Copyright (C), 2005 by KOBIL Systems GmbH, alle Rechte vorbehalten.

Transkript

1

2 Copyright (C), 2005 by KOBIL Systems GmbH, alle Rechte vorbehalten. Wir bemühen uns, alle in diesem Dokument dargestellten Funktionen und Abläufe auf Richtigkeit hin zu überprüfen. Dennoch können sich unbemerkt Fehler einschleichen, für die wir keine Gewährleistung übernehmen können. Dokumentenhistorie Dokumentenversion Datum Autor Korrekturen Andreas Meyer Initiale Version / Draft Ömer Izci Ergänzung KOBIL CI Ömer Izci Ergänzung Referenzen Marius A. Schmidtke CI-Konformität + Deckblatt + Inhaltsverzeichnis Karolin Möller Rechtschreibung, Satzstellung Markus Tak Überarbeitung Pia Sue Helferich CI conform Worms, im Dezember 2005 Ihr KOBIL midentity Manager Team. WHITEPAPER-MIDENTITYMANAGERPRO_1V06_ _DE.DOC 2

3 Whitepaper KOBIL midentity Manager Professional Dieses Whitepaper zeigt die vielfältigen Einsatzmöglichkeiten von KOBIL midentity Manager Professional auf und gibt einen Überblick über die jeweiligen Systemumgebungen. Dieses Dokument bezieht sich auf: KOBIL midentity Manager Professional Version 1.0 Inhalt 1 Einleitung Produkteigenschaften Einsatzszenarien System-Überblick Verfügbare Frontend-Module (Protokolle) SCEP (Cisco Router Zertifikatsenrollment) Zentral generiertes PKCS#12 SoftToken (S/MIME, SSL und IPSec) Browser-generiertes SoftToken (S/MIME, SSL und IPSec) Smartcard Remote Personalisierung (1-3 Zertifikate+OTP) Ersatz- und Notfallkarten Selbstbedientes Kartenmanagement Benutzer-initiierte Sperrung Smartcard-Management-Prozesse Benutzerverwaltung (Account Management) Notfall-/Ersatzkarte Permanente Kartensperrung durch den Adminsitrator Helpdesk-Integration Beispiel-Szenarien Zentrale Kartenproduktion mit Daten aus einer Datenbank SoftToken Rollout mit dezentralen Registrierungsstellen und SCEP- Routern Dezentraler Karten-Rollout mit diversen Mandanten und LDAP-Daten.21 WHITEPAPER-MIDENTITYMANAGERPRO_1V06_ _DE.DOC 3

4 8 Technische Daten Referenzen Trustcenter der Nationalen Root Instanz der BRD Trustcenter der Schenck Process GmbH DGN Medisign APO-Bank Nationale Wurzelinstanz der elektronischen Reisepässe (ICAO-CSCA) Arcor Providerlösung Anonym Self-Service Smartcard Edition Studentenausweis der Universität Gießen KOC Bank Internet Banking für Geschäftskunden...31 WHITEPAPER-MIDENTITYMANAGERPRO_1V06_ _DE.DOC 4

5 1 Einleitung KOBIL midentity Manager Professional ist eine professionelle Lösung zum Management von digitalen Identitäten. In der Informationstechnologie werden Menschen und Maschinen durch digitale Identitäten repräsentiert. In zahlreichen Situationen ist es von entscheidender Bedeutung, digitale Identitäten zuverlässig zu identifizieren. Im einfachsten Fall werden hierbei eine Maschine durch eine IP- Adresse und ein Mensch durch einen Benutzernamen und ein geheimes statisches Passwort identifiziert. Zuverlässiger kann die Identifikation erfolgen, wenn digitale Identitäten durch Angabe von Benutzername und Einmal-Passwort oder durch ein Public Key- Zertifikat repräsentiert werden. Als physikalisches Trägermedium einer digitalen Identität kommen bei erhöhtem Sicherheitsbedarf Smartcards oder Tokens (OTP- Tokens, USB-Tokens) zum Einsatz. KOBIL midentity Manager Professional ermöglicht die effiziente Ausstellung und Verwaltung digitaler Identitäten von Benutzername mit statischem Passwort oder Einmal-Passwort bis hin zu Zertifikaten für Menschen oder Maschinen. KOBIL midentity Manager Professional ist dabei für die Verwendung von Smartcards und KOBIL midentity als Trägermedium der digitalen Identitäten optimiert. Dabei kann KOBIL midentity Manager Professional vollkommen unabhängig von einer Windows Domäne bzw. Active Directory Service arbeiten. Auf Grund einfacher Handhabung, hoher Verfügbarkeit und großer Flexibilität (z. B. zentrale- oder dezentrale Administration und Möglichkeit der Selbstverwaltung für Benutzer, anpassbar an Workflows der Kunden) vereint KOBIL midentity Manager Professional höchste Sicherheit mit geringen Betriebskosten. Verwenden die Benutzer als physikalisches Trägermedium ihrer digitalen Identität KOBIL midentity und sind somit vollkommen mobil, so erfahren Unternehmen und die Benutzer höchste IT-Sicherheit ohne Einschränkungen. Die Lösung eignet sich für größere mittelständische Unternehmen und Großkonzerne. (Kleinunternehmen und kleineren mittelständischen Unternehmen raten wir zur Verwendung von KOBIL midentity Manager Basic). Durch die Unterstützung aller relevanten Standards lässt sich die Lösung einfach in bestehende IT-Infrastrukturen integrieren. KOBIL midentity Manager Professional ist kompatibel zu praktisch allen Anwendungen, die den Nachweis einer digitalen Identität auf der Basis von Einmal-Passwörtern oder Zertifikaten erfordern. WHITEPAPER-MIDENTITYMANAGERPRO_1V06_ _DE.DOC 5

