Inhaltszusammenfassung für Kobil mLDentity Whitepaper
Seite 2
Whitepaper KOBIL mIDentity Copyright (C) 2004-2006 by KOBIL Systems GmbH, alle Rechte vorbehalten. Wir bemühen uns, alle in diesem Dokument dargestellten Funktionen und Abläufe auf Richtigkeit hin zu überprüfen. Dennoch können sich unbemerkt Fehler einschleichen, für die wir keine Gewährleistung übernehmen können.
Whitepaper KOBIL mIDentity Whitepaper KOBIL mIDentity Dieses Whitepaper zeigt die vielfältigen Einsatzmöglichkeiten von KOBIL mIDentity auf und gibt einen Überblick über die jeweiligen Systemumgebungen. Dieses Dokument bezieht sich auf: KOBIL mIDentity Version 1.5.1 Inhalt Produktbeschreibung ................5 Die KOBIL mIDentity Modelle................6 Die KOBIL mIDentity Smartcard................7...
Seite 4
2.17 Parametrisierbarkeit der KOBIL mIDentity Software........35 2.18 Das KOBIL mIDentity SDK..................36 2.19 Zutrittskontrolle und Zeiterfassung (RFID-Transponder) ......38 Glossar.....................39 Anhang A: Technische Spezifikation KOBIL mIDentity ......40 Unterstützte Betriebssysteme ................40 Unterstützte Software..................40 Hardware Anforderungen...................40 Kryptographische Schnittstellen und Standards...........40 Unterstützte Smartcards..................41 Lieferumfang......................41 WHITEPAPER-MIDENTITY_1V16_20060623_DE.DOC...
KOBIL mIDentity Plattform arbeiten zu können. Alle Ihre Anwendungen passen plötzlich in die Hosentasche, das ist totale Mobilität, die Freiraum und Sicherheit schafft – zuverlässig geschützt in Ihrem KOBIL mIDentity durch Smartcard und PIN. KOBIL mIDentity macht Ihre IT-Welt mobil, denn KOBIL mIDentity ist: •...
L (256 MB), XL (512 MB) und XXL (1 GB). Die KOBIL mIDentity Smartcard Die mIDentity Smartcard bildet das Herz von KOBIL mIDentity, denn auf ihr sind Ihre persönlichen Informationen und Schlüssel sicher gespeichert. Ohne sie ist kein Zugriff auf gesicherte Informationen innerhalb KOBIL mIDentity möglich.
Kenntnis der PIN Zugriff auf die vertraulichen Informationen erhält. Datensafes sind in der Größe skalierbar und können sowohl auf dem KOBIL mIDentity Device, als auch auf der Festplatte eines Notebook oder Desktop Rechners, sowie im Netzwerk abgelegt werden.
Seite 9
Software oder Treiber installieren. Normale Benutzerrechte genügen auf einem solchen PC, um eine hochsichere Authentifikation (SSL-Clientauthentifikation über Zertifikat und Smartcard im KOBIL mIDentity) durchzuführen. Die Daten, die während einer VPN-Sitzung vom Firmennetzwerk auf Ihren lokalen PC übertragen werden, sind auf dem Transportweg sicher verschlüsselt. Sofern es sich um sensible Daten handelt, die Sie fortan mit sich führen wollen, können Sie die...
Passwort wählt, was zu Sicherheitsrisiken führt. Auch der berühmte „Post-It'' Merkzettel mit den Passwörtern am Monitor birgt erhebliche Gefahren. Mit KOBIL mIDentity braucht sich der Benutzer seine Passwörter nicht mehr zu merken - denn sie sind hochsicher mit der KOBIL mIDentity Smartcard verschlüsselt im Flash-Speicher des KOBIL mIDentity abgelegt.
Seite 11
Backup und Notfall-Assistent Hat der Benutzer wie in Fall a) beschrieben seine kompletten Anmeldedaten per Backup gesichert, steht aber gerade kein Ersatz-KOBIL mIDentity bereit, so hat der Benutzer die Möglichkeit, über den KOBIL mIDentity Notfall-Assistent die eigenen Anmeldedaten (Benutzernamen, Passwörter) im Klartext einzusehen, nachdem er diese Daten durch Eingabe des korrekten Notfall-Passwortes entschlüsselt hat.
