Portalbeispiele B2C Spezielles Seminar WI SS 2002 Prof. Dr. Kai Rannenberg Mobile CSCW insb. Sicherheit mobiler Plattformen für mobiles Arbeiten Autor: Thomas Laumeier Datum: 23. Juni 2002 Portalbeispiele B2C
AGENDA Einleitung Security-Anforderungen GSM-Netze Protokolle Schlüsselverwaltung Authentifizierung Protokolle WAP WTLS Relevante Risiken für das MSP Fragen Thema Nr. 4: Sicherheit mobiler Seite 2 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Situation Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen m-Commerce? Sicherheit Offenenheit e-Commerce Integration immer größerer Be- reiche der Wertschöpfungskette Zunehmende Automatisierung Kurze Entwicklungszyklen Thema Nr. 4: Sicherheit mobiler Seite 3 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Begriffe & Definitionen Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Security Immaterielle Schutzgüter Beabsichtigte Angriffe Safety Leib & Leben Unbilden der Natur Unbilden der Technik Sicherheit Thema Nr. 4: Sicherheit mobiler Seite 4 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Security-Anforderungen Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Vertraulichkeit Anonymität Pseudonymität Unbeobachtbarkeit Unverkettbarkeit Unabstreitbarkeit Übertragungsintegrität Thema Nr. 4: Sicherheit mobiler Seite 5 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Vertraulichkeit Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen EINE Authorisation, anschließend voller Zugriff auf alle Ressourcen Verschlüsselung des User-Passwortes auf dem Endgerät: z.B. Palm OS in Klartext User bestimmt sein Passwort: z.B. „Sommer“ Voller Zugriff für Erweiterungen (Active X & Java) Thema Nr. 4: Sicherheit mobiler Seite 6 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Anonymität Starke Abhängigkeit vom Userverhalten Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Starke Abhängigkeit vom Userverhalten (De)aktivierung der Rufnummernübermittlung (De)aktivierung Funkübertragung (z.B. Bluetooth) Heterogenität der Umwelt erfordert ausgeklügeltes Sicherheitsmanagement Location Based Services (LBC) Spontane Vernetzung Betriebsnetzwerk Private IT-Umgebung Thema Nr. 4: Sicherheit mobiler Seite 7 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Pseudonymität Pre-Paid-Karten Elektronische Zahlungs-Dienste Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Pre-Paid-Karten Elektronische Zahlungs-Dienste Z.B. Paybox Zahlungsgarantie Authentifizierung Trust-Lösung: Hohe Vertrauenswürdigkeit vorrausgesetzt Thema Nr. 4: Sicherheit mobiler Seite 8 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Unbeobachtbarkeit Enge Fassung (Netzbetreiber gilt als Außenstehender) Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Enge Fassung (Netzbetreiber gilt als Außenstehender) Big Brother Is Watching You Weite Fassung (Netzbetreiber wird nicht berücksichtigt) Protokollierung, falls Nutzung fremder Netze Thema Nr. 4: Sicherheit mobiler Seite 9 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Unverkettbarkeit Netzbetreiber kennen alle Verbindungsdaten, aber Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Netzbetreiber kennen alle Verbindungsdaten, aber Firmenhandy Familienanschluß Sammlung von Daten möglich, aber Heterogene Netze erschweren die gezielte Zusammentragung Spy-Software Thema Nr. 4: Sicherheit mobiler Seite 10 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Unabstreitbarkeit „MoSign“: Mobile Digitale Signatur Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen „MoSign“: Mobile Digitale Signatur Anbieter- & Nachfragerstruktur Thema Nr. 4: Sicherheit mobiler Seite 11 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Übertragungsintegrität Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Gewährleistung mittels digitaler Signatur Authentifizierung „per Personalisierung“ SSL X X Thema Nr. 4: Sicherheit mobiler Seite 12 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
GSM-Netze Digitalisierung Komprimierung Chiffrierung Frequency Hopping Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Digitalisierung Komprimierung Chiffrierung Frequency Hopping Neuer Schlüssel je Sitzung Thema Nr. 4: Sicherheit mobiler Seite 13 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Authentifizierung in GSM-Netzen Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Thema Nr. 4: Sicherheit mobiler Seite 14 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Authentifizierung in GSM-Netzen Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen 1 2 Seriennummer 3 3 Schlüsselübergabe Authentifizierung Schlüsselübergabe Authentifizierung 5 5 4 Chiffrierung Chiffrierung 6 6 Thema Nr. 4: Sicherheit mobiler Seite 15 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Authentifizierung in GSM-Netzen Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Außerordentlich hohes Sicherheitsniveau Erfolgreicher Hack 1998 Kenntnis der Algorithmen A8 und A3 Choosen Challenge Angriff „Fütterung“ der SIM-Karte Analyse der Ergebnisse und Ermittlung von Ki Thema Nr. 4: Sicherheit mobiler Seite 16 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
