP e-services

Securing SOAP e-services Securing SOAP e-services Nilson Reyes Sommersemester 2004 aus: E. Damiani, S. De Capitani di Vermercati, S. Paraboschi, P. Samarati, Securing SOAP e-sservices, IJIS, Ausgabe 1 (2002), S.110-115. Gliederung

Mehr

Kundenleitfaden Secure E-Mail

Kundenleitfaden Secure E-Mail Vorwort Wir leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie das Versenden von E-Mails. Neben den großen Vorteilen, die uns elektronische

Mehr

IT-Sicherheit Kapitel 3 Public Key Kryptographie

IT-Sicherheit Kapitel 3 Public Key Kryptographie IT-Sicherheit Kapitel 3 Public Key Kryptographie Dr. Christian Rathgeb Sommersemester 2013 1 Einführung In der symmetrischen Kryptographie verwenden Sender und Empfänger den selben Schlüssel die Teilnehmer

Mehr

LDAP und Kerberos. Folien unter http://ca.tu-berlin.de/docs/pdf/ldap-vortrag.pdf. 1 Gerd Schering 29.05.07

LDAP und Kerberos. Folien unter http://ca.tu-berlin.de/docs/pdf/ldap-vortrag.pdf. 1 Gerd Schering 29.05.07 LDAP und Kerberos Folien unter http://ca.tu-berlin.de/docs/pdf/ldap-vortrag.pdf 1 Gerd Schering LDAP: Agenda Was ist LDAP? LDAP Strukturen / Datenmodell LDAP Operationen LDAP Anwendungen tubit LDAP Server

Mehr

PKI-Outsourcing: Vertrauen ist gut, Kryptografie ist besser

PKI-Outsourcing: Vertrauen ist gut, Kryptografie ist besser PKI-Outsourcing: Vertrauen ist gut, Kryptografie ist besser Theoretische Informatik Prof. Johannes Buchmann Technische Universität Darmstadt Graduiertenkolleg Enabling Technologies for Electronic Commerce

Mehr

E-Mails versenden aber sicher! Secure E-Mail. Kundenleitfaden. Sparkasse Landshut

E-Mails versenden aber sicher! Secure E-Mail. Kundenleitfaden. Sparkasse Landshut E-Mails versenden aber sicher! Secure E-Mail Kundenleitfaden S Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie

Mehr

TeleTrusT Bundesverband IT-Sicherheit e.v. TeleTrusT Bundesverband IT-Sicherheit e.v. Überblick

TeleTrusT Bundesverband IT-Sicherheit e.v. TeleTrusT Bundesverband IT-Sicherheit e.v. Überblick TeleTrusT Bundesverband IT-Sicherheit e.v. Überblick Allgemeines zur TeleTrusT EBCA Seit 2001 Zusammenschluss einzelner, gleichberechtigter PKIen zu PKI-Verbund einfacher, sicherer E-Mail-Verkehr & Datenaustausch

Mehr

Verzeichnisdienste: Eine Einführung zu X.500/LDAP. am Beispiel von Novells NetWare Directory Services

Verzeichnisdienste: Eine Einführung zu X.500/LDAP. am Beispiel von Novells NetWare Directory Services Verzeichnisdienste: Eine Einführung zu X.500/LDAP am Beispiel von Novells NetWare Directory Services Thomas Uhle Technische Universität Dresden Fakultät Elektrotechnik und Informationstechnik Inhaltsübersicht

Mehr

LDAP. Lightweight Directory. Desanka Bogicevic 1121621 Michael Wenig 1220567 Rupert Eisl 1220225

LDAP. Lightweight Directory. Desanka Bogicevic 1121621 Michael Wenig 1220567 Rupert Eisl 1220225 LDAP Lightweight Directory Access Protokoll Desanka Bogicevic 1121621 Michael Wenig 1220567 Rupert Eisl 1220225 LDAP Was ist LDAP? Was sind Verzeichnisdienste? Was ist ein Verzeichnis? Geschichte http://directory.apache.org/apacheds/basic-ug/1.2-some-background.html

Mehr

Trustcenter der Deutschen Rentenversicherung

Trustcenter der Deutschen Rentenversicherung Trustcenter der Deutschen Rentenversicherung Certificate Policy und Certification Practice Statement für nicht-qualifizierte Serverzertifikate der Wurzelzertifizierungsstelle der Deutschen Rentenversicherung

