Open-Source-Migration der Monopolkommission

Als Wunsch der Monopolkommission stand von Anfang an fest, dass für die Anmeldung am Client eine Kombination von zwei Merkmalen zur Authentifizierung am Arbeitsplatz zum Einsatz kommen sollte, da die Kombination von zwei Sicherheitsmerkmalen zu einer Erhöhung der Fälschungssicherheit einer Authentifizierung führt. Ergebnis war die Kombination von Chipkarte und Fingerabdruck.

Für die Erstellung von Chipkarten, zum Enrollment von Fingerabdrücken und zur Erstellung der Digitalen Signatur-Daten wurde eine integrierte Applikation erstellt. Hiermit kann sehr leicht über eine graphische Oberfläche eine Chipkarte erstellt, die bis zu zehn Finger eines Benutzers gespeichert und die GNUpg-Schlüssel für die digitale Signatur erzeugt werden. Die Gewinnung der Biometriedaten wird dabei über ein Produkt der Siemens AG durchgeführt, welches nicht quelloffen zur Verfügung steht. Die Daten, die per Minuzien-Verfahren aus einem gescannten Fingerabdruck gewonnen werden, liegen verschlüsselt auf dem Webserver.

Über die Chipkarte sollte den Nutzern ermöglicht werden, die Authentifizierung ohne Passwort durchzuführen und Platz für die Aufnahme der Daten für die digitale Signatur zu bieten. Verblieben wäre jedoch die Bestätigung der Authentizität durch Eingabe einer »Persönlichen Identifikationsnummer« (PIN) auf der Chipkarte. Diese Eingabe wurde für die Online-Umgebung durch die Nutzung eines biometrischen Verfahrens ersetzt.

Die Chipkarte wird jetzt zur Authentifizierung in beiden möglichen Umgebungen (»Online« und »Offline«) auf gleiche Art, jedoch mit unterschiedlicher Ausprägung genutzt.

Für die Mitarbeiter der Monopolkommission ist als Regelfall das Arbeiten im Netzwerk der Monopolkommission vorgesehen. Für diesen Fall sind alle Dienste und Applikationen für die Mitarbeiter zugänglich. Der Benutzer authentifiziert sich mit Chipkarte und Fingerabdruck. Die Integration der Chipkarte in das System erfolgt über eine PAM (Pluggable Authentification Module)-Schnittstelle, so dass die Authentifizierung für den Displaymanager (der verantwortlich für den Anmeldebildschirm ist) und auch für die Bildschirmschoner zur Verfügung steht. Nach Einschub der Chipkarte werden die verschlüsselten Biometriedaten vom Server geladen und mittels Fingerprintschlüssel entschlüsselt. Im Anmeldebildschirm und per LED-Anzeige der Maus erscheint dann die Aufforderung, einen Finger auf den Sensor zu legen. Die Biometriedaten werden extrahiert und mit den entschlüsselten Daten verglichen.Ist der Benutzer am System angemeldet und wird die Karte entfernt, wird die Arbeitsstation per Bildschirmschoner gesperrt. Nach Wiedereinschub der Karte werden wiederum die Biometriedaten verglichen und ggf. der Zugriff auf die Arbeitsstation gewährt.

Unter der Online-Umgebung wird die Netzwerkumgebung verstanden, bei der folgende Voraussetzungen gelten. Zum einen muss ein Client eine physische Verbindung zum Netzwerk haben (Netzwerkkabel). Zum zweiten müssen dann im Netzwerk folgende Dienste zur Verfügung stehen: Nameservice, Adminservice (LDAP-Service), Fileservice.

Für den Fall, dass die Netzwerkverbindung gestört ist und die Arbeitsplatzrechner keinen Zugriff zu den Servern haben, ist keine normale Anmeldung am Arbeitsplatz möglich. Der Benutzer erkennt dies an der Anmeldemaske. Er findet dann nicht die gewohnte Anmeldemaske vor, sondern eine spezielle »Offline«-Anmeldemaske.

In solchen Fällen kann sich ein Benutzer nur »Offline« anmelden. Dafür wird ausschließlich die Chipkarte benötigt, da die Biometriedaten bei einer Anmeldung mit den Daten des LDAP-Directory verglichen werden müssten, die aber nur über das Netzwerk zu erreichen wären.

Da die vom Benutzer erstellten Daten nicht auf dem zentralen Fileserver abgelegt werden können, wird bei der ersten »Offline«-Anmeldung an einem Arbeitsplatz ein Home-Verzeichnis für den Benutzer angelegt, in dem er seine Daten speichern kann. Zu diesem Home-Verzeichnis haben nur der Benutzer und der Administrator Zugriff. Sollte sich an dem Rechner ein anderer Mitarbeiter anmelden, wird auch für ihn ein eigenes Home-Verzeichnis angelegt. Wenn der Benutzer sich an diesem Arbeitsplatz später wieder »Online« anmeldet, wird sein Home-Verzeichnis mit gemountet, d.h. er kann auf seine lokal gespeicherten Daten wieder zugreifen. Dabei hat er für den Datenabgleich selbst zu sorgen. Wenn er »Online« ist, kann er Daten vom Fileserver in sein lokales Home-Verzeichnis kopieren oder verschieben und auch umgekehrt Daten aus dem Home-Verzeichnis auf dem Server ablegen. Ein Abgleich der Dateien ist manuell zu tätigen.

Als Applikationen stehen dem Benutzer dann StarOffice und Sylpheed als Mail-Client zur Verfügung. Da alle anderen Dienste und Applikationen nur für den Netzwerk­gebrauch vorgesehen sind, kann der Benutzer diese im Offline-Modus nicht nutzen.

Im Rahmen des Migration der Monopolkommission sollte die Einführung der digitalen Signatur für den gesicherten Mailverkehr erfolgen. Da das BSI mit dem Projekt Ägypten über ein Open-Source-Projekt verfügt, das den Standard nach Sphinx zur Erstellung einer Public-Key-Infrastruktur (PKI) erfüllt, solle, wenn möglich, die digitale Signatur aufgrund der dort getätigten Entwicklung mit dem Mail-Client KMail umgesetzt werden. Da zum Entscheidungszeitpunkt die Arbeiten im Projekt Ägypten noch nicht in Form eines einsatzreifen Produktes abgeschlossen waren, wurde als die digitale Signatur in Form von GNUpg-Schlüsseln realisiert. Dabei werden die GNUpg-Daten verschlüsselt auf der Chipkarte abgelegt.

• Drucken
• Versenden

• Kurz-URL

• Social Networks: mehr

Lesezeichen hinzufügen

• deli.cio.us
• Digg
• Facebook
• Folkd
• Google
• Identi.ca
• Linkarena
• Live
• Mr.Wong
• MySpace
• Newsvine
• Oneview
• reddit
• StudiVZ
• Stumble
• Twitter
• Yahoo!
• Yigg

• VIM kannste knicken! 
• chroot-Systeme von Festplatte direkt...