Sichere Datenhaltung in verteilten Systemen Bericht über ein Großprojekt im medizinischen Bereich Dipl. Inform. Ramon Mörl
Ausgangssituation Heterogene Infrastruktur verteilt über mehrere Standorte Mainframes, Unix-Server, PC-Clients Standardapplikationen, proprietäre Client-Server Applikationen Benutzerauthentifizierung mit Chipkarten Chipkarten mit kryptographischen RSA-Koprozessoren Zertifizierungsautorität (CA) nach X.509 Zertifikate nach X.509 V3 X.500 Adressbuch für die Verwaltung nicht sensitiver Daten (E-Mail Adresse, Telefonnummer etc.) Mehr als 50.000 Endbenutzer mit unterschiedlichen Benutzerprofilen und Tätigkeiten
Zieldefinition Rollenorientierter Zugriffsschutz (mit SSO) Zeitabhängig (Arzt vom Dienst) Notfallkonzept Berücksichtigung der unterschiedlichen Benutzerprofile IT-Administration Klinikpersonal und externe, niedergelassene Ärzte Verwaltung Externe Dienstleister (Fernwartung...) Überschaubare Administration Aufteilung der Kompetenzen zwischen den verschiedenen Krankenhäusern Einfache Integration mit den vorhandenen Applikationen
Spannungsfeld Entlastung der Endbenutzer DV-Laien im Klinikbereich Hohe Anforderung an Administratoren durch Komplexe Netzwerke Große Benutzeranzahl Hohe Sicherheit (Starke Authentifizierung) Investitionsschutz
Sicherheit des Gesamtsystems Starke Authentifizierung mit Smartcards Single Sign On System integriert starke Authentifizierung in die verschiedenen Applikationen Zugriffsschutz bietet gleiches Sicherheitslevel Persönliche Digitale Signatur verfügbar Externe Zertifizierungsautorität schafft Vertrauen zwischen verschiedenen Organisationen 4-Augen Authentitifizierung für besonders sicherheitskritische Vorgänge Aufhebung der Anonymität von Daten Administration der Sicherheitsapplikationen
Investitionsschutz Vorhandenen X.500 Dienst auch für die sicherheitskritischen Daten verwenden Integrität für die Benutzerrollen und -privilegien Anonymität der Patientendaten für statistische Untersuchungen Vertraulichkeit von persönlichen Daten auch gegenüber den Systemadministratoren Nutzung der Smartcardinfrastruktur Einfache generische Schnittstelle für Zugriffsschutz Komplexe Entscheidungsgrundlagen Subjekt greift mit identifizierter Methode auf Objekt zu Einfaches Resultat: Zugriff erlaubt oder verweigert Einfache Integration der SS in alle Applikationen
Entlastung der Endbenutzer Sicherheit Akzeptanz der Benutzer Einfache Bedienbarkeit
Entlastung der Endbenutzer Sicherheit Akzeptanz der Benutzer Einfache Bedienbarkeit
Entlastung der Endbenutzer Sicherheit Akzeptanz der Benutzer Einfache Bedienbarkeit
Entlastung der Endbenutzer DV-Laien im Klinik Umfeld Rollenkonzept entspricht der Organistationsstruktur Single Sign On Multifunktionale Chipkarten Sicherheit Akzeptanz der Benutzer Einfache Bedienbarkeit Sehr gute Skalierbarkeit Administratoren Einfaches Vertretungskonzept Gruppierung der Benutzer automatisch Rollen & Funktionen Individuelle Benutzerverwaltung nach Organigramm Multifunktionale Chipkarten
Skalierbarkeit Aufteilen der Einzelprobleme und Zuweisen der Verantwortung Personalisierung der Chipkarten Pflege der Organisationsdaten Rollen Funktionen Kompetenzen Privilegien Organisationsstruktur (Oberarzt, Station, Krankenschwester...) Erstellung von Schutzprofilen und Benutzerprofilen entsprechend der Sicherheitspolitik Vertretung für einzelne Rollen ist durchführbar ohne eine Weitergabe der Identität Einfaches Verhalten bei Umorganisationen
Sicheres Datenmodell Beim Erstellen des Datenmodells werden die gewünschten Schutzqualitäten aufgenommen Integrität Vertraulichkeit Anonymität Die Verantwortung für die Pflege der Daten wird definiert Eine starke Authentifizierung ist Voraussetzung für die Erstellung oder Veränderung von geschützten Daten Der X.500 Dienst kann selbst die Integrität der Daten und die starke Authentifizierung nach X.500 garantieren Das Datenmodell selbst ist digital signiert
Administration, Müller, ihr neues Paßwort ist... Man in the middle Grüß Gott, hier Meier, könnten Sie mir bitte ein neues Paßwort geben? Gegenseitige Authentisierung durch ein Frage Antwort Verfahren: Wie heißen Ihre Kollegen Welche Faxnummer haben Sie Personalnummer Geburtsdatum
Administration, Müller, ihr neues Paßwort ist... Man in the middle Gegenseitige Authentisierung durch ein Frage Antwort Verfahren: Grüß Gott, hier Meier, könnten Sie mir bitte ein neues Paßwort geben? Grüß Gott, hier Meier, könnten Sie mir bitte ein neues Paßwort geben? Wie heißen Ihre Kollegen Welche Faxnummer haben Sie Personalnummer Geburtsdatum Administration, Müller, ihr neues Paßwort ist...
