Identitätschaos Ist mein digitales Ich im Internet sicher und beherrschbar?

Transkript

1 Lehrstuhl Dr. Max für Mustermann Wirtschaftsinformatik I - Informationssysteme Referat Kommunikation & Marketing Verwaltung Identitätschaos Ist mein digitales Ich im Internet sicher und beherrschbar? Prof. Dr. Günther Pernul IT-Sicherheit am Donaustrand, Linz, 22. Sept. 2011

2 Steiner, P.: Cartoon. In: The New Yorker, Vol.69 (LXIX) no. 20 (1993) Prof. Dr. Günther Pernul 2

3 Agenda Einleitung Ausgangssituation, Gefahren, Identitätsdiebstahl Auf dem Weg zum Web-SSO - allgemein Sicherheits-Prozesskette, Identitätsföderationen Lösungen - konkret Web-Single-Sign-On-Systeme Authentifizierungs- und Autorisierungsinfrastrukturen npa Schlussfolgerung 3

4 Digitale Identität Eine Identität ist eine Untermenge an Attributen einer natürlichen Person, die diese Einzelperson aus einer Menge an Personen heraus ausreichend identifiziert. Es gibt nicht nur eine Identität, sondern mehrere. [Pfitzmann, Hansen 2008] Portal X 4

5 Voluminöse digitale Schlüsselanhänger 5

6 Chaos wächst mit jeder weiteren (Web-) Anwendung! Joe s Fish Market.Com Tropical, Fresh Water, Shell Fish, Lobster,Frogs, Whales, Seals, Clams 6

7 Treiber & Trends im Identitätsmanagement npa Cloud Computing, SOA 7

8 Sicherheits-Prozesskette Identifizierung, Authentifizierung Autorisierung beschäftigt sich damit, welche (Zugriffs-) rechte bezüglich eines bestimmtes Objekts, einem bestimmte Subjekt zugeordnet sind Zugriffskontrolle untersucht ob ein bestimmtes Subjekt für eine bestimmte Aktion autorisiert ist; als Ergebnis wird die Aktion genehmigt oder verweigert 8

9 Going through changes Client SP A IdMI A SP B SP C IdMI: Identity Management Infrastructure SP: Service Provider IdP: Identity Provider AC: Access Control 9 IdMI C IdMI B Von Identitätssilos zu...

10 ... Web single-sign-on SP A Client 1. Request Identitätsföderationen SP B 3. Request 4. Authenticate IdMI C 10

11 AAI - Infrastructure for Authentication and Authorisation Client 1. Request Federation SP A 8. Grant/Deny Resource 3. Authenticate IdMI A 4. Get Attributes 5. Evaluate Attributes 6. AC Decision IdP 11

12 XACML Framework v2.0 12

13 Microsoft.NET Passport (1) Von Microsoft 1999 eingeführt Authentifizierungs- und Single-Sign-On System für das Internet Ermöglicht die Nutzung von verschiedenen Services mit ein und demselben Berechtigungsnachweis Erster Versuch einer SSO-Lösung für das Web Teil der Microsoft.NET Strategie im Hailstorm Identity Projekt Berechtigungsnachweise werden zentral vom Microsoft Passport Server gespeichert 13

14 Microsoft.NET Passport (2) Passport.net Passport.com User Target 5 7 Check if vendor is known 3 Redirect: passport.net Present LogIn Form Enter User Data Redirect: passport.com with User Data Authentication Cookies 1 Redirect: passport.com Redirect: Target Passport Login Button 2 Cookies, Acces 2 11 Mar 99 Microsoft.NET Passport launched Apr 06 launch of Windows Live-ID incorporating Passport Feb 07 First Live ID Client released (1.0 SDK Alpha) Aug 07 Dec 03 Microsoft announces 200 mio customers Cardspace and Windows Live ID integrated Oct 04 Monster.com revokes Passport Login for its users Jan 05 ebay revokes Passport LogIn for its users Mar 05 Downscaling of Passport for Microsoft services only

15 Microsoft.NET Passport (3) Alle beteiligten Parteien müssen Microsoft vertrauen!.net Passport war nur für eigene Services (z.b. MSN oder Hotmail) erfolgreich Föderationen zwischen Parteien außerhalb von Microsoft haben.net Passport nicht eingesetzt.net Passport hat keine allgemeine Verbreitung gefunden! Datenschutzbedenken Umbenennung des Nachfolgers in Windows Live-ID 15

16 Liberty Alliance Project (1) Als Konkurrenz zu Microsoft.NET Passport 2001 gegründet Globales Konsortium von mehr als 160 Organisationen (Sun Microsystems, Nokia, American Express, Novell, Intel, ) Ziel: Entwicklung von offenen Standards, Richtlinien und Best practices Liberty Architektur Identity Federation Framework (ID-FF) Identity Services Interface Specifications (ID-SIS) Identity Web Services Framework (ID-WSF) Architektur setzt auf offenen Standards auf (XML, SAML, SOAP, ) 16

17 Liberty Alliance Project (2) Jan 02 start of ID-FF development Mar 03 Federated Network Identity architecture completed Jul 02 ID-FF v1.0 Nov 02 SAML v1.0 Jan 03 ID-FF v1.1 Sep 03 SAML v1.1 Nov 03 ID-FF v1.2 Mar 05 SAML v2.0 Apr 05 SAML v2.0 adoption - stop of ID-FF development Apr 09 Transformation to Kantara Initiatve Nov 03 ID-WSF v1.0 Apr 05 ID-SIS v1.0 Dec 05 ID-WSF v2.0 Dec 01 Foundation of the Liberty Alliance Project Apr 03 1st presentation of Liberty compliant products Jan 07 Start of the openliberty Initiative 17

