Konrad Lanz. XML-Signaturen und sichere, verteilte Anwendungen

Transkript

1 Konrad Lanz XML-Signaturen und sichere, verteilte Anwendungen IAIK Institute for Applied Information Processing and Communications Technische Universität Graz Diplomarbeit: Digital Signature Services OASIS-DSS

2 XML Signaturen XML Signaturen OASIS - DSS 2

3 Konrad Lanz Diplomarbeit Digital Signature Services OASIS-DSS - IAIK (Inst. f. angew. Informationsverarbeitung und Kommunikation) - SIC (Stiftung Secure Information and Comm. Techn.) - TUG (Technische Universität Graz) OASIS-DSS, TC Voting Member W3C, für A-SIT (Zentrum für Sichere Informationstechnologie) - W3C XML CORE Working Group Canonicalization (c14n) 3

4 Einführung Einführung - Kryptographie - XML Signieren, Verschlüsseln, wozu? Anforderungen. XML Digital Signatures sichere, verteilte Anwendungen OASIS-DSS 4

5 Anforderungen an Signaturen Daten Integrität (integrity) der Nachricht Daten Authentizität (authenticity) - der Nachricht, der Zeit (Reihenfolge), des Absenders - End-to-End Authentizität Daten & Signatur speichern, routen später verifizieren. - Replay-Attacke (Time Stamps) - Unleugbarkeit (non-repudiation) - Long-Time Security (XAdES, TimeStamps, Validation Data) Daten Vertraulichkeit (confidentiality) - Verschlüsselungen (encryption), nicht in diesem Vortrag 5

6 Einführung Kryptographie Integrität (integrity) - Hash Funktionen ("sichere" Übermittlung d. Fingerabdr.) Integrität & Authentizität (integrity, authenticity) - symmetrische Authentifizierung (HMAC) Schlüsselmanagement O(n 2 ), Kerberos O(n) (online) - asymmetrische Signaturen Schlüsselmanagement O(n) Nur öffentlicher Schlüssel benötigt Authentizität Vertraulichkeit - symmetrische Verschlüsselungen - asymmetrische Verschlüsselungen 6

7 Hash Funktionen 7 Fingerabdruck - Kompression - Verlustbehaftet - SHA-1: 160 Bit - Unumkehrbar - kryptographisch sicher m!= m und h(m) = h(m ) <?xml version="1.0" encoding="utf-8"?><d xmlns=" nz/namespaces/vortrag#hagenberg">diese m Nachricht, hat 237 Bytes also 1896 Bits, keine Zeilenumbrüche und keine überflüssigen Leerzeichen.</d> h( ) 20 8a dd 7c 70 c f f9 f1 89 h(m) e8 cf 9f 23 a8 e0 f1 60

8 symmetrische Authentifizierung HMAC - Hash - Schlüssel <?xml version="1.0" encoding="utf-8"?><d xmlns=" nz/namespaces/vortrag#hagenberg">diese m Nachricht, hat 237 Bytes also 1896 Bits, keine Zeilenumbrüche und keine überflüssigen Leerzeichen.</d> 8 K "Geheimer- Schluessel" h K ( ) 20 8a dd 7c 70 c f f9 f1 89 h (m) e8 K cf 9f 23 a8 e0 f1 60

9 Digitale Signatur, asymmetrisch Signieren - Hash h(m) - asymmetrische Operation S mit privatem Schlüssel (P) auf h(m) - S P (h(m)) - DSA, ECDSA, RSA RSA signieren = Verschlüsseln mit privatem Schlüssel Verifizieren - Hash h(m) - asymmetrische Operation V mit öffentlichem Schlüssel (Ö) auf S P (h(m)) - V Ö (S P (h(m))) = h(m)? 9

10 Asymmetrische Operationen asymmetrisch - Paare aus privatem und öffentlichem Schlüssel. m h( ) h(m) Ungesichert m' h( ) h(m) Privater Schlüssel Sign S P (h(m)) S P (h(m)) Verify Öffentlicher Schlüssel 10 Öffentlicher Schlüssel Authentisch V Ö (S P (h(m)))=h(m)?

11 PKI - Public Key Infrastructure Trusted Third Party, CA 11

12 Zusammenfassung Grundlagen Hash Functions - SHA-512, 384, 256, 224, SHA-1, MD5 HMACs - HMAC-SHA Varianten, HMAC-SHA1, HMAC-MD5 Symmetrische (symmetric key Cryptography) - Aka. secret oder private key cryptography - nur ein Schlüssel, aber für jedes Paar der Parteien Public Key Cryptography (Signaturen) - Ein Schlüsselpaar (öffentlicher & privater Schlüssel) Public Key Infrastructure (PKI) 12

13 Digitale XML Signatur Abstract Unterschreiben von digitalen Inhalten XML und nicht XML <Reference> - Transformationskette (eventuell implizit) Normal-Form (Canonicalization, im Idealfall eine eindeutige Serialisierung) Leider wird nicht immer die Normal-Form unterschrieben. - Fingerabdruck (Hash) des Dokumentes <SignedInfo> - Unterschreibt die Referenzen - <SignatureValue> Informationen über öffentlichen Schlüssel (Zertifikate) - Schlüssel-Name für symmetrische Authentifizierung 13