WAP-Protokollfamilie Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Wireless Application Environment Wireless Session Protokol Wireless Transaction Protocol Wireless Transport Layer Security Wireless Datagram Protokol Thema Nr. 4: Sicherheit mobiler Seite 17 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
WTLS Ableitung aus SSL Kompromisse Fazit: WTLS alleine unzureichend Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Ableitung aus SSL Kompromisse Initialisierungs-Vektoren werden linear berechnet DES-Schlüssellänge lediglich 35 Bit Teilalgorithmus führt primitives 40 Bit-XOR durch Verwendete Primzahlen haben nur eine Länge von 512 oder 768 Bit Fazit: WTLS alleine unzureichend Thema Nr. 4: Sicherheit mobiler Seite 18 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Relevante Risiken für MSP Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Thema Nr. 4: Sicherheit mobiler Seite 19 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Relevante Risiken für MSP Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen GSM Schutz der SIM-Karte mittels PIN COMP128-Algorithmus nicht vollständig bekannt (D1 und E-Plus setzten bereits 1998 Varianten ein) Benötigte Rechenzeit zur Berechnung Ki: 8 Stunden WAP-Gateway Transformationsprozess html zu WAP zwingend vorgegeben Klartext direkt an Außenschnittstelle Thema Nr. 4: Sicherheit mobiler Seite 20 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Überleitung Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen m-Commerce Sicherheit Offenenheit Thema Nr. 4: Sicherheit mobiler Seite 21 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Vielen Dank für Ihre Aufmerksamkeit!
MoSign Architektur + = Einleitung Wireless / Wired Devices Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Certificates and Key + Standard Smart Card Wireless / Wired Devices Secure Transactions + = WAP-Gateway ISP (HTTP) Vendors Banks Application- Server WML / HTML Legitimation-Server Thema Nr. 4: Sicherheit mobiler Seite 23 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
MoSign Signierungsprozess Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Mobile Devices Legitimation Server Confirm Cancel Please confirm the order of transaction for 3.000,- DM. Confirm Cancel Please confirm order of transaction for 3.000,- DM. Bestätigen Abbrechen Please insert your card and enter the PIN code to unlock it: Signature Authorized. Transaction Completed. Confirm Cancel Please confirm the order of transaction for 3.000,- DM. * * * * * * * * * * * Wireless Gateway / ISP Application-Server (WML/HTML) Thema Nr. 4: Sicherheit mobiler Seite 24 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
PKI Verschlüsselung Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Thema Nr. 4: Sicherheit mobiler Seite 25 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
PKI Signatur Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MSP Fragen Thema Nr. 4: Sicherheit mobiler Seite 26 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Wireless-Security-Conzept Einleitung Security An- forderungen GSM-Netze Protokolle - WAP - WTLS Relevante Risiken MBP Fragen Thema Nr. 4: Sicherheit mobiler Seite 27 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Begriffe & Definitionen Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen Datensicherheit Confidentiality : Sichere Wege Integrity : Keine Manipulation Authentication : Beweis der Person Access Control : Zugriffskontrolle Nonrepudiation : Unabstreitbarkeit Availability : Jederzeitige Verfügbarkeit Datenschutz Privacy : Wer sammelte welche Daten Thema Nr. 4: Sicherheit mobiler Seite 28 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Begriffe & Definitionen Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen E-Business-Integration Direkte oder indirekte Verbindung Zwei oder mehr Business-Anwendungen Geschäftsbezogener Informationsaustausch Unternehmensinterne oder –externe Integration Web Services Verwendung XML-basierte Standards Auffinden des Dienstes mittels UDDI (Universal Description, Discovery and Integration) Definition des Dienstes mittels WSDL (Web Service Description Language) Über das Internet erreichbar Thema Nr. 4: Sicherheit mobiler Seite 29 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Begriffe & Definitionen Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen