Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Dresden Identity Management - DRIM Sebastian Clauß, Thomas Kriegelstein Hauptseminar Technischer Datenschutz, 3. Februar 2004.

Ähnliche Präsentationen


Präsentation zum Thema: "Dresden Identity Management - DRIM Sebastian Clauß, Thomas Kriegelstein Hauptseminar Technischer Datenschutz, 3. Februar 2004."—  Präsentation transkript:

1 Dresden Identity Management - DRIM Sebastian Clauß, Thomas Kriegelstein Hauptseminar Technischer Datenschutz, 3. Februar 2004

2 2http://drim.inf.tu-dresden.de/ Gliederung Was ist Identitätsmanagement? Wie kann Identitätsmanagement Online realisiert werden? Wie werden diese Fragen in DRIM angegangen? Identitätsmanagement am Beispiel des Webshops Technische Details Fazit Ausblick

3 3http://drim.inf.tu-dresden.de/ Was ist Identitätsmanagement? Identitätsmanagement bedeutet, daß eine Person grundsätzlich wählen kann, wie anonym bzw. mit welchen persönlichen Informationen und wie zurechenbar die gegenüber ihren Kommunikationspartnern in Erscheinung tritt. [1] Jeder tut es - offline Klärung der Fragen: Was weiß mein Gesprächspartner über mich? Was kann er anderen gegenüber glaubhaft über mich behaupten? Was lasse ich ihn über mich wissen. [1] Marit Köhntopp, Andreas Pfitzmann: Informationelle Selbstbestimmung durch Identitätsmanagement; Kiel, 2001

4 4http://drim.inf.tu-dresden.de/ Was ist Identitätsmanagement? - Die Beteiligten Kommunikationspartner Dienstnehmer Diensteanbieter Dritte Parteien Unbeteiligte Lauscher Betrüger Strafverfolgungsbehörden

5 5http://drim.inf.tu-dresden.de/ Was ist Identitätsmanagement? - Wer tut was? Was tun die Beteiligten? Kommunizieren – Daten übermitteln Interagieren – Dienste nutzen/erbringen Welche Interessen haben Kommunikationspartner? Anonymität/Selbstbestimmte Wiedererkennbarkeit Auswertung bisheriger Kommunikation Schutzziele gegenüber allen: Schutz vor ungewünschter Verkettung der Aktionen Schutzziele gegenüber unbeteiligten: Vertraulichkeit und Integrität Anonymität

6 6http://drim.inf.tu-dresden.de/ Was ist Identitätsmanagement? - Wer tut was? Welche Interessen haben Dienstnehmer? Dienstnutzung, hohe Dienstqualität Sicherheit soll nicht stören Datensparsamkeit Schutzziele gegenüber Diensteanbietern: Schutz vor unberechtigtem Erhalt eigener Daten Schutz vor unberechtigter Nutzung eigener Daten Schutz vor unberechtigter Weitergabe eigener Daten

7 7http://drim.inf.tu-dresden.de/ Was ist Identitätsmanagement? - Wer tut was? Welche Interessen haben Diensteanbieter? Möglichst hoher Profit Authentische Daten zur Verminderung des Risikos Kalkulierbare Schadensregulierung Schutzziele gegenüber Dienstnehmer: Schutz vor Betrug Schutz vor Dienstnutzung ohne Bezahlung Schutz vor Diensterbringung für Unberechtigte Dritte Parteien sind im wesentlichen Diensteanbieter.

8 8http://drim.inf.tu-dresden.de/ Wie kann Identitätsmanagement Online realisiert werden? Voraussetzung für Identitätsmanagement ist die Kenntnis der Kommunikationsumstände Wer redet mit mir? Warum rede ich mit ihm? Wann rede ich mit ihm? Manuell Weit verbreitet Fehleranfällig Automatisiert Genügend viele Abstufungen? Umstände genau genug abgebildet?