14 Grundlagen XML XML als Baum XML Dokument als Baum Datenstruktur, Tree PI <!-- --> document <a > </a> PI XPath Datamodel - Menge von Knoten (Nodeset) xml:ns="uri" a1="val" txt <b > </b> txt <c > </c> 14

15 Grundlagen XML XML Darstellung, Processing XPath - verwendet in XSLT, XPointer - Transformationen, Referenzmechanismus URI (Uniform Resource Identifier) - URL plus URN - Identifizierung von Algorithmen - Referenzmechanismus Absolut oder Relativ zu einer Basis-URI, xml:base XPointer - Optional für XML Signaturen - Referenzmechanismus 15 XML CSS, XSL, XSLT Darstellung als XHTML, HTML, etc What You See Is What You Sign

16 Eine XML Signatur im Überblick <Signature ID?> <SignedInfo> <CanonicalizationMethod/> <SignatureMethod/> (<Reference URI? > (<Transforms>)? <DigestMethod> <DigestValue> </Reference>)+ </SignedInfo> <SignatureValue> (<KeyInfo>)? (<Object ID?>)* </Signature> 16

17 17 <?xml version="1.0" encoding="utf-8"?> <e1 xmlns:p1="urn:1"> <!-- This should be dereferenced by the URI="#xpointer(/)" however it shouldn't by URI="" --> <e2> <p1:e2/> </e2> <Signature xmlns=" <SignedInfo> <CanonicalizationMethod Algorithm=" <SignatureMethod Algorithm=" <Reference URI=""> <Transforms> <Transform Algorithm=" </Transforms> <DigestMethod Algorithm=" <DigestValue>HqMEweYD3WE2c+rqzck/iQQ3xe8=</DigestValue> </Reference> </SignedInfo> <SignatureValue>MiEo3JZfLlO6+jzJYy5d7LwRZfl4OSFajfRUjZWXreGg0dkBiF3DzA==</SignatureValue> <KeyInfo> <KeyValue> <DSAKeyValue> <P>/KaCzo4Syrom78z3EQ5SbbB4sF7ey80etKII864WF64B81uRpH5t9jQTxeEu0ImbzRMqzVDZkVG9nN1kuFw==</P> <Q>li7dzDacuo67Jg7mtqEm2TRuOMU=</Q> <G>Z4Rxsnqc9E7pGknFFH2xqaryRPBaQ01khpMdLRQnG541Awtx/XPaF5Bpsy4pNWMOHCBiNU0NogpsQvnlMpA==</G> <Y>ses0nukk99wJTFxB7zSezO3UgSKs8iXiukdlwQZSwOjcMSdQgkt1RpYg41YQS0qaXpeTOgM9LhmSvLlnee9Q==</Y> </DSAKeyValue> </KeyValue> </KeyInfo> </Signature> </e1>

18 Arten von XML Signaturen Allein stehend (detached) Im signierten Dokument selbst - Signatur vom Dokument eingehüllt (enveloped) - Signatur hüllt Dokument mittels <ds:object> ein, sie ist einhüllend (enveloping) - Mischform Die Unterscheidung enveloped, enveloping wird überbewertet. 18

19 Referenzmechanismus <ds:reference> Unified Resource Identifiers (URI) - gleiches Dokument URI="", Achtung Kommentare full xpointer #xpointer(id('/')) #xpointer(id('some-name')) "bare-name -xpointer #some-name, auch keine Kommentare Immer NodeSet data - anderes Dokument Immer Octetstream Data <Signature ID?> <SignedInfo> <CanonicalizationMethod/> <SignatureMethod/> (<Reference URI? > (<Transforms>)? <DigestMethod> <DigestValue> </Reference>)+ </SignedInfo> <SignatureValue> (<KeyInfo>)? (<Object ID?>)* </Signature> 19

20 Transformationskette <ds:transform> Folge mehrerer Transformationen - Enveloped Signature Transform - Canonicalization - Base64 - XPathFilter 1.0 / XSLT - XPointer <Signature ID?> <SignedInfo> <CanonicalizationMethod/> <SignatureMethod/> (<Reference URI? > (<Transforms>)? <DigestMethod> <DigestValue> </Reference>)+ </SignedInfo> <SignatureValue> (<KeyInfo>)? (<Object ID?>)* </Signature> 20

21 Ist XML anders als andere Daten? XML ist eine Markup Sprache - Text war zuerst - Dann kam das Markup (z.b.: Attribute) Serienbrief, digitale Bibliotheken (Mixed content) Geburtsdatum, um den Autor, etc ISBN Nr. zum Buchtitel Heute vielfach für Dateiformate und Protokolle verwendet - Konfigurationsdateien - XML Signaturen - XKMS - SOAP 21 Struktur rückt mehr in den Vordergrund

