Sicherheit und Vertraulichkeit mit SOAP

Transkript

1 Mario Jeckle Sicherheit und Vertraulichkeit mit SOAP mario.jeckle DaimlerChrysler Forschungszentrum Ulm W11

2 Gliederung Anforderungen an SOAP- Sicherheitsmechanismen Existierende Lösungen XML Digital Signatures XML Encryption Secure Sockets Layer (Code-)Beispiele und Praktische Einsatzempfehlungen W11 Sicherheit und Vertraulichkeit mit SOAP 2

3 Anforderungen Vertraulichkeit (confidentiality( confidentiality) Schutz der Daten vor dem (lesenden) Zugriff unbefugter Dritter Berechtigung (authorization( authorization) Gewährleistet Befugnis des Anforderers zur Nutzung des Dienstes (Daten-)konsistenz (data integrity) Verlangt modifikationsfreies Eintreffen der versandten Daten W11 Sicherheit und Vertraulichkeit mit SOAP 3

4 Anforderungen Glaubwürdigkeit des Ursprungs (message origin authentication) Garantiert, daß eine Nachricht willentlich durch einen Sender erstellt wurde Verbindlichkeit (non( non-repudiation) Stellt sicher, daß der Sender die Autorenschaft nicht leugnen kann W11 Sicherheit und Vertraulichkeit mit SOAP 4

5 Sicherheitsebenen Applikations-Schicht (Application Layer) XML-Schicht SOAP-Schicht (SOAP Layer) [Presentation Layer] Protokollschicht (wire protocol) [Session Layer] BEEP SMTP HTTP SOAP SSL MIME Transportschicht (Transport Layer) Netzschicht (Network Layer) Sicherungsschicht (Data Link Layer) TCP IP (v4, v6), X.25, SPX, IPX HDLC, SLIP, PPP, Ethernet, IEEE 802.x UDP Bitübertragungsschicht (Physical Layer) analoges Modem, V. 90, ISDN, ADSL W11 Sicherheit und Vertraulichkeit mit SOAP 5

6 Sicherheitsebenen BEEP SMTP HTTP XML-Schicht SOAP SSL MIME XML Digital Signatures XML Encryption... XML-Schicht BEEP SMTP HTTP SOAP SSL MIME Transaction Layer Security/ Secure Sockets Layer... W11 Sicherheit und Vertraulichkeit mit SOAP 6

7 Ein Beispiel... SOAP Endpoint NumberAdderCall Parameters number1 number2 value = 1 value = 2 <?xml version='1.0' encoding='utf-8'?> <SOAP-ENV:Envelope xmlns:soap-env= " xmlns:xsi=" xmlns:xsd=" <SOAP-ENV:Body> <ns1:add xmlns:ns1="urn:numberadder" SOAP-ENV:encodingStyle= " schemas.xmlsoap.org/soap/encoding/"> <number1 xsi:type="xsd:int">1</number1> <number2 xsi:type="xsd:int">2</number2> </ns1:add> </SOAP-ENV:Body> </SOAP-ENV:Envelope> <?xml version='1.0' encoding='utf-8'?> <SOAP-ENV:Envelope xmlns:soap-env= " xmlns:xsi=" xmlns:xsd=" <SOAP-ENV:Body> <ns1:add xmlns:ns1="urn:numberadder" SOAP-ENV:encodingStyle= " schemas.xmlsoap.org/soap/encoding/"> <number1 xsi:type="xsd:int">1</number1> <number2 xsi:type="xsd:int">2</number2> </ns1:add> </SOAP-ENV:Body> </SOAP-ENV:Envelope> NumberAdderCall Parameters number1 number2 value = 1 value = 2 Transportprotokoll (z.b. HTTP) Serialisierungund Encoding desaufrufs Transportprotokoll (z.b. HTTP) Serialisierungund Encoding desaufrufs Dienst- Dienst- Nutzer SOAP Envelope W3C's XML-Schema SOAP Envelope W3C's XML-Schema Erbringer XML v1.0, 2 nd edition + Namespaces XML v1.0, 2 nd edition + Namespaces W11 Sicherheit und Vertraulichkeit mit SOAP 7

8 Dienstaufruf (ungesichert) POST POST /soap/servlet/rpcrouter HTTP/1.0 HTTP/1.0 Host: Host: localhost:8081 localhost:8081 Content-Type: Content-Type: text/xml; text/xml; charset=utf-8 charset=utf-8 Content-Length: Content-Length: SOAPAction: SOAPAction: "" "" <?xml <?xml version='1.0' encoding='utf-8'?> <SOAP-ENV:Envelope xmlns:soap-env= " xmlns:xsi=" xmlns:xsd=" <SOAP-ENV:Body> <ns1:add xmlns:ns1="urn:numberadder" SOAP-ENV:encodingStyle= " <number1 xsi:type="xsd:int">1</number1> <number2 xsi:type="xsd:int">2</number2> </ns1:add> </SOAP-ENV:Body> </SOAP-ENV:Envelope> W11 Sicherheit und Vertraulichkeit mit SOAP 8

9 Dienstergebnis (ungesichert) HTTP/1.0 HTTP/ OK OK Content-Type: Content-Type: text/xml; text/xml; charset=utf-8 charset=utf-8 Content-Length: Content-Length: Set-Cookie2: Set-Cookie2: JSESSIONID=9ekj42d5b1;Version=1;Discard;Path="/soap" JSESSIONID=9ekj42d5b1;Version=1;Discard;Path="/soap" Set-Cookie: Set-Cookie: JSESSIONID=9ekj42d5b1;Path=/soap JSESSIONID=9ekj42d5b1;Path=/soap Servlet-Engine: Servlet-Engine: Tomcat Tomcat Web Web Server/3.2.1 Server/3.2.1 (JSP (JSP 1.1; 1.1; Servlet Servlet 2.2; 2.2; Java Java beta3; beta3; Windows Windows x86; x86; java.vendor=sun java.vendor=sun Microsystems Microsystems Inc.) Inc.) <?xml <?xml version='1.0' version='1.0' encoding= utf-8'?> encoding= utf-8'?> <SOAP-ENV:Envelope <SOAP-ENV:Envelope xmlns:soap-env= xmlns:soap-env= " " xmlns:xsi=" xmlns:xsi=" xmlns:xsd=" xmlns:xsd=" <SOAP-ENV:Body> <SOAP-ENV:Body> <ns1:addresponse <ns1:addresponse xmlns:ns1="urn:numberadder" xmlns:ns1="urn:numberadder" SOAP-ENV:encodingStyle= SOAP-ENV:encodingStyle= " " <return <return xsi:type="xsd:int">3</return> xsi:type="xsd:int">3</return> </ns1:addresponse> </ns1:addresponse> </SOAP-ENV:Body> </SOAP-ENV:Body> </SOAP-ENV:Envelope> </SOAP-ENV:Envelope> W11 Sicherheit und Vertraulichkeit mit SOAP 9