6 2 Produkteigenschaften KOBIL midentity Manager Professional weist folgende Merkmale auf: Effizientes Management von digitalen Identitäten in den folgenden Ausprägungen: o Digitale PKI-Zertifikate (für Menschen und Maschinen) o Einmalpasswörter (OTP) auf Smartcard Basis Extrem hohe Flexibilität und Anpassungsfähigkeit an bestehende Unternehmensstrukturen und Geschäftsprozesse: o Möglichkeit der zentralen Administration und des zentral organisierten Massenrollouts mit Anbindung von Smartcard Programmier- und Druckmaschinen (z. B. Eltron) o Möglichkeit der dezentralen Administration und des dezentral organisierten Massenrollouts (Registrierungsstellen mit Personal vor Ort) o Beantragung und Verwaltung der digitalen Identitäten für Benutzer im Selbstbedienungsverfahren. Dabei Online-Personalisierung von Smartcards auf dem Benutzer-PC innerhalb von wenigen Sekunden (Selbstverwaltung). Gleichzeitige Personalisierung einer Smartcard mit mehreren Zertifikaten und einem Einmal- Passwortgenerator möglich. Höchste Sicherheit durch Einsatz von Smartcards Flexibles Enrollment-Server Konzept: erweiterbar und flexibel anpassbar an kundenspezifische Prozesse Mandantenfähigkeit: Möglichkeit für Hosting von Zertifizierungs- Dienstleistung und einfacher Gruppenbildung Unterstützung für das Einmal-Passwortsystem KOBIL SecOVID spart Infrastrukturkosten. Authentifikation von mobilen Benutzern, die weder Software noch Hardware installieren müssen. Ermöglicht sicheres Arbeiten an beliebigen (evtl. öffentlichen) PCs und die Absicherung von Online- Diensten und heterogenen Netzwerken (z.b. UNIX Login ohne PKI) Unterstützung von KOBIL midentity: Mobilität und Unabhängigkeit für den Anwender durch Integration von Smartcard, Smartcard Terminal, sicherem Speicher und mobilen Unternehmenslösungen Greifbare und nachvollziehbare Sicherheit: KOBIL midentity oder die Smartcard sind der Schlüssel zu den IT-Ressourcen des Unternehmens. WHITEPAPER-MIDENTITYMANAGERPRO_1V06_ _DE.DOC 6

7 Anwender verstehen und akzeptieren dies, weil sie es aus anderen Lebensbereichen kennen (Bsp.: Haustürschlüssel, Autoschlüssel). Leistungsfähige Revisions-Funktionen: Sicherheit wird transparent KOBIL midentity Manager Professional lässt sich flexibel erweitern und gewährleistet Zukunftssicherheit und Investitionsschutz Konsequente Umsetzung nationaler und internationaler Standards (IETF, ISIS-MTTv1.1, X.509v3, LDAP, SSL, S/MIME, OCSP, SCEP, RADIUS, TACACS+). Dadurch einfache Integration in bestehende heterogene IT- Infrastrukturen. Praktikables Management von Notfallsituationen (midentity/smartcard vergessen oder verloren, Smartcard PIN vergessen etc.): Notfall- bzw. Ersatzkarten in sekundenschnelle verfügbar. Skalierbarkeit o Das System hat sich bei Verwendung etlicher zehntausend Benutzer bereits im praktischen Betrieb bewährt. o Skalierbare Sicherheit. Die Zertifikatsausstellung kann online oder bei erhöhten Sicherheitsanforderungen auch offline erfolgen. Die Sicherheit des Systems kann optional bis zum höchstmöglichen Niveau skaliert werden. o In spezieller Ausprägung wurde KOBIL midentity Manager Professional nach Common-Criteria EAL3+ zertifiziert und nach den strengen Anforderungen des Signaturgesetzes bestätigt. WHITEPAPER-MIDENTITYMANAGERPRO_1V06_ _DE.DOC 7

