RUBICon-Sicherheitskonzept

Einleitung

RUBICon ist zentraler Bestandteil des RUB eCampus. Die grundlegende Voraussetzung für einen eCampus ist eine geeignete IT-Sicherheits-Infrastruktur. Diese hat die RUB auf Basis ihres Identiätsmanagemetsystems RUBiKS (RUB integrierter Kundenservice) für den Einsatz von aktuell rund 30.000 Studierenden-, sowie mehr als 1.000 Bediensteten-Chipkarten geschafft.

Die RUB entwickelt über ihre PKI ein modulares Framework, mit dessen Hilfe die zentrale Authentifizierung und Autorisierung mittels Chipkarten und RUBiKS ermöglicht wird: Die RUBICon-Software (RUB Internet Connector). Mit der RUBICon-Software steht ein personalisierter Zugang zum Portal aller angebotenen Dienste, mit dem sicherheitskritische Anwendungen über das Internet genutzt werden können, zur Verfügung. Der RUBICon-Client ist ein gekapselter Browser mit erweiterter Chipkartenfunktionalität. Auf die Funktionsweise wird auf dieser Seite noch genauer eingegangen.

Um Missbrauchs- und Schadenszenarien vorzubeugen, sind sehr hohe Anforderungen an die Absicherung der Systeme zu stellen. Dies wurde in einer Vorabkontrolle des Datenschutzbeauftragens der Ruhr-Universität noch einmal hervorgehoben. RUBICon hilft dabei die Anforderungen zu erfüllen:

Merkmale

2-Faktor-Authentifizierung
Einbindung einer PKI
Autorisierung via IMS
24/7-Verfügbarkeit ("24 Stunden am Tag, 7 Tage die Woche")
Verwendung von elektronischen Signaturen

Was passiert beim Anmelden?

Nach dem Start von RUBICon wird der Benutzer aufgefordert seine Chipkarte in den Chipkartenleser einzulegen. Nun muss die persönliche Persönliche Identifikationsnummer (PIN) eigegeben werden. In einem speziellen Verfahren vergleicht RUBICon die eingegebene PIN mit der auf der Chipkarte hinterlegten. (1) Stimmen die PINs überein, wird eine Verbindung mittels Challange-Response-Verfahren zum Server hergestellt. (2) Damit ist die Authentifizierung abgeschlossen. In einem weiteren Schritt baut der Server eine Verbindung zur PKI auf. Diese überprüft das verwendete Zertifikat. (3) War der Vorgang erfolgreich, kontaktiert der Server zur Autorisierung das Identity Management System (IMS). (4) Dort werden die Befugnisse des Benutzers geprüft und eine Liste mit den zugangsberechtigten Applikationen erstellt. Diese Liste wird auf der Startseite des RUBICon angezeigt. (5) Der Nutzer kann nun Serviceleistungen, wie z. B. den Druck von Studierendenbescheinigungen, auswählen.

Anmeldung RUBICon

2-Faktor-Authentifizierung

Bei der 2-Faktor-Authentifizierung wird ein hohes Maß an Sicherheit dadurch erreicht, dass zwei Faktoren notwendig sind, um eine erfolgreiche Authentifizierung durchzuführen. Diese zwei Faktoren sind der Besitz der Chipkarte und das Wissen der PIN.

Public Key Infrastructure (PKI)

"Bei der Verschlüsselung (engl. encryption) wird ein Klartext (engl. plaintext) in einen Geheimtext (engl. ciphertext) übersetzt. Diese Übersetzung erfolgt anhand eines bestimmten Verschlüsselungsalgorithmus, der eine festgelegte Folge von Operationen auf den Klartext und einen Schlüssel (engl. key) anwendet. Dieser Vorgang wird gelegentlich auch Chiffrierung und der Geheimtext Chiffrat genannt."
(Projektgruppe E-Government im Bundesamt für Sicherheit in der Informationstechnik (BSI), Verschlüsselung und Signatur - Grundlagen und Anwendungsaspekte)

Bei allen RUBICon-Verbindungen findet das Verschlüsselungsprotokoll Secure Sockets Layer (SSL) Anwendung. Dadurch ist gewährleistet, dass kein Unbefugter die übertragenen Daten "mithören" kann.

Identity Management System (IMS)

Das Identity-Management System RUBiKS bildet die Grundlage für das kundenorientierte campusweite Dienstleistungsmanagement an der RUB. Mit RUBiKS, das seit 1999 in Betrieb ist, werden Stammdaten von Kunden verwaltet, die Online-Dienste der RUB in Anspruch nehmen. Der Kundenkreis der RUB umfasst Studierende, Mitarbeiter und akkreditierte Gäste, wie zum Beispiel Gastdozenten oder externe Nutzer der E-Learning-Plattform.

Dienste für RUBICon werden in RubiKS verwaltet.

