Sicheres Single Sign-On mit dem SAML Holder-of-Key Web Browser SSO Profile und SimpleSAMLphp

Größe: px

Ab Seite anzeigen:

Download "Sicheres Single Sign-On mit dem SAML Holder-of-Key Web Browser SSO Profile und SimpleSAMLphp"

Gerda Bauer
vor 8 Jahren
Abrufe

1 Sicheres Single Sign-On mit dem SAML Holder-of-Key Web Browser SSO Profile und SimpleSAMLphp Andreas Mayer Adolf Würth GmbH & Co. KG Künzelsau-Gaisbach Prof. Dr. Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum 12. Deutscher IT-Sicherheitskongress, Bonn 10. Mai 2011

2 Agenda Motivation SAML Web Browser SSO Profile Inhärente Schwachstelle im Web Browser SSO Profile Holder-of-Key Web Browser SSO Profile SimpleSAMLphp Implementierungsaspekte von Holder-of-Key Fazit/Ausblick Deutscher IT-Sicherheitskongress Adolf Würth GmbH & Co. KG, Künzelsau,

3 Das Problem der Passwortinflation Deutscher IT-Sicherheitskongress Adolf Würth GmbH & Co. KG, Künzelsau,

4 Browserbasiertes Single Sign-On Der Browser ist ubiquitär verfügbar und dient als Frontend für alle Anwendungen (Cloud Computing, Web 2.0 ) Erhöht den Benutzerkomfort und die Produktivität: Der Anwender kann nach einmaliger Authentifizierung auf alle Dienste zugreifen, für die er berechtigt ist. Steigert das Sicherheitsniveau Minimiert die Verwaltungskosten Deutscher IT-Sicherheitskongress Adolf Würth GmbH & Co. KG, Künzelsau,

5 Soweit so gut, aber Robert Mizerek - Fotolia.com ein geknacktes Single Sign-On System erlaubt den vollständigen Identitätsdiebstahl! Deutscher IT-Sicherheitskongress Adolf Würth GmbH & Co. KG, Künzelsau,

6 SAML in a nutshell Akronym für Security Assertion Markup Language XML-basierte Auszeichnungssprache zum Austausch von Authentifizierungs- und Berechtigungsinformationen in sogenannten SAML Assertions Offener, vollständig hersteller- und plattformunabhängiger Standard Ermöglicht browserbasiertes Single Sign-On (SSO) Einsatzgebiete Webanwendungen Web Services in SOA-Architekturen Deutscher IT-Sicherheitskongress Adolf Würth GmbH & Co. KG, Künzelsau,

7 SAML Terminologie Identity Provider (IdP) Zuständig für die Authentifizierung der Endanwender und das Ausstellen von Assertions an föderierte Service Provider. Service Provider (SP) Bietet dem Anwender einen Service bzw. Ressource an und akzeptiert von einem vertrauten IdP ausgestellte Assertions. Subject Anwender, der sich an einem IdP authentifiziert hat. User Agent (UA) Client, der von einem Anwender bedient wird. Meist ist dies ein Web Browser Deutscher IT-Sicherheitskongress Adolf Würth GmbH & Co. KG, Künzelsau,

8 SAML Web Browser SSO Profile Deutscher IT-Sicherheitskongress Adolf Würth GmbH & Co. KG, Künzelsau,

9 Inhärente Schwachstelle im SAML Web Browser SSO Profile Keine kryptographische Bindung der Assertions an den Browser des Benutzers Identitätsdiebstahl durch gestohlene Assertions möglich (TLS gesicherte Verbindungen verhindern dies nicht!) Deutscher IT-Sicherheitskongress Adolf Würth GmbH & Co. KG, Künzelsau,

10 Angriffsvektoren Cross-Site Scripting Angriff Man-in-the-Middle Angriff Deutscher IT-Sicherheitskongress Adolf Würth GmbH & Co. KG, Künzelsau,

11 SAML Holder-of-Key Web Browser Single Sign-On Profile Kryptographische Bindung der SAML Assertions an den Browser des Benutzers über ein (selbstsigniertes) Clientzertifikat Realisierung durch gegenseitige zertifikatsbasierte Authentifizierung während des TLS Handshakes zwischen Browser und Webserver Gestohlene Assertions sind für den Angreifer wertlos, da sie nicht den privaten Schlüssel des Clientzertifikats besitzen Deutscher IT-Sicherheitskongress Adolf Würth GmbH & Co. KG, Künzelsau,

12 SAML Holder-of-Key Web Browser Single Sign-On Profile Deutscher IT-Sicherheitskongress Adolf Würth GmbH & Co. KG, Künzelsau,

13 SimpleSAMLphp Leichtgewichtige Open Source-Implementierung des SAML v2.0 Standards in PHP ( Projekt der norwegischen UNINETT Gruppe Aktive Weiterentwicklung Große Community Gute und umfangreiche Dokumentation Größte Installation besitzt Benutzer (dänisches Forschungsund Wissenschaftsnetzwerk) Deutscher IT-Sicherheitskongress Adolf Würth GmbH & Co. KG, Künzelsau,

14 Implementierung von HoK in SimpleSAMLphp Web Browser Keine Änderungen Selbstsigniertes Clientzertifikat erzeugen/importieren Identity Provider TLS Handshake mit Client-Authentifizierung aktivieren Erzeugen von HoK Assertions Service Provider TLS Handshake mit Client-Authentifizierung aktivieren Logik zum Auswerten der HoK Assertions Deutscher IT-Sicherheitskongress Adolf Würth GmbH & Co. KG, Künzelsau,

15 Fazit und Ausblick Standard SAML Web Browser SSO Profile angreifbar SAML Holder-of-Key Web Browser SSO Profile Bindet Assertions kryptographisch an den Browser des Anwenders Erhöht das Sicherheitsniveau signifikant (Level-of-Assurance 4) Zero-Footprint auf Browserseite SimpleSAMLphp wurde um Holder-of-Key SSO Profile erweitert Verabschiedung von Holder-of-Key als offizieller OASIS Standard Formaler Sicherheitsbeweis für Holder-of-Key steht noch aus Deutscher IT-Sicherheitskongress Adolf Würth GmbH & Co. KG, Künzelsau,

16 Vielen Dank für Ihre Aufmerksamkeit! Fragen? Andreas Mayer Jörg Schwenk Deutscher IT-Sicherheitskongress Adolf Würth GmbH & Co. KG, Künzelsau,

Ähnliche Dokumente

XML Signature Wrapping: Die Kunst SAML Assertions zu fälschen. 19. DFN Workshop Sicherheit in vernetzten Systemen Hamburg, 22.02.

XML Signature Wrapping: Die Kunst SAML Assertions zu fälschen. 19. DFN Workshop Sicherheit in vernetzten Systemen Hamburg, 22.02. XML Wrapping: Die Kunst SAML s zu fälschen Andreas Mayer Adolf Würth GmbH & Co. KG Künzelsau-Gaisbach Prof. Dr. Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum 19. DFN Workshop