Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
Veröffentlicht von:Adelinde Strassburger Geändert vor über 10 Jahren
1
Dresden Identity Management - DRIM Sebastian Clauß, Thomas Kriegelstein Hauptseminar Technischer Datenschutz, 3. Februar 2004
2
2http://drim.inf.tu-dresden.de/ Gliederung Was ist Identitätsmanagement? Wie kann Identitätsmanagement Online realisiert werden? Wie werden diese Fragen in DRIM angegangen? Identitätsmanagement am Beispiel des Webshops Technische Details Fazit Ausblick
3
3http://drim.inf.tu-dresden.de/ Was ist Identitätsmanagement? Identitätsmanagement bedeutet, daß eine Person grundsätzlich wählen kann, wie anonym bzw. mit welchen persönlichen Informationen und wie zurechenbar die gegenüber ihren Kommunikationspartnern in Erscheinung tritt. [1] Jeder tut es - offline Klärung der Fragen: Was weiß mein Gesprächspartner über mich? Was kann er anderen gegenüber glaubhaft über mich behaupten? Was lasse ich ihn über mich wissen. [1] Marit Köhntopp, Andreas Pfitzmann: Informationelle Selbstbestimmung durch Identitätsmanagement; Kiel, 2001
4
4http://drim.inf.tu-dresden.de/ Was ist Identitätsmanagement? - Die Beteiligten Kommunikationspartner Dienstnehmer Diensteanbieter Dritte Parteien Unbeteiligte Lauscher Betrüger Strafverfolgungsbehörden
5
5http://drim.inf.tu-dresden.de/ Was ist Identitätsmanagement? - Wer tut was? Was tun die Beteiligten? Kommunizieren – Daten übermitteln Interagieren – Dienste nutzen/erbringen Welche Interessen haben Kommunikationspartner? Anonymität/Selbstbestimmte Wiedererkennbarkeit Auswertung bisheriger Kommunikation Schutzziele gegenüber allen: Schutz vor ungewünschter Verkettung der Aktionen Schutzziele gegenüber unbeteiligten: Vertraulichkeit und Integrität Anonymität
6
6http://drim.inf.tu-dresden.de/ Was ist Identitätsmanagement? - Wer tut was? Welche Interessen haben Dienstnehmer? Dienstnutzung, hohe Dienstqualität Sicherheit soll nicht stören Datensparsamkeit Schutzziele gegenüber Diensteanbietern: Schutz vor unberechtigtem Erhalt eigener Daten Schutz vor unberechtigter Nutzung eigener Daten Schutz vor unberechtigter Weitergabe eigener Daten
7
7http://drim.inf.tu-dresden.de/ Was ist Identitätsmanagement? - Wer tut was? Welche Interessen haben Diensteanbieter? Möglichst hoher Profit Authentische Daten zur Verminderung des Risikos Kalkulierbare Schadensregulierung Schutzziele gegenüber Dienstnehmer: Schutz vor Betrug Schutz vor Dienstnutzung ohne Bezahlung Schutz vor Diensterbringung für Unberechtigte Dritte Parteien sind im wesentlichen Diensteanbieter.
8
8http://drim.inf.tu-dresden.de/ Wie kann Identitätsmanagement Online realisiert werden? Voraussetzung für Identitätsmanagement ist die Kenntnis der Kommunikationsumstände Wer redet mit mir? Warum rede ich mit ihm? Wann rede ich mit ihm? Manuell Weit verbreitet Fehleranfällig Automatisiert Genügend viele Abstufungen? Umstände genau genug abgebildet?