8 3 Einsatzszenarien KOBIL midentity Manager Professional ermöglicht den effizienten Rollout und Betrieb für folgende Szenarien: Sicheres Windows-Logon mit Smartcard o Standalone Rechner o Domänen-Logon (Active Directory) Sicherer Zugang zu SAP R/3 o SAP Web Application Server (WAS) o SAPGUI-SNC (zertifiziert von SAP) Absicherung von Terminalserver-Sessions mit Smartcard o Windows Terminal Server o Citrix Metaframe / Presentation Server Sichere -Kommunikation durch Verschlüsselung und digitale Signatur mit Smartcards und Zertifikaten Sichere Webapplikationen (z.b. Zugang zum Firmenportal) mit Zertifikaten (SSL-Client-Authentifikation über Smartcard) oder Einmal-Passwörtern. In Verbindung mit KOBIL midentity hochsichere Authentifikation über Zertifikat und Smartcard von beliebigen PCs aus ohne jegliche Softwareoder Treiber Installation auf dem Client: mobile Zertifikate! Sicherer Remote Access zum Firmennetz (z.b. über Checkpoint VPN oder Cisco VPN) mit Smartcard und Zertifikaten oder Einmalpasswörtern. In Verbindung mit KOBIL midentity höchste Sicherheit ohne Einschränkungen, denn der VPN-Client (z.b. SSL-VPN-Client) kann auf midentity gespeichert werden, und midentity erfordert keinerlei Softwareoder Treiberinstallation. Zugriff auf sensible Informationen (Authentifizierung, Verschlüsselung) Transparente Verschlüsselung eines virtuellen Laufwerks (Datensafe). In Verbindung mit KOBIL midentity mobiler Datensafe, auf den von jedem beliebigen PC ohne jegliche Treiber- oder Software-Installation zugegriffen werden kann. Dadurch höchste Sicherheit ohne Einschränkungen. Festplattenverschlüsselung für Desktop-PCs und Notebooks Optimierung von Geschäftsprozessen durch Web-Signatur. Web- Formulare können im Unternehmen ausgefüllt und elektronisch signiert WHITEPAPER-MIDENTITYMANAGERPRO_1V06_ _DE.DOC 8

9 werden. Dadurch entfallen Ausdruck und handschriftliche Signatur. Durch diese Vermeidung von Medienbrüchen können erhebliche Kosten gespart werden. Auch Mehrfach-Signaturen sind problemlos möglich. Absicherung der Kommunikation zwischen Netzwerkkomponenten (Router) mit IPSec- Zertifikaten. Die Zertifikatsproduktion für Netzwerkgeräte im Self-Service-Verfahren wird unterstützt (über das SCEP-Protokoll) WHITEPAPER-MIDENTITYMANAGERPRO_1V06_ _DE.DOC 9

10 4 System-Überblick Die folgende Abbildung zeigt einen Überblick über das Gesamtsystem Frontend #1 Web-Request Frontend #2 SCEP Frontend #3 SecOVID OTP... Frontend #n XML-Bulk Enrollment Enrollment Server Server Enrollment Server Frontend DB ext. DB Pre/Post Processing Module OCSP Responder LDAP RA CA CA IS ext. Komponente Komponente Benutzer-DB Komponente CA-DB Management Konsole Abbildung 1: System Überblick SecOVID Server Die Schnittstelle zur Außenwelt stellt der Enrollment Server dar, über den sämtliche Zertifikatsanträge eingehen und die fertigen Zertifikate ausgeliefert werden. Zur Lastverteilung und Applikations-/Mandanten-Trennung können mehrere Enrollment-Server auf einer oder mehreren Maschinen getrennt voneinander betrieben werden. In den Enrollment Server werden die so genannten Frontend-Module eingeklinkt, welche die unterschiedlichen Zertifikats-Enrollment Protokolle zu den Clients bedienen können (z.b. Web Enrollment+OTP für Endbenutzer, SoftToken, SCEP für Router, XML Bulk Schnittstelle etc.). Das Konzept der Frontend-Module unterstützt auch dezentrale Registrierungsstellen (RA-Plätze) und kann leicht um kundenspezifische Zugänge und Protokolle (z.b. -Enrollment) erweitert werden. WHITEPAPER-MIDENTITYMANAGERPRO_1V06_ _DE.DOC 10

