Sichere Datenhaltung in verteilten Systemen

Transkript

1 Sichere Datenhaltung in verteilten Systemen Bericht über ein Großprojekt im medizinischen Bereich Dipl. Inform. Ramon Mörl

2 Ausgangssituation Heterogene Infrastruktur verteilt über mehrere Standorte Mainframes, Unix-Server, PC-Clients Standardapplikationen, proprietäre Client-Server Applikationen Benutzerauthentifizierung mit Chipkarten Chipkarten mit kryptographischen RSA-Koprozessoren Zertifizierungsautorität (CA) nach X.509 Zertifikate nach X.509 V3 X.500 Adressbuch für die Verwaltung nicht sensitiver Daten ( Adresse, Telefonnummer etc.) Mehr als Endbenutzer mit unterschiedlichen Benutzerprofilen und Tätigkeiten

3 Zieldefinition Rollenorientierter Zugriffsschutz (mit SSO) Zeitabhängig (Arzt vom Dienst) Notfallkonzept Berücksichtigung der unterschiedlichen Benutzerprofile IT-Administration Klinikpersonal und externe, niedergelassene Ärzte Verwaltung Externe Dienstleister (Fernwartung...) Überschaubare Administration Aufteilung der Kompetenzen zwischen den verschiedenen Krankenhäusern Einfache Integration mit den vorhandenen Applikationen

4 Spannungsfeld Entlastung der Endbenutzer DV-Laien im Klinikbereich Hohe Anforderung an Administratoren durch Komplexe Netzwerke Große Benutzeranzahl Hohe Sicherheit (Starke Authentifizierung) Investitionsschutz

5 Sicherheit des Gesamtsystems Starke Authentifizierung mit Smartcards Single Sign On System integriert starke Authentifizierung in die verschiedenen Applikationen Zugriffsschutz bietet gleiches Sicherheitslevel Persönliche Digitale Signatur verfügbar Externe Zertifizierungsautorität schafft Vertrauen zwischen verschiedenen Organisationen 4-Augen Authentitifizierung für besonders sicherheitskritische Vorgänge Aufhebung der Anonymität von Daten Administration der Sicherheitsapplikationen

6 Investitionsschutz Vorhandenen X.500 Dienst auch für die sicherheitskritischen Daten verwenden Integrität für die Benutzerrollen und -privilegien Anonymität der Patientendaten für statistische Untersuchungen Vertraulichkeit von persönlichen Daten auch gegenüber den Systemadministratoren Nutzung der Smartcardinfrastruktur Einfache generische Schnittstelle für Zugriffsschutz Komplexe Entscheidungsgrundlagen Subjekt greift mit identifizierter Methode auf Objekt zu Einfaches Resultat: Zugriff erlaubt oder verweigert Einfache Integration der SS in alle Applikationen

7 Entlastung der Endbenutzer Sicherheit Akzeptanz der Benutzer Einfache Bedienbarkeit

8 Entlastung der Endbenutzer Sicherheit Akzeptanz der Benutzer Einfache Bedienbarkeit

9 Entlastung der Endbenutzer Sicherheit Akzeptanz der Benutzer Einfache Bedienbarkeit

10 Entlastung der Endbenutzer DV-Laien im Klinik Umfeld Rollenkonzept entspricht der Organistationsstruktur Single Sign On Multifunktionale Chipkarten Sicherheit Akzeptanz der Benutzer Einfache Bedienbarkeit Sehr gute Skalierbarkeit Administratoren Einfaches Vertretungskonzept Gruppierung der Benutzer automatisch Rollen & Funktionen Individuelle Benutzerverwaltung nach Organigramm Multifunktionale Chipkarten

11 Skalierbarkeit Aufteilen der Einzelprobleme und Zuweisen der Verantwortung Personalisierung der Chipkarten Pflege der Organisationsdaten Rollen Funktionen Kompetenzen Privilegien Organisationsstruktur (Oberarzt, Station, Krankenschwester...) Erstellung von Schutzprofilen und Benutzerprofilen entsprechend der Sicherheitspolitik Vertretung für einzelne Rollen ist durchführbar ohne eine Weitergabe der Identität Einfaches Verhalten bei Umorganisationen

12 Sicheres Datenmodell Beim Erstellen des Datenmodells werden die gewünschten Schutzqualitäten aufgenommen Integrität Vertraulichkeit Anonymität Die Verantwortung für die Pflege der Daten wird definiert Eine starke Authentifizierung ist Voraussetzung für die Erstellung oder Veränderung von geschützten Daten Der X.500 Dienst kann selbst die Integrität der Daten und die starke Authentifizierung nach X.500 garantieren Das Datenmodell selbst ist digital signiert

