XML Encryption and Signature

Transkript

1 XML Encryption and Signature Hauptseminar Datenbanken und XML Markus Hinkelmann 08. Januar 2002 Inhaltsverzeichnis 1 Motivation 2 2 Verschlüsselung in XML Szenario Verschlüsselungsalgorithmen Beispiel sensitiver Daten Granularität der Verschlüsselung Beispiel der Verschlüsselung sensitiver Daten Verschlüsselung eines XML-Elements Verschlüsselung mehrerer Elemente Verschlüsselung eines Wertes Verschlüsselung beliebiger Daten Super-Encryption Syntax EncryptedData und EncryptedKey EncryptionMethod KeyInfo ReferenceList und References für EncryptedKey CipherData, CipherValue und CipherReference Transforms Weiterer Vorschlag für XML-Encryption Signaturen in XML Signatur Digest-Algoritmen Beispiel einer Signatur in XML Syntax Signature SignedInfo und Reference KeyInfo Object Rund- und Ausblicke Nutzbarkeit in (XML-)Datenbanken Software Referenzen 10 1

2 1 Motivation Angenommen persönliche oder sensible Daten sind ungeschützt, so könnte z.b. jeder Dritte Geld von fremden Konten abheben oder es wären sensible Informationen und Betriebsgeheimnisse öffentlich zugänglich. Ist der Schutz lokal leicht durch Intranet, Paßwörter etc. möglich, so stellt der Austausch von Daten sich viel schwieriger dar. Im Internet führt somit kein Weg an der Verschlüsselung der Daten vorbei (Encryption). Ebenso wichtig wie die Übertragung geschützter Informationen ist die die Authentifizierung dieser. Es wäre sonst einfach, Schlüssel zu ersetzen und gefälschte Daten zu übertragen bzw. abzulegen. Die Glaubwürdigkeit kann durch Signaturen (Signatures) der übertragenen Daten sichergestellt werden. 2 Verschlüsselung in XML 2.1 Szenario Sender public key private key Medium #1 encrypted Data 1 encrypted Data 2 Medium #3 encrypted Key A encrypted Key B Medium #2 encrypted Data 3 Empfänger1 public key private key Empfänger2 public key private key Man stelle sich folgendes Szenario vor: Alle Personen besitzen einen privaten und einen öffentlichen Schlüssel, um jeweils geschützte Daten empfangen zu können. Der Sender möchte nun die Daten 1 und 3 dem Empfänger1 zugänglich machen und Data2 nur Empfänger2. Dazu verschlüsselt er Data1 und Data3 mit Key A, Data2 mit Key B und legt die verschlüsselten Daten ab. Damit die Schlüssel nicht öffentlich zugänglich sind, werden diese noch mit dem jeweiligen public key der Empfänger verschlüsselt. Da die Daten und die Schlüssel auf getrennten Medien liegen, muss es einen Mechanismus geben, um leicht an die Daten heranzukommen. Es muss sowohl Referenzen von den Daten zu den Schlüsseln geben als auch umgekehrt. Es müssen Informationen über die Schlüssel und die krypto- 2

3 graphischen Algorithmen ausgetauscht werden. Es ist also ein flexibles Protokoll nötig, um verschlüsselte Daten und Schlüssel auszutauschen. 2.2 Verschlüsselungsalgorithmen Um sensible Daten für Fremde unkenntlich zu machen benutzt man Verschlüsselungsalgorithmen. Diese erzeugen aus einer Zeichenkette eine neue, die aber ohne passenden Schlüssel nicht wieder entschlüsselt werden kann. Hier werden grundsätzlich zwei verschieden Arten der Verschlüsselung benutzt: Verschlüsselung mit symmetrischem Schlüssel, d.h. zur Ver- und Entschlüsselung wird derselbe Schlüssel verwendet. Diese Algorithmen sind effizient. Beispiele: TripleDES [3DES], AES128 [AES] Verschlüsselüng mit asymmetrischen Schlüsseln, d.h. einem Schlüsselpaar (öffentlicher und geheimer Schlüssel). Die Daten werden mit dem frei verfügbaren public key verschlüsselt und können nur mit dem geheimen private key entschlüsselt werden. Diese Verschlüsselung ist aufwendiger, aber auch sicherer, da kein geheimer Schlüssel übertragen werden muss. Diese Algorithmen werden zur Verschlüsselung der symmetrischen Schlüssel verwendet. Beispiel: RSA [RSA] 2.3 Beispiel sensitiver Daten <Personaldaten> <Person ID= MaxMoritzen > <Name> Max Moritzen </Name> <Gehalt> 2500 </Gehalt> <Beurteilung> <Beurteiler URI= #HansHansen /> <Text> Max macht sich hervorragend </Text> <Note> 1 </Note> </Beurteilung> </Person> <Person>. </Person>. </Personaldaten> 2.4 Granularität der Verschlüsselung Es werden fünf Arten der Verschlüsselung unterschieden, je nach dem was man verschlüsselt: [XENC-10/2001] 1. ein XML-Element (Element) 2. Inhalt eines XML-Elements (Elements Content) 3. Inhalt(Wert) eines XML-Elements (Character Data Content) 4. beliebige Daten (Arbitrary Data) 5. Super-Encryption, d.h. Mehrfachverschlüsselung Die Übergänge der einzelne Punkte sind fließend. So kann man die Verschlüsselung eines gesamten XML-Dokuments sowohl als Verschlüsselung eines Elements (root-element) als auch als die von beliebigen Daten (Type= text/xml ) auffassen. Grundsätzlich gilt aber: Daten, die verschlüsselt werden, werden durch ihre Verschlüsselung an selbiger Stelle ersetzt. 3