11 Über die Frontend-Datenbank werden die eingehenden Zertifikatsanträge an das CA-Subsystem weitergeleitet. Optional kann hier das Pre-/Post-Processing Module eingeschleift werden, mit dem die Antragsdaten automatisiert vervollständigt werden können (z.b. Abruf von personenbezogenen Daten wie der Adresse aus einer Datenbank). Im CA-Subsystem prüft zunächst die RA-Komponente die Zertifikatsanträge auf Vollständigkeit und Korrektheit. Außerdem können die Anträge an dieser Stelle autorisiert werden, etwa durch einen RA Administrator (manuelle Kontrolle) oder durch automatische Prüfung von Zugangsdaten gegen einen externen Verzeichnisdienst (LDAP) oder eine externe Datenbank. Nachdem die Zertifikatsanträge auf Vollständigkeit und Korrektheit geprüft worden sind, werden die zugehörigen Zertifikate in der CA-Komponente zertifiziert. Dazu stehen eine Reihe von erweiterbaren Zertifikatsprofilen für die unterschiedlichsten Einsatz-Szenarien bereit (z.b. SSL, S/MIME, Windows Logon, IPSec, Verschlüsselung etc). Für die sichere Speicherung der CA-Schlüssel können externe Hardware-Security-Module (HSM) oder Smartcard verwendet werden. Die CA-Komponente ist mandantenfähig ausgelegt und kann in mehreren Instanzen mit eigenen Berechtigungen und Zertifikatsprofilen betrieben werden. Im Falle der zentralen Schlüsselerzeugung (PKCS#12 SoftToken) übernimmt die CA auch die Generierung des Schlüsselmaterials. Nach der Zertifikats-Erzeugung erfolgt die Veröffentlichung in der IS- Komponente. Dabei werden die Zertifikate in einen oder mehrere externe Verzeichnisdienste (LDAP-Server) eingespielt und in die Frontend-Datenbank zurückgegeben. Für den SecOVID Betrieb werden die SecOVID Datensätze zusätzlich in den SecOVID Server importiert. Optional kann eine Nachbearbeitung der Anträge wiederum im Pre-/Post- Processing Module stattfinden, wie z.b. das Aufbringen von fertigen Zertifikaten auf eine Smartcard im Kartendrucker und Druck von PIN/PUK Briefen auf Sicherheitspapier. Zum Schluss werden die fertigen Zertifikate wiederum über den Enrollment Server und die Frontend-Module an den Endbenutzer ausgeliefert. Der OCSP-Responder ist eine eigenständige Komponente, die mit Smartcards, Softtokens oder Hardware-Sicherheitsmodulen (HSM) arbeiten kann. Der OCSP- WHITEPAPER-MIDENTITYMANAGERPRO_1V06_ _DE.DOC 11

12 Responder ist hoch-performant ausgelegt (z.b. mit 22 Signer-Smartcards ca OCSP-Statusauskünfte pro Stunde im SigG-konformen Betrieb). Wenn der Verzeichnisdienst hochverfügbar sein muss, empfehlen wir den Einsatz von zwei OCSP-Respondern, um Lastverteilung und Ausfallsicherheit zu gewährleisten. Der OCSP-Responder hat Schnittstellen zum LDAP-Server oder Datenbanken und kann auch in bestehende PKI-Umgebungen integriert werden. Über die Management-Konsole hat der Administrator stets den Überblick, welcher Benutzer welche Zertifikate und ggf. welche Smartcards besitzt. Prozesse wie Sperrung oder Neuausstellung einer Smartcard oder die Ausstellung einer temporären Smartcard (falls der Mitarbeiter seine Smartcard vergessen hat) können sehr einfach angestoßen und kontrolliert werden. Außerdem können hier die Mandanten/Gruppen verwaltet werden und die entsprechenden Rechte vergeben werden. Der Zugriff erfolgt Web-basiert und ist über das SSL-Protokoll gesichert (Authentisierung und Verschlüsselung). WHITEPAPER-MIDENTITYMANAGERPRO_1V06_ _DE.DOC 12

