Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Portalbeispiele B2C Spezielles Seminar WI SS 2002 Prof. Dr. Kai Rannenberg Mobile CSCW insb. Sicherheit mobiler Plattformen für mobiles Arbeiten Autor:

Ähnliche Präsentationen


Präsentation zum Thema: "Portalbeispiele B2C Spezielles Seminar WI SS 2002 Prof. Dr. Kai Rannenberg Mobile CSCW insb. Sicherheit mobiler Plattformen für mobiles Arbeiten Autor:"—  Präsentation transkript:

1 Portalbeispiele B2C Spezielles Seminar WI SS 2002 Prof. Dr. Kai Rannenberg Mobile CSCW insb. Sicherheit mobiler Plattformen für mobiles Arbeiten Autor: Thomas Laumeier Datum: 23. Juni 2002

2 Thema Nr. 4: Sicherheit mobiler Seite 2 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 AGENDA Einleitung Security-Anforderungen GSM-Netze –Schlüsselverwaltung –Authentifizierung Protokolle –WAP –WTLS Relevante Risiken für das MSP Fragen

3 Thema Nr. 4: Sicherheit mobiler Seite 3 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 Situation Offenenheit Sicherheit - Integration immer größerer Be- reiche der Wertschöpfungskette - Zunehmende Automatisierung - Kurze Entwicklungszyklen m-Commerce? Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen e-Commerce

4 Thema Nr. 4: Sicherheit mobiler Seite 4 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 Begriffe & Definitionen Security –Immaterielle Schutzgüter –Beabsichtigte Angriffe Safety –Leib & Leben –Unbilden der Natur –Unbilden der Technik Sicherheit Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen

5 Thema Nr. 4: Sicherheit mobiler Seite 5 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 Security-Anforderungen Vertraulichkeit Anonymität Pseudonymität Unbeobachtbarkeit Unverkettbarkeit Unabstreitbarkeit Übertragungsintegrität Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen

6 Thema Nr. 4: Sicherheit mobiler Seite 6 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 Vertraulichkeit EINE Authorisation, anschließend voller Zugriff auf alle Ressourcen Verschlüsselung des User-Passwortes auf dem Endgerät: z.B. Palm OS in Klartext User bestimmt sein Passwort: z.B. Sommer Voller Zugriff für Erweiterungen (Active X & Java) Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen

7 Thema Nr. 4: Sicherheit mobiler Seite 7 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 Anonymität Starke Abhängigkeit vom Userverhalten –(De)aktivierung der Rufnummernübermittlung –(De)aktivierung Funkübertragung (z.B. Bluetooth) Heterogenität der Umwelt erfordert ausgeklügeltes Sicherheitsmanagement –Location Based Services (LBC) –Spontane Vernetzung –Betriebsnetzwerk –Private IT-Umgebung Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen

8 Thema Nr. 4: Sicherheit mobiler Seite 8 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 Pseudonymität Pre-Paid-Karten Elektronische Zahlungs-Dienste –Z.B. Paybox –Zahlungsgarantie –Authentifizierung –Trust-Lösung: Hohe Vertrauenswürdigkeit vorrausgesetzt Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen

9 Thema Nr. 4: Sicherheit mobiler Seite 9 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 Unbeobachtbarkeit Enge Fassung (Netzbetreiber gilt als Außenstehender) –Big Brother Is Watching You Weite Fassung (Netzbetreiber wird nicht berücksichtigt) –Protokollierung, falls Nutzung fremder Netze Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen

10 Thema Nr. 4: Sicherheit mobiler Seite 10 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 Unverkettbarkeit Netzbetreiber kennen alle Verbindungsdaten, aber –Firmenhandy –Familienanschluß Sammlung von Daten möglich, aber –Heterogene Netze erschweren die gezielte Zusammentragung –Spy-Software Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen

11 Thema Nr. 4: Sicherheit mobiler Seite 11 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 Unabstreitbarkeit MoSign: Mobile Digitale Signatur Anbieter- & Nachfragerstruktur Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen

12 Thema Nr. 4: Sicherheit mobiler Seite 12 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 Übertragungsintegrität Gewährleistung mittels digitaler Signatur Authentifizierung per Personalisierung SSL X X Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen

13 Thema Nr. 4: Sicherheit mobiler Seite 13 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 GSM-Netze Digitalisierung Komprimierung Chiffrierung Frequency Hopping Neuer Schlüssel je Sitzung Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen

14 Thema Nr. 4: Sicherheit mobiler Seite 14 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 Authentifizierung in GSM-Netzen Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen

15 Thema Nr. 4: Sicherheit mobiler Seite 15 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 Authentifizierung in GSM-Netzen AuthentifizierungSchlüsselübergabe AuthentifizierungSchlüsselübergabe 1 Seriennummer Chiffrierung Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen

16 Thema Nr. 4: Sicherheit mobiler Seite 16 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 Authentifizierung in GSM-Netzen Außerordentlich hohes Sicherheitsniveau Erfolgreicher Hack 1998 –Kenntnis der Algorithmen A8 und A3 –Choosen Challenge Angriff Fütterung der SIM-Karte Analyse der Ergebnisse und Ermittlung von Ki Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen

17 Thema Nr. 4: Sicherheit mobiler Seite 17 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 WAP-Protokollfamilie Wireless Application Environment Wireless Session Protokol Wireless Datagram Protokol Wireless Transport Layer Security Wireless Transaction Protocol Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen

18 Thema Nr. 4: Sicherheit mobiler Seite 18 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 WTLS Ableitung aus SSL Kompromisse –Initialisierungs-Vektoren werden linear berechnet –DES-Schlüssellänge lediglich 35 Bit –Teilalgorithmus führt primitives 40 Bit-XOR durch –Verwendete Primzahlen haben nur eine Länge von 512 oder 768 Bit Fazit: WTLS alleine unzureichend Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen

19 Thema Nr. 4: Sicherheit mobiler Seite 19 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 Relevante Risiken für MSP Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen

20 Thema Nr. 4: Sicherheit mobiler Seite 20 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 Relevante Risiken für MSP GSM –Schutz der SIM-Karte mittels PIN –COMP128-Algorithmus nicht vollständig bekannt (D1 und E-Plus setzten bereits 1998 Varianten ein) –Benötigte Rechenzeit zur Berechnung Ki: 8 Stunden WAP-Gateway –Transformationsprozess html zu WAP zwingend vorgegeben –Klartext direkt an Außenschnittstelle Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen

21 Thema Nr. 4: Sicherheit mobiler Seite 21 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 Überleitung Offenenheit Sicherheit m-Commerce Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen

22 Vielen Dank für Ihre Aufmerksamkeit!

23 Thema Nr. 4: Sicherheit mobiler Seite 23 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 MoSign Architektur WAP-Gateway ISP (HTTP) Vendors Banks Certificates and Key + Standard Smart Card Secure Transactions Wireless / Wired Devices += Application- Server WML / HTML Legitimation-Server Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen

24 Thema Nr. 4: Sicherheit mobiler Seite 24 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 MoSign Signierungsprozess Signature Authorized. Transaction Completed. ConfirmCancel Please confirm order of transaction for 3.000,- DM. ConfirmCancel Please confirm the order of transaction for 3.000,- DM. ConfirmCancel Please confirm the order of transaction for 3.000,- DM. Legitimation Server Wireless Gateway / ISP Application-Server (WML/HTML) Mobile Devices * * * * * * * * * * * BestätigenAbbrechen Please insert your card and enter the PIN code to unlock it: Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen

25 Thema Nr. 4: Sicherheit mobiler Seite 25 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 PKI Verschlüsselung Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen

26 Thema Nr. 4: Sicherheit mobiler Seite 26 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 PKI Signatur Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen

27 Thema Nr. 4: Sicherheit mobiler Seite 27 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 Wireless-Security-Conzept Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MBP Fragen

28 Thema Nr. 4: Sicherheit mobiler Seite 28 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 Begriffe & Definitionen Datensicherheit –Confidentiality: Sichere Wege –Integrity: Keine Manipulation –Authentication: Beweis der Person –Access Control: Zugriffskontrolle –Nonrepudiation: Unabstreitbarkeit –Availability: Jederzeitige Verfügbarkeit Datenschutz –Privacy: Wer sammelte welche Daten Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen

29 Thema Nr. 4: Sicherheit mobiler Seite 29 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 Begriffe & Definitionen Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen E-Business-Integration –Direkte oder indirekte Verbindung –Zwei oder mehr Business-Anwendungen –Geschäftsbezogener Informationsaustausch –Unternehmensinterne oder –externe Integration Web Services –Verwendung XML-basierte Standards –Auffinden des Dienstes mittels UDDI (Universal Description, Discovery and Integration) –Definition des Dienstes mittels WSDL (Web Service Description Language) –Über das Internet erreichbar