4 2.5 Beispiel der Verschlüsselung sensitiver Daten Verschlüsselung eines XML-Elements In der Personaldatenbank seien generell alle Daten geheim, also müssen alle Personendaten verschlüsselt werden. Hier wird jedes Person-Element einzeln verschlüssellt: <Personaldaten> <EncryptedData ID= Person1 Type= Element > <EncryptionMethod Algorithm= 3des-cbc /> <KeyName> Total Security Key </KeyName> <CipherData> <CipherValue>jzHj/jl8Zuhhje8j389</CipherValue> </CipherData> </EncryptedData>. </Personaldaten> Die Tags sind bezeichnend. KeyInfo gibt Auskunft über den Schlüssel für die Entschlüsselung. Hier wird beispielsweise nur der Name bekanntgegeben. Der Empfänger muss den Schlüssel mit dieser Information identifizieren können Verschlüsselung mehrerer Elemente Angenommen es dürfen die Namen der Personen bekannt sein, doch nicht deren Gehalt und Beurteilung: <Personaldaten> <Person ID= MaxMoritzen > <Name> Max Moritzen </Name> <EncryptedData Type= Content > <EncryptionMethod Algorithm= 3des-cbc /> <RetrievalMethod URI= /> <CipherData> <CipherValue>kgfui97Gj87Hju6640kHH</CipherValue> </CipherData> </EncryptedData> </Person> </Personaldaten> Die RetrievalMethod gibt an wie bzw. wo man den Schlüssel erhält. Hier ist es ein Verweis auf einen Schlüssel, der an anderer Stelle liegt. (URI ˆ= Uniform Resource Identifier) Verschlüsselung eines Wertes Falls nur ein atomarer Wert eines Elements verschlüsselt werden soll, so wird wie im letzten Fall verfahren (Type= Content ). Die Verschlüsselung ersetzt den Wert Verschlüsselung beliebiger Daten Beliebige Daten können jedes Dokument bezeichnen, auch ein gesamtes XML-Dokument (text/xml), JPG-Bilder (image/jpg) etc. Diese Daten müssen nicht in demselben XML-Dokument vorliegen, sondern es sind auch externe Quellen zugelassen. Sie werden dann durch URI-Referenzen bestimmt. Bei der Verschlüsselung wird das gesamte externe Dokument durch die Verschlüsselung ersetzt. In dem verweisenden Dokument bleibt ein Verweis des Typs CipherReference. Angenommen der Beurteilungstext einer Person liegt in einer externen Textdatei und soll verschlüsselt wrden:. <Beurteilung> 4

