Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

© Copyright 2010 ecsec GmbH, All Rights Reserved. © 2013 SkIDentity-Team Die SkIDentity-Referenzarchitektur für die starke Authentisierung in der Cloud.

Ähnliche Präsentationen


Präsentation zum Thema: "© Copyright 2010 ecsec GmbH, All Rights Reserved. © 2013 SkIDentity-Team Die SkIDentity-Referenzarchitektur für die starke Authentisierung in der Cloud."—  Präsentation transkript:

1

2 © Copyright 2010 ecsec GmbH, All Rights Reserved. © 2013 SkIDentity-Team Die SkIDentity-Referenzarchitektur für die starke Authentisierung in der Cloud Dr. Detlef Hühnlein (ecsec GmbH)

3 © 2013 SkIDentity-Team>>2 Agenda Motivation Das SkIDentity-Projekt Die SkIDentity-Referenzarchitektur Zusammenfassung © 2013 SkIDentity-Team

4 Cloud Computing >>3 Quelle: Bedarfsorientierung Selbstbedienung Netzwerkzugriff Ressourcenbündelung Elastische Leistung Messbare Dienste Quelle: /nistpubs/ /SP pdfhttp://csrc.nist.gov/publications /nistpubs/ /SP pdf

5 © 2013 SkIDentity-Team Marktprognosen für Cloud Computing >>4 Quelle:

6 © 2013 SkIDentity-Team Quellen: [isc.sans.edu, nakedsecurity.sophos.com, Wie sicher ist denn die Cloud?

7 © 2013 SkIDentity-Team Identitätsdiebstahl in der Cloud >>6 Cross-Site-Scripting Signature-Wrapping siehe J. Somorovsky, M. Heiderich, M. Jensen, J. Schwenk, N. Gruschka, L. Lo Iacono: Breaking the Clouds – Security Analysis of Cloud Management Interfaces, in ACM Cloud Computing Security Workshop (CCSW), 2011

8 © 2013 SkIDentity-Team Cross-Site-Scripting (XSS) - Attack >>7 ( )

9 © 2013 SkIDentity-Team XSS-Angriff auf die Browser-basierte Schnittstelle 8 Downloadlink für X.509-Zertifikate enthält Parameter, der an verwundbares Serverskript übergeben wird. Parameter wird mit bösartigem Javascript gefüllt. Javascript wird im Kontext des Browser-basierten Management- Interfaces ausgeführt und hat Zugriff auf Nutzername/Passwort oder andere Berechtigungstoken des Administrators

10 © 2013 SkIDentity-Team XML-Signature-Wrapping-Attack >>9

11 © 2013 SkIDentity-Team Diebstahl von Bitcoins im Wert von US $ >>10

12 © 2013 SkIDentity-Team Sicherheitsempfehlungen des BSI für Cloud Computing Anbieter >>11

13 © 2013 SkIDentity-Team>>12 Agenda Motivation Das SkIDentity-Projekt Die SkIDentity-Referenzarchitektur Zusammenfassung © 2013 SkIDentity-Team

14 Ziel >>13 Cloud ?

15 © 2013 SkIDentity-Team Cloud ungeklärte Rechtsfragen Problemstellung >>14 eID-Services nur für nPA … nicht KMU-tauglich unklare Sicherheit unklare Geschäfts- modelle fehlende Standards

16 © 2013 SkIDentity-Team Das SkIDentity-Projekt >>15 …

17 © 2013 SkIDentity-Team>>16 Agenda Motivation Das SkIDentity-Projekt Die SkIDentity-Referenzarchitektur Zusammenfassung © 2013 SkIDentity-Team

18 Authentisierung Besitz Biometrie Wissen Riesige Anzahl an verschiedenen Authentisierungsprotokollen Symmetric Key Credentials Public Key Credentials "Bearer Tokens" andere Formate Infrastrukturen Vertrauensmodelle

19 © 2013 SkIDentity-Team >>18 Die Europäische eID-Landkarte

20 © 2013 SkIDentity-Team Authentisierung in der Cloud >>19 … IdP SP Client EAC (BSI-TR-03110) C2C (EN 14890) TLS (RFC 5246) HOTP (RFC 4226) … Starke

21 © 2013 SkIDentity-Team SkIDentity – Lösungsansatz >>20 SP Client IdP eID-Broker

22 © 2013 SkIDentity-Team SkIDentity – Referenzarchitektur >>21

23 © 2013 SkIDentity-Team SAML Web Browser SSO Profile >>22 GET IS IdP Disc. Profile ( _saml_idp ) Authentication Context Identity Provider Quelle:

24 © 2013 SkIDentity-Team OpenID GET IS ID Resolution & Security Association OpenID Provider checkid checkid Relying Party id_res id_res Authentication Quelle: >>23

25 © 2013 SkIDentity-Team Microsoft CardSpace >>24 GET /> IS Authentisierung durch Prüfung des WS Security Token POST /> Identity Provider (IP) Relying Party (RP) Prüfung des Ermittle Quelle:

26 © 2013 SkIDentity-Team OAuth 2.0 >>25 Quelle: Authorization Server Ressource Server User Client code=xyz GET authz_code,code=xyz access_token access_token code

27 © 2013 SkIDentity-Team>>26 eID-Broker … Policy App eID SkIDentity – Ablauf

28 © 2013 SkIDentity-Team SkIDentity – Client >>27

29 © 2013 SkIDentity-Team Open eCard App (www.openecard.org)www.openecard.org >>28

30 © 2013 SkIDentity-Team Erweiterbare Open eCard Plattform >>29

31 © 2013 SkIDentity-Team SkIDentity – Service Provider >>30

32 © 2013 SkIDentity-Team SkIDentity – Service Provider Cloud Application (CA) Web-Anwendung Cloud Connector (CC) Kommunikation mit SkIDentity-Infrastruktur >>31

33 © 2013 SkIDentity-Team Cloud Connector >>32 «interface» IConnector + Authenticate ( inout : Session : String [0..1], in : Policy : String [0..1], inout : Attribute : AttributeType [0..*] ) : Result Cloud Connector IConnector BrokerURL DefaultReturnURL DefaultPolicy TLSClientKeyFile

34 © 2013 SkIDentity-Team Zusammenfassung >>33 Dem Cloud Computing wird eine große Zukunft vorausgesagt Starke Authentisierung ist eine essentielle Grundlage für Sicherheit in der Cloud Sowohl für Endkunden als auch im B2B-Bereich eID-Nutzung in der Cloud ist sehr vielversprechend SkIDentity – vertrauenswürdige Identitäten für die Cloud

35 © 2013 SkIDentity-Team>>34 © Copyright 2010 ecsec GmbH, All Rights Reserved. Titelmasterformat durch Klicken bearbeiten Formatvorlage des Untertitelmasters durch Klicken bearbeiten © 2013 SkIDentity-Team Herzlichen Dank für Ihre Aufmerksamkeit! Kontakt:


Herunterladen ppt "© Copyright 2010 ecsec GmbH, All Rights Reserved. © 2013 SkIDentity-Team Die SkIDentity-Referenzarchitektur für die starke Authentisierung in der Cloud."

Ähnliche Präsentationen


Google-Anzeigen