10 XML Digital Signatures Ziel: Aufdeckung potentieller Datenverfälschung Sender unterschreibt übertragene Daten, Empfänger prüft Unterschrift (und mittels dieser indirekt die Daten) Eigenschaften der Unterschrift: Glaubwürdigkeit (willentliche Unterschrift) Fälschungssicherheit (Unterschrift kann nicht durch Dritte erzeugt werden) Transienz (Unterschrift ist nicht wiederverwendbar) Unveränderbarkeit (Unterschrift und Dokument bilden Einheit) Dauerhaftigkeit (Unterschrift kann nicht zurückgezogen werden) Lösungen XML Signatures (W3C Proposed Recommendation) SOAP Security Extensions: Digital Signature (W3C Note) W11 Sicherheit und Vertraulichkeit mit SOAP 10

11 XML Digital Signatures Ziel: Aufdeckung potentieller Datenverfälschung Sender <?xml version='1.0' encoding='utf-8'?> <SOAP-ENV:Envelope xmlns:soap-env=" xmlns:xsi=" xmlns:xsd=" <SOAP-ENV:Body> <ns1:add xmlns:ns1="urn:numberadder" SOAP-ENV:encodingStyle=" <number1xsi:type="xsd:int">1</number1> <number2xsi:type="xsd:int">2</number2> </ns1:add> </SOAP-ENV:Body> </SOAP-ENV:Envelope> XML Dokument Empfänger <?xml version='1.0' encoding='utf-8'?> <SOAP-ENV:Envelope xmlns:soap-env=" xmlns:xsi=" xmlns:xsd=" <SOAP-ENV:Body> CanonicalizationMethod <ns1:add xmlns:ns1="urn:numberadder" Algorithm=" CanonicalizationMethod org/tr/2000/wd-xml-c14n SOAP-ENV:encodingStyle=" SignatureMethod Algorithm=" org/tr/2000/wd-xml-c14n <number1xsi:type="xsd:int">1</number1> Algorithm=" SignatureMethod org/2000/09/xmldsig#dsa-sha1" <number2xsi:type="xsd:int">2</number2> DigestMethod Algorithm=" org/2000/09/xmldsig#dsa-sha1" </ns1:add> </SOAP-ENV:Body> Algorithm=" DigestMethod org/2000/09/xmldsig#sha1" </SOAP-ENV:Envelope> Algorithm=" MCpXybqBI2Aa org/2000/09/xmldsig#sha1" MCpXybqBI2Aa 3Yx4IovjN3Ggch <n1:envelope xmlns:n1=" <n1:body xmlns:n1=" <n1:add xmlns:n1="urn:numberadder n2:encodingstyle=" xmlns:n2=" <number1 n1:type="xsd:int" xmlns:n1=" <number2 n1:type="xsd:int" xmlns:n1=" </n1:add> </n1:body> </n1:envelope> MCpXybqBI2Aa za9itx3gfzceyiy 3Yx4IovjN3Ggch z.b. W3C's c14n z. B. SHA1 z. B. DSA-SHA1 yalsljezgwag= amdb3lif1m6a9+ Ngi59MqDwK3LRQ== Kanonische Repräsentation <n1:envelope xmlns:n1=" <n1:body xmlns:n1=" <n1:add xmlns:n1="urn:numberadder n2:encodingstyle=" xmlns:n2=" <number1 n1:type="xsd:int" xmlns:n1=" <number2 n1:type="xsd:int" xmlns:n1=" </n1:add> </n1:body> </n1:envelope> z.b. W3C's c14n z. B. SHA1 amdb3lif1m6a9+ Kanonische Ngi59MqDwK3LRQ== Repräsentation XML Dokument Metadaten Digitale Unterschrift Digest za9itx3gfzceyiy yalsljezgwag= Digest Vergleich Digitale Unterschrift MCpXybqBI2Aa 3Yx4IovjN3Ggch z. B. DSA-SHA1 amdb3lif1m6a9+ Ngi59MqDwK3LRQ== Digitale Unterschrift W11 Sicherheit und Vertraulichkeit mit SOAP 11 =

12 XML Digital Signatures Einlesen SOAP-Aufruf Metadaten Unterschrift Kanonische Darstellung erzeugen Digest berechnen und vergleichen Unterschrift [gültig] [korrekt] [inkorrekt] Unterschrift berechnen und vergleichen Unterschrift [ungültig] W11 Sicherheit und Vertraulichkeit mit SOAP 12

13 Signaturen und SOAP SOAP-Nachricht SOAP-Header. SOAP-Headerblock SOAP-Body. SOAP-Bodyblock W11 Sicherheit und Vertraulichkeit mit SOAP 13

14 XML Digital Signatures <ds:signature <ds:signature xmlns:ds=" xmlns:ds=" <ds:signedinfo> <ds:signedinfo> <ds:canonicalizationmethod <ds:canonicalizationmethod Algorithm= Algorithm= " " </ds:canonicalizationmethod> </ds:canonicalizationmethod> <ds:signaturemethod <ds:signaturemethodalgorithm= " " <ds:reference <ds:referenceuri="#body"> <ds:transforms> <ds:transforms> <ds:transform <ds:transform Algorithm= Algorithm= " " </ds:transforms> </ds:transforms> <ds:digestmethod <ds:digestmethodalgorithm= " " <ds:digestvalue>za9itx3gfzceyiyyalsljezgwag=</ds:digestvalue> <ds:digestvalue>za9itx3gfzceyiyyalsljezgwag=</ds:digestvalue> </ds:reference> </ds:reference> </ds:signedinfo> </ds:signedinfo> <ds:signaturevalue> <ds:signaturevalue> MCpXybqBI2Aa3Yx4IovjN3GgchaMDB3lIF1M6a9+Ngi59MqDwK3LRQ== MCpXybqBI2Aa3Yx4IovjN3GgchaMDB3lIF1M6a9+Ngi59MqDwK3LRQ== </ds:signaturevalue> </ds:signaturevalue> </ds:signature> </ds:signature> W11 Sicherheit und Vertraulichkeit mit SOAP 14

15 XML Digital Signatures SOAP-Nachricht SOAP-Header SOAP-Headerblock SOAP-Body SOAP-Bodyblock <SOAP-ENV:Envelope xmlns:soap-env=" <SOAP-ENV:Header> <SOAP-SEC:Signature xmlns:soap-sec=" SOAP-ENV:actor=" SOAP-ENV:mustUnderstand="1"> <ds:signature xmlns:ds=" <ds:signedinfo> <ds:canonicalizationmethod Algorithm=" </ds:canonicalizationmethod> <ds:signaturemethod Algorithm=" org/2000/09/xmldsig#dsa-sha1"/> <ds:reference URI="#Body"> <ds:transforms> <ds:transform Algorithm=" </ds:transforms> <ds:digestmethod Algorithm=" <ds:digestvalue>za9itx3gfzceyiyyalsljezgwag=</ds:digestvalue> </ds:reference> </ds:signedinfo> <ds:signaturevalue>mcpxybqbi2aa3yx4iovjn3ggchamdb3lif1m6a9+ngi59mqdwk3lrq==</ds:signaturevalue> </ds:signature> </SOAP-SEC:Signature> </SOAP-ENV:Header> <SOAP-ENV:Body xmlns:soap-sec=" SOAP-SEC:id="Body"> <ns1:add xmlns:ns1="urn:numberadder" SOAP-ENV:encodingStyle=" <number1 xsi:type="xsd:int">1</number1> <number2 xsi:type="xsd:int">2</number2> </ns1:add> </SOAP-ENV:Body> </SOAP-ENV:Envelope> W11 Sicherheit und Vertraulichkeit mit SOAP 15