Datensicherheit Confidentiality : Sichere Wege Integrity : Keine Manipulation Authentication : Beweis der Person Access Control : Zugriffskontrolle Nonrepudiation : Unabstreitbarkeit Availability : Jederzeitige Verfügbarkeit Datenschutz Privacy : Wer sammelte welche Daten Thema Nr. 4: Sicherheit mobiler Seite 30 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Ziel des Web Service Models Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen IBM Microsoft VeriSign W3C OASIS Ziel: praxistauglicher und schnell umsetzbarer Standard zur Entwicklung von Web Services Thema Nr. 4: Sicherheit mobiler Seite 31 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Rollen & Funktionen Service Registry Find Publish WSDL, UDDI Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen Service Description Service Registry Find Publish WSDL, UDDI WSDL, UDDI Service Requestor Service Provider Service Bind Service Description Thema Nr. 4: Sicherheit mobiler Seite 32 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Web Service security model Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen WS-Secure Conversation WS-Federation WS-Authentication WS-Policy WS-Trust WS-Privacy WS-Security Today SOAP Foundation Time Thema Nr. 4: Sicherheit mobiler Seite 33 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Vorteile des WS security models Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen Aufbauend auf vorhandenen Technologien Erweiterbarkeit des Modells Hohe erwartete Effektivität Toolset Thema Nr. 4: Sicherheit mobiler Seite 34 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Electronic Business XML Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen OASIS (Organization for the Advancement of Structured Information Standards) Weltweit gültig Modular aufgebaut Trennung in zwei Architekturen Prozessarchitektur (Methoden & Mechanismen von Systementwicklung & -analyse) Produktarchitektur (Technologische Infrastruktur) Messaging-Service Spezielle SOAP-Erweiterungen Registry/Repository-Service (RR) Vielseitiger als UDDI ... Thema Nr. 4: Sicherheit mobiler Seite 35 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Protokollfamilie XML Signatur XML Encryption XML Key Management Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen XML Signatur XML Encryption XML Key Management AUthXML S2ML SAML Parallele Entwicklung Einstellung 2001 Thema Nr. 4: Sicherheit mobiler Seite 36 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
OASIS Security Assertion Markup Language Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen Nachrichten- austausch Denial of Service Authentifizierung nicht spezifiziert Verbindung SAML & SOAP Nachrichten- löschung Nachrichten- modifizierung Vertraulichkeit nicht spezifiziert Nachrichtenintegrität nicht spezifiziert „Man In The Middle“ Belauschen Thema Nr. 4: Sicherheit mobiler Seite 37 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
OASIS Security Assertion Markup Language Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen Nachrichten- austausch Denial of Service Authentifizierung nicht spezifiziert Verbindung SAML & SOAP Zeitstempel Nachrichten- löschung Nachrichten- modifizierung Vertraulichkeit nicht spezifiziert Ipsec-Tunneling Digitale Signatur Nachrichtenintegrität nicht spezifiziert „Man In The Middle“ Belauschen Thema Nr. 4: Sicherheit mobiler Seite 38 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Bundesamt für Sicherheit in der Informationstechnik Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen Zertifizierungen (Seit Jan. 2002) IT-Grundschutzhandbuch (111,50 €) GS-Tool Modellierung und Erstellung des Schichtenmodells IT-Systemerfassung und Strukturanalyse Anwendungserfassung Maßnahmenumsetzung Kostenauswertung Schutzbedarfsfeststellung Revisionsunterstützung Basissicherheitschecks Thema Nr. 4: Sicherheit mobiler Seite 39 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Bundesamt für Sicherheit in der Informationstechnik Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen Thema Nr. 4: Sicherheit mobiler Seite 40 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Bundesamt für Sicherheit in der Informationstechnik Einleitung Modelle - Web Service Model - ebXML Protokolle - XML-Based Security Services - SAML BSI Thesen Another hype: Web Services sind heute „in“ aber morgen bereits wieder „out“ Die Anforderungen an Security-Komponenten, wie Hard- und Software aber auch Know How der Mitarbeiter, werden weiterhin stark wachsen und damit auch die Kosten in diesem Bereich explodieren lassen Kampf der Standards: Microsoft schlägt zurück Wo ein Wille, da ein Weg – Mitarbeitertreue? Thema Nr. 4: Sicherheit mobiler Seite 41 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002