9 9http://drim.inf.tu-dresden.de/ Welche Anforderungen an das automatisierte Identitätsmanagement gibt es? Aufteilung der Verantwortlichkeiten zwischen Anwendung und Manager Mensch (Nutzer, Dateninhaber) Anwendung (Aktionen) Identitätsmanager (Datensicherheit, Datenschutz) Durchsetzen der Verantwortlichkeitsbereiche Formalisierung der Kommunikationsumstände Information des Nutzers

10 10http://drim.inf.tu-dresden.de/ Welche Anforderungen an die Anwendung gibt es? Alle Kommunikation unter Benutzung des Managers Verkettbarkeit und Anonymität sonst nicht kontrollierbar Konfiguration des Managers durch die Anwendung Vereinfachung und Anpassung an Anwendung Preisgabe personenbezogener Daten durch Manager - nicht durch die Anwendung Verkettbarkeit/Anonymität/Nachvollziehbarkeit Dienste kommunizieren mit Manager des Nutzers Dienste erfragen personenbezogene Daten beim Manager – nicht bei der Anwendung Automatisierung sonst unmöglich [2] Sebastian Clauß, Marit Köhntopp: Identity Management and its support of multilateral security; Dresden, 2001

11 11http://drim.inf.tu-dresden.de/ Welche Anforderungen an den Manager gibt es? Beachtung der Nutzervorgaben bei: Beschränkung der Verkettbarkeit von Aktionen Erwerb und Verwaltung von Beglaubigungen Einsatz von Beglaubigungen Erfassung und Speicherung personenbezogener Daten Preisgabe personenbezogener Daten Überprüfung vorgelegter Beglaubigungen Auswertung bisheriger Aktionen und Ermittlung der Verkettbarkeit Nach [2] Sebastian Clauß, Marit Köhntopp: Identity Management and its support of multilateral security; Dresden, 2001

12 12http://drim.inf.tu-dresden.de/ Welche Anforderungen sollen auf Anbieterseite realisiert sein? Zugriff/Nutzung setzt Verwendungszweck etc. durch Auskunft Löschung Berichtigung Sperrung Widerruf der Nutzungserlaubnis

13 13http://drim.inf.tu-dresden.de/ Wie werden diese Fragen in DRIM angegangen? - Beweisbarkeit Generierung/Verwendung von Pseudonymen Pseudonym ist eine Referenz auf den Nutzer Pseudonym ist global einmalig und nicht fälschbar Anonymitätsgrad vollständig kontrollierbar Verkettbarkeit/Beweisbarkeit Pseudonym entspricht öffentlichem Signaturschlüssel Authentische Zuordnung beliebiger Daten möglich Austausch selbstsignierter Dokumente (unter Pseudonym) Erfüllte Schutzziele: Kontrolle der Verkettbarkeit, weil alles relativ zu einem Pseudonym Beweisbarkeit (allerdings relativ zum Pseudonym)

14 14http://drim.inf.tu-dresden.de/ Wie werden diese Fragen in DRIM angegangen? - Datenschutz: Verwaltung personenbezogener Daten Es gibt einen Pool für eigene personenbezogene Daten Sonst Betrug vereinfacht Preisgabe der Daten durch Regeln bestimmt Fremdbeglaubigungen üblicherweise nur für einen Inhalt Zur Formalisierung wird das P3P-Namensschema verwendet Umfassend, wenige Fehlstellen Softwarebibliothek existiert Vorhandene Fremdbeglaubigungen zu Datenfeldern werden gespeichert

15 15http://drim.inf.tu-dresden.de/ Wie werden diese Fragen in DRIM angegangen? - Datenschutz: Verwaltung personenbezogener Daten

16 16http://drim.inf.tu-dresden.de/ Wie werden diese Fragen in DRIM angegangen? - Datenschutz: Datenspeicherung Im Filesystem des Nutzers als Datei oder In einer Datenbank Verschiedene DBMS unterstützt Verschlüsselung der Inhalte auch in der Datenbank möglich Speicherung der Daten bei Anbieter möglich Erfüllte Schutzziele: Verfügbarkeit (zentrale Datenbank oder lokal) Vertraulichkeit (Verschlüsselte Speicherung)

17 17http://drim.inf.tu-dresden.de/ Wie werden diese Fragen in DRIM angegangen? - Datenschutz: Datenübermittlung Anfrage und Preisgabe mit angepaßtem P3P Bei Anfrage Angabe von Verwendungszweck, Speicherdauer und Empfänger Formulierung der Regeln in angepaßtem APPEL Einsatz von Fremdbeglaubigungen derzeit nicht möglich Erfüllte Schutzziele: Authentische Anfrage Authentische Preisgabe (selbstsigniert) Offene Schutzziele: Authentische Preisgabe (fremdsigniert)

18 18http://drim.inf.tu-dresden.de/ Wie werden diese Fragen in DRIM angegangen? - Betrugsschutz: Schadensregulierung Dienstnutzer kann Deanonymisierbarkeit erlauben Diensteanbieter kann Deanonymisierbarkeit einfordern Treuhänder kann Deanonymisierung durchführen Schadensregulierung ist damit außerhalb des Systems möglich Voraussetzungen für Schadensregulierung sind bekannt und erfüllbar