16 XML Digital Signatures Ziel: Aufdeckung potentieller Datenverfälschung Keine Veränderung des Dateninhaltes (SOAP( Body) Definition eines Nachrichten Digests als Grundlage des Unterschriftenvorganges Durch bestehende XML-Lösungen Lösungen auf XML-Ebene (leicht) lösbar Anwendung: Sicherung der Urheberschaft bei nicht- vertraulichen Inhalten (diverse B2B- Anwendungen) Sicherstellung der Unveränderbarkeit (RPCs,, Business Transaktionen) W11 Sicherheit und Vertraulichkeit mit SOAP 16

17 XML Encryption Ziel: Schutz der Vertraulichkeit Sender verschlüsselt Daten, Empfänger entschlüsselt (mit geeignetem Schlüssel) Für strengste Anforderungen sinnvollerweise in Applikation auf SOAP-Endpunkt (Aufrufer( und Diensterbringer) ausgeführt Nicht berücksichtigt: Schlüsselverteilung und übergabe Verschlüsselungsalgorithmus Lösungen: XML Encryption Syntax and Processing (W3C Working Draft) W11 Sicherheit und Vertraulichkeit mit SOAP 17

18 XML Encryption Ziel: Schutz der Vertraulichkeit Sender: <?xml version='1.0' encoding='utf-8'?> <SOAP-ENV:Envelope xmlns:soap-env=" xmlns:xsi=" xmlns:xsd=" <SOAP-ENV:Body> <ns1:add xmlns:ns1="urn:numberadder" SOAP-ENV:encodingStyle=" <number1xsi:type="xsd:int">1</number1> <number2xsi:type="xsd:int">2</number2> </ns1:add> </SOAP-ENV:Body> </SOAP-ENV:Envelope> Standard Algorithmus (Verschlüsselung) Schlüssel <? xml version="1.0" encoding ="UTF -8"?> <?xml version="1.0" encoding="utf-8"?> <SOAP-ENV: Envelope xmlns:soap-env=" schemas.xmlsoap.org/soap/envelope/" <SOAP-ENV:Envelope xmlns:soap-env=" org /soap /envelope/" xmlns: xsd=" " xmlns:xsd=" org/1999/ XMLSchema " xmlns: xsi=" org/1999/ XMLSchema -instance"> xmlns:xsi=" "> <SOAP-ENV:Body> <SOAP-ENV:Body> <EncryptedData Type="Element" xmlns=" temp-xmlenc "> <EncryptedData Type="Element" xmlns =" org /2000/11/temp-xmlenc"> <EncryptedKey> <EncryptedKey > <EncryptionMethod Algorithm="urn: rsadsi-com :rsa -v1.5"/> <EncryptionMethod Algorithm="urn:rsadsi -com:rsa-v1.5"/> <KeyInfo xmlns=" org /2000/09/xmldsig#"> <KeyInfo xmlns=" #"> <KeyName >key</keyname > <KeyName >key </KeyName> </KeyInfo> </ KeyInfo> <CipherText >RArdCtxCyQL9OzQzrFOMkij8tR6ySD0JjX6aJXsmP7R2rYmRpcIGn1vQfSOqbWT U/BV6GudWGy0V <CipherText >RArdCtxCyQL9OzQzrFOMkij8tR6ySD0JjX6aJXsmP7R2rYmRpcIGn1vQfSOqbWT U/BV6GudWGy0V HCFKQUrEuJri0ogq36mVSshcMVgUoRjJJiy6EIJRhAlffT9ux+nRDmqyS5VYHXiuPGvjBKu4CR7E HCFKQUrEuJri0ogq36mVSshcMVgUoRjJJiy6EIJRhAlffT9ux+nRDmqyS5VYHXiuPGvjBKu4CR7E twxnfth25wghy0ojd74=</ CipherText ></EncryptedKey> twxnfth25wghy0ojd74=</ciphertext></encryptedkey> <EncryptionMethod Algorithm="urn:nist-gov :tripledes-ede-cbc"><iv>smkzxksgdqa=</iv></encryptionmethod> <EncryptionMethod Algorithm="urn:nist-gov:tripledes-ede-cbc "><IV>SmkzxKsgdqA=</IV></ EncryptionMethod> <CipherText >svjhjiw5qniey3brbpamnocz/ja+rmng0plo7vwnmtp+vpvs53c0yvdeb4gmyecobtae00s8l0cy <CipherText>sVjhJIW5QnIeY3brbpamNOcz/Ja+RmnG0pLo7vWnmTp+vpVs53c0YVDeb4gmYEcOBTAe00S8l0cy SJpKGkgbVksD9zo6U2LpS466KXIp5NDVRgJcHZnp8tro5mb90g2gB56bw+IyskKh7QDMbvM7ACdT SJpKGkgbVksD9zo6U2LpS466KXIp5NDVRgJcHZnp8tro5mb90g2gB56bw+IyskKh7QDMbvM7ACdT 6SGauu0dSGIT3Q5kTT1qQWQ4easDZ1ShHpVYrBXPRI//3QGyjrnOOclh8T5eqRhRRAuwUc3A4Rqa 6SGauu0dSGIT3Q5kTT1qQWQ4easDZ1ShHpVYrBXPRI//3QGyjrnOOclh8T5eqRhRRAuwUc3A4Rqa H7M6QTIb36vOTBRuFbfFESBw8648Xi8GlSpu39cVoMjEUTrldnJo1gpWdU5JWFf9 RqzhmBQ=</ CipherText ></EncryptedData> H7M6QTIb36vOTBRuFbfFESBw8648Xi8GlSpu39cVoMjEUTrldnJo1gpWdU5JWFf9RqzhmBQ=</CipherText></EncryptedData> </SOAP-ENV:Body> </SOAP-ENV:Body> </SOAP-ENV:Envelope> </SOAP-ENV: Envelope> XML Dokument Empfänger: mqgibdtzzz0rbadooblh8nrsno6xiognjizm+adhsgoyuzwf3vby1hk6v63gdb97 RdJrPt5UZ7ygCpY43rof6h6jYzeGs/JJJQVLrYiM9/sguoC7+ZTP6W8TNo3imzYE mqgibdtzzz0rbadooblh8nrsno6xiognjizm+adhsgoyuzwf3vby1hk6v63gdb97 OV+jJDmVrj6nylbXnjhtThP5PQ82oYfRa2NUVJl4L6M23FlZo4hZ9qZ7HwCg/8+K RdJrPt5UZ7ygCpY43rof6h6jYzeGs/JJJQVLrYiM9/sguoC7+ZTP6W8TNo3imzYE Ed0XdgY7ZK2ySJW69M6IYMMEAJmZP/hSysTAxO3my6V/9cJneUIW6l7cImWwFKxO OV+jJDmVrj6nylbXnjhtThP5PQ82oYfRa2NUVJl4L6M23FlZo4hZ9qZ7HwCg/8+K 5np13Dn0tomSLLt0R1dhqdrr4493C0wnzeqODDKbMbC0aCVy0Yo38pmwkFBoQQrd Ed0XdgY7ZK2ySJW69M6IYMMEAJmZP/hSysTAxO3my6V/9cJneUIW6l7cImWwFKxO q3lsgl6ke0oijhjpyohn+7hpdz2pydyr1olhk//aew0dvtf4sqatnw7eokdhef0q 5np13Dn0tomSLLt0R1dhqdrr4493C0wnzeqODDKbMbC0aCVy0Yo38pmwkFBoQQrd /AQGA/0X4mGFwgMqAxLyYWncHkTsOUT7XPKvCtA8BMWV7gi+48CcnqABdyjT7iWv q3lsgl6ke0oijhjpyohn+7hpdz2pydyr1olhk//aew0dvtf4sqatnw7eokdhef0q I1n9wr8CK4d/eZVw+yq9xGs0+XVNoQ7q/unQ05wyZEkD/x9OaAtAoDSjaDeXsg9w /AQGA/0X4mGFwgMqAxLyYWncHkTsOUT7XPKvCtA8BMWV7gi+48CcnqABdyjT7iWv BlbF3w6gCOnoqRqUNSIlj9uD5/awmfUaSZY2JfuuxDj4bkEi87QeTWFyaW8gSmVj I1n9wr8CK4d/eZVw+yq9xGs0+XVNoQ7q/unQ05wyZEkD/x9OaAtAoDSjaDeXsg9w a2xlidxtyxjpb0bqzwnrbguuzgu+iqbybbaragaybqi7c82dcasdcqghagekahkb BlbF3w6gCOnoqRqUNSIlj9uD5/awmfUaSZY2JfuuxDj4bkEi87QeTWFyaW8gSmVj BRsDAAAAAAoJEOOrbdtBMBqsZB4AoL8rSS5U6EUYy8qeiLzuFo0u89v5AKCMGlRP a2xlidxtyxjpb0bqzwnrbguuzgu+iqbybbaragaybqi7c82dcasdcqghagekahkb BRsDAAAAAAoJEOOrbdtBMBqsZB4AoL8rSS5U6EUYy8qeiLzuFo0u89v5AKCMGlRP verschlüsselter Datenstrom <? xml version="1.0" encoding ="UTF -8"?