Embed Size (px)
Citation preview
WILLKOMMEN BEI BROKAT Infosystems AG
Marc Mausch
BROKAT heute
Gegründet 1994 mit 5 Partnern in Deutschland
Heute Niederlassungen in USA, England, Schweiz, Irland, Singapur, Österreich, Luxemburg, Südafrika und in Australien
Anbieter der integrierten E-Services Plattform BROKAT Twister, die Multi-Channel-Lösungen für elektronische Transaktions-Applikationen ermöglicht.
Führender Anbieter von Financial E-Services Applikationen die auf Twister basieren
Deutschland 90% Europa 60 % 500 Mitarbeiter (Juni 99)
(nach Fusion mit MeTechnology) Erfolge in neuen Geschäftsbereichen
England COOP Bank
Online First Direct
Online
Deutschland Bank 24
Online ConSors Discount-Broker
Online Deutsche Bank
Online Schmidt Bank
Online Hypo Bank
Online Advance Bank
Online comdirect
Online Allianz Kapitalanlagegesellschaft
Online Raiffeisenbanken
731 Online Sparkassen
2 Online Bausparkasse Schwäbisch Hall
Online Mehr als 1000 Sparkassen und Raiffeisenbanken in
Realisierung
Schweiz Zürcher Kantonalbank
Online COOP Bank
Online Mehr als 100 Privatbanken in Realisierung
Österreich Alle Österreichischen Raiffeisenbanken
700 Online
sonstige Fortis Bank (LUX)
Online Egnatia Bank (GR)
Online POS Bank (SG)
Online Liechtensteinische Landesbank (FL)
Auszug-Trendsetter XPRESSO Retail Banking
Städtewettbewerb MEDIA@Komm
Alle drei MEDIA@Komm-Siegerkonzepte nutzen
BROKAT-Know-How: Bremen Esslingen Nürnberg
Einsatz von BROKAT Twister als technologische Plattform für Sichere Client-Anbindung über verschiedene Kanäle Backend-Integration Signaturgesetzkonforme Anwendungen
Was bedeutet Sicherheit?
Vertraulichkeit
Keiner außer den Kommunikationspartnern kann die ausgetauschten
Nachrichten mithören.
Integrität
Die empfangenen Nachrichten sind identisch mit den gesendeten
Nachrichten.
Authentifizierung
Die Identität des Kommunikationspartners ist eindeutig nachgewiesen.
Nichtabstreitbarkeit
Keine der beteiligten Parteien kann abstreiten, daß eine bestimmte
Nachricht ausgetauscht worden ist.
SECURITY - SYMMETRISCHE VERSCHLÜSSELUNG
Beide Kommunikationspartner benutzen denselben geheimen Schlüssel
Algorithmen: IDEA, DES, 3DES, RC2, RC4, ...
BobAlice
VerschlüsselungKlartext Ciphertext Entschlüsselung Klartext
Geheimer Schlüssel
Geheimer Schlüssel
SECURITY - ASYMMETRISCHE VERSCHLÜSSELUNG
Die Kommunikationspartner benutzen unterschiedliche Schlüssel
Es existieren Schlüsselpaare: privater und öffentlicher Schlüssel
Algorithmen: RSA, ElGamal, Elliptische Kurven, ...
BobAlice
VerschlüsselungKlartext Ciphertext Entschlüsselung Klartext
Öffentlicher Schlüssel Bob
Privater Schlüssel Bob
SECURITY - SSL STANDARD
Internet
entschlüsseln
Ciphertext Klartextverschlüsseln/entschlüsseln
verschlüsseln
Öffentlicher Schlüssel Bob
Privater Schlüssel Bob
Zufalls-zahlen-
Generator
Klartext
1
2 3
4
Browser Alice Server Bob
Ciphertext
SymmetrischerSitzungsschlüssel
SymmetrischerSitzungsschlüssel
verschlüsseln/entschlüsseln
Vertraulichkeit
Problemfelder und Schutzmechanismen:
Zugriff auf ‚gelagerte‘ Daten (Zutritt zu einem Aktenarchiv) Schutzmechanismen:
Firewall (schützt vor unberechtigten Zugriff)
Paßwortschutz (schützt vor unberechtigter Berechtigung)
Abhören von ‚bewegten‘ Daten (Überfall auf einen Aktentransporter) Schutzmechanismen:
Verschlüsselung (die geraubten Akten sind unleserlich)
Symmetrische 128-bit-Verschlüsselung: 1 Mio.$ HW benötigt das Lebensalter der Erde,
um sämtliche Kombinationen zu testen.
Asymmetrische gilt ab 1024 bit als sicher.