9
9http://drim.inf.tu-dresden.de/ Welche Anforderungen an das automatisierte Identitätsmanagement gibt es? Aufteilung der Verantwortlichkeiten zwischen Anwendung und Manager Mensch (Nutzer, Dateninhaber) Anwendung (Aktionen) Identitätsmanager (Datensicherheit, Datenschutz) Durchsetzen der Verantwortlichkeitsbereiche Formalisierung der Kommunikationsumstände Information des Nutzers
10
10http://drim.inf.tu-dresden.de/ Welche Anforderungen an die Anwendung gibt es? Alle Kommunikation unter Benutzung des Managers Verkettbarkeit und Anonymität sonst nicht kontrollierbar Konfiguration des Managers durch die Anwendung Vereinfachung und Anpassung an Anwendung Preisgabe personenbezogener Daten durch Manager - nicht durch die Anwendung Verkettbarkeit/Anonymität/Nachvollziehbarkeit Dienste kommunizieren mit Manager des Nutzers Dienste erfragen personenbezogene Daten beim Manager – nicht bei der Anwendung Automatisierung sonst unmöglich [2] Sebastian Clauß, Marit Köhntopp: Identity Management and its support of multilateral security; Dresden, 2001
11
11http://drim.inf.tu-dresden.de/ Welche Anforderungen an den Manager gibt es? Beachtung der Nutzervorgaben bei: Beschränkung der Verkettbarkeit von Aktionen Erwerb und Verwaltung von Beglaubigungen Einsatz von Beglaubigungen Erfassung und Speicherung personenbezogener Daten Preisgabe personenbezogener Daten Überprüfung vorgelegter Beglaubigungen Auswertung bisheriger Aktionen und Ermittlung der Verkettbarkeit Nach [2] Sebastian Clauß, Marit Köhntopp: Identity Management and its support of multilateral security; Dresden, 2001
12
12http://drim.inf.tu-dresden.de/ Welche Anforderungen sollen auf Anbieterseite realisiert sein? Zugriff/Nutzung setzt Verwendungszweck etc. durch Auskunft Löschung Berichtigung Sperrung Widerruf der Nutzungserlaubnis
13
13http://drim.inf.tu-dresden.de/ Wie werden diese Fragen in DRIM angegangen? - Beweisbarkeit Generierung/Verwendung von Pseudonymen Pseudonym ist eine Referenz auf den Nutzer Pseudonym ist global einmalig und nicht fälschbar Anonymitätsgrad vollständig kontrollierbar Verkettbarkeit/Beweisbarkeit Pseudonym entspricht öffentlichem Signaturschlüssel Authentische Zuordnung beliebiger Daten möglich Austausch selbstsignierter Dokumente (unter Pseudonym) Erfüllte Schutzziele: Kontrolle der Verkettbarkeit, weil alles relativ zu einem Pseudonym Beweisbarkeit (allerdings relativ zum Pseudonym)
14
14http://drim.inf.tu-dresden.de/ Wie werden diese Fragen in DRIM angegangen? - Datenschutz: Verwaltung personenbezogener Daten Es gibt einen Pool für eigene personenbezogene Daten Sonst Betrug vereinfacht Preisgabe der Daten durch Regeln bestimmt Fremdbeglaubigungen üblicherweise nur für einen Inhalt Zur Formalisierung wird das P3P-Namensschema verwendet Umfassend, wenige Fehlstellen Softwarebibliothek existiert Vorhandene Fremdbeglaubigungen zu Datenfeldern werden gespeichert
15
15http://drim.inf.tu-dresden.de/ Wie werden diese Fragen in DRIM angegangen? - Datenschutz: Verwaltung personenbezogener Daten
16
16http://drim.inf.tu-dresden.de/ Wie werden diese Fragen in DRIM angegangen? - Datenschutz: Datenspeicherung Im Filesystem des Nutzers als Datei oder In einer Datenbank Verschiedene DBMS unterstützt Verschlüsselung der Inhalte auch in der Datenbank möglich Speicherung der Daten bei Anbieter möglich Erfüllte Schutzziele: Verfügbarkeit (zentrale Datenbank oder lokal) Vertraulichkeit (Verschlüsselte Speicherung)
17
17http://drim.inf.tu-dresden.de/ Wie werden diese Fragen in DRIM angegangen? - Datenschutz: Datenübermittlung Anfrage und Preisgabe mit angepaßtem P3P Bei Anfrage Angabe von Verwendungszweck, Speicherdauer und Empfänger Formulierung der Regeln in angepaßtem APPEL Einsatz von Fremdbeglaubigungen derzeit nicht möglich Erfüllte Schutzziele: Authentische Anfrage Authentische Preisgabe (selbstsigniert) Offene Schutzziele: Authentische Preisgabe (fremdsigniert)