> <?xml version="1.0" encoding="utf-8"?> <SOAP-ENV: Envelope xmlns:soap-env=" schemas.xmlsoap.org/soap/envelope/" <SOAP-ENV:Envelope xmlns:soap-env=" org /soap /envelope/" xmlns: xsd=" " xmlns:xsd=" org/1999/ XMLSchema " xmlns: xsi=" org/1999/ XMLSchema -instance"> xmlns:xsi=" "> <SOAP-ENV:Body> <SOAP-ENV:Body> <EncryptedData Type="Element" xmlns=" temp-xmlenc "> <EncryptedData Type="Element" xmlns =" org /2000/11/temp-xmlenc"> <EncryptedKey> <EncryptedKey > <EncryptionMethod Algorithm="urn: rsadsi-com :rsa -v1.5"/> <EncryptionMethod Algorithm="urn:rsadsi -com:rsa-v1.5"/> <KeyInfo xmlns=" org /2000/09/xmldsig#"> <KeyInfo xmlns=" #"> <KeyName >key</keyname > <KeyName >key </KeyName> </KeyInfo> </ KeyInfo> <CipherText >RArdCtxCyQL9OzQzrFOMkij8tR6ySD0JjX6aJXsmP7R2rYmRpcIGn1vQfSOqbWT U/BV6GudWGy0V <CipherText >RArdCtxCyQL9OzQzrFOMkij8tR6ySD0JjX6aJXsmP7R2rYmRpcIGn1vQfSOqbWT U/BV6GudWGy0V HCFKQUrEuJri0ogq36mVSshcMVgUoRjJJiy6EIJRhAlffT9ux+nRDmqyS5VYHXiuPGvjBKu4CR7E HCFKQUrEuJri0ogq36mVSshcMVgUoRjJJiy6EIJRhAlffT9ux+nRDmqyS5VYHXiuPGvjBKu4CR7E twxnfth25wghy0ojd74=</ CipherText ></EncryptedKey> twxnfth25wghy0ojd74=</ciphertext></encryptedkey> <EncryptionMethod Algorithm="urn:nist-gov :tripledes-ede-cbc"><iv>smkzxksgdqa=</iv></encryptionmethod> <EncryptionMethod Algorithm="urn:nist-gov:tripledes-ede-cbc "><IV>SmkzxKsgdqA=</IV></ EncryptionMethod> <CipherText >svjhjiw5qniey3brbpamnocz/ja+rmng0plo7vwnmtp+vpvs53c0yvdeb4gmyecobtae00s8l0cy <CipherText>sVjhJIW5QnIeY3brbpamNOcz/Ja+RmnG0pLo7vWnmTp+vpVs53c0YVDeb4gmYEcOBTAe00S8l0cy SJpKGkgbVksD9zo6U2LpS466KXIp5NDVRgJcHZnp8tro5mb90g2gB56bw+IyskKh7QDMbvM7ACdT SJpKGkgbVksD9zo6U2LpS466KXIp5NDVRgJcHZnp8tro5mb90g2gB56bw+IyskKh7QDMbvM7ACdT 6SGauu0dSGIT3Q5kTT1qQWQ4easDZ1ShHpVYrBXPRI//3QGyjrnOOclh8T5eqRhRRAuwUc3A4Rqa 6SGauu0dSGIT3Q5kTT1qQWQ4easDZ1ShHpVYrBXPRI//3QGyjrnOOclh8T5eqRhRRAuwUc3A4Rqa H7M6QTIb36vOTBRuFbfFESBw8648Xi8GlSpu39cVoMjEUTrldnJo1gpWdU5JWFf9 RqzhmBQ=</ CipherText ></EncryptedData> H7M6QTIb36vOTBRuFbfFESBw8648Xi8GlSpu39cVoMjEUTrldnJo1gpWdU5JWFf9RqzhmBQ=</CipherText></EncryptedData> </SOAP-ENV:Body> </SOAP-ENV:Body> </SOAP-ENV:Envelope> </SOAP-ENV: Envelope> verschlüsselter Datenstrom Standard Algorithmus (Entschlüsselung) Schlüssel mqgibdtzzz0rbadooblh8nrsno6xiognjizm+adhsgoyuzwf3vby1hk6v63gdb97 RdJrPt5UZ7ygCpY43rof6h6jYzeGs/JJJQVLrYiM9/sguoC7+ZTP6W8TNo3imzYE mqgibdtzzz0rbadooblh8nrsno6xiognjizm+adhsgoyuzwf3vby1hk6v63gdb97 OV+jJDmVrj6nylbXnjhtThP5PQ82oYfRa2NUVJl4L6M23FlZo4hZ9qZ7HwCg/8+K RdJrPt5UZ7ygCpY43rof6h6jYzeGs/JJJQVLrYiM9/sguoC7+ZTP6W8TNo3imzYE Ed0XdgY7ZK2ySJW69M6IYMMEAJmZP/hSysTAxO3my6V/9cJneUIW6l7cImWwFKxO OV+jJDmVrj6nylbXnjhtThP5PQ82oYfRa2NUVJl4L6M23FlZo4hZ9qZ7HwCg/8+K 5np13Dn0tomSLLt0R1dhqdrr4493C0wnzeqODDKbMbC0aCVy0Yo38pmwkFBoQQrd Ed0XdgY7ZK2ySJW69M6IYMMEAJmZP/hSysTAxO3my6V/9cJneUIW6l7cImWwFKxO q3lsgl6ke0oijhjpyohn+7hpdz2pydyr1olhk//aew0dvtf4sqatnw7eokdhef0q 5np13Dn0tomSLLt0R1dhqdrr4493C0wnzeqODDKbMbC0aCVy0Yo38pmwkFBoQQrd /AQGA/0X4mGFwgMqAxLyYWncHkTsOUT7XPKvCtA8BMWV7gi+48CcnqABdyjT7iWv q3lsgl6ke0oijhjpyohn+7hpdz2pydyr1olhk//aew0dvtf4sqatnw7eokdhef0q I1n9wr8CK4d/eZVw+yq9xGs0+XVNoQ7q/unQ05wyZEkD/x9OaAtAoDSjaDeXsg9w /AQGA/0X4mGFwgMqAxLyYWncHkTsOUT7XPKvCtA8BMWV7gi+48CcnqABdyjT7iWv BlbF3w6gCOnoqRqUNSIlj9uD5/awmfUaSZY2JfuuxDj4bkEi87QeTWFyaW8gSmVj I1n9wr8CK4d/eZVw+yq9xGs0+XVNoQ7q/unQ05wyZEkD/x9OaAtAoDSjaDeXsg9w a2xlidxtyxjpb0bqzwnrbguuzgu+iqbybbaragaybqi7c82dcasdcqghagekahkb BlbF3w6gCOnoqRqUNSIlj9uD5/awmfUaSZY2JfuuxDj4bkEi87QeTWFyaW8gSmVj BRsDAAAAAAoJEOOrbdtBMBqsZB4AoL8rSS5U6EUYy8qeiLzuFo0u89v5AKCMGlRP a2xlidxtyxjpb0bqzwnrbguuzgu+iqbybbaragaybqi7c82dcasdcqghagekahkb BRsDAAAAAAoJEOOrbdtBMBqsZB4AoL8rSS5U6EUYy8qeiLzuFo0u89v5AKCMGlRP <?xml version='1.0' encoding='utf-8'?> <SOAP-ENV:Envelope xmlns:soap-env=" xmlns:xsi=" xmlns:xsd=" <SOAP-ENV:Body> <ns1:add xmlns:ns1="urn:numberadder" SOAP-ENV:encodingStyle=" <number1xsi:type="xsd:int">1</number1> <number2xsi:type="xsd:int">2</number2> </ns1:add> </SOAP-ENV:Body> </SOAP-ENV:Envelope> XML Dokument W11 Sicherheit und Vertraulichkeit mit SOAP 18