Mehr

OFTP2 - Checkliste für die Implementierung

OFTP2 - Checkliste für die Implementierung connect. move. share. Whitepaper OFTP2 - Checkliste für die Implementierung Die reibungslose Integration des neuen Odette-Standards OFTP2 in den Datenaustausch- Workflow setzt einige Anpassungen der Systemumgebung

Mehr

MS Active Directory Services & MS Group Policy Object. ITTK A09 Laßnig-Walder Karl Surtmann Klaus

MS Active Directory Services & MS Group Policy Object. ITTK A09 Laßnig-Walder Karl Surtmann Klaus MS Active Directory Services & MS Group Policy Object ITTK A09 Laßnig-Walder Karl Surtmann Klaus Inhaltsverzeichnis Was ist MS Active Directory? Aufbau Struktur DC, GC, Replikation, FSMO Hauptkomponenten

Mehr

E-Mail-Verschlüsselung viel einfacher als Sie denken!

E-Mail-Verschlüsselung viel einfacher als Sie denken! E-Mail-Verschlüsselung viel einfacher als Sie denken! Stefan Cink Produktmanager stefan.cink@netatwork.de Seite 1 Welche Anforderungen haben Sie an eine E-Mail? Seite 2 Anforderungen an die E-Mail Datenschutz

Mehr

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure)

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Unterrichtseinheit 5: Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Verschlüsselung mit öffentlichen Schlüsseln ist eine bedeutende Technologie für E- Commerce, Intranets,

Mehr

Implementierung einer LDAP basierenden Patientenverwaltung

Implementierung einer LDAP basierenden Patientenverwaltung FH Heilbronn / Uni Heidelberg Studiengang Medizinische Informatik Praktikum Datenbank- und Informationssysteme im Gesundheitswesen Implementierung einer LDAP basierenden Patientenverwaltung Handout zur

Mehr

E-Mail-Verschlüsselung mit Geschäftspartnern

E-Mail-Verschlüsselung mit Geschäftspartnern E-Mail-Verschlüsselung mit (Anleitung für Geschäftspartner) Datum: 13.07.2011 Dokumentenart: Anwenderbeschreibung Version: 3.0 : Redaktionsteam PKI cio.siemens.com Inhaltsverzeichnis 1. Zweck des Dokumentes:...3

Mehr

Technische Beschreibung: EPOD Server

Technische Beschreibung: EPOD Server EPOD Encrypted Private Online Disc Technische Beschreibung: EPOD Server Fördergeber Förderprogramm Fördernehmer Projektleitung Projekt Metadaten Internet Foundation Austria netidee JKU Linz Institut für

Mehr

LDAP. Universität zu Köln IT-Zertifikat Allgemeine Technologien 1 Dozentin: Susanne Kurz M.A. 14.7. Referent: Branko Dragoljic

LDAP. Universität zu Köln IT-Zertifikat Allgemeine Technologien 1 Dozentin: Susanne Kurz M.A. 14.7. Referent: Branko Dragoljic LDAP Universität zu Köln IT-Zertifikat Allgemeine Technologien 1 Dozentin: Susanne Kurz M.A. 14.7. Referent: Branko Dragoljic Allgemeines Lightweight Directory Access Protocol Kommunikation zwischen LDAP-Client

Mehr

Secure Socket Layer V.3.0

Secure Socket Layer V.3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer V.3.0 (SSLv3) Zheng Yao 05.07.2004 1 Überblick 1.Was ist SSL? Bestandteile von SSL-Protokoll, Verbindungherstellung

Mehr

E-Mailkommunikation: Erst die Vertrauenswürdigkeit schafft Sicherheit. Stefan Cink Produktmanager

E-Mailkommunikation: Erst die Vertrauenswürdigkeit schafft Sicherheit. Stefan Cink Produktmanager E-Mailkommunikation: Erst die Vertrauenswürdigkeit schafft Sicherheit Stefan Cink Produktmanager Wer wir sind Net at Work entwickelt das innovative Secure E- Mail-Gateway NoSpamProxy für einen umfassenden

Mehr

Neue Entwicklungen. Vortrag beim Directory Forum der 32. DFN-Betriebstagung am 23.3.2000 in Berlin