Seite 12
Server Auch bei der Verwendung von OTP’s beruht die Sicherheit der Anmeldedaten komplett auf der KOBIL mIDentity Smartcard, denn diese erzeugt die OTPs mit den darin gespeicherten 3DES-Schlüsseln (168 Bit), die wiederum durch die Smartcard PIN geschützt sind. Weitere Informationen zum KOBIL SecOVID System finden Sie im Internet unter http://www.kobil.com/secovid.
Seite 13
Whitepaper KOBIL mIDentity KOBIL mIDentity Simple Sign-On unterstützt u. a. folgende Applikationstypen: • Webseiten (HTML) im Internet Explorer o Webformulare o Web-Mail o Basic Authentication Requests o Java-Servlets o Perl-Anwendungen o .NET-Applikationen • Windows-Applikationen o Microsoft Windows-Netzwerkanmeldung o VPN-Clients (z. B. Microsoft VPN, Check Point, Cisco) o DFÜ-Netzwerk...
Dokumente oder private Unterlagen handelt – KOBIL mIDentity verschlüsselt alles mit hochsicherer Smartcard Technologie. Die folgenden Funktionen werden unterstützt: • Mobiler Datensafe auf KOBIL mIDentity: tragen Sie Ihre sensiblen Daten hochsicher verschlüsselt in Ihrer Hosentasche überall bei sich. • Datensafes auf der Festplatte: die lokalen Datensafes auf Ihrem Notebook oder Ihrem Heim- bzw.
Seite 15
KOBIL mIDentity Smartcard. Durch den Einsatz von Smartcard Technologie wird eine starke Zwei-Faktor Authentifikation am Datensafe erreicht (Besitz der KOBIL mIDentity Smartcard und Wissen der PIN), anstatt nur die Kenntnis des statischen Windows-Passworts im Falle von EFS. Im Client-Server Umfeld können mIDentity Datensafes auch auf dem Server abgelegt und vom Client aus zugegriffen werden –...
Abbildung 10: mobiler Datensafe Die Verschlüsselung geschieht hierbei genauso wie bei den regulären Datensafes, die Sie bei installierter KOBIL mIDentity Software auf der Festplatte oder im Netzwerk verwalten können. Es kommt eine Hybridverschlüsselung zum Einsatz, bei der die eigentlichen Daten mit dem 3DES-Algorithmus (168 Bit Schlüssellänge) verschlüsselt werden und der verwendete 3DES-Schlüssel mit...
Zertifikaten sofort möglich ist. Windows Smartcard Logon Mit KOBIL mIDentity können Sie sich auch an Windows 2000 oder Windows XP Rechnern anmelden. Statt den Benutzernamen und das Passwort einzugeben, stecken Sie einfach KOBIL mIDentity ein und geben die PIN der mIDentity Smartcard ein, um sich anzumelden.
Seite 18
Abbildung 5: Willkommen bei Windows Wenn keine Domäne oder kein Active Directory zur Verfügung steht, kann der Logon auch über die Zusatz-Lösung KOBIL mIDentity GINA realisiert werden, bei der die GINA Anmeldekomponente von Windows ersetzt wird und somit flexiblere Logon- Möglichkeiten zur Verfügung stehen. Somit können die Logon- Daten (Username / Passwort) entweder direkt auf der mIDentity Smartcard gespeichert oder alternativ mit der Smartcard verschlüsselt auf der Festplatte...
Whitepaper KOBIL mIDentity KOBIL eSecure für SAP Durch die von SAP zertifizierte SNC-Schnittstelle („Secure Network Connection“) kann KOBIL mIDentity an das SAP R/3 System angebunden werden und die folgenden Sicherheitsfunktionen realisieren: • Starke Authentifikation der Benutzer durch die KOBIL mIDentity Smartcard.
Whitepaper KOBIL mIDentity Abbildung 6: Datenübertragung zwischen GSS-API und Server 2.6.1 Unterstützte SAP-Plattformen SAP-Server: • Linux - 32 Bit und 64 Bit • IBM AIX 5.2 und 5.3 - 64 Bit • HP-UX 11.11 – 64 Bit (PA-RISC) • SUN Solaris 2.7 und Solaris 2.8 - 32 Bit (UltraSPARC) und 64 Bit (SPARCV9+) •...
Verschlüsselung und Authentifizierung geeignet sind. Die Zertifikate können z. B. von einer Windows CA oder KOBIL mIDentity Manager ausgestellt werden (siehe hierzu z. B. den KOBIL mIDentity Integration Guide für die Windows Plattform, den Sie bei KOBIL im Internet im PartnerWeb unter www.kobil.com herunterladen können).