19 XML Encryption Auswahl des (geeignetsten) Verschlüsselungsalgorithmus (Interoperabilität,, Exportbeschränkungen, Schlüssellängen,...) Verwaltung der benötigten Schlüssel (z.b. Public Key Infrastruktur) Einbindung der Verschlüsselungsroutinen in Applikationen, oder Bereitstellung eines entsprechenden Dienstes Festlegung der Verschlüsselungsgranularität (gesamter Aufruf, einzelne XML-Elemente, Elementinhalte,...) W11 Sicherheit und Vertraulichkeit mit SOAP 19

20 XML Encryption -- Ablauf XML-Schicht SOAP BEEP SMTP HTTP SSL MIME Verschlüsselung (zunächst) applikationstransparent Erzeugung des SOAP-Aufruf Aufruf unverändert Verschlüsselung des Aufrufs vor Versendung über Leitung W11 Sicherheit und Vertraulichkeit mit SOAP 20

21 XML Encryption -- Ablauf Applikations- Implementierung (z.b. Java) URL url = new URL url = new URL(" URL(" Call mycall = new Call(); Call mycall = new Call(); mycall.settargetobjecturi("urn:numberadder"); mycall.settargetobjecturi("urn:numberadder"); mycall.setmethodname("add"); mycall.setmethodname("add"); mycall.setencodingstyleuri(constants.ns_uri_soap_enc); mycall.setencodingstyleuri(constants.ns_uri_soap_enc); Vector params = new Vector(); Vector params = new Vector(); params.addelement(new Parameter("number1", params.addelement(new Parameter("number1", Integer.class, argv[0], null)); Integer.class, argv[0], null)); params.addelement(new Parameter("number2", params.addelement(new Parameter("number2", Integer.class, argv[1], null)); Integer.class, argv[1], null)); mycall.setparams(params); mycall.setparams(params); Response resp = mycall.invoke(url, null); Response resp = mycall.invoke(url, null); W11 Sicherheit und Vertraulichkeit mit SOAP 21

22 XML Encryption -- Ablauf SOAP-Aufruf (Body unverändert) <?xml version='1.0' encoding='utf-8'?> <?xml version='1.0' encoding='utf-8'?> <SOAP-ENV:Envelope <SOAP-ENV:Envelope xmlns:soap-env= xmlns:soap-env= " " xmlns:xsi=" xmlns:xsi=" xmlns:xsd=" xmlns:xsd=" <SOAP-ENV:Body> <SOAP-ENV:Body> URL url = new <ns1:add xmlns:ns1="urn:numberadder" URL url = new <ns1:add xmlns:ns1="urn:numberadder" URL(" SOAP-ENV:encodingStyle= URL(" SOAP-ENV:encodingStyle= Call mycall = new Call(); " Call mycall = new Call(); " mycall.settargetobjecturi("urn:numberadder"); <number1 xsi:type="xsd:int">1</number1> mycall.settargetobjecturi("urn:numberadder"); <number1 xsi:type="xsd:int">1</number1> mycall.setmethodname("add"); <number2 xsi:type="xsd:int">2</number2> mycall.setmethodname("add"); <number2 xsi:type="xsd:int">2</number2> mycall.setencodingstyleuri(constants.ns_uri_soap_enc); </ns1:add> mycall.setencodingstyleuri(constants.ns_uri_soap_enc); </ns1:add> Vector params = new Vector(); </SOAP-ENV:Body> Vector params = new Vector(); </SOAP-ENV:Body> params.addelement(new Parameter("number1", </SOAP-ENV:Envelope> params.addelement(new Parameter("number1", </SOAP-ENV:Envelope> Integer.class, argv[0], null)); Integer.class, argv[0], null)); params.addelement(new Parameter("number2", params.addelement(new Parameter("number2", Integer.class, argv[1], null)); Integer.class, argv[1], null)); mycall.setparams(params); mycall.setparams(params); Response resp = mycall.invoke(url, null); Response resp = mycall.invoke(url, null); W11 Sicherheit und Vertraulichkeit mit SOAP 22