5 <Beurteiler URI= #HansHansen Type= Person /> <Text> <EncryptedData ID= Beurteilung1 Type= text/txt > <EncryptedKey CarriedKeyName= BeurteilungsKey > <KeyName> SchluesselKey </KeyName> <ReferenceList> <DataReference URI= #Beurteilung1 /> </ReferenceList> <CipherData> <CipherValue>67GUo;667hhdik</CipherValue> </CipherData> </EncryptedKey> <CipherData> <CipherReference URI= /> </CipherData> </EncryptedData> </Text> <Note> 1 </Note> </Beurteilung> Hier ist der Schlüssel zum Wiederherstellen der Beurteilung in EncryptedData direkt zu finden. Allerdings ist dieser wiederum verschlüsselt, sonst wäre die Verschlüsselung der Beurteilung nutzlos. Man sieht, dass das EncryptedKey-Element ähnlich dem EncryptedData-Element aufgebaut ist Super-Encryption Super-Encryption ist ein wesentlicher Punkt für hierarchische Zugangsrechte. Z.B. darf die Pesonalsachbearbeiterin das Gehalt einer Person einsehen, doch nicht seine Beurteilung. Diese darf nur von ihren Vorgesetzten eingesehen werden. Für andere sind die gesamten Daten unzugänglich. <Personaldaten> <Encrypted Data> <KeyName>PersonaldatenzugangsrechteKey</KeyName> <CipherData> <CipherValue> hier steht die Verschlüsselung der Daten, im Besonderen die Verschlüsselung der Beurteilung </CipherValue> </CipherData> </EncryptedData> </Personaldaten> Entschlüsselt man CipherValue, dann würde innerhalb des Beurteilung-Elements wieder ein EncryptedData- Element stehen. Dieses könnte dann nur von den Vorgesetzten eingesehen werden. 2.6 Syntax Fast alle Tags [XENC-10/2001] sind sprechend, daher werden nur die wichtigen und komplexen Elemente ausführlich erklärt. Zur Definition der Elemente wird XML-Schema [XML-Schema] verwendet. XML-Schemas sind einfach zu lesen und in diesem Fall selbsterklärend EncryptedData und EncryptedKey EncryptedData und EncryptedKey leiten sich von EncryptedType ab, das erklärt auch ihre Ähnlichkeit. 5

6 <complextype name= EncryptedType > <element ref = EncryptionMethod minoccurs= 0 /> <element ref = KeyInfo minoccurs= 0 /> <element ref = CipherData /> <element ref = EncryptionProperties minoccurs= 0 /> <attribute name= id type= ID /> <attribute name= Type type= anyuri /> EncryptedKey erbt alle Elemente von EncryptedType und fügt noch weitere hinzu: <element name= EncryptedKey > <extension base= EncryptedType > <element ref = ReferenceList minoccurs= 0 /> <attribute name= CarriedKeyName type= string /> <attribute name= Recipient type= string /> </extension> Das Recipient-Attribut kennzeichnet den Empfänger, der mit seinem privaten Schlüssel den EncryptedKey entschlüsseln kann. EncryptedData ist eine reine Entfaltung des EncryptedType, es kommen also keine weiteren Attribute oder Elemente hinzu EncryptionMethod Dieses Element [XENC-12/2000] bestimmt die Methode oder den Algorithmus, die oder der zur Verschlüsselung verwendet wurde. Als Kindelemente können beliegige Parameter übergeben werden. <element name= EncryptionMethod > <any namespace= ##any minoccurs= 0 maxoccurs= unbounded /> <attribute name= Algorithm type= urireference use= required /> KeyInfo KeyInfo [XSIG-08/2001] macht Angaben zum zu gebrauchenden Schlüssel. Es ist möglich, dass nur der Name bekannt gegeben wird oder der Schlüssel selbst oder der Schlüssel, jedoch verschlüsselt (EncryptedKey ) oder eine Methode, um an den Schlüssel zu gelangen. Es ist zugelassen, in KeyInfo mehrere EncryptedKeys zu definieren, so dass für mehrere Empfänger derselbe Schlüssel individuell übertragen werden kann. <element name= KeyInfo > <choice maxoccurs= unbounded > <element ref= KeyName /> <element ref= KeyValue /> <element ref= RetrievalMethod />... spezielle Schlüsseldaten <any namespace= ##other /> </choice> <attribute name= id type= ID /> 6