30 Thema Nr. 4: Sicherheit mobiler Seite 30 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 Begriffe & Definitionen Datensicherheit –Confidentiality: Sichere Wege –Integrity: Keine Manipulation –Authentication: Beweis der Person –Access Control: Zugriffskontrolle –Nonrepudiation: Unabstreitbarkeit –Availability: Jederzeitige Verfügbarkeit Datenschutz –Privacy: Wer sammelte welche Daten Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen

31 Thema Nr. 4: Sicherheit mobiler Seite 31 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 Ziel des Web Service Models Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen IBM Microsoft VeriSign W3C OASIS Ziel: praxistauglicher und schnell umsetzbarer Standard zur Entwicklung von Web Services

32 Thema Nr. 4: Sicherheit mobiler Seite 32 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 Rollen & Funktionen Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen Service Requestor Service Provider Service Registr y Service Description Service Bind Find Publish WSDL, UDDI

33 Thema Nr. 4: Sicherheit mobiler Seite 33 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 Web Service security model Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen SOAP Foundation WS-Security WS-Policy WS-Secure Conversation WS-Federation WS-Trust WS-Authentication WS-Privacy Time Today

34 Thema Nr. 4: Sicherheit mobiler Seite 34 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 Vorteile des WS security models Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen Aufbauend auf vorhandenen Technologien Erweiterbarkeit des Modells Hohe erwartete Effektivität Toolset

35 Thema Nr. 4: Sicherheit mobiler Seite 35 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 Electronic Business XML Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen OASIS (Organization for the Advancement of Structured Information Standards) Weltweit gültig Modular aufgebaut Trennung in zwei Architekturen –Prozessarchitektur (Methoden & Mechanismen von Systementwicklung & -analyse) –Produktarchitektur (Technologische Infrastruktur) Messaging-Service –Spezielle SOAP-Erweiterungen Registry/Repository-Service (RR) –Vielseitiger als UDDI...

36 Thema Nr. 4: Sicherheit mobiler Seite 36 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 Protokollfamilie Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen XML Signatur XML Encryption XML Key Management AUthXML S2ML SAML Parallele Entwicklung Einstellung 2001

37 Thema Nr. 4: Sicherheit mobiler Seite 37 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 OASIS Security Assertion Markup Language Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen Belauschen Denial of Service Authentifizierung nicht spezifiziert Man In The Middle Vertraulichkeit nicht spezifiziert Nachrichtenintegrität nicht spezifiziert Verbindung SAML & SOAP Nachrichten- austausch Nachrichten- löschung Nachrichten- modifizierung

38 Thema Nr. 4: Sicherheit mobiler Seite 38 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 OASIS Security Assertion Markup Language Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen Belauschen Denial of Service Authentifizierung nicht spezifiziert Man In The Middle Vertraulichkeit nicht spezifiziert Nachrichtenintegrität nicht spezifiziert Verbindung SAML & SOAP Nachrichten- austausch Nachrichten- löschung Nachrichten- modifizierung Zeitstempel Digitale Signatur Ipsec-Tunneling

39 Thema Nr. 4: Sicherheit mobiler Seite 39 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 Bundesamt für Sicherheit in der Informationstechnik Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen Zertifizierungen (Seit Jan. 2002) IT-Grundschutzhandbuch (111,50 ) GS-Tool –Modellierung und Erstellung des Schichtenmodells –IT-Systemerfassung und Strukturanalyse –Anwendungserfassung –Maßnahmenumsetzung –Kostenauswertung –Schutzbedarfsfeststellung –Revisionsunterstützung –Basissicherheitschecks

40 Thema Nr. 4: Sicherheit mobiler Seite 40 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 Bundesamt für Sicherheit in der Informationstechnik Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen

41 Thema Nr. 4: Sicherheit mobiler Seite 41 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002 Bundesamt für Sicherheit in der Informationstechnik Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen Another hype: Web Services sind heute in aber morgen bereits wieder out Die Anforderungen an Security-Komponenten, wie Hard- und Software aber auch Know How der Mitarbeiter, werden weiterhin stark wachsen und damit auch die Kosten in diesem Bereich explodieren lassen Kampf der Standards: Microsoft schlägt zurück Wo ein Wille, da ein Weg – Mitarbeitertreue?


Herunterladen ppt "Portalbeispiele B2C Spezielles Seminar WI SS 2002 Prof. Dr. Kai Rannenberg Mobile CSCW insb. Sicherheit mobiler Plattformen für mobiles Arbeiten Autor:"

Ähnliche Präsentationen


Google-Anzeigen