22 XML suggeriert: Erwartungshaltung an XML - "Leerzeichen" im Prolog - Einrückung - Irrelevante Attributreihenfolge - Mixed Content - " Leerzeichen" vgl. HTML, XHTML vielfache Leerzeichen, zwischen den Attributen. 22

23 XML-Normal-Form (Canonicalization) XML A Übertragung, Bearbeitung XML B XML logisch äquivalent? JA XML A XML B XML Binär äquivalent? Nein Signatur bricht false negative. 23

24 XML-Normal-Form (Canonicalization) Serialisieren in UTF-8 - nur Bytes (Octets) können signiert werden. Verwerfen unerheblicher Information - Robustheit vs. Sicherheit - Attributwerte norm., sortieren, - Leere Elemente Zeilenende - Unix, Windows Leerzeichen - Zwischen Attributen Namensräume (Zwei arten) - Canonical XML (C14n) - Exclusive XML Canonicalization Wegen Problemen mit SOAP <Signature ID?> <SignedInfo> <CanonicalizationMethod/> <SignatureMethod/> (<Reference URI? > (<Transforms>)? <DigestMethod> <DigestValue> </Reference>)+ </SignedInfo> <SignatureValue> (<KeyInfo>)? (<Object ID?>)* </Signature> 24

25 XML-Normal-Form (Canonicalization) Implizit - Nächster input OctetStreamData Explizit - <ds:transform> - <ds:canonicalizationmethod> <Signature ID?> <SignedInfo> <CanonicalizationMethod/> <SignatureMethod/> (<Reference URI? > (<Transforms>)? <DigestMethod> <DigestValue> </Reference>)+ </SignedInfo> <SignatureValue> (<KeyInfo>)? (<Object ID?>)* </Signature> 25

26 Gebrochene Signatur Referenzierte Information ist nicht verfügbar Referenzierte Information wurde geändert - Achtung wegen false negatives Signatur könnte trotzdem gültig sein Unterschiedliches Handling von "Leerzeichen" Achtung bei Schema, Datentyp Normalisierung Attribut und Namensraum Vererbung SOAP, Protokolle URI Auflösung spezielle Vererbung, von xml:base Externe Referenzen (nicht in XML-Normal-Form) 26

27 Öffentlicher Schlüssel KeyInfo DSA, RSA, PGP - Öffentliche Schlüssel SPKI, X.509 Zertifikate - Binär, ASN.1 DER <Signature ID?> <SignedInfo> <CanonicalizationMethod/> <SignatureMethod/> (<Reference URI? > (<Transforms>)? <DigestMethod> <DigestValue> </Reference>)+ </SignedInfo> <SignatureValue> (<KeyInfo>)? (<Object ID?>)* </Signature> 27

28 Zusammenfassung XML Signaturen Signaturen sind komplex. - Auswahl: Hash, Signaturschema, - Bieten End-to-End Authentifizierung und können gespeichert werden. XML-Signaturen - Darstellung - What You See Is What You Sign - Zu signierende Informationen müssen, referenziert werden. - Transformationskette muss vertrauenswürdig sein. - Notwendigkeit einer Normal-Form Normal-Form (Canonicalization) nicht mutig genug. - Nicht nur false positives sondern false negatives schaden dem Vertrauen. - Mehr Robustheit. 28

29 sichere, verteilte Anwendungen Module für Online-Applikationen für Identifikation, Signaturprüfung und Serversignatur (MOA-ID,SP und SS). Signieren und Verifizieren selbst kann eine Verteilte Anwendung darstellen. Signaturen bieten End-to-End Authentizität : - Web Services Security (WSS) - Web Service Secure Exchange(WS-SX) Erweitert WSS für SOAP message exchange 29

30 Oasis-DSS core XML Signaturen, XML Timestamps, CMS Signaturen, binäre Timestamps - Client Server XML Protokoll (TLS, HTTP POST) - Signieren, Verifizieren von Dokumenten (oder deren, Hash) Firmenschlüssel (z.b. Pressemitteilungen) Konfiguration des Clients kann entfallen - Grundlegende Timestampfunktionalität - Bietet Lösungsansätze für, Extrahieren und Einbetten von XML aus/in XML. 30

31 Oasis-DSS Profile Time-stamping Asynchronous operation Code signing (abstract profile) Code signing - J2ME (concrete profile) Entity seal Electronic Post Mark (EPM) German signature law Policy wise server XML Advanced Electronic Signature (XAdES) Signature gateway 31

32 Aktuelle Entwicklungen Sign What You See in Europa weniger streng als in den USA. Canonicalization, kleine Updates In näherer Zukunft eventuell kleinere Verbesserungen an XMLDSig im W3C OASIS-DSS core - Interoperability Tests - Public Review - Standard 32

33 Danke! SIC XSect Toolkit IAIK XML Signature Library (IXSIL) Nachfolger Java XML Digital Signatures APIs (JSR105) Java XML Digtial Encryption APIs (JSR106) Danke für Ihre Aufmerksamkeit. Q&A. 33

34 Referenzen Handbook of applied Cryptography - Secure XML - Donald E. Eastlake III and Kitty Niles, Addison Wesley, 2003 XMLDSig Canonicalization - Oasis-DSS