Neue Entwicklungen. Vortrag beim Directory Forum der 32. DFN-Betriebstagung am 23.3.2000 in Berlin Neue Entwicklungen bei LDAP Vortrag beim Directory Forum der 32. DFN-Betriebstagung am 23.3.2000 in Berlin Peter Gietz DFN Directory Services peter.gietz@directory.dfn.de DFN Directory Services / LDAP

Mehr

Infrastruktur: Vertrauen herstellen, Zertifikate finden

Infrastruktur: Vertrauen herstellen, Zertifikate finden TeleTrusT Bundesverband IT-Sicherheit e.v. Infrastruktur: Vertrauen herstellen, Zertifikate finden Allgemeines zur TeleTrusT EBCA Seit 2001 Zusammenschluss einzelner, gleichberechtigter n zu -Verbund einfacher,

Mehr

UH-CA: Zertifikate für digitale Signaturen und Verschlüsselung an der Universität Hannover

UH-CA: Zertifikate für digitale Signaturen und Verschlüsselung an der Universität Hannover UH-CA: Zertifikate für digitale Signaturen und Verschlüsselung an der Universität Hannover Sicherheitstage WS 04/05 Birgit Gersbeck-Schierholz, RRZN Einleitung und Überblick Warum werden digitale Signaturen

Mehr

Projekt CampusConnect Baden-Württemberg

Projekt CampusConnect Baden-Württemberg Projekt CampusConnect Baden-Württemberg Dr. Claudia Pauli Universität Ulm Berlin 11.05.2011 Kopplung von Campus Management und Learning Management Systemen Seite 2 Agenda Kopplung von ILIAS-Systemen untereinander

Mehr

Installationsanleitung für die h_da Zertifikate

Installationsanleitung für die h_da Zertifikate Zentrale Serverdienste Installationsanleitung für die h_da Zertifikate Dokumentennummer: IT-ZSD-008 Version 1.3 Stand 23.05.2013 Historie Version Datum Änderung Autor 1.0 22.10.2008 Dokument angelegt tbo

Mehr

Thema: Web Services. Was ist ein Web Service?

Thema: Web Services. Was ist ein Web Service? Willkommen zum Component Ware Seminar Thema: Achim Grimm & Fabian Unterschütz Folie 1 Was ist ein Web Service? Web Services sind selbstbeschreibende, modulare Softwarekomponenten im Internet, die sich

Mehr

TOPKI Plattform zur Verteilung von digitalen Zertifikaten

TOPKI Plattform zur Verteilung von digitalen Zertifikaten TOPKI Plattform zur Verteilung von digitalen Zertifikaten Secardeo GmbH 2016 Trusted Open Public Key Infrastructure - TOPKI Das Problem der Schlüsselverteilung Unternehmen stehen zunehmen unter dem Druck,

Mehr

U3L Ffm Verfahren zur Datenverschlüsselung

U3L Ffm Verfahren zur Datenverschlüsselung U3L Ffm Verfahren zur Datenverschlüsselung Definition 2-5 Symmetrische Verschlüsselung 6-7 asymmetrischer Verschlüsselung (Public-Key Verschlüsselung) 8-10 Hybride Verschlüsselung 11-12 Hashfunktion/Digitale

Mehr

Mozilla Persona. Hauptseminar Web Engineering. Vortrag. an identity system for the web. 10.12.2012 Nico Enderlein

Mozilla Persona. Hauptseminar Web Engineering. Vortrag. an identity system for the web. 10.12.2012 Nico Enderlein Mozilla Persona an identity system for the web Hauptseminar Web Engineering Vortrag 10.12.2012 Nico Enderlein 1 PASSWORT??? BENUTZERNAME??? 2 Idee IDEE Protokoll & Implementierung Voost ( Kalender für

Mehr

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Ein Großteil der heutigen Kommunikation geschieht per email. Kaum ein anderes Medium ist schneller und effizienter. Allerdings

Mehr

Föderiertes Identity Management

Föderiertes Identity Management Föderiertes Identity Management 10. Tagung der DFN-Nutzergruppe Hochschulverwaltung Berlin, 09.05.-11.05.2011 Peter Gietz, CEO, DAASI International GmbH Peter.gietz@daasi.de 1 von 23 (c) Mai 2011 DAASI