18
18http://drim.inf.tu-dresden.de/ Wie werden diese Fragen in DRIM angegangen? - Betrugsschutz: Schadensregulierung Dienstnutzer kann Deanonymisierbarkeit erlauben Diensteanbieter kann Deanonymisierbarkeit einfordern Treuhänder kann Deanonymisierung durchführen Schadensregulierung ist damit außerhalb des Systems möglich Voraussetzungen für Schadensregulierung sind bekannt und erfüllbar
19
19http://drim.inf.tu-dresden.de/ Wie werden diese Fragen in DRIM angegangen? - Verbindungsschutz: Verbindungssicherung SSONET mit SSL vergleichbar Vertraulichkeit Integrität Zurechenbarkeit besser in darüberliegenden Protokollen Grundlegende Anonymität durch Anonymisierungs- dienst AN.ON Erfüllte Schutzziele: Schutz vor Kenntnisnahme und Verfälschung durch Unbeteiligte Schutz gegen Verkettbarkeit auf Netzebene
20
20http://drim.inf.tu-dresden.de/ Wie werden diese Fragen in DRIM angegangen? - Verbindungsschutz: Verbindungssicherung
21
21http://drim.inf.tu-dresden.de/ Wie werden diese Fragen in DRIM angegangen? - Nachvollziehbarkeit: Protokollierung Verbindungsumstände: Zeitpunkt, Partner, Rolle Verbindungsinhalte: mit Verwendungszweck, Speicherungsdauer und Empfänger Übermittelte, personenbezogene Daten Empfangene, personenbezogene Daten Inhalte werden ersetzt, nicht gelöscht Nicht protokolliert werden: Anwendungsdaten Ermöglichung der Deanonymisierung Übersichtliche Ansicht der Protokolle existiert Erfüllte Schutzziele: Nachvollziehbarkeit
22
22http://drim.inf.tu-dresden.de/ Wie werden diese Fragen in DRIM angegangen? - Nachvollziehbarkeit: Protokollierung
23
23http://drim.inf.tu-dresden.de/ Wie werden diese Fragen in DRIM angegangen? - Automatisierung Kontextbestimmung: Pseudonym des Gegenüber -> Wer Aktion/Zweck -> Warum Verbindungsumstände bestimmen Rolle Regelauswertung: Rolle bestimmt Regeln für: Pseudonymwahl/-wiederverwendung Datenpreisgabe Deanonymisierbarkeit Vom Kontext über die Rolle zur Regel
24
24http://drim.inf.tu-dresden.de/ Wie werden diese Fragen in DRIM angegangen? - Automatisierung
25
25http://drim.inf.tu-dresden.de/ Wie werden diese Fragen in DRIM angegangen? - Automatisierung Restriktionen für die Rollenverwendung Rolle wird vom Nutzer festgelegt Nicht durch Wechsel des Gegenübers, der Transaktionsart, der Anwendung zu beeinflussen Warum? Gegenüber: Vertrauenseinstufung/Reputation notwendig Transaktionsart: derzeit unbestimmt Anwendung: gleiche Rolle in verschiedenen Anwendungen nutzbar Rolle wird von Anwendung an Manager übermittelt Granularität der Aktionen kennt nur die Anwendung Rolle kann an Benutzeroberfläche überprüft werden
26
26http://drim.inf.tu-dresden.de/ Wie werden diese Fragen in DRIM angegangen? - Automatisierung
27
27http://drim.inf.tu-dresden.de/ Identitätsmanagement am Beispiel des Webshops Vorkonfiguration: Festlegung der Rolle Festlegung des Anonymitätsdienstes Verbindungsaufbau: Anwendung fordert Verbindung an Aushandlung über Verbindungssicherheit Empfang des Serverpseudonyms Wahl des eigenen Pseudonyms Übermittlung des eigenen Pseudonyms Sicherung der Verbindung
28
28http://drim.inf.tu-dresden.de/ Identitätsmanagement am Beispiel des Webshops
29
29http://drim.inf.tu-dresden.de/ Identitätsmanagement am Beispiel des Webshops Datenübertragung: Anforderung einer Webseite Empfang der Seite Auslösen des Kaufs: Nutzer: Anforderung einer Webseite Anbieter: Anforderung der Lieferadresse Nutzer: Auswerten der Regeln hierzu Nutzer: Übermitteln der Lieferadresse Anbieter: Auslösen der Lieferung Anzeige des Resultats: Empfang der Seite
30
30http://drim.inf.tu-dresden.de/ Identitätsmanagement am Beispiel des Webshops
31