23 XML Encryption -- Ablauf <?xml version="1.0" encoding="utf-8"?> <SOAP-ENV:Envelope <?xml version="1.0" xmlns:soap-env= encoding="utf-8"?> <SOAP-ENV:Envelope xmlns:soap-env= " xmlns:xsd=" " xmlns:xsi=" xmlns:xsd=" xmlns:xsi=" <SOAP-ENV:Body> <SOAP-ENV:Body> <EncryptedData Type="Element" xmlns= Verschlüsselter <EncryptedData Type="Element" xmlns= " <EncryptedKey> " Inhalt (d.h. Body) des <EncryptedKey> <EncryptionMethod Algorithm="urn:rsadsi-com:rsa-v1.5"/> <KeyInfo <EncryptionMethod xmlns=" Algorithm="urn:rsadsi-com:rsa-v1.5"/> SOAP-Aufrufs <KeyInfo <KeyName>key</KeyName> xmlns=" <KeyName>key</KeyName> </KeyInfo> <CipherText>RArdCtxCyQL9OzQzrFOMkij8tR6ySD0JjX6aJXsmP7R2rYmRpcIGn1v </KeyInfo> <CipherText>RArdCtxCyQL9OzQzrFOMkij8tR6ySD0JjX6aJXsmP7R2rYmRpcIGn1v QfSOqbWTU/BV6GudWGy0VHCFKQUrEuJri0ogq36mVSshcMVgUoRjJJiy6EIJRhAlffT 9ux+nRDmqyS5VYHXiuPGvjBKu4CR7EtWXNFtH25WghY0ojd74=</CipherText> QfSOqbWTU/BV6GudWGy0VHCFKQUrEuJri0ogq36mVSshcMVgUoRjJJiy6EIJRhAlffT 9ux+nRDmqyS5VYHXiuPGvjBKu4CR7EtWXNFtH25WghY0ojd74=</CipherText> </EncryptedKey> </EncryptedKey> <EncryptionMethod Algorithm= <?xml version='1.0' <EncryptionMethod encoding='utf-8'?> <?xml version='1.0' "urn:nist-gov:tripledes-ede-cbc"><iv>smkzxksgdqa=</iv> Algorithm= encoding='utf-8'?> <SOAP-ENV:Envelope"urn:nist-gov:tripledes-ede-cbc"><IV>SmkzxKsgdqA=</IV> <SOAP-ENV:Envelope </EncryptionMethod> xmlns:soap-env= xmlns:soap-env= <CipherText>sVjhJIW5QnIeY3brbpamNOcz/Ja+RmnG0pLo7vWnmTp+vpVs53c0YVD </EncryptionMethod> " <CipherText>sVjhJIW5QnIeY3brbpamNOcz/Ja+RmnG0pLo7vWnmTp+vpVs53c0YVD " eb4gmyecobtae00s8l0cysjpkgkgbvksd9zo6u2lps466kxip5ndvrgjchznp8tro5m xmlns:xsi=" b90g2gb56bw+iyskkh7qdmbvm7acdt6sgauu0dsgit3q5ktt1qqwq4easdz1shhpvyr eb4gmyecobtae00s8l0cysjpkgkgbvksd9zo6u2lps466kxip5ndvrgjchznp8tro5m xmlns:xsi=" xmlns:xsd=" BXPRI//3QGyjrnOOclh8T5eqRhRRAuwUc3A4RqaH7M6QTIb36vOTBRuFbfFESBw8648 b90g2gb56bw+iyskkh7qdmbvm7acdt6sgauu0dsgit3q5ktt1qqwq4easdz1shhpvyr xmlns:xsd=" BXPRI//3QGyjrnOOclh8T5eqRhRRAuwUc3A4RqaH7M6QTIb36vOTBRuFbfFESBw8648 <SOAP-ENV:Body> Xi8GlSpu39cVoMjEUTrldnJo1gpWdU5JWFf9RqzhmBQ=</CipherText> <SOAP-ENV:Body> Xi8GlSpu39cVoMjEUTrldnJo1gpWdU5JWFf9RqzhmBQ=</CipherText> URL url = new <ns1:add </EncryptedData> xmlns:ns1="urn:numberadder" URL url = new <ns1:add </EncryptedData> xmlns:ns1="urn:numberadder" URL(" SOAP-ENV:encodingStyle= </SOAP-ENV:Body> URL(" SOAP-ENV:encodingStyle= </SOAP-ENV:Envelope> </SOAP-ENV:Body> Call mycall = new Call(); " </SOAP-ENV:Envelope> Call mycall = new Call(); " mycall.settargetobjecturi("urn:numberadder"); <number1 xsi:type="xsd:int">1</number1> mycall.settargetobjecturi("urn:numberadder"); <number1 xsi:type="xsd:int">1</number1> mycall.setmethodname("add"); <number2 xsi:type="xsd:int">2</number2> mycall.setmethodname("add"); <number2 xsi:type="xsd:int">2</number2> mycall.setencodingstyleuri(constants.ns_uri_soap_enc); </ns1:add> mycall.setencodingstyleuri(constants.ns_uri_soap_enc); </ns1:add> Vector params = new Vector(); </SOAP-ENV:Body> Vector params = new Vector(); </SOAP-ENV:Body> params.addelement(new Parameter("number1", </SOAP-ENV:Envelope> params.addelement(new Parameter("number1", </SOAP-ENV:Envelope> Integer.class, argv[0], null)); Integer.class, argv[0], null)); params.addelement(new Parameter("number2", params.addelement(new Parameter("number2", Integer.class, argv[1], null)); Integer.class, argv[1], null)); mycall.setparams(params); mycall.setparams(params); Response resp = mycall.invoke(url, null); Response resp = mycall.invoke(url, null); W11 Sicherheit und Vertraulichkeit mit SOAP 23

24 XML Encryption <?xml version='1.0' encoding='utf-8'?> <SOAP-ENV:Envelope xmlns:soap-env= " xmlns:xsi= " xmlns:xsd=" <SOAP-ENV:Body> <ns1:add xmlns:ns1="urn:numberadder" SOAP-ENV:encodingStyle= " <number1 xsi:type="xsd:int">1</number1> <number2 xsi:type="xsd:int">2</number2> </ns1:add> </SOAP-ENV:Body> </SOAP-ENV:Envelope> W11 Sicherheit und Vertraulichkeit mit SOAP 24

25 XML Encryption <?xml <?xml version='1.0' encoding='utf-8'?> <SOAP-ENV:Envelope xmlns:soap-env= " xmlns:xsi= " xmlns:xsd=" <SOAP-ENV:Body> <EncryptedData Type="Element" xmlns=" <EncryptedKey> <EncryptionMethod Algorithm= "urn:rsadsi-com:rsa-v1.5"/> <KeyInfo xmlns=" <KeyName>key</KeyName> </KeyInfo> </SOAP-ENV:Body> </SOAP-ENV:Envelope> W11 Sicherheit und Vertraulichkeit mit SOAP 25

