Die SkIDentity-Referenzarchitektur für die starke Authentisierung in der Cloud Dr. Detlef Hühnlein (ecsec GmbH)

Agenda Motivation Das SkIDentity-Projekt Die SkIDentity-Referenzarchitektur Zusammenfassung © 2013 SkIDentity-Team >> 2

Cloud Computing Bedarfsorientierung Selbstbedienung Netzwerkzugriff Ressourcenbündelung Elastische Leistung Messbare Dienste Quelle: http://csrc.nist.gov/publications /nistpubs/800-145/SP800-145.pdf Quelle: http://de.wikipedia.org/wiki/Cloud-Computing

Marktprognosen für Cloud Computing Quelle: http://www.berlecon.de/idd

Wie sicher ist denn die Cloud? Quellen: [isc.sans.edu, www.cloudtweaks.com, nakedsecurity.sophos.com, www.infoworld.com, www.hgi.rub.de, www.zdnet.com, www.futuregov.asia, www.pcworld.com]

Identitätsdiebstahl in der Cloud Cross-Site-Scripting Signature-Wrapping siehe J. Somorovsky, M. Heiderich, M. Jensen, J. Schwenk, N. Gruschka, L. Lo Iacono: Breaking the Clouds – Security Analysis of Cloud Management Interfaces, in ACM Cloud Computing Security Workshop (CCSW), 2011

Cross-Site-Scripting (XSS) - Attack http://www.heise.de/security/meldung/Luecke-im-Internetauftritt-der-Bundesregierung-2-Update-158525.html (04.09.2006)

XSS-Angriff auf die Browser-basierte Schnittstelle Downloadlink für X.509-Zertifikate enthält Parameter, der an verwundbares Serverskript übergeben wird. Parameter wird mit bösartigem Javascript gefüllt. Javascript wird im Kontext des Browser-basierten Management-Interfaces ausgeführt und hat Zugriff auf Nutzername/Passwort oder andere Berechtigungstoken des Administrators

XML-Signature-Wrapping-Attack

Diebstahl von Bitcoins im Wert von US $ 228.000 http://arstechnica.com/business/news/2013/03/bitcoins-worth-228000-stolen-from-customers-of-hacked-webhost.ars

Sicherheitsempfehlungen des BSI für Cloud Computing Anbieter http://docs.ecsec.de/BSI-MSACC

Agenda Motivation Das SkIDentity-Projekt Die SkIDentity-Referenzarchitektur Zusammenfassung © 2013 SkIDentity-Team >> 12

Ziel ? Cloud

Problemstellung eID-Services … nicht unklare nur für nPA KMU-tauglich Sicherheit Cloud fehlende Standards unklare Geschäfts- modelle ungeklärte Rechtsfragen

Das SkIDentity-Projekt …

Agenda Motivation Das SkIDentity-Projekt Die SkIDentity-Referenzarchitektur Zusammenfassung © 2013 SkIDentity-Team >> 16

Authentisierung Riesige Anzahl an verschiedenen Authentisierungsprotokollen Symmetric Key Credentials Public Key Credentials "Bearer Tokens" andere Formate Infrastrukturen Vertrauensmodelle Besitz Biometrie Wissen

Die Europäische eID-Landkarte >> 18

Authentisierung in der Cloud EAC (BSI-TR-03110) C2C (EN 14890) TLS (RFC 5246) HOTP (RFC 4226) … Starke Authentisierung in der Cloud …  IdP      SP  Client 

SkIDentity – Lösungsansatz IdP Policy App eID eID-Broker SP Client

SkIDentity – Referenzarchitektur

SAML Web Browser SSO Profile  Authentication Context Identity Provider <ArtifactResolve/> <ArtifactResponse/>   <AuthnRequest/>  <Response/>  GET IS IdP Disc. Profile (_saml_idp)  <AuthnRequest/>  <Response/>  Quelle: http://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf

OpenID  OpenID Provider       Relying Party  Authentication checkid   id_res    GET IS ID Resolution & Security Association Relying Party  Quelle: http://openid.net/specs/openid-authentication-2_0.html

Microsoft CardSpace  Identity Provider (IP)       Relying  Authentisierung durch Prüfung des WS Security Token <STIP/> Identity Provider (IP)  <RST <STIP/>/> Ermittle <PolicyIP/>  <RSTR <STRP/>/>  Prüfung des <STRP/> IS  GET  <Object/>  POST <STRP/> Relying Party (RP)  Quelle: http://docs.oasis-open.org/imi/identity/v1.0/identity.pdf

OAuth 2.0  Authorization Server Ressource Server User         authz_code,code=xyz  access_token  code  code=xyz Ressource Server  access_token  User  GET  Client Quelle: http://www.ietf.org/id/draft-ietf-oauth-v2-25.txt

SkIDentity – Ablauf Policy App eID eID-Broker …

SkIDentity – Client

Open eCard App (www.openecard.org)

Erweiterbare Open eCard Plattform >> 29

SkIDentity – Service Provider

SkIDentity – Service Provider Cloud Application (CA) Web-Anwendung Cloud Connector (CC) Kommunikation mit SkIDentity-Infrastruktur

Cloud Connector Cloud Connector «interface» IConnector <Config> + Authenticate ( inout : Session : String [0..1], in : Policy : String [0..1], inout : Attribute : AttributeType [0..*] ) : Result IConnector BrokerURL DefaultReturnURL DefaultPolicy TLSClientKeyFile

Zusammenfassung Dem Cloud Computing wird eine große Zukunft vorausgesagt Starke Authentisierung ist eine essentielle Grundlage für Sicherheit in der Cloud Sowohl für Endkunden als auch im B2B-Bereich eID-Nutzung in der Cloud ist sehr vielversprechend SkIDentity – vertrauenswürdige Identitäten für die Cloud

Herzlichen Dank für Ihre Aufmerksamkeit! Titelmasterformat durch Klicken bearbeiten Kontakt: Formatvorlage des Untertitelmasters durch Klicken bearbeiten © 2013 SkIDentity-Team © Copyright 2010 ecsec GmbH, All Rights Reserved.