31http://drim.inf.tu-dresden.de/ Technische Details - Architektur Steuerung des Manager-Kerns über RMI möglich Trennung der JVMs Abschottung der Datenhaltung Sandbox für Anwendung Performante Datenübermittlung durch Worker statt RMI Verschlüsselung für Worker und RMI AnwendungManager-GUI Manager-Kern DatenhaltungRegelengineSSONETPKISignatur
32
32http://drim.inf.tu-dresden.de/ Technische Details - Verbindungsaufbau AN.ON Kompatibiliät Jede Verbindung geht vom Dienstnehmer aus SSONET tauscht Einstellungen XML kodiert aus Pseudonyme in selbstsignierten X.509 Zertifikaten Responder wählt Pseudonym ohne Kenntnis des Initiator-Pseudonym Challenge-Response für Test auf Pseudonymbesitz
33
33http://drim.inf.tu-dresden.de/ Technische Details - Managerschnittstelle Listener (auch für RMI) log/setStatus/baseConfigurationChanged contextListChanged/contextDataChanged Verbindungsmanagement - SSONET createContext/registerContext/unregisterContext Deanonymisierbarkeit - PKI isDetectablePartner/ensureDetectablePartner Signaturen - XML Signatur signDocument/verifyDocument Datenhaltung - PSMAN requestData getReceivedData/registerReceivedData getSentData/registerSentData
34
34http://drim.inf.tu-dresden.de/ Technische Details - Steuerungsschicht Kommunikation in bestehender Nutzdatenverbindung Anhalten der Nutzdatenübertragung Kommunikation der Manager Fortsetzung der Datenübertragung Mehrstufiges Anhalten der Datenübermittlung Nutzdaten Managerkommunikation SSONET Aushandlung
35
35http://drim.inf.tu-dresden.de/ Technische Details - Datenhaltung DBMS per JDBC oder Datei in XML Keine Transaktionen, meist nur,,Anhängen'' Eigene Oberfläche – in Manager einbettbar Verschlüsselung einzelner Spalten möglich Erhalt referentieller Integrität TripleDES mit Schlüsselgenerierung aus Passphrase Typsicherheit: Tabelle=Java-Klasse Derzeitig Unterstützung für: MySQL, PostgreSQL, Sybase SQL: Create: Anpassung pro DBMS notwendig Insert, Update, Delete: gemeinsame SQL-Oberklasse
36
36http://drim.inf.tu-dresden.de/ Technische Details - Übermittlung personenbezogener Daten Anwendung fordert Daten über Manager an Angabe von Verwendungszweck, Speicherdauer und Empfänger Anforderung in P3P', selbstsigniertes XML- Dokument Antwort in P3P', selbstsigniertes XML-Dokument Auswertung von Regeln in APPEL' Mehrstufige Aushandlung mit Prüfen von Bedingungen möglich
37
37http://drim.inf.tu-dresden.de/ Technische Details - XML-Signatur Verwendung der Enveloping Signature Daten... Signatur... Genau ein unterschriebenes Objekt pro Dokument Unterschrift mit DSA-Signaturschlüssel=Pseudonym
38
38http://drim.inf.tu-dresden.de/ Technische Details - Entwicklungsumgebung Eclipse - Programmierung Netbeans - GUI, Programmierung CVS - Versionsverwaltung JUnit - Unittests für Kernkomponenten JDepend - Abhängigkeitstests für Pakete Ant - Buildsystem JDK 1.4.2 - Zielplattform Jigsaw - Webserver, Webproxy, Servletcontainer Periodische Builds aller aktuellen Pakete Versionsverwaltung umfaßt auch Webseite http://drim.inf.tu-dresden.de/
39
39http://drim.inf.tu-dresden.de/ Fazit Performance unzureichend – Kryptografie in Java Statische Rollen Kurzfristiger Wechsel nicht möglich Änderungen nur zeitweilig Abgrenzung/Zusammenfassung von Transaktionen unzureichend, derzeit Transaktion=Verbindung Anwendungsintegration Als Proxy für einen Webbrowser: unflexible Rollenwahl Integration in Anwendung: hoher Aufwand Prototyp läuft mit Identitätstreuhänder stabil.
40
40http://drim.inf.tu-dresden.de/ Ausblick Beschränkung Transaktion=Verbindung aufheben Integration anonymer Beglaubigungen (IDEMIX) Fremdbeglaubigte Daten (Attributzertifikate) Reputation für Kommunikationspartner Verbesserung der Benutzerfreundlichkeit Überprüfung der Sicherheitseigenschaften der eingesetzten Software
Ähnliche Präsentationen
© 2024 SlidePlayer.org Inc.
All rights reserved.