26 XML Encryption <?xml version='1.0' encoding='utf-8'?> <SOAP-ENV:Envelope <?xml version='1.0' encoding='utf-8'?> <SOAP-ENV:Envelope xmlns:soap-env=" xmlns:xsi=" xmlns:soap-env=" xmlns:xsd=" xmlns:xsi=" <SOAP-ENV:Body> xmlns:xsd=" <SOAP-ENV:Body> <EncryptedData Type="Element" xmlns=" <EncryptedData Type="Element" xmlns=" <EncryptedKey> <EncryptedKey> <EncryptionMethod Algorithm="urn:rsadsi-com:rsa-v1.5"/> <EncryptionMethod <KeyInfo xmlns=" Algorithm="urn:rsadsi-com:rsa-v1.5"/> <KeyInfo <KeyName>key</KeyName> xmlns=" </KeyInfo> <KeyName>key</KeyName> </KeyInfo> <CipherText>RArdCtxCyQL9OzQzrFOMkij8tR6ySD0JjX6aJXsmP7R2rYmRpcIGn1vQfSOqbWTU/BV6GudWGy0V HCFKQUrEuJri0ogq36mVSshcMVgUoRjJJiy6EIJRhAlffT9ux+nRDmqyS5VYHXiuPGvjBKu4CR7E twxnfth25wghy0ojd74=</ciphertext> </EncryptedKey> <EncryptionMethod Algorithm="urn:nist-gov:tripledes-ede-cbc"> <IV>SmkzxKsgdqA=</IV> </EncryptionMethod> <CipherText>sVjhJIW5QnIeY3brbpamNOcz/Ja+RmnG0pLo7vWnmTp+vpVs53c0YVDeb4gmYEcOBTAe00S8l0cy SJpKGkgbVksD9zo6U2LpS466KXIp5NDVRgJcHZnp8tro5mb90g2gB56bw+IyskKh7QDMbvM7ACdT 6SGauu0dSGIT3Q5kTT1qQWQ4easDZ1ShHpVYrBXPRI//3QGyjrnOOclh8T5eqRhRRAuwUc3A4Rqa H7M6QTIb36vOTBRuFbfFESBw8648Xi8GlSpu39cVoMjEUTrldnJo1gpWdU5JWFf9RqzhmBQ=</CipherText> </EncryptedData> </SOAP-ENV:Body> </SOAP-ENV:Envelope> </SOAP-ENV:Body> </SOAP-ENV:Envelope> W11 Sicherheit und Vertraulichkeit mit SOAP 26

27 XML Encryption Ziel: Schutz der Vertraulichkeit Frei wählbare Granularität der Verschlüsselung (Element, Elementinhalt, vollständiger Teilbaum,...) Frei wählbarer Verschlüsselungsalgorithmus Struktur-zerstörende Transformation (Verschlüsseltes Dokument ist jedoch noch schema- valid SOAP) XML-externe Schlüsselverwaltung notwendig Eingriff in Applikationscode (oder ggf. entsprechender Service) W11 Sicherheit und Vertraulichkeit mit SOAP 27

28 SSL und SOAP XML-Schicht SOAP BEEP SMTP HTTP SSL MIME... Ziel: Transparente Sicherung unterhalb der Darstellungsschicht Bekannteste Anwendung: Mit HTTP zu HTTPS kombiniert (ursprünglich) zur Sicherung von HTTP-Verbindungen konzipiert Durch Web-Server implementiert (z.b. mod_ssl ssl) ) und gängige Browser unterstützt (z.b. NC, IE,, Opera, Mozilla, Lynx,...) Einsatz für XML vollkommen, und für SOAP praktisch transparent W11 Sicherheit und Vertraulichkeit mit SOAP 28

29 Secure Sockets Layer XML-Schicht SOAP BEEP SMTP HTTP SSL SSL MIME SOAP-Aufruf Aufruf unverändert; SOAP-Endpoint Port 443 Durch Zertifikatsaustausch auf längerfristige Kommunikation ausgelegt Inhalte der Transportschicht werden verschlüsselt übertragen W11 Sicherheit und Vertraulichkeit mit SOAP 29

30 SSL und SOAP SSL SSL handshake client Verbindungsaufbauphase Verhandlungsphase ClientHello ServerHello Zertifikat Schlüsselaustauschparameter Zertifikatsanfrage ServerHelloDone Zertifikat Schlüsselinformation Zertifikatsanfrage Änderung Verschlüsselungsalgorithmus Finished Änderung Verschlüsselungsalgorithmus Finished server ClientHello umfaßt: Geordnete Liste unterstützter Krypto-Algorithmen Geordnete Liste unterstützter Kompressionsmethoden ServerHello umfaßt: Gewählter Krypto-Algorithmus (aus Client-Liste) Gewählte Kompressionsmethode (aus Client-Liste) Server-Zertifikat (optional) Parameter für den Schlüsselaustausch (optional) Zertifikatsanfrage (nach Client-Zertifikat (optional)) Abstimmung bezüglich: Protokollversion Verschlüsselungsalgorithmus Gegenseitige Authentifizierung (optional) mit public key Techniken Finish umfaßt: Client-Zertifikat (optional) Client-Schlüssel (optional) Ergebnis der Server-Zertifikats-Prüfung (optional) Evtl. Abänderung des vorgeschlagenen Verschlüsselungsalgorithmus (kann durch Client und Server gleichermaßen geschehen) SSL-gesicherter Datenverkehr W11 Sicherheit und Vertraulichkeit mit SOAP 30

31 SSL und SOAP -- Zertifikate Certification Authority Version: V3 Version: V3 Subject: Subject: CN=alice.daimlerchrysler.com, OU=FT3/EK, O=DaimlerChrysler, CN=alice.daimlerchrysler.com, L=Ulm, ST=Baden OU=FT3/EK, Wuerttemberg, C=DE O=DaimlerChrysler, L=Ulm, ST=Baden Wuerttemberg, C=DE Signature Algorithm: MD5withRSA, OID = Signature Algorithm: MD5withRSA, OID = Key: com.sun.net.ssl.internal.ssl.jsa_rsapublickey@45e044 Key: com.sun.net.ssl.internal.ssl.jsa_rsapublickey@45e044 Validity: [From: Mon Oct 01 17:06:24 CEST 2001, To: Thu Validity: Oct 11 17:06:24 [From: Mon CEST Oct2001] 01 17:06:24 CEST 2001, To: Thu Oct 11 17:06:24 CEST 2001] Issuer: Address=mario.jeckle@daimlerchrysler.com, Issuer: CN=DCX, Address=mario.jeckle@daimlerchrysler.com, OU=Research and Technology, O=DaimlerChrysler, CN=DCX, OU=Research L=Ulm, and Technology, ST=Baden Wuerttemberg, C=DE O=DaimlerChrysler, L=Ulm, ST=Baden Wuerttemberg, C=DE SerialNumber: [ 1f] SerialNumber: [ 1f] Server signiert CA Zertifikate Austausch signierter Zertifikate Eigentümer: Address=john@example.com, CN=John Doe, Eigentümer: O=Example.Com, Address=john@example.com, L=NoNameCity, ST=Example CN=John State, C=DE Doe, O=Example.Com, L=NoNameCity, ST=Example State, C=DE Aussteller: Address=mario.jeckle@daimlerchrysler.com, Aussteller: CN=Mario Address=mario.jeckle@daimlerchrysler.com, Jeckle, OU=Research and Technology, O=DaimlerChrysler, CN=Mario Jeckle, OU=Research L=Ulm, ST=BadenWuerttemberg, and Technology, C=DE O=DaimlerChrysler, L=Ulm, ST=BadenWuerttemberg, C=DE Seriennummer 1 Seriennummer 1 Gültig ab: Wed Oct 03 22:23:36 CEST 2001 bis: Fri Nov 02 Gültig 21:23:36 ab: CET Wed 2001 Oct 03 22:23:36 CEST 2001 bis: Fri Nov 02 21:23:36 CET 2001 Zertifikatfingerabdrücke: Zertifikatfingerabdrücke: MD5: CA:7F:9F:02:28:E1:57:B0:AC:C5:08:1D:C8:77:4E:3C MD5: CA:7F:9F:02:28:E1:57:B0:AC:C5:08:1D:C8:77:4E:3C SHA1: 4D:50:28:A0:43:AA:87:BF:56:8D:8D:0B:2E:F7:4C:29:4D:37 SHA1: :3E:71 4D:50:28:A0:43:AA:87:BF:56:8D:8D:0B:2E:F7:4C:29:4D:37 :3E:71 signiert Client Server Zertifikat Server Zertifikate Client Zertifikat CA Zertifikate W11 Sicherheit und Vertraulichkeit mit SOAP 31