7 2.6.4 ReferenceList und References für EncryptedKey In ReferenceList stehen die Referenzen vom Schlüssel zu den Daten, die mit jenem verschlüsselt wurden. Dieses sind normalerweise EncryptedData (per DataReference) oder andere EncryptedKey (per KeyReference). <element name= ReferenceList > <element ref= DataReference minoccurs= 0 /> <element ref= KeyReference minoccurs= 0 /> CipherData, CipherValue und CipherReference In CipherData steht die Verschlüsselung der Daten (CipherValue) oder ein Verweis auf den Ort der Verschlüsselung (CipherReference). <element name= CipherData > <choice> <element name= CipherValue /> <element name= CipherReference > <element ref= Transforms minoccurs= 0 /> <attribute name= URI type= urireference use= required /> </choice> Transforms Transforms bezeichnen Operationen auf den Daten, die generell vor der Weiterbearbeitung der Daten ausgeführt werden müssen, damit z.b. die Entschlüsselung oder auch die Validierung einer Signatur klappt. Eine wichtige Transformation in XML ist die Kanonisierung eines XML-Dokuments [XML-C14-N]. (siehe auch Abschitt 3.4.2) 2.7 Weiterer Vorschlag für XML-Encryption Parallel zum vorigen Vorschlag eines XML-Encryption-Protokolls gibt es einen weiteren Vorschlag zur Verschlüsselung von XML-Dokumenten. Dieser ist gleich mächtig und baut sich ähnlich auf: [XENC-another] <Encryption> <EncryptionInfos> <EncryptionInfo> / <EnvelopeInfo> (KeyIdentifier, RecipientEncryptedKey, EncryptedContentInfo)* </???Info> </EncryptionInfos> <Object> (EncryptedContent,...)* </Object> </Encryption> In diesem Vorschlag wurden die Elemente weit zergliedert. Es gibt viele Möglichkeiten, Informationen zu den Schlüsseln abzugeben. Es werden wesentlich mehr Tags definiert. Neben den verschlüsselten Daten und Schlüssel sind nun auch beliebige Objekte in einem Object-Element innerhalb der Encryption zugelassen. Ein wesentliches Merkmal ist die Trennung der Schlüssel von den Referenzen zu den verschlüsselten Daten. Dieses ist von Vorteil, wenn viele Empfänger vorhanden sind. Zuerst können die Keys 7

8 definiert werden, anschließend für alle Empfänger die Referenzen. Aus Effizienzgründen ist dies sicherlich sinnvoll, doch wenn man objektorientiert denkt, ist es fragwürdig. Ein Schlüssel sollte immer wissen, wo seine Daten stehen und nicht ganz allein definiert sein. Ist einem dieser Gedanke jedoch angenehm, so kann man die so gewonnene Verbesserung ebenfalls im ersten Vorschlag nutzen. Dazu benutzt man im KeyInfo-Element mehrere EncryptedKey -Elemente. 3 Signaturen in XML 3.1 Signatur Eine Signatur bezeugt die Authentizität eines Dokumentes. D.h. kann eine Signatur erfolgreich validiert werden, so kann man davon ausgehen, dass das signierte Objekt tatsächlich von dem Verfasser der Signatur stammt. Um eine Signatur zu erzeugen, ermittelt der Verfasser Kennzahlen (Hash-Werte) der zu signierenden Daten. Diese Kennzahlen werden wiederum gehasht und anschließend mit dem private key verschlüsselt (Signatur). Jeder Empfänger kann die Signatur überprüfen, indem er den Signaturwert mit dem public key des Verfassers entschlüsselt, die Kennzahlen der Daten ermittelt, hasht und dann vergleicht. 3.2 Digest-Algoritmen Das Hashing oder die Ermittlung der Kennzahlen übernehmen Digest-Algorithmen, wie z.b. SHA-1 [SHA-1]. Zur Eingabe dient eine Nachricht und eventuelle Parameter oder Initialization Vector (IV). Über eine bekannte und schnelle Hash-Funktion wird ein konstant langer Wert berechnet. Dieser Wert darf keinen Rückschluss auf die Nachricht zulassen. Außerdem ist es wünschenswert, dass ähnliche Daten keine gleichen Werte erzeugen. Praktisch soll nie derselbe Wert erzeugt werden. Eine weitere Forderung ist, dass eine Bitänderung in der Nachricht mit der Wahrscheinlichkeit von 50% eine Änderung jedes Bits des Prüfwerts zur Folge hat. 3.3 Beispiel einer Signatur in XML In Abschnitt wurde die Beurteilung einer Person verschlüsselt, die in einer externen Datei lag. Dieser verschlüsselte Wert soll nun signiert werden. <Signature> <SignedInfo> <CanonicalizationMethod Algorithm= REC-xml-c14n /> <SignatureMethod Algorithm= rsa-sha1 /> <Reference URI= > <DigestMethod Algoritm= sha1 /> <DigestValue>j7H6hd8kh7I9jcz7hgtjIM6K0Pgb</DigestValue> </Reference> </SignedInfo> <SignatureValue>78bla83ALBlA5=3jghblA9hBLaa8</SignatureValue> <KeyValue> </KeyValue> </Signature> 3.4 Syntax Wie in Abschnitt 2 werden auch hier nur die wichtigen Elemente dargestellt Signature Signature ist das Hauptelement jeder Signatur und beinhaltet alle Werte und Informationen über die Authentifikation. <element name= Signature > <element ref= SignedInfo /> 8