Mehr

E-Mail-Verschlüsselung

E-Mail-Verschlüsselung E-Mail-Verschlüsselung German Privacy Foundation e.v. Schulungsreihe»Digitales Aikido«Workshop am 15.04.2009 Jan-Kaspar Münnich (jan.muennich@dotplex.de) Übertragung von E-Mails Jede E-Mail passiert mindestens

Mehr

Einführung in die symmetrische und asymmetrische Verschlüsselung

Einführung in die symmetrische und asymmetrische Verschlüsselung Einführung in die symmetrische und asymmetrische Verschlüsselung Enigmail Andreas Grupp grupp@elektronikschule.de Download der Präsentation unter http://grupp-web.de by A. Grupp, 2007-2010. Dieses Werk

Mehr

Secure Messaging. Stephan Wappler Service Manager IT Security. passt zu Ihnen?

Secure Messaging. Stephan Wappler Service Manager IT Security. passt zu Ihnen? Secure Messaging Stephan Wappler Service Manager IT Security Welche Lösung passt zu Ihnen? IHK Nord Westfalen,, 14.06.2005 Noventum Profil im Thema Security Security Kernkompetenz im Thema Secure Messaging,

Mehr

Content-Verwertungsmodelle und ihre Umsetzung in mobilen Systemen

Content-Verwertungsmodelle und ihre Umsetzung in mobilen Systemen Content-Verwertungsmodelle und ihre Umsetzung in mobilen Systemen Digital Rights Management 4FriendsOnly.com Internet Technologies AG Vorlesung im Sommersemester an der Technischen Universität Ilmenau

Mehr

IT-Sicherheit Kapitel 13. Email Sicherheit

IT-Sicherheit Kapitel 13. Email Sicherheit IT-Sicherheit Kapitel 13 Email Sicherheit Dr. Christian Rathgeb Sommersemester 2013 IT-Sicherheit Kapitel 13 Email-Sicherheit 1 Einführung Internet Mail: Der bekannteste Standard zum Übertragen von Emails

Mehr

[11-4] https://de.wikipedia.org/wiki/lightweight_directory_access_protocol

[11-4] https://de.wikipedia.org/wiki/lightweight_directory_access_protocol Literatur [11-1] http://www.syn-wiki.de/lan-wan- Analysis/htm/ger/_0/Namensdienst.htm [11-2] https://de.wikipedia.org/wiki/remote_method_invocation [11-3] https://de.wikipedia.org/wiki/verzeichnisdienst

Mehr

Inhaltsverzeichnis Vorwort Konzepte des Active Directory

Inhaltsverzeichnis Vorwort Konzepte des Active Directory Vorwort.................................................................. XI Warum dieses Buch.................................................... XI Kapitelübersicht.......................................................

Mehr

E-Mails versenden aber sicher! Secure E-Mail

E-Mails versenden aber sicher! Secure E-Mail E-Mails versenden aber sicher! Secure E-Mail Leitfaden S Kreisparkasse Verden 1 Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische

Mehr

Sicherheitsaspekte von Web Services. Hauptseminar Rechnernetze

Sicherheitsaspekte von Web Services. Hauptseminar Rechnernetze Sicherheitsaspekte von Web Services Hauptseminar Rechnernetze Stefan Hennig sh790883@inf.tu-dresden.de 21. Januar 2005 Gliederung Einführung Überblick Sicherheit auf Netzwerk- und Transportebene XML-Sicherheit

Mehr

LDAP für PKI. von. Marc Saal

LDAP für PKI. von. Marc Saal LDAP für PKI von Inhalt - Einführung - Die Infrastruktur - Benötigte Objektklassen - Aufbau der Einträge in den Objektklassen - Quiz - Literatur Einführung PKI: System, welches es ermöglicht, digitale

Mehr

Vorwort. Sichere E-Mail bietet. Kundenleitfaden Sichere E-Mail

Vorwort. Sichere E-Mail bietet. Kundenleitfaden Sichere E-Mail Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie das Versenden von E-Mails. Neben den großen Vorteilen, die uns

Mehr

Public Key Infrastructures

Public Key Infrastructures Public Key Infrastructures Eine Basistechnologie für sichere Kommunikation Autor: Jan Grell Herausgeber: grell-netz.de computer services Jan Grell Auf dem Damm 36 53501 Grafschaft http://www.grell-netz.de

Mehr

E-Mail-Verschlüsselung

E-Mail-Verschlüsselung E-Mail-Verschlüsselung In der Böllhoff Gruppe Informationen für unsere Geschäftspartner Inhaltsverzeichnis 1 E-Mail-Verschlüsselung generell... 1 1.1 S/MIME... 1 1.2 PGP... 1 2 Korrespondenz mit Böllhoff...