18 Shibboleth (1) Open-Source Projekt vom Internet2 Konsortium entwickelt und betrieben Ursprünglich gegründet um SSO und Föderationen zwischen akademischen Einrichtungen zu ermöglichen Aktuell entwickelt sich Shibboleth in eine umfassende AAI für alle Organisationstypen Definiert ein Protokoll zum Zugriff auf entfernte Ressourcen Authentifizierung bei der Heimatorganisation (IdP) Autorisierung beim Serviceanbieter (SP) Demo version 18

19 Shibboleth (2) User IdP WAYF Target 4 5 Request resource ρ Refer to List of potential Home Domains 2 Choose Home Domain 3 Refer to Present log-in form Authenticate as α SAML AuthN Token (β) SAML Authentication Token for opaque ID β Check SAML assertion, request attributes A β 7 SAML assertion with A β Grant / deny access to ρ Foundation of I2MI Feb 00 Start of the Shibboleth project Feb 02 1st Shibboleth beta Nov 02 Sibboleth v0.7 Jun 03 Shibboleth v1.0 Jun 04 Shibboleth v Shibboleth v1.2 Jul 05 Shibboleth v1.3 Dec 06 Roadmap for Shibboleth v Apr 03 1st US test federation "InQueue" Dec 04 Finnish HAKA Federation Mar 05 US InComon Federation Apr 05 Swiss Switch federation May 07 German DFN AAR federation 19

20 Shibboleth (3) Pseudonymer Serviceaufruf Identität der Nutzer wird als Pseudonym dargestellt (wechselt bei jedem Serviceaufruf) Profilierung schwer möglich Attribute Release Policies (ARP) Heimatorganisation und Nutzer können festlegen welche Attribute übertragen werden Nur wirklich notwendige Attribute werden übertragen Realisiert durch manuelles Editieren von XML Dateien» ShARPE (Shibboleth Attribute Release Policy Editor) Autorisierung basiert auf Attributen (ABAC) Professor an der Universität Regensburg Abteilungsleiter bei voestalpine Student an der FH OÖ Hagenberg 20

21 Microsoft CardSpace (1) Integriert in Windows Vista und Windows 7 (zu XP erweiterbar) CardSpace repräsentiert digitale Identitäten als Information Cards (InfoCards), welche die entsprechenden Attribute beinhalten Vergleichbar mit einer Geldbörse mit verschiedenen Plastikkarten (Kreditkarte, Führerschein, Versicherungskarten, ) Feb. 2011: MS kündigt an, CardSpace zukünftig nicht mehr weiter zu verfolgen Microsoft U-Prove?? 21

22 Microsoft CardSpace (2) User CardSpace SW IdP Target 5 Request acces to resource ρ by click on CardSpace icon Refer to 2 Request security policy Return security policy Display suitable cards 4 Select card 6 Request Security Token Return Security Token 7 8 Grant / deny access to ρ Forward Security Token

23 OpenID (1) Offenes und dezentrales System für Identifizierung und Authentifizierung Erlaubt einem Benutzer nach Registrierung bei einem OpenID-Provider sich mit einer URL-basierten Identität ohne user-id/pwd bei allen relying parties anzumelden 2007 wurde die OpenID Formation gegründet, um OpenID zu unterstützen und zu pushen (Microsoft, AOL, Yahoo!, IBM, VeriSign, ) Aktuelle Version: OpenID

24 Eine OpenID erstellen 24

25 Meine OpenID 25

26 LiveJournal Login mit OpenID 26

27 Login beim OpenID Provider 27

28 Vertrauensverhältnis etablieren 28

29 Eingeloggt bei LiveJournal 29

30 OpenID (3) Stärken Vertrauen muss nur zu einer Entität aufgebaut werden Nutzer hat nur eine digitale Identität Freie Providerwahl Dezentraler Ansatz, open source Schwächen Keine starke Identitätsprüfung der Nutzeridentität» Nur low level of assurance Serviceanbieter nutzen OpenID z.b. Blogs, soziale Netzwerke,» Mögliche Erweiterung: Strong Authentication Provider Phishing möglich OpenID Provider könnte die Nutzergewohnheiten tracken 30

31 OAuth - Zugriffsdelegierung - Ermöglicht die Bereitstellung von privaten Ressourcen (Fotos, Videos, Kontaktlisten, ), die von einer Anwendung gehostet werden, für eine weitere Anwendung/Partei, ohne Details der Zugangsberechtigung wie U/P bekannt zu geben. - Benutzer A mit Site B - Benutzer stellt Token aus, welches zum Zugriff auf bestimmte Ressourcen berechtigt - Jedes Token gewährt Zugriff auf eine bestimmte Ressource von einer spezifischen Seite für eine definierte Zeit - OAuth Core 1.0 (Jan 09) - OpenID entwickelt eine OAuth Erweiterung 31

32 OAuth Interaktion 32 Quelle:

33 OAuth Interaktion 33 Quelle:

34 Schlussbetrachtung Drei unterschiedliche Klassen von Lösungsvorschlägen für identity chaos im Internet von prominenten Unternehmen aus der community idm light vom Staat Web-SSO Frameworks bieten grundsätzlich gute Ansätze Aktuelle Infrastrukturprojekte der Regierungen kommen spät und mit Kinderkrankheiten, welche die Akzeptanz mindern Erwartungen Zusammenfließen der Technologien 34

35 Vielen Dank für Ihre Aufmerksamkeit 35

36 Prof. Dr. Günther Pernul Lehrstuhl für Wirtschaftsinformatik I Universität Regensburg Universitätsstr. 31 D Regensburg Tel: +49 (0) Fax: +49 (0) guenther.pernul@wiwi.uni-regensburg.de Web: www-ifs.uni-regensburg.de 36