13 5 Verfügbare Frontend-Module (Protokolle) Hier werden die momentan verfügbaren Frontend-Module aufgezeigt. Diese sind beliebig miteinander kombinierbar, entweder auf einem oder auf mehreren getrennten Enrollment Server Instanzen. Weitere Frontend-Module können kundenspezifisch entwickelt und eingebunden werden. 5.1 SCEP (Cisco Router Zertifikatsenrollment) Routerdaten im LDAP Server hinterlegt getestet mit PIX und Cisco Routern 800/1700 series für IOS 12.2 & Zentral generiertes PKCS#12 SoftToken (S/MIME, SSL und IPSec) Benutzer authentifiziert sich (z.b. gegen LDAP und/oder TAN) Eingabe Antragsdaten (inkl. Sperrpasswort) Trustcenter erstellt Schlüsselpaar und Zertifikat Versand als PKCS#12 Datei per (gesichert mit dem Sperrpasswort) an die hinterlegte -Adresse 5.3 Browser-generiertes SoftToken (S/MIME, SSL und IPSec) Benutzer authentifiziert sich (z.b. gegen LDAP und/oder TAN) Eingabe Antragsdaten Browser (IE/Xenroll oder Netscape/Firefox/Mozilla) generiert den Schlüssel lokal und sendet Request Antragssteller wartet ( Bitte Warten -Seite mit Fortschrittsanzeige) Import des fertigen Zertifikats über den Browser 5.4 Smartcard Remote Personalisierung (1-3 Zertifikate+OTP) Benutzer authentifiziert sich (z.b. gegen LDAP und/oder TAN) Anzeige der Smartcard PIN (PUK wird im Trustcenter hinterlegt) Einstecken einer leeren Smartcard Xenroll-Enrollment für Smartcard (single/dual/triple key) o 1 Universalzertifikat (mit Key Backup) oder o 1 Sig/Auth und 1 Verschlüsselungszertifikat (mit KeyBackup) oder WHITEPAPER-MIDENTITYMANAGERPRO_1V06_ _DE.DOC 13

14 o 1 Signatur, 1 Authentisierungs- und ein Verschlüsselungszertifikat (mit KeyBackup) PIN/PUK-Initialisierung, KeyBackup und ggf. OTP-Personalisierung Antragssteller wartet ( Bitte Warten -Seite mit Fortschrittsanzeige) Import der fertigen Zertifikate über den Browser auf die Karte 5.5 Ersatz- und Notfallkarten Benutzer authentifiziert sich (z.b. gegen LDAP und/oder TAN) Anzeige der Smartcard PIN (PUK wird im Trustcenter hinterlegt) Einstecken einer leeren Smartcard PIN/PUK-Initialisierung, ggf. OTP-Personalisierung Einspielen des hinterlegten Verschlüsselungs-Zertifikats Neues Signatur- und Authentisierungszertifikat Antragssteller wartet ( Bitte Warten -Seite mit Fortschrittsanzeige) Import der fertigen Zertifikate über den Browser auf die Karte 5.6 Selbstbedientes Kartenmanagement Benutzer authentifiziert sich (z.b. gegen LDAP und/oder TAN) Remote Entsperrung von Karten mit neuer PIN Vergabe (PUK im Trustcenter hinterlegt) Remote Löschung von Karten (PUK im Trustcenter hinterlegt) Ermittlung von Seriennummer und Kartenstatus 5.7 Benutzer-initiierte Sperrung Benutzer authentifiziert sich (z.b. gegen LDAP und/oder TAN) Alle auf ihn ausgestellten Zertifikate werden angezeigt (inkl. Detail- Ansicht) Benutzer wählt zu sperrendes Zertifikat und Sperrgrund aus WHITEPAPER-MIDENTITYMANAGERPRO_1V06_ _DE.DOC 14

15 6 Smartcard-Management-Prozesse Der Administrator meldet sich per Smartcard an der Management Console an. Der Zugriff erfolgt Web-basiert und ist durch das SSL-Protokoll authentisiert und verschlüsselt. Abbildung 2: Management Console Alle Informationen (Benutzer, Karten, Zertifikate, OTP, etc.) sind in einer Datenbank verfügbar. Das Prozess-Management wird auf Basis dieser Datenbank realisiert. Benutzer verwalten Status von Karten anzeigen (gefiltert und sortiert nach verschiedenen Kriterien) Karten und einzelne Zertifikate sperren Kartenpersonalisierungen genehmigen In der Datenbank ist für jeden Karteneintrag ein Informationsfeld für Textinformationen des Administrators zu dem Eintrag vorhanden. WHITEPAPER-MIDENTITYMANAGERPRO_1V06_ _DE.DOC 15

16 Abbildung 3: schematische Darstellung der Menüstruktur 6.1 Benutzerverwaltung (Account Management) Der Administrator kann in seinem Verantwortungsbereich Benutzer und weitere Administratoren und Helpdesk Mitarbeiter einpflegen und deren Rechte verwalten. Alternativ können Benutzer auch von einem externen LDAP-Server synchronsisiert werden. Dabei werden neue Benutzer automatisch in die CA-Datenbank übernommen und im LDAP gelöschte Benutzer archiviert und aus der Datenbank entfernt. Nach der Aktivierung des Benutzerkontos durch den Administrator können Accountinhaber dann Zertifikate und/oder SecOVID OTP Generatoren selbständig beantragen. Die zur Anmeldung notwendige TAN wird zentral generiert und dem Benutzer per zugestellt. Sie ist nur einmal gültig und verfällt automatisch. Ein Administrator kann alle Zertifikate, für die er verantwortlich ist, anzeigen und sperren. Spezielle Zertifikatstypen (IPSec-Maschinenzertifikate oder SSL-Server Zertifikate) kann der Administrator über ein Web-Antragsformular erstellen (PKCS#10- Request, zurück kommt entsprechend eine PKCS#12 oder PKCS#7-Antwort). IPSec- Maschinenzertifikate können auch über SCEP direkt vom Endgerät beantragt werden. WHITEPAPER-MIDENTITYMANAGERPRO_1V06_ _DE.DOC 16