Datenmodell der Organisation Vorstand Kaufmä nnischer Bereichsleiter Technischer Bereichsleiter Stabsstelle Abteilungsleiter des Bereichs Gruppen der Abteilung Mit ar bei ter
Datenmodell der Benutzerattribute Name Typ: Octet-String Integritä tsgeschü tzt Verantwortlich: Persabt. Rolle Benutzerverwaltung Integritä tsgeschü tzt Verantwortlich: Leiter RZ Rolle Koordination AG Sicherheit Integritä tsgeschü tzt Verantwortlich: Datenschutzbeauftragter Faxnummer Integritä tsgeschü tzt Verantwortlich: TK-Vergabe E-Mail-Adresse Integritä tsgeschü tzt Verantwortlich: X.400 Admin Gehalt Vertraulich Verantwortlich: Persabt.
Das Datenmodell stellt Vertrauen zwischen Organisationseinheiten her, die keine gemeinsame Verwaltung haben Die Zertifizierungsautorität stellt die Infrastruktur für die Vertrauenskette zur Verfügung Die Übertragung von Vertrauen wird durch eine digitale Signatur dokumentiert und erhält damit Beweiskraft Die Vorgehensweise ist intuitiv und schützt deshalb vor Bedienungsfehlern Vertrauenskette
X.500 Authentifizierung In X.509 ist das Benutzerzertifikat bereits definiert Die starke Authentifizierung ist in X.511 definiert Client Server DUA DSA Chip Karte
Authentifizierungs-Protokoll Client DUA Erstellung eines Bind request
Authentifizierungs-Protokoll Client DUA Anforderung einer digitalen Signatur Chip Karte Auf der Chipkarte wird die digitale Signatur für den bind request erzeugt
Authentifizierungs-Protokoll Client DUA Server DSA Der digital signierte bind request wird an den Server geschickt Chip Karte
Authentifizierungs-Protokoll Client DUA Server DSA Der Server überprüft mit den vorhandenen Zertifikaten die Echtheit der Signatur Chip Karte
Authentifizierungs-Protokoll Client DUA Server DSA Der Server sendet sein signiertes Ergebnis zurück Chip Karte
Modifikation eines signierten Attributs Client DUA Überprüfung der Schutzqualität des Attributtyps im Datenmodell Definition der neuen Attributwerte
Modifikation eines signierten Attributs Client DUA Anforderung einer digitalen Signatur Chip Karte Auf der Chipkarte wird die digitale Signatur für den neuen Attributwert erzeugt
Modifikation eines signierten Attributs Client DUA Server DSA Der digital signierte Attributwert wird an den Server geschickt Chip Karte
Modifikation eines signierten Attributs Client DUA Server DSA Chip Karte Der Server überprüft mit den vorhandenen Zertifikaten die Echtheit der Signatur und anhand des Datenmodells die Befugnis das Attribut zu ändern
Modifikation eines signierten Attributs Client DUA Server DSA Der Server sendet signiert seine Meldung zurück Chip Karte
Zugriffsschutz mit Rollen Client Der Client liest alle Rollen des Benutzers im DSA. Die Rollen sind signiert und dadurch integritätsgeschützt.
Zugriffsschutz mit Rollen Client Die Benutzeranforderung kann digital signiert werden, um die Authentizität des Benutzers nachzuweisen Chip Karte Auf der Chipkarte wird die digitale Signatur erzeugt
Zugriffsschutz mit Rollen Client Server Chip Karte Die digital signierte Anforderung wird mit den Rollen, welche durch die zuständige Autorität signiert sind, an den Server geschickt
Zugriffsschutz mit Rollen Client Server Chip Karte Der Server überprüft mit den vorhandenen Zertifikaten die Echtheit der Signaturen und vergleicht die vorhandenen Rollen mit dem Schutzprofil
Zugriffsschutz mit Rollen Client Server Der Server beantwortet die Anfrage Chip Karte