13 Administration, Müller, ihr neues Paßwort ist... Man in the middle Grüß Gott, hier Meier, könnten Sie mir bitte ein neues Paßwort geben? Gegenseitige Authentisierung durch ein Frage Antwort Verfahren: Wie heißen Ihre Kollegen Welche Faxnummer haben Sie Personalnummer Geburtsdatum

14 Administration, Müller, ihr neues Paßwort ist... Man in the middle Gegenseitige Authentisierung durch ein Frage Antwort Verfahren: Grüß Gott, hier Meier, könnten Sie mir bitte ein neues Paßwort geben? Grüß Gott, hier Meier, könnten Sie mir bitte ein neues Paßwort geben? Wie heißen Ihre Kollegen Welche Faxnummer haben Sie Personalnummer Geburtsdatum Administration, Müller, ihr neues Paßwort ist...

15 Datenmodell der Organisation Vorstand Kaufmä nnischer Bereichsleiter Technischer Bereichsleiter Stabsstelle Abteilungsleiter des Bereichs Gruppen der Abteilung Mit ar bei ter

16 Datenmodell der Benutzerattribute Name Typ: Octet-String Integritä tsgeschü tzt Verantwortlich: Persabt. Rolle Benutzerverwaltung Integritä tsgeschü tzt Verantwortlich: Leiter RZ Rolle Koordination AG Sicherheit Integritä tsgeschü tzt Verantwortlich: Datenschutzbeauftragter Faxnummer Integritä tsgeschü tzt Verantwortlich: TK-Vergabe -Adresse Integritä tsgeschü tzt Verantwortlich: X.400 Admin Gehalt Vertraulich Verantwortlich: Persabt.

17 Das Datenmodell stellt Vertrauen zwischen Organisationseinheiten her, die keine gemeinsame Verwaltung haben Die Zertifizierungsautorität stellt die Infrastruktur für die Vertrauenskette zur Verfügung Die Übertragung von Vertrauen wird durch eine digitale Signatur dokumentiert und erhält damit Beweiskraft Die Vorgehensweise ist intuitiv und schützt deshalb vor Bedienungsfehlern Vertrauenskette

18 X.500 Authentifizierung In X.509 ist das Benutzerzertifikat bereits definiert Die starke Authentifizierung ist in X.511 definiert Client Server DUA DSA Chip Karte

19 Authentifizierungs-Protokoll Client DUA Erstellung eines Bind request

20 Authentifizierungs-Protokoll Client DUA Anforderung einer digitalen Signatur Chip Karte Auf der Chipkarte wird die digitale Signatur für den bind request erzeugt

21 Authentifizierungs-Protokoll Client DUA Server DSA Der digital signierte bind request wird an den Server geschickt Chip Karte

22 Authentifizierungs-Protokoll Client DUA Server DSA Der Server überprüft mit den vorhandenen Zertifikaten die Echtheit der Signatur Chip Karte

23 Authentifizierungs-Protokoll Client DUA Server DSA Der Server sendet sein signiertes Ergebnis zurück Chip Karte

24 Modifikation eines signierten Attributs Client DUA Überprüfung der Schutzqualität des Attributtyps im Datenmodell Definition der neuen Attributwerte

25 Modifikation eines signierten Attributs Client DUA Anforderung einer digitalen Signatur Chip Karte Auf der Chipkarte wird die digitale Signatur für den neuen Attributwert erzeugt

26 Modifikation eines signierten Attributs Client DUA Server DSA Der digital signierte Attributwert wird an den Server geschickt Chip Karte

27 Modifikation eines signierten Attributs Client DUA Server DSA Chip Karte Der Server überprüft mit den vorhandenen Zertifikaten die Echtheit der Signatur und anhand des Datenmodells die Befugnis das Attribut zu ändern

28 Modifikation eines signierten Attributs Client DUA Server DSA Der Server sendet signiert seine Meldung zurück Chip Karte

29 Zugriffsschutz mit Rollen Client Der Client liest alle Rollen des Benutzers im DSA. Die Rollen sind signiert und dadurch integritätsgeschützt.

30 Zugriffsschutz mit Rollen Client Die Benutzeranforderung kann digital signiert werden, um die Authentizität des Benutzers nachzuweisen Chip Karte Auf der Chipkarte wird die digitale Signatur erzeugt

31 Zugriffsschutz mit Rollen Client Server Chip Karte Die digital signierte Anforderung wird mit den Rollen, welche durch die zuständige Autorität signiert sind, an den Server geschickt

32 Zugriffsschutz mit Rollen Client Server Chip Karte Der Server überprüft mit den vorhandenen Zertifikaten die Echtheit der Signaturen und vergleicht die vorhandenen Rollen mit dem Schutzprofil

33 Zugriffsschutz mit Rollen Client Server Der Server beantwortet die Anfrage Chip Karte