17 Optional können Maschinenzertifikate auch von Usern beantragt werden. Die Ausstellung kann dabei von einer Freigabe des Antrags durch einen Administrator abhängig gemacht werden. Self-Service Kartenpersonalisierung: Der Accountinhaber authentisiert sich auf der Webseite mit Username, Passwort und TAN. Er wird angeleitet, seine leere Smartcard in das Kartenterminal einzustecken, und Karte beantragen zu wählen. Damit wird die Kartenpersonalisierung gestartet. In dem folgenden Prozess werden (bis zu) drei Schlüsselpaare generiert und Zertifikate für diese Schlüsselpaare beantragt. PIN und PUK werden auf der Karte gesetzt. Eine SecOVID (OTP) Applikation und die Schlüsselpaare werden zusammen mit den drei Zertifikaten auf die Karte geschrieben. Der gesamte Prozess ist für den Benutzer transparent. Optional: Verschlüsselungs-Schlüsselpaar und Verwaltungsdaten (z. B. Karten- Seriennummer) werden sicher zentral gespeichert. Die gesamte Datenübertragung erfolgt verschlüsselt. 6.2 Notfall-/Ersatzkarte Ein Accountinhaber teilt dem Administrator bzw. Helpdesk mit, dass er eine Ersatz-Karte benötigt (Karte vergessen, verlegt, verloren, defekt). Der Administrator bzw. Helpdesk meldet sich mit seiner Smartcard an der Management Console an und aktiviert für den Account die Produktion einer temporären Karte. Es wird eine TAN für diesen Vorgang generiert. Die TAN wird dem Accountinhaber mitgeteilt (telefonisch oder per ). Der Accountinhaber bekommt eine neutrale z. B. Rote Karte (=temporäre Karte) und führt damit eine Kartenpersonalisierung im Self-Service durch, analog zur Neuausstellung einer Karte. Die Smartcard wird daraufhin personalisiert mit dem archivierten Verschlüsselungs-Schlüsselpaar und dem zugehörigen Zertifikat, sowie zwei weiteren neuen Schlüsselpaaren, Zertifikaten und einer SecOVID Applikation. Die neuen Zertifikate werden für einen kurzen Gültigkeitszeitraum ausgestellt. Die Zertifikate der vergessenen / verlegten / verlorenen Karte werden noch nicht gesperrt. Die TAN ist nach dem Vorgang verbraucht. Wird die vergessene / verlegte / verlorene Karte wieder gefunden, gibt der Accountinhaber die WHITEPAPER-MIDENTITYMANAGERPRO_1V06_ _DE.DOC 17

18 temporäre Karte zurück. Zurückgegebene temporäre Karten werden vom Admin vollständig gelöscht und können wieder verwendet werden. Die temporären Zertifikate müssen nicht gesperrt werden, da sie nach kurzer Zeit ablaufen. 6.3 Permanente Kartensperrung durch den Adminsitrator Der Helpdesk (oder Administrator) meldet sich an der Management Console mit seiner Smartcard an. Die zu sperrenden Accounts werden mit der Management Konsole ausgesucht. Er sperrt mit einem Knopfdruck alle Inhalte der Karte (drei Zertifikate und SecOVID). Eine neue Sperrliste wird automatisch publiziert (CRL) und steht dann auch per OCSP zur Statusauskunft bereit. Optional: Kartensperrung mit automatischer Karten-Neubeantragung (Karte verloren / Karten roll-over). Der Admin wählt in dem Management-Tool für den Account die Funktion Karte sperren und neue beantragen. Der Prozess verläuft vorerst exakt wie eine permanente Kartensperrung. Es wird dann automatisch eine neue TAN generiert, die dem User mitgeteilt werden muss. Der User kann seine neue Smartcard nun im Self-Service personalisieren. Option: Wahlweise können neue Schlüssel erzeugt und zertifiziert werden oder aber die alten Schlüssel verwendet werden. 6.4 Helpdesk-Integration Für eine wissensbasierte Authentisierung eines Benutzers werden im Personalisierungsvorgang im Self-Service Daten des Benutzers erfragt. Der Benutzer gibt sowohl die Fragen als auch die Antworten über einen gesicherten Webdialog vor der Kartenpersonalisierung an. Die Daten werden für die Verwendung durch den Helpdesk in einer Datenbank gespeichert. WHITEPAPER-MIDENTITYMANAGERPRO_1V06_ _DE.DOC 18

