PerSemID Konzept. Verwendung der WebID mit unterschiedlicher Qualität. Annett Laube, Pascal Mainini V

Transkript

1 PerSemID Konzept Verwendung der WebID mit unterschiedlicher Qualität Annett Laube, Pascal Mainini V Berner Fachhochschule TI - Informatik Institute for ICT based Management

2 Inhaltsverzeichnis Inhaltsverzeichnis 2 1 Einleitung 3 2 Authentifizierung mit WebID Stufe 1 Eigener Webserver Stufe 2 BFH WebIDP Stufe 2 SuisseID WebIDP 4 3 Access Control 4 4 Verlinkung von Identitäten mittels WebID Variante 1: Verlinkung mittels Unique Keypair Variante 2: Verlinkung mittels Profile Identifier (URI) 7 5 Zusätzliche Infos Anwendungen der WebID Implementierung 9 6 Abbildungsverzeichnis 10 7 Glossar 10 8 Literaturverzeichnis 10 9 Versionskontrolle 11 Berner Fachhochschule Haute école spécialisée bernoise Bern University of Applied Sciences 2

3 1 Einleitung Im Projekt PerSemID soll untersucht werden, ob es möglich ist, mit verschiedenen Ausprägungen der WebID unterschiedliche Qualitätsstufen zu erreichen. Dabei sollen drei verschiedene Ausbau-Stufen betrachtet werden. 2 Authentifizierung mit WebID Die WebID basiert auf dem TLS-Protokoll und verwendet X.509 Zertifikate. Im Zertifikat wird ein Profil (sog. FOAF-Dokument) mittels einer URI referenziert. Dieses Profil muss zum Authentifizierungszeitpunkt (öffentlich) zugreifbar sein. Es enthält den öffentlichen Schlüssel des Zertifikats und kann daneben optional zusätzliche, persönliche Angaben des Benutzers (z.b. Name) oder generelle Informationen enthalten. Der Authentifizierungsprozess ist im Folgenden beschrieben (siehe Error! Reference source not found.): Schritt 1: Beim Zugriff auf einen Service mit WebID-Zugang wird zunächst ein Standard X.509 Zertifikat via TLS angefordert. Schritt 2: Der Benutzer wählt ein Zertifikat im Browser aus, das einen Link auf sein WebID- Profil enthält. Schritt 3: Der Service lädt das Profil-Dokument und vergleicht den darin enthaltenen öffentlichen Schlüssel mit dem im Zertifikat des Benutzers. Schritt 4: Stimmen die Informationen überein, war die Authentifizierung erfolgreich und der Benutzer bekommt Zugriff zum Service. Abbildung 1 : Authentifizierung mit WebID 2.1 Stufe 1 Eigener Webserver In der Stufe 1 kann das X.509-Zertifikat im einfachsten Fall selbst erstellt sein und das Profil-File öffentlich-zugänglich auf einem beliebigen Webserver liegen. Damit ist es möglich, dass jeder auf einfache Art und Weise zu einer WebID kommen kann. Berner Fachhochschule Haute école spécialisée bernoise Bern University of Applied Sciences 3

4 Spezifikation und Anforderungen für Qualität Stufe 1 In STORK 2.0 und ech-0170 wird die Identität in vier Kategorien, sogenannte Qualitätsstufen, eingeteilt. Die Stufe 1 ist die niedrigste Qualitätsstufe und geniesst am wenigsten Vertrauen. Die Stufe 4 ist die höchste Qualitätsstufe und ist entsprechend am vertrauensvollsten. Die Qualitätsstufen enthalten fünf Kriterien, anhand deren die Qualität festgestellt werden kann. Jede der vier Stufen enthält für jedes Kriterium definierte Ausprägungen. Sie legen die Anforderungen an die Qualität der jeweiligen Stufe fest. Die Anforderungen der Stufe 1 sind folgende: Kriterium Beschreibung ID1 PP.a keine Anwesenheit erforderlich. QoA.a einmalige Erfassung von möglicherweise öffentlichen Daten, keine eindeutige Identifikation der Identität auf der Basis dieser Daten möglich VoA.a Die Adresse, welche angegeben wurde, wird auf ihre Existenz überprüft. Keine weitere Prüfung der Identität. IC1 IE1 RC1 AM1 Es erfolgt keine Verifikation des Empfängers. keine Überwachung oder Akkreditierung durch eine Regierungsstelle Passwort oder PIN Authentisierungsverfahren bietet wenig oder keinen Schutz vor genannten Angriffen. 2.2 Stufe 2 BFH WebIDP Bei der Stufe 2 werden für die WebID X.509-Zertifikate verwendet, die von einer Zertifizierungsstelle, z.b. der BFH, ausgestellt wurden. Im Fall der BFH wird die Zertifikatsvergabe an eine erfolgreiche Authentifizierung am BFH-LDAP gekoppelt. Die BFH betreibt auch einen entsprechenden Profile-Server, der die Profile enthält, die in den Zertifikaten referenziert werden. Die BFH kann auch die Informationen in den Profilen entsprechend signieren, um deren Korrektheit zu bestätigen. 2.3 Stufe 2 SuisseID WebIDP Bei der Stufe 3 werden für die WebID qualifizierte X.509-Zertifikate verwendet, die von einer Zertifizierungsstelle, z.b. der SuisseID, ausgestellt wurden. So könnten im Fall der SuisseID die normalen Authentisierungs-Zertifikate (IAC) verwendet werden. Es müsste nur ein einziges Attribut, der sog. SubjectAltName, hinzugefügt werden, welches die URI zum referenzierten WebID-Profil enthält. Die SuisseID Infrastruktur würde um einen SuisseID Profil-Server erweitert, der für jeden SuisseID-Benutzer ein Profil mit den signierten SuisseID-Informationen enthält. Der Zugriff auf den Profil-Server kann auf registrierte Service-Provider eingeschränkt werden. 3 Access Control Das Profil-Dokument kann persönliche Daten, wie Name, Bild, Freunde und weitere Links zu persönlichen Informationen enthalten. Je nach Kontext und persönlichem Schutzbedarf soll es möglich sein, diese Information nur bestimmten Benutzergruppen zugänglich zu machen. Behauptung: Das öffentliche Profil sollte nur den Public-Key enthalten. Alle weiteren Angaben sollten mittels ACLs geschützt sein. Berner Fachhochschule Haute école spécialisée bernoise Bern University of Applied Sciences 4