Trustcenter wie Telesec oder Verisign ausgestellt) und wird so konfiguriert, dass er nur Zugang per SSL Client-Authentifikation gewährt. Dann ist auf den Clients nur ein Web Browser und KOBIL mIDentity notwendig (mit einem SSL Client Zertifikat ausgestattet), über das sich der Benutzer dann per KOBIL mIDentity Smartcard und PIN anmeldet.
Da das RDP Protokoll jedoch noch kein SSL-Wrapping beherrscht, ist eine Browser- Einbettung derzeit noch nicht möglich. Im KOBIL mIDentity SDK (siehe Abschnitt „Das KOBIL mIDentity SDK“) finden Sie die notwendigen Tools und Beispiele, um Ihre eigenen mobilen Terminal Clients zu erstellen.
Whitepaper KOBIL mIDentity Installationsloses SSL-VPN Die neue installationslose Version KOBIL mIDentity Basic ermöglicht Ihnen den hochsicheren Zugriff auf Ihr Unternehmensnetzwerk von einem beliebigen PC aus (siehe Anhang A: Technische Spezifikation KOBIL mIDentity), der über Internetanschluss verfügt. Dort müssen Sie keinerlei VPN- oder KOBIL mIDentity spezifische Software oder Treiber installieren.
Seite 25
Einstellungen auch im READ-ONLY Modus betreiben, so dass der Benutzer seine Konfiguration auch nicht versehentlich beschädigen kann. Über das im KOBIL mIDentity SDK enthaltene ImageLoader Tool können Sie eigene CD-ROM Images mit Ihrer individuellen Konfiguration erstellen und in KOBIL mIDentity laden.
Bootschutz und optional Festplatten-Vollverschlüsselung erweitert werden. Dazu wird eine starke Authentisierung schon vor dem Bootvorgang mit Hilfe der KOBIL mIDentity Smartcard durchgeführt. Bei der Festplatten-Vollverschlüsselung entschlüsselt mIDentity zudem den auf der Festplatte gespeicherten verschlüsselten Schlüssel, der zur Entschlüsselung der kompletten Festplatte verwendet wird.
Whitepaper KOBIL mIDentity 2.11 Rollout und Management mit KOBIL mIDentity Manager Der KOBIL mIDentity Rollout-Prozess orientiert sich am klassischen Smartcard Rollout. Damit können bekannte Prozesse wie beispielsweise die PIN Brief Erstellung und Smartcard Massenpersonalisierung weiterhin genutzt werden. Der Benutzer bekommt: •...
Seite 28
Der PKI-Administrator hat die folgenden Möglichkeiten, die Zertifikate für die KOBIL mIDentity Smartcard zu erzeugen: • Windows 2000/2003 CA mit KOBIL Smart Key RA Manager bzw. KOBIL mIDentity Manager Basic (siehe KOBIL mIDentity Integration Guide für die Windows Plattform, den Sie bei KOBIL im Internet im PartnerWeb unter http://www.kobil.com...
Seite 29
• Statisches Passwort bzw. OTP-Generator Nummer (im SecOVID Fall) Zum Versand an den Benutzer sind die Anmeldedaten mit einem Passwort verschlüsselt. Der Benutzer importiert diese in sein bereits personalisiertes KOBIL mIDentity Device. Dabei werden die Daten an die Smartcard umgeschlüsselt, so dass sie fortan nur noch über die Smartcard PIN nutzbar sind.
In einigen Anwendungsszenarien ist es nicht erwünscht, dass beliebige USB Geräte, insbesondere Massenspeichergeräte, an den Workstations angeschlossen sind. Um durchzusetzen, dass nur KOBIL mIDentity Geräte, aber keine anderen USB- Geräte angeschlossen werden können, gibt es entsprechende Produkte von Drittherstellern. Darüber können USB-Ports entweder nur für bestimmte KOBIL mIDentity Geräte (anhand deren Seriennummern) oder für die gesamte Klasse...
(Public Key Service) für qualifizierte Signaturen finden Sie unter http://pks.telesec.de. Bei Fragen rund um die elektronische Signatur und den KOBIL Smart Key SigG-CSP wenden Sie sich bitte an Ihren zertifizierten KOBIL Partner oder direkt an KOBIL im Internet unter http://www.kobil.com. WHITEPAPER-MIDENTITY_1V16_20060623_DE.DOC...