19 7 Beispiel-Szenarien 7.1 Zentrale Kartenproduktion mit Daten aus einer Datenbank ext. DB Pre/Post Processing Module Frontend DB RA Komponente CA Komponente IS Komponente SecOVID Server CA-DB Management Konsole Abbildung 4: Ablauf Kartenproduktion Ablauf: 1. Die Benutzerdaten werden aus der externen Datenbank über das Pre- /Post-Processing Module importiert und aufbereitet (Bulk- Requesterstellung). Hier werden bereits die SecOVID Daten und die Karten PIN/PUK erzeugt. 2. Über die Frontend-Datenbank gelangen die Daten zum CA-Subsystem 3. Die RA Komponente führt nur minimale Tests durch, da die Daten aus einer vertrauenswürdigen Quelle (Datenbank) stammen 4. Die CA Komponente erzeugt die Schlüssel und erstellt die Zertifikate dazu 5. Die IS Komponente veröffentlicht die Daten und exportiert die SecOVID Datensätze direkt in den SecOVID Server 6. Über die Frontend-Datenbank gelangen die fertigen Zertifikate und SecOVID Daten wieder in das Pre-/Post-Processing Module, wo sie auf die Karte geschrieben werden. Dazu wird auch gleich der PIN Brief gedruckt. WHITEPAPER-MIDENTITYMANAGERPRO_1V06_ _DE.DOC 19

20 7.2 SoftToken Rollout mit dezentralen Registrierungsstellen und SCEP-Routern Frontend #1 Web-RA Frontend #2 SCEP Enrollment Server Enrollment Server Frontend DB Pre/Post Processing Module OCSP Responder LDAP RA Komponente CA Komponente IS Komponente CA-DB Management Konsole Abbildung 5: SoftToken Rollout Ablauf SoftToken: 1. Der Registrierungs-Mitarbeiter meldet sich über das Frontend-Modul Web-RA mit seiner Smartcard an (Web-Schnittstelle) 2. Er identifiziert die Benutzer und gibt die Benutzerdaten ein inkl. Sperrpasswort und -Adresse 3. Über die Frontend-Datenbank gelangen die Anträge in die RA, wo die Authentizität des RA-Mitarbeiters geprüft wird. 4. Die CA-Komponente erzeugt die Schlüssel und Zertifikate (PKCS#12-Datei) 5. Die IS Komponente veröffentlicht die fertigen Zertifikate im Verzeichnisdienst (damit sind sie per OCSP abrufbar) 6. Das Pre-/Post-Processing Module verschickt die PKCS#12 Datei an die zugehörige -Adresse 7. Der RA Mitarbeiter bekommt eine Rückmeldung über den Erfolg der Aktion an der Web-Schnittstelle WHITEPAPER-MIDENTITYMANAGERPRO_1V06_ _DE.DOC 20

21 Ablauf SCEP: 1. Das SCEP Frontend wird auf einem zweiten Enrollment Server installiert, um eine Trennung der Netze zu gewährleisten 2. Die Router fordern ihre Zertifikate über das SCEP-Protokoll an, dazu ist ihnen die IP-Adresse des SCEP-Frontends bekannt gemacht worden 3. In der RA-Komponente wird die Authentizität der Router-Requests geprüft 4. Die CA Komponente erstellt das passende Zertifikat 5. Die IS-Komponente veröffentlicht es im Verzeichnisdienst 6. Über den Enrollment Server und das SCEP-Frontend wird das fertige Zertifikat ausgeliefert, sobald der Router es anfordert (alternativ: Router wird in der Warteschleife gehalten) 7.3 Dezentraler Karten-Rollout mit diversen Mandanten und LDAP-Daten Frontend #1 Web-Request Enrollment Enrollment Server Server Frontend #1 Web-Request Frontend #1 Web-Request Enrollment Server Frontend DB OCSP Responder OCSP Responder LDAP ext. Benutzer- ext. LDAP Benutzer- LDAP RA Komponente CA CA Komponente CA-DB IS Komponente SecOVID Server Management Konsole Abbildung 6: Dezentraler Katen-Rollout WHITEPAPER-MIDENTITYMANAGERPRO_1V06_ _DE.DOC 21