19 19http://drim.inf.tu-dresden.de/ Wie werden diese Fragen in DRIM angegangen? - Verbindungsschutz: Verbindungssicherung SSONET mit SSL vergleichbar Vertraulichkeit Integrität Zurechenbarkeit besser in darüberliegenden Protokollen Grundlegende Anonymität durch Anonymisierungs- dienst AN.ON Erfüllte Schutzziele: Schutz vor Kenntnisnahme und Verfälschung durch Unbeteiligte Schutz gegen Verkettbarkeit auf Netzebene

20 20http://drim.inf.tu-dresden.de/ Wie werden diese Fragen in DRIM angegangen? - Verbindungsschutz: Verbindungssicherung

21 21http://drim.inf.tu-dresden.de/ Wie werden diese Fragen in DRIM angegangen? - Nachvollziehbarkeit: Protokollierung Verbindungsumstände: Zeitpunkt, Partner, Rolle Verbindungsinhalte: mit Verwendungszweck, Speicherungsdauer und Empfänger Übermittelte, personenbezogene Daten Empfangene, personenbezogene Daten Inhalte werden ersetzt, nicht gelöscht Nicht protokolliert werden: Anwendungsdaten Ermöglichung der Deanonymisierung Übersichtliche Ansicht der Protokolle existiert Erfüllte Schutzziele: Nachvollziehbarkeit

22 22http://drim.inf.tu-dresden.de/ Wie werden diese Fragen in DRIM angegangen? - Nachvollziehbarkeit: Protokollierung

23 23http://drim.inf.tu-dresden.de/ Wie werden diese Fragen in DRIM angegangen? - Automatisierung Kontextbestimmung: Pseudonym des Gegenüber -> Wer Aktion/Zweck -> Warum Verbindungsumstände bestimmen Rolle Regelauswertung: Rolle bestimmt Regeln für: Pseudonymwahl/-wiederverwendung Datenpreisgabe Deanonymisierbarkeit Vom Kontext über die Rolle zur Regel

24 24http://drim.inf.tu-dresden.de/ Wie werden diese Fragen in DRIM angegangen? - Automatisierung

25 25http://drim.inf.tu-dresden.de/ Wie werden diese Fragen in DRIM angegangen? - Automatisierung Restriktionen für die Rollenverwendung Rolle wird vom Nutzer festgelegt Nicht durch Wechsel des Gegenübers, der Transaktionsart, der Anwendung zu beeinflussen Warum? Gegenüber: Vertrauenseinstufung/Reputation notwendig Transaktionsart: derzeit unbestimmt Anwendung: gleiche Rolle in verschiedenen Anwendungen nutzbar Rolle wird von Anwendung an Manager übermittelt Granularität der Aktionen kennt nur die Anwendung Rolle kann an Benutzeroberfläche überprüft werden

26 26http://drim.inf.tu-dresden.de/ Wie werden diese Fragen in DRIM angegangen? - Automatisierung

27 27http://drim.inf.tu-dresden.de/ Identitätsmanagement am Beispiel des Webshops Vorkonfiguration: Festlegung der Rolle Festlegung des Anonymitätsdienstes Verbindungsaufbau: Anwendung fordert Verbindung an Aushandlung über Verbindungssicherheit Empfang des Serverpseudonyms Wahl des eigenen Pseudonyms Übermittlung des eigenen Pseudonyms Sicherung der Verbindung

28 28http://drim.inf.tu-dresden.de/ Identitätsmanagement am Beispiel des Webshops

29 29http://drim.inf.tu-dresden.de/ Identitätsmanagement am Beispiel des Webshops Datenübertragung: Anforderung einer Webseite Empfang der Seite Auslösen des Kaufs: Nutzer: Anforderung einer Webseite Anbieter: Anforderung der Lieferadresse Nutzer: Auswerten der Regeln hierzu Nutzer: Übermitteln der Lieferadresse Anbieter: Auslösen der Lieferung Anzeige des Resultats: Empfang der Seite

30 30http://drim.inf.tu-dresden.de/ Identitätsmanagement am Beispiel des Webshops

31 31http://drim.inf.tu-dresden.de/ Technische Details - Architektur Steuerung des Manager-Kerns über RMI möglich Trennung der JVMs Abschottung der Datenhaltung Sandbox für Anwendung Performante Datenübermittlung durch Worker statt RMI Verschlüsselung für Worker und RMI AnwendungManager-GUI Manager-Kern DatenhaltungRegelengineSSONETPKISignatur