Kreditkartenzahlung mit symmetrischer 56-bit-Verschlüsselung
Standard-Verschlüsselungsfunktion von Browsern: 40 bit
Integrität und Authentizität
Verschiedene Sicherheitsstufen:
Datenabgleich (z.B. Kartennummer und Kartengültigkeit)
PIN
PIN/TAN
Softwarezertifikat
Kartenbasiert
Kartenbasiert nach digitalem Signaturgesetz
Biometrie
Grundprinzip der kartenbasierten Lösungen: Asymmetrische Verschlüsselung
Integrität und Authentizität
Sämtliche Authentifzierungsmethoden benötigen eine Zertifizierungsinstanz:
Datenabgleich: Plausibilität bzw. zentrale Datenbank
PIN: Privat geführte Datenbank
PIN/TAN: Privat geführte Datenbank
Softwarezertifikat: Datenbank, TrustCenter oder Net of Trust
Kartenbasiert: Privat geführtes TrustCenter
Kartenbasiert nach dig. Signaturgesetz: Unabhängiges TrustCenter
THANK YOU FOR LISTENING
www.brokat.com
Twister Object
Gateway
InternetTwister Object
Twister A
Twister Service
Twister Service
Gateway
SSL
Twister B
CertificateManagement
Service
CertificateManagement
Service
SECURITY - TWISTER IN VERTEILTEN UMGEBUNGEN
SECURITY - TWISTER-INTERNE KONZEPTE
IIOP Kommunikation zwischen Twister-Komponenten optional durch SSL
abgesichert
Gateways
Twister Services
Twister Objects
Ermöglicht die Verteilung von Twister-Komponenten und die sichere
Kommunikation zwischen Twister-Installationen über öffentliche Netze
Einfache Verwaltung von Twister-internen Zertifikaten mit Hilfe des
Certificate Management Service
SECURITY - TWISTER-INTERNE PKI (1/2)
Twister Gateways, Services, Node Manager und Object Manager besitzen eine digitale Identität
PSE (Personal Secure Environment): Privater RSA-Schlüssel Zertifikat, Zertifikatsliste (X.509) Vertrauenswürdige Zertifikate
Gat
ew
ay
NodeManager O
bje
ctM
ana
ger
Naming Service
PSE
PSEPSEPSE
Load Balancing S.
PSE
Gat
ew
ay
PSE
SECURITY - TWISTER-INTERNE PKI (2/2)
PSE Tool: Erzeugung und Verwaltung der PSEs von Twister-Komponenten Erzeugung von RSA-Schlüsselpaaren und PKCS#10 Zertifikatsanfragen Java und C++ Kommandozeilen-Tool
Certificate Management Service: Generische Zertifikats-Management Dienste Bereitstellung von CRLs (Zertifikats-Rückruflisten)
Twister Certificate Issuer: Erzeugung und Verwaltung von X.509 Zertifikaten für Twister-
Komponenten
Gateway
PSE Tool
CertificateManagement
Service
TwisterCertificate
Issuer
PSE
CA
CRLPrüfung
Applet
BrowserSSL
Ausstellung/Rückruf von Zertifikaten
RegistrationAuthority
Personalisierung
PKCS#11 Modul
LDAP Verzeichnis
Twister
LDAPAccessor
SC Leser
XPRESSOGateway
SECURITY - INTEGRATION VON EXTERNEN CAs
XPRESSOGateway
RAApplet
Browser
TwisterSSL
PKCS#11 Modul
SC Leser
Personalisierung
LDAPAccessor
CA
CRLPrüfung
Ausstellung/Rückruf von Zertifikaten
LDAP Verzeichnis
CAAccessor
SECURITY - INTEGRATION VON INTERNEN CAs
ClientHelloServerHelloCertificate*
CertificateRequest*ServerKeyExchange*
ServerHelloDoneCertificate*ClientKeyExchange
CertificateVerify*change cipher spec
Finishedchange cipher spec
Finished
Applikationsdaten Applikationsdaten
SERVERCLIENT
* optionale Nachrichten
SECURITY - SSL HANDSHAKE
Digitale Zertifikate: Eingebunden im SSL-Protokoll
Basierend auf X.509 Zertifikaten
Speicherung von privaten Schlüsseln und Zertifikaten: Smartcard oder PSE
HTTP/1.0 Authentication: UserID und Paßwort
Directory-basiert oder Twister Session-basiert
Weitere Methoden der Client-Authentifizierung: Ausführung auf der Applikationsebene
PIN/TAN (PIN und einmalige Transaktionsnummern)
Challenge/Response Hardware Token
Mobile digitale Signaturen
SECURITY - METHODEN DER CLIENT-AUTHENTIFIZIERUNG
SECURITY - CLIENT-AUTHENTIFIZIERUNG, ZERTIFIKATS/PKI INTEGRATION (1/2)
Certificate Management Service:
Zentrales Zertifikats-Interface für Twister
Standard-Komponente der Twister-Installation zur Benutzung von Zertifikaten
(intern oder extern)
Stellt ein generisches Interface für Applikationsprogrammierer zur Verfügung
und abstrahiert tatsächlich verwendete CA
Verwaltung von Zertifikaten für Twister-Komponenten, welche für interne SSL-
Verschlüsselung benutzt werden (Twister Certificate Issuer), sowie von Client-
Zertifikaten (über optionalen CA Accessor)
Zentraler Zugriffspunkt für CRLs (Certificate Revocation Lists), entweder als
lokale Kopie oder über optionalen LDAP Accessor aus Verzeichnissen
Auslieferung mit generischen RDOs (Funktionalität hängt von angebunden
CA-Produkten ab)
Extensions für iD2, Baltimore & Entrust
SECURITY - CLIENT-AUTHENTIFIZIERUNG, ZERTIFIKATS/PKI INTEGRATION (2/2)
Certificate ManagementService
Twister Certificate Issuer
iD2 CA (Baltimore) (Entrust) .....
Verwaltet CRLs Request Queuing
Twister RDOs
CRL-Prüfung Zertifikats-Anfrage Zertifikats-Widerruf .....
CA Extension
Verwendet CA-spezi-fische API
generisch CA-spezifisch
CERTIFICATE MANAGEMENT SERVICE