22 Ablauf: 1. Die Benutzerdaten sind in eigenen LDAP-Servern der Mandanten hinterlegt 2. Der Administrator eines Mandanten aktiviert einen seiner zugeordneten Benutzer für die Kartenerstellung (Management Konsole) 3. Daraufhin bekommt der Benutzer eine mit der einmal gültigen TAN und der URL seines Frontend Moduls (Web-Request) zugestellt 4. Der Benutzer meldet sich mit Username, LDAP-Passwort und TAN an der Webseite an 5. Benutzername, LDAP-Passwort und TAN gelangen über die Frontend- Datenbank zur RA-Komponente, welche die Zugangsdaten gegen die externe Datenbasis prüft 6. CA und IS Komponenten werden übersprungen, das Web-Frontend zeigt nun die Seite zur Requesterstellung an 7. Der Benutzer legt eine leere Smartcard ein und merkt sich die angezeigte Karten-PIN 8. Über das Web Frontend werden die SecOVID Daten auf die Karte geschrieben und Zertifikats-Requests erstellt. 9. Die Antragsdaten in der RA Komponente nochmals gegen den externen LDAP Server geprüft und ggf. ergänzt. 10. Die CA-Instanz des Mandanten erstellt die Zertifikate 11. Die IS Komponente veröffentlicht die Zertifikate und schreibt die SecOVID Daten in den SecOVID Server 12. Über das Web Frontend werden die Zertifikate auf die Smartcard geschrieben WHITEPAPER-MIDENTITYMANAGERPRO_1V06_ _DE.DOC 22

23 8 Technische Daten Unterstützte Plattformen: Linux Server mit JBOSS Applikationsserver SUN Solaris 9 mit JBOSS Applikationsserver Algorithmen für Public Key-Verschlüsselung und digitale Signaturen: RSA (1024, 2048, 4096 Bit oder größere Schlüssellänge) DSA (beliebige Schlüssellänge) ECDSA (Standard FIPS-EC) weitere Algorithmen über Java CryptoAPI (Provider) leicht nachrüstbar Algorithmen für Hashfunktionen: MD5 (nicht empfohlen) SHA1, SHA256, SHA512 RIPEMD160 weitere Algorithmen über Java CryptoAPI (Provider) leicht nachrüstbar X.509v3 Zertifikate: Konformität zu ISIS-MTT Version 1.1 und (Requests und Zertifikate) SSL-Server- und SSL-Client-Zertifikate S/MIME-Zertifikate Win Logon-Zertifikate IPSec-Zertifikate Zertifikate für Verschlüsselung, digitale Signatur und Authentifikation Enrollment-Protokolle von Zertifikaten: Microsoft XENROLL über Internet Explorer Netscape/Mozilla Enrollment Protocol SCEP Cisco Enrollment Protocol für Cisco Router Sperrlisten: X.509v2 CRLs OCSP zur Online-Auskunft über den Status eines Zertifikates (auch SigGkonform) PKCS-Standards: PKCS#1 Verschlüsselung PKCS#10 certification requests / PKCS#7 certification responses WHITEPAPER-MIDENTITYMANAGERPRO_1V06_ _DE.DOC 23

24 PKCS#11 interfaces PKCS#12 softtokens Datenquellen für Zertifikatserstellung und Request-Prüfung: Webformular (GUI) LDAPv3 (z.b. openldap2, SunOne Directory Server, iplanet LDAP-Server) Active Directory Service (ADS) SQL-Datenbanken (z.b.oracle, MySQL) SAP-HR CSV, XML (optional) Benutzer-Authentisierung im selbstbedienten Betrieb: TAN (einmalig gültiges Passwort; Zustellung per Brief oder ) Passwort aus Datenbank LDAP-Passwort Veröffentlichung von Zertifikaten: LDAPv3 (z.b. openldap2, SunOne Directory Server, iplanet LDAP-Server) Active Directory Service (ADS) Ablage im Dateisystem RADIUS und TACACS+ (bei Verwendung von SecOVID-Einmalpasswörtern) Unterstützte Hardware-Sicherheitsmodule (HSM) Eracom ProtectHost Orange / ProtectHost External Orange weitere über PKCS#11 bzw. JCA-Provider Unterstützte X.509v3 Zertifikatsextensions (leicht erweiterbar): AdditionalInformationExtension, AdmissionExtension, ArchiveCutoffExtension, AuthorityInfoAccessExtension, AuthorityKeyIdentifierExtension, BasicConstraintsExtension, CertHashExtension, CertificateIssuerExtension, CertificatePoliciesExtension, CRLDistributionPointsExtension, CertificateTemplateExtension, DateOfCreationExtension, ExtendedKeyUsageExtension, IPSecTunnelExtension, NetscapeCertCommentExtension, NetscapeKeyUsageExtenion, PrivateKeyUsagePeriod, QCStatementExtension, ReasonCodeExtension, RestrictionExtension, SubjectKeyIdentifierExtension, SubjectAlternativeNameExtension, ValidityModelExtension WHITEPAPER-MIDENTITYMANAGERPRO_1V06_ _DE.DOC 24