5 Eine konzeptionelle Lösung basierend auf Universal Access Control wurde in CV3.0 AP2 erstellt und dokumentiert. Eine Implementierung ist noch ausstehend. Für PerSemID werden die folgenden Zugriffsoperationen auf einzelne Statements innerhalb eines RDF- Datensets angenommen: Zugriffsoperation Was wird erlaubt? Bemerkung Read Write (Append) Lesen des RDF-Statements Ändern des RDF-Statements Hinzufügen von Informationen, aber kein Ändern oder Löschen Wird das benötigt? 4 Verlinkung von Identitäten mittels WebID Bei der Verlinkung von Identitäten mittels WebID geht es darum, unterschiedliche auf WebID aufsetzende Identitäten, auch unterschiedlicher Qualitätsstufen, miteinander zu verlinken und somit einen Bezug zwischen diesen herzustellen. Mögliches Ziel dabei ist es, dem Benutzer die Möglichkeit zu geben, seine Identität als eine einzelne Entität zu verwalten, nach aussen hin jedoch unterschiedliche Repräsentationen derselben zu nutzen. Beispiel eines WebID-X.509-Zertifikats: Certificate: Data: Version: 3 (0x2) Serial Number: 60:90:2e:58:cb:9e:86:02:49:71:37:d2:0a:97:83:70:bd:dd:c4:49 Signature Algorithm: sha256withrsaencryption Issuer: O=Test Organization, OU=Certificate Authority, C=CH, CN=Test CA Validity Not Before: Mar 28 12:39: GMT Not After : Mar 28 12:39: GMT Subject: CN=John Doe Subject Public Key Info: Public Key Algorithm: rsaencryption Public-Key: (2048 bit) Modulus: 00:9b:20:09:4e:e9:c4:9f:52:46:8d:35:a9:6c:53: 7a:f9 3c:60:4b:b7:f7:ec:3b:fd:5f:d6:df:d4:aa:8b:23: 45:77 Exponent: (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Key Usage: Digital Signature X509v3 Extended Key Usage: TLS Web Client Authentication, Protection X509v3 Subject Alternative Name: critical URI: Netscape Cert Type: SSL Client Berner Fachhochschule Haute école spécialisée bernoise Bern University of Applied Sciences 5

6 X509v3 Subject Key Identifier: 19:F5:B9:E0:0B:0E:3D:B3:50:55:B1:13:AE:82:E4:FE:C4:D1:F2:4F Signature Algorithm: sha256withrsaencryption 72:0b:60:ac:43:90:56:e4:ea:5a:b4:ad:b2:37:72:24:e9:64: ff:4e:9b:61:9a... 31:65:d6:b7:46:43:fb:48:7c:59:5e:b0:cd:66:f0:f1:4c:e4: In einem ersten Schritt konnten verschiedene Varianten einer solchen Verlinkung eruiert werden, welche in den folgenden Abschnitten nun genauer beschrieben werden. 4.1 Variante 1: Verlinkung mittels Unique Keypair Abbildung 2: Verlinkung mittels Unique Keypair Bei der Verlinkung mittels Unique Keypair ist das verbindende Element der verschiedenen Identitäten ein einzelnes PKI-Schlüsselpaar, welches von allen Identitäten verwendet wird. Eine Verlinkung findet in diesem Falle in der Regel hierarchisch statt, die Identität mit der höchsten Qualitätsstufe stellt ihr zugrundeliegendes Schlüsselpaar den untergeordneten Identitäten zur Verfügung. Am Beispiel der um WebID erweiterten SuisseID würde dies bedeuten, dass der Benutzer zuerst eine herkömmliche SuisseID ausstellen lässt. Das dabei erhaltene PKI-Schlüsselpaar, genauer der öffentliche Modulus sowie den Exponenten davon, verwendet er nun zum Erstellen eines oder mehrerer WebID-Profils/e, die er selbstständig zusätzlich publiziert. Für einen aussenstehenden Serviceprovider ergibt sich die Verbindung über die identischen Werte des PKI-Schlüsselpaars der verschiedenen Identitäten. Vor- und