Whitepaper KOBIL mIDentity 2.14 Unterstützung für Virtual Private Networks (VPN) KOBIL mIDentity unterstützt eine breite Anzahl von VPN-Lösungen, so dass Sie einen sicheren Tunnel zwischen KOBIL mIDentity und Ihrem VPN-Server aufbauen können. Das beste VPN Produkt ist nur so gut wie die Benutzer-Authentisierung, die dahinter steht.
Whitepaper KOBIL mIDentity 2.15 Sichere Email mit Microsoft Outlook Sie können Emails mit Hilfe von KOBIL mIDentity sicher verschlüsseln und digital signieren. Dadurch wird die Vertraulichkeit und Integrität/Authentizität der Emails garantiert. In Exchange-basierten Umgebungen können die Zertifikate zur Verschlüsselung bequem über die Microsoft CA beantragt und verwaltet werden. Dabei dient das Active Directory auch gleichzeitig als Datenbank für die Zertifikate, über die die...
2.16 Applikationen von Drittherstellern auf KOBIL mIDentity Sie können auch Applikationen von anderen Herstellern oder eigene Applikationen auf KOBIL mIDentity abspeichern. Dadurch werden Ihre Applikationen mobil, denn sie tragen sie überall in der Hosentasche bei sich! Ein Beispiel für solch eine Applikations-Integration ist das Go-Networld Projekt der Volks- und Raiffeisen-Banken (http://www.dgverlag.de):...
Benutzer, um im Notfall Daten wiederherstellen zu können. • Einschränkungen für Benutzer definieren, z.B. PIN ändern verbieten, Freischalten einer gesperrten Smartcard verbieten, PIN-Caching verbieten Details hierzu finden Sie im KOBIL mIDentity SDK, das im KOBIL PartnerWEB zum Download bereitsteht. WHITEPAPER-MIDENTITY_1V16_20060623_DE.DOC...
Whitepaper KOBIL mIDentity 2.18 Das KOBIL mIDentity SDK Das KOBIL mIDentity SDK kann von KOBIL Partnern kostenfrei im KOBIL PartnerWEB heruntergeladen werden und enthält wichtige Tools und Dokumentationen für Solution- und Integration Partner. Die folgenden Themen werden im KOBIL mIDentity SDK behandelt: •...
Seite 37
Software- oder Treiber auf den PCs der Benutzer installiert werden muss. • Fernsteuerung der KOBIL mIDentity Software Alle relevanten sichtbaren Teile der KOBIL mIDentity Software sind einzeln oder komplett ausblendbar und fernsteuerbar. Zur Fernsteuerung, d.h. zum Aufruf einzelner Funktionen der KOBIL mIDentity Software rufen Sie als Anwendungsentwickler Funktionen in der MCCRemControl.dll (KOBIL...
Antenne als Modul in den Gehäuse-Deckel von mIDentity eingebracht. Bei Fragen rund um die RFID Transponder-Technik und die Integration Ihrer kontaktlosen Applikationen sprechen Sie bitte Ihren zertifizierten KOBIL Partner an oder wenden Sie sich direkt an KOBIL im Internet unter http://www.kobil.com/mIDentity. WHITEPAPER-MIDENTITY_1V16_20060623_DE.DOC...
Whitepaper KOBIL mIDentity Glossar Cryptographic Service Provider, eine von Microsoft definierte Schnittstelle zwischen Anwendungssoftware und kryptographischen Funktionen wie digitaler Signatur und Verschlüsselung CryptoAPI siehe CSP CT-API Card Terminal Application Programming Interface, definiert eine plattform-übergreifende Schnittstelle zwischen Anwendungsprogrammen und Smartcard-Terminals LDAP Lightweight Directory Access Protocol, ein Protokoll zum Zugriff auf Verzeichnisdienste.
Ein freier USB-1.1 oder USB 2.0 Anschluss Kryptographische Schnittstellen und Standards Microsoft CryptoAPI / CSP Schnittstelle PKCS#11 Schnittstelle RADIUS und TACACS+ Schnittstelle (in Verbindung mit KOBIL SecOVID OTP Server) X.509v3-Zertifikate SSL Authentisierung (in Verbindung mit Browser) S/MIME Secure Email (in Verbindung mit Email-Client) LDAP Zertifikats-Abruf PKCS#7-Format für verschlüsselte und signierte Dateien...