9 <element ref= SignatureValue /> <element ref= KeyInfo minoccurs= 0 /> <element ref= Object minoccurs= 0 maxoccurs= unbounded /> SignedInfo und Reference SignedInfo enthält die Methoden zur Kanonisierung der Daten vor der Berechnung der Signatur durch die SignaturMethod. Der Signaturwert wird über das SignedInfo-Element berechnet. Zuvor wird SignedInfo noch kanonisiert, d.h. Zeilenenden werden normalisiert, entities ersetzt, Leerzeichen entfernt, usw. In den Reference-Elementen stehen die Referenzen zu den zu signierenden Daten. [XML-C14-N] <element name= SignedInfo > <element ref= CanonicalizationMethod /> <element ref= SignatureMethod /> <element name= Reference > <element ref= Transforms minoccurs= 0 /> <element ref= DigestMethod /> <element ref= DigestValue /> <attribute name= URI type= urireference use= optional /> KeyInfo Dieses Element kam auch schon in Abschnitt 2 vor, stammt aber ursprünglich aus der XML- Signature. Das KeyInfo-Element gibt hier Auskunft über den öffentlichen Schlüssel des Verfassers um die Signatur zu validieren Object Das Object-Element kann jede Art von Elementen enthalten. Vorzugsweise Elemente auf die durch Reference-Elemente verwiesen wird oder SignatureProperties-Elemente, die unter anderem einen Zeitstempel enthalten können. 4 Rund- und Ausblicke 4.1 Nutzbarkeit in (XML-)Datenbanken Grundsätzlich ist jeder Schutz von Daten wünschenswert. Zudem ist er wichtig, falls nur Teile der Daten veröffentlicht werden sollen, bzw. einige Abschnitte nicht jedem zugänglich sein sollen. Wollte man bisher die Daten verschlüsselt übertragen, so musste man den geschützten Inhalt immer direkt übertragen und das an jeden Empfänger einzeln. XML-Encryption und -Signature erlauben es, die teilweise verschlüsselten Daten öffentlich zugänglich zu machen. Der Empfänger kann sich die Daten dann selbst holen und entschlüsseln. Es entsteht kein Overhead auf Seiten des Senders, da er sich nicht um jeden Zugriff kümmern muss. Er muss lediglich die Schlüssel für die Empfänger einzeln verschlüsseln und versenden. Durch Super-Encryption lassen sich auch abgestufte Zugriffsrechte verwirklichen. An dieser Stelle wird keine Betrachtung der Effizienz gemacht. Die Lösung von effizienter Suche und Zugriff auf eine teilweise verschlüsselte XML-Datenbank ist nicht trivial. Eine Möglichkeit wären zwei konsistente Datenbanken (un- und verschlüsselt) selben Inhalts zu benutzen. Doch dann stellt sich die Schwierigkeit der Konsistenzerhaltung und der doppelten Datenmenge. 9

10 4.2 Software Obwohl sich die vorgestellten Protokolle noch in der Entwicklung befinden, hat IBM bereits eine API entwickelt, die auf dieser Syntax beruht. Der Code ist öffentlich und die API ist 90 Tage zur Evaluation frei verwendbar.[sw-ibm] 5 Referenzen namespaces Encryption: xmlns:xenc= Signature: xmlns:ds= Literatur [3DES] [AES] [RSA] Skriptum Lineare Algebra II, Prof. Dr. Fischer, Medizinische Universität zu Lübeck [XENC-12/2000] XML Encryption Syntax and Processing Version. Dillaway, Fox, Imamura, LaMacchia, Maruyama, Schaad, Simon. Dezember 2000 [XENC-06/2001] XML Encryption WorkingDraft 06/ [XENC-10/2001] XML Encryption WorkingDraft 10/ [XML-Schema] XML Schema Structures and Datatypes [XML-C14-N] Canonical XML [XENC-another] Another proposal of XML Encryption [XSIG-10/2000] XML-Signature Syntax and Processing Candidate Recommendation [XSIG-08/2001] XML-Signature Syntax and Processing Proposes Recommendation [SHA-1] Secure Hash Standard [SW-IBM] XML Security Suite 10