Mehr

Public-Key-Infrastrukturen

Public-Key-Infrastrukturen TECHNISCHE UNIVERSITÄT DARMSTADT FACHGEBIET THEORETISCHE INFORMATIK PROF. DR. J. BUCHMANN J. BRAUN 10. Übung zur Vorlesung Public-Key-Infrastrukturen Sommersemester 2013 Aufgabe 1: Gültigkeitsmodelle -

Mehr

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. "For your eyes only" Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. For your eyes only Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo. Karlsruher IT-Sicherheitsinitiative - 26. April 2001 "For your eyes only" Sichere E-Mail in Unternehmen Dr. Dörte Neundorf neundorf@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131

Mehr

Digital Signature and Public Key Infrastructure

Digital Signature and Public Key Infrastructure E-Governement-Seminar am Institut für Informatik an der Universität Freiburg (CH) Unter der Leitung von Prof. Dr. Andreas Meier Digital Signature and Public Key Infrastructure Von Düdingen, im Januar 2004

Mehr

Anwendungsintegration an Hochschulen am Beispiel von Identity Management. Norbert Weinberger - Sun Summit Bonn 26.4.2006

Anwendungsintegration an Hochschulen am Beispiel von Identity Management. Norbert Weinberger - Sun Summit Bonn 26.4.2006 Anwendungsintegration an Hochschulen am Beispiel von Identity Management Norbert Weinberger - Sun Summit Bonn 26.4.2006 Ausgangslage: Anwendungsinseln Zugang zu IT- Ressourcen, z.b. Radius Rechenzentrum

Mehr

PGP und das Web of Trust

PGP und das Web of Trust PGP und das Web of Trust Thomas Merkel Frubar Network 14. Juni 2007 E509 273D 2107 23A6 AD86 1879 4C0E 6BFD E80B F2AB Thomas Merkel (Frubar Network) PGP und das Web of Trust 14. Juni

Mehr

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk 20.01.2009

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk 20.01.2009 Netzsicherheit I, WS 2008/2009 Übung 12 Prof. Dr. Jörg Schwenk 20.01.2009 Aufgabe 1 1 Zertifikate im Allgemeinen a) Was versteht man unter folgenden Begriffen? i. X.509 X.509 ist ein Standard (Zertifikatsstandard)

Mehr

SSL/TLS und SSL-Zertifikate

SSL/TLS und SSL-Zertifikate SSL/TLS und SSL-Zertifikate Konzepte von Betriebssystem-Komponenten Informatik Lehrstuhl 4 16.06.10 KvBK Wolfgang Hüttenhofer sethur_blackcoat@web.de Motivation Sichere, verschlüsselte End-to-End Verbindung

Mehr

Doris Jung. 27. Mai 2001

Doris Jung. 27. Mai 2001 Einführung in LDAP Doris Jung 27. Mai 2001 1 LDAP Protokoll LDAP ist ein Netz Protokoll, ein erweiterbares Directory Access Protokoll, also eine Sprache in der Klient und Server miteinander kommunizieren

Mehr

Erste Vorlesung Kryptographie

Erste Vorlesung Kryptographie Erste Vorlesung Kryptographie Andre Chatzistamatiou October 14, 2013 Anwendungen der Kryptographie: geheime Datenübertragung Authentifizierung (für uns = Authentisierung) Daten Authentifizierung/Integritätsprüfung

Mehr

PKI-Lösungen in Windows-Netzwerken

PKI-Lösungen in Windows-Netzwerken Döres AG Stolberger Straße 78 50933 Köln Telefon: 0221-95 44 85-0 Telefax: 0221-95 44 85-80 Internet: www.doeres.com PKI-Lösungen in Windows-Netzwerken Agenda: I. zur Thema Windows PKI: Vorstellung einer

Mehr