Die SkIDentity-Referenzarchitektur für die starke Authentisierung in der Cloud Dr. Detlef Hühnlein (ecsec GmbH)
Agenda Motivation Das SkIDentity-Projekt Die SkIDentity-Referenzarchitektur Zusammenfassung © 2013 SkIDentity-Team >> 2
Cloud Computing Bedarfsorientierung Selbstbedienung Netzwerkzugriff Ressourcenbündelung Elastische Leistung Messbare Dienste Quelle: http://csrc.nist.gov/publications /nistpubs/800-145/SP800-145.pdf Quelle: http://de.wikipedia.org/wiki/Cloud-Computing
Marktprognosen für Cloud Computing Quelle: http://www.berlecon.de/idd
Wie sicher ist denn die Cloud? Quellen: [isc.sans.edu, www.cloudtweaks.com, nakedsecurity.sophos.com, www.infoworld.com, www.hgi.rub.de, www.zdnet.com, www.futuregov.asia, www.pcworld.com]
Identitätsdiebstahl in der Cloud Cross-Site-Scripting Signature-Wrapping siehe J. Somorovsky, M. Heiderich, M. Jensen, J. Schwenk, N. Gruschka, L. Lo Iacono: Breaking the Clouds – Security Analysis of Cloud Management Interfaces, in ACM Cloud Computing Security Workshop (CCSW), 2011
Cross-Site-Scripting (XSS) - Attack http://www.heise.de/security/meldung/Luecke-im-Internetauftritt-der-Bundesregierung-2-Update-158525.html (04.09.2006)
XSS-Angriff auf die Browser-basierte Schnittstelle Downloadlink für X.509-Zertifikate enthält Parameter, der an verwundbares Serverskript übergeben wird. Parameter wird mit bösartigem Javascript gefüllt. Javascript wird im Kontext des Browser-basierten Management-Interfaces ausgeführt und hat Zugriff auf Nutzername/Passwort oder andere Berechtigungstoken des Administrators
XML-Signature-Wrapping-Attack
Diebstahl von Bitcoins im Wert von US $ 228.000 http://arstechnica.com/business/news/2013/03/bitcoins-worth-228000-stolen-from-customers-of-hacked-webhost.ars
Sicherheitsempfehlungen des BSI für Cloud Computing Anbieter http://docs.ecsec.de/BSI-MSACC
Agenda Motivation Das SkIDentity-Projekt Die SkIDentity-Referenzarchitektur Zusammenfassung © 2013 SkIDentity-Team >> 12
Ziel ? Cloud
Problemstellung eID-Services … nicht unklare nur für nPA KMU-tauglich Sicherheit Cloud fehlende Standards unklare Geschäfts- modelle ungeklärte Rechtsfragen
Das SkIDentity-Projekt …
Agenda Motivation Das SkIDentity-Projekt Die SkIDentity-Referenzarchitektur Zusammenfassung © 2013 SkIDentity-Team >> 16
Authentisierung Riesige Anzahl an verschiedenen Authentisierungsprotokollen Symmetric Key Credentials Public Key Credentials "Bearer Tokens" andere Formate Infrastrukturen Vertrauensmodelle Besitz Biometrie Wissen
Die Europäische eID-Landkarte >> 18
Authentisierung in der Cloud EAC (BSI-TR-03110) C2C (EN 14890) TLS (RFC 5246) HOTP (RFC 4226) … Starke Authentisierung in der Cloud … IdP SP Client
SkIDentity – Lösungsansatz IdP Policy App eID eID-Broker SP Client
SkIDentity – Referenzarchitektur
SAML Web Browser SSO Profile Authentication Context Identity Provider <ArtifactResolve/> <ArtifactResponse/> <AuthnRequest/> <Response/> GET IS IdP Disc. Profile (_saml_idp) <AuthnRequest/> <Response/> Quelle: http://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf
OpenID OpenID Provider Relying Party Authentication checkid id_res GET IS ID Resolution & Security Association Relying Party Quelle: http://openid.net/specs/openid-authentication-2_0.html
Microsoft CardSpace Identity Provider (IP) Relying Authentisierung durch Prüfung des WS Security Token <STIP/> Identity Provider (IP) <RST <STIP/>/> Ermittle <PolicyIP/> <RSTR <STRP/>/> Prüfung des <STRP/> IS GET <Object/> POST <STRP/> Relying Party (RP) Quelle: http://docs.oasis-open.org/imi/identity/v1.0/identity.pdf
OAuth 2.0 Authorization Server Ressource Server User authz_code,code=xyz access_token code code=xyz Ressource Server access_token User GET Client Quelle: http://www.ietf.org/id/draft-ietf-oauth-v2-25.txt
SkIDentity – Ablauf Policy App eID eID-Broker …
SkIDentity – Client
Open eCard App (www.openecard.org)
Erweiterbare Open eCard Plattform >> 29
SkIDentity – Service Provider
SkIDentity – Service Provider Cloud Application (CA) Web-Anwendung Cloud Connector (CC) Kommunikation mit SkIDentity-Infrastruktur
Cloud Connector Cloud Connector «interface» IConnector <Config> + Authenticate ( inout : Session : String [0..1], in : Policy : String [0..1], inout : Attribute : AttributeType [0..*] ) : Result IConnector BrokerURL DefaultReturnURL DefaultPolicy TLSClientKeyFile
Zusammenfassung Dem Cloud Computing wird eine große Zukunft vorausgesagt Starke Authentisierung ist eine essentielle Grundlage für Sicherheit in der Cloud Sowohl für Endkunden als auch im B2B-Bereich eID-Nutzung in der Cloud ist sehr vielversprechend SkIDentity – vertrauenswürdige Identitäten für die Cloud
Herzlichen Dank für Ihre Aufmerksamkeit! Titelmasterformat durch Klicken bearbeiten Kontakt: Formatvorlage des Untertitelmasters durch Klicken bearbeiten © 2013 SkIDentity-Team © Copyright 2010 ecsec GmbH, All Rights Reserved.