32 SSL und SOAP SSL SSL handshake Server-Zertifikat bereits vorhanden [nein] Signateur vertrauenswürdig [ja] Zertifikat vertrauenswürdig [ja] Zertifikat ablegen [ja] [nein] [nein] [nein] [ja] W11 Sicherheit und Vertraulichkeit mit SOAP 32

33 SSL und SOAP Beispiel KeyManager KeyManager []km []km = null; null; TrustManager TrustManager []tma []tma = {new {newmyx509trustmanager()}; SSLContext SSLContext sslcontext sslcontext = SSLContext.getInstance("SSL"); sslcontext.init(km,tma,new java.security.securerandom()); SSLSocketFactory sf sf = sslcontext.getsocketfactory(); Socket Socket sock=new sock=new Socket("alice",443); SSLSocket SSLSocket sslsock=(sslsocket)sf.createsocket(sock, "alice", "alice", 443, 443, true); true); sslsock.starthandshake(); javax.securtiy.cert.x509certificate[] c = sslsock.getsession().getpeercertificatechain(); ByteArrayOutputStream baos baos = new new ByteArrayOutputStream(1024); baos.write(c[0].getencoded(), 0, 0, (c[0].getencoded()).length ); ); ByteArrayInputStream bais bais = new new ByteArrayInputStream(baos.toByteArray(), 0, 0, (c[0].getencoded()).length); CertificateFactory cf cf = CertificateFactory.getInstance("X.509"); java.security.cert.certificate cert cert = cf.generatecertificate(bais); W11 Sicherheit und Vertraulichkeit mit SOAP 33

34 SSL und SOAP SOAP Dienstaufruf URL URL url url = new new URL(" Call Call mycall = new new Call(); mycall.settargetobjecturi("urn:numberadder"); mycall.setmethodname("add"); mycall.setencodingstyleuri(constants.ns_uri_soap_enc); Vector params = new newvector(); params.addelement(new Parameter("number1", Integer.class, argv[1], null)); params.addelement(new Parameter("number2", Integer.class, argv[1], null)); mycall.setparams(params); Response resp resp = mycall.invoke(url, null); W11 Sicherheit und Vertraulichkeit mit SOAP 34

35 SSL und SOAP Implementierung des SSL handshake muß durch Applikation erfolgen. Keine Integration in SOAP-Aufruf Aufruf möglich! Organisatorischer Aufwand durch Beschaffung CA-signierter Server-Zertifikate Durchführung des SSL handshake vor jedem SOAP- Aufruf hat Auswirkungen auf Laufzeitverhalten. Negativ insbesondere bei einmaliger Kommunikation u.u. Strategie zur Ablage der Serverzertifikate sinnvoll oder gar organisatorisch notwendig W11 Sicherheit und Vertraulichkeit mit SOAP 35

36 Organisatorisch- / Technische Voraussetzungen HTTP-Port (80) SOAP Endpoint (z.b. 80, 8080) Client SOAP-Unterstützung SSL-Unterstützung SSL-Port (443) Web-Server SOAP-Modul SSL-Modul Dienst SOAP-Unterstützung (Client- und Server-seitig seitig) Freischaltung SSL-Port SSL-Unterstützung (Client- und Server-seitig seitig) W11 Sicherheit und Vertraulichkeit mit SOAP 36

37 Vergleich HTTPS (SSL)) und S-HTTPS HTTPS (HTTP über SSL) Langfristige Kommunikationsbeziehung Transportprotokoll Eingriff in Firewall-Regeln notwendig Fixierte Sicherheitsstufe Vergleichsweise leichte Implementier- und Administrierbarkeit Große Verbreitung und Unterstützung S-HTTP (secure HTTP) Spontankommunikation Applikationsprotokoll Firewall-Regeln unverändert Frei wählbare Sicherheitsstufe u. U. komplexe Administration Kaum verbreitet W11 Sicherheit und Vertraulichkeit mit SOAP 37

38 Erfüllung der Anforderungen Vertraulichkeit (confidentiality( confidentiality) XML Encryption SSL Berechtigung (authorization( authorization) XML Digital Signature SSL (Daten-)konsistenz (data integrity) XML Digital Signature SSL Glaubwürdigkeit des Ursprungs (message( origin authentication) XML Digital Signature SSL Verbindlichkeit (non-repudiation repudiation) XML Digital Signature SSL W11 Sicherheit und Vertraulichkeit mit SOAP 38

39 Sicheres SOAP in der Praxis Im Extranet-/Internetverkehr sollten alle (business-)nachrichten und RPCs (zumindest) digital signiert werden Kombination von digitaler Signatur und SSL kein Widerspruch SSL-Verschlüsselung ist zumeist sehr schwach, daher Kombination von SSL und XML Encryption u. U. sinnvoll SOAP-Sicherheit Sicherheit sollte im Kontext einer Public Key Infrastruktur (RFC( 2459) mitberücksichtigt werden Teilweise reichen die vorgestellten Mechanismen nicht aus... Zusätzlich Einsatz von Sicherheitsmechanismen tieferliegender Protokollebenen möglich (z.b. IPSEC) W11 Sicherheit und Vertraulichkeit mit SOAP 39

40 Werkzeuge und Applikationen Sicheres SOAP mit dem MS-SOAP SOAP-Toolkit xml.microsoft.comcom Apache SOAP v1.2 und Servlet Engine Tomcat xml.apache.org SUN JSSE-API java.sun.com IBM JSSE-Implementierung W3C's XML Digital Signatures XML Encryption Secure Sockets Layer (IETF Draft) draft-freier freier-ssl-version3-02 SOAP Security Extensions Dieser Vortrag und weiterführende Information zum Thema W11 Sicherheit und Vertraulichkeit mit SOAP 40