32 32http://drim.inf.tu-dresden.de/ Technische Details - Verbindungsaufbau AN.ON Kompatibiliät Jede Verbindung geht vom Dienstnehmer aus SSONET tauscht Einstellungen XML kodiert aus Pseudonyme in selbstsignierten X.509 Zertifikaten Responder wählt Pseudonym ohne Kenntnis des Initiator-Pseudonym Challenge-Response für Test auf Pseudonymbesitz

33 33http://drim.inf.tu-dresden.de/ Technische Details - Managerschnittstelle Listener (auch für RMI) log/setStatus/baseConfigurationChanged contextListChanged/contextDataChanged Verbindungsmanagement - SSONET createContext/registerContext/unregisterContext Deanonymisierbarkeit - PKI isDetectablePartner/ensureDetectablePartner Signaturen - XML Signatur signDocument/verifyDocument Datenhaltung - PSMAN requestData getReceivedData/registerReceivedData getSentData/registerSentData

34 34http://drim.inf.tu-dresden.de/ Technische Details - Steuerungsschicht Kommunikation in bestehender Nutzdatenverbindung Anhalten der Nutzdatenübertragung Kommunikation der Manager Fortsetzung der Datenübertragung Mehrstufiges Anhalten der Datenübermittlung Nutzdaten Managerkommunikation SSONET Aushandlung

35 35http://drim.inf.tu-dresden.de/ Technische Details - Datenhaltung DBMS per JDBC oder Datei in XML Keine Transaktionen, meist nur,,Anhängen'' Eigene Oberfläche – in Manager einbettbar Verschlüsselung einzelner Spalten möglich Erhalt referentieller Integrität TripleDES mit Schlüsselgenerierung aus Passphrase Typsicherheit: Tabelle=Java-Klasse Derzeitig Unterstützung für: MySQL, PostgreSQL, Sybase SQL: Create: Anpassung pro DBMS notwendig Insert, Update, Delete: gemeinsame SQL-Oberklasse

36 36http://drim.inf.tu-dresden.de/ Technische Details - Übermittlung personenbezogener Daten Anwendung fordert Daten über Manager an Angabe von Verwendungszweck, Speicherdauer und Empfänger Anforderung in P3P', selbstsigniertes XML- Dokument Antwort in P3P', selbstsigniertes XML-Dokument Auswertung von Regeln in APPEL' Mehrstufige Aushandlung mit Prüfen von Bedingungen möglich

37 37http://drim.inf.tu-dresden.de/ Technische Details - XML-Signatur Verwendung der Enveloping Signature Daten... Signatur... Genau ein unterschriebenes Objekt pro Dokument Unterschrift mit DSA-Signaturschlüssel=Pseudonym

38 38http://drim.inf.tu-dresden.de/ Technische Details - Entwicklungsumgebung Eclipse - Programmierung Netbeans - GUI, Programmierung CVS - Versionsverwaltung JUnit - Unittests für Kernkomponenten JDepend - Abhängigkeitstests für Pakete Ant - Buildsystem JDK Zielplattform Jigsaw - Webserver, Webproxy, Servletcontainer Periodische Builds aller aktuellen Pakete Versionsverwaltung umfaßt auch Webseite

39 39http://drim.inf.tu-dresden.de/ Fazit Performance unzureichend – Kryptografie in Java Statische Rollen Kurzfristiger Wechsel nicht möglich Änderungen nur zeitweilig Abgrenzung/Zusammenfassung von Transaktionen unzureichend, derzeit Transaktion=Verbindung Anwendungsintegration Als Proxy für einen Webbrowser: unflexible Rollenwahl Integration in Anwendung: hoher Aufwand Prototyp läuft mit Identitätstreuhänder stabil.

40 40http://drim.inf.tu-dresden.de/ Ausblick Beschränkung Transaktion=Verbindung aufheben Integration anonymer Beglaubigungen (IDEMIX) Fremdbeglaubigte Daten (Attributzertifikate) Reputation für Kommunikationspartner Verbesserung der Benutzerfreundlichkeit Überprüfung der Sicherheitseigenschaften der eingesetzten Software


Herunterladen ppt "Dresden Identity Management - DRIM Sebastian Clauß, Thomas Kriegelstein Hauptseminar Technischer Datenschutz, 3. Februar 2004."

Ähnliche Präsentationen


Google-Anzeigen