Hohe Verfügbarkeit: 24/7

Durch den Einsatz von Balancern und einer skalierbar Serverarchitektur inkl. Ausfallsicherheit wird ein 24-Stunden-Betrieb, 7 Tage die Woche, angestrebt. Die Verbindung wird hierbei von dem RUBICon-Client über Loadbalancer an die RUBICon-Server hergestellt. Bei Ausfall eines Servers wird die Anfrage an einen anderen RUBICon-Server weitergeleitet. Ebenso kann bei einem ausgefallenen Loadbalancer ein anderer die Aufgabe übernehmen.

Verfügbarkeit

Elektronische Signaturen

"Mit Hilfe von kryptographischen Verfahren macht die elektronische Signatur jede Manipulation oder Verfälschung an den Originaldaten für den Empfänger sofort erkennbar. Durch eine sichere Zuordnung der eingesetzten kryptographischen Schlüssel zum Kommunikationspartner lässt sich außerdem der Urheber einer signierten Nachricht zweifelsfrei feststellen. Weiterhin können elektronische Signaturen auch eingesetzt werden, um einen Zeitpunkt festzuhalten, zu dem die Daten in einer bestimmten Form vorgelegen haben (Zeitstempel). Diese Funktionen sind vor allem wichtig, wenn die elektronisch getätigten Transaktionen rechtlich verbindlich und damit beweisbar sein sollen. Für sichere Rechtsgeschäfte im Internet sind elektronische Signaturen also unverzichtbar.." (Quelle: Bundesamt für Sicherheit in der Informationstechnik)

An der Ruhr-Universität Bochum findet die elektronische Signatur via Chipkarte statt. Die elektronische Signatur gilt als technisches Gegenstück zur Unterschrift. Daher muss mit der Chipkarte sehr sorgsam umgegangen werden. Insbesondere sollte eine komplexe PIN gewählt und diese nicht an Dritte weitergeben werden.

Beim Initialisieren und Personalisieren der Chipkarte werden ein privater und ein öffentlicher Schlüssel auf dieser generiert. Der private Schlüssel ist nicht auslesbar. Die Generierung erfolgt für Studierende während der Immatrikulation und für Bedienstete in einem gesonderten Verfahren. Der öffentliche Schlüssel ist im Gegensatz zum privaten Schlüssel auslesbar und in der PKI gespeichert. Gegenüber herkömmlichen Login- und Passwort-Kombinationen verlangt die Nutzung von RUBICon über das reine Wissen der PIN hinaus den physischen Besitz der Chipkarte.

Autorisierung und Authentifizierung

Bei der Authentifizierung findet eine Überprüfung der Identität statt. Bei RUBICon geschieht dies in Form einer 2-Faktor-Authentifizierung (auch starke Authentifizierung genannt) mittels Chipkarte.

In der anschließenden Autorisierung werden die Befugnisse des angemeldeten Benutzers gegen das IMS geprüft und eine Liste mit den zugangsberechtigten Applikationen erstellt.

Authentifizierung

Challenge-Response-Verfahren

"Möchte sich ein Client [...] gegenüber einem Server authentisieren, so sendet der Server [...] eine Zufallszahl, die dann vom Client mit einem (symmetrischen) Schlüssel verschlüsselt werden muss, den nur Client und Server kennen. Der Server überprüft dann diesen Wert und gibt ggf. den Zugriff frei."
(Schwenk, Jörg (2005), Sicherheit und Kryptographie im Internet. 2.Auflage, Vieweg: Wiesbaden.)

Innerhalb des RUBICon-Framework wird dieses Verfahren benutzt, damit ausschließlich RUBICon-Clients mit den Servern kommunizieren können.

Persönliche Identifikationsnummer (PIN)

Da die PIN eine elementare Rolle bei der Durchführung einer digitalen Signatur spielt, ist ein entsprechender Umgang mit ihr unerlässlich. Das bedeutet insbesondere keine Weitergabe an Dritte. Der Benutzer sollte keine "einfache" PIN wählen (z.B. "1234"). Ebenso ist das regelmäßige Ändern der PIN empfehlenswert. Es ist darauf zu achten, dass niemals die PIN aufgeschrieben zusammen mit der Chipkarte mitgeführt wird.

Verschlüsselung

"Bei der Verschlüsselung (engl. encryption) wird ein Klartext (engl. plaintext) in einen Geheimtext (engl. ciphertext) übersetzt. Diese übersetzung erfolgt anhand eines bestimmten Verschlüsselungsalgorithmus, der eine festgelegte Folge von Operationen auf den Klartext und einen Schlüssel (engl. key) anwendet. Dieser Vorgang wird gelegentlich auch Chiffrierung und der Geheimtext Chiffrat genannt."
(Projektgruppe E-Government im Bundesamt für Sicherheit in der Informationstechnik (BSI), Verschlüsselung und Signatur - Grundlagen und Anwendungsaspekte)

Bei allen RUBICon-Verbindungen findet das Verschlüsselungsprotokoll Secure Sockets Layer (SSL) Anwendung. Dadurch ist gewährleistet, dass kein Unbefugter die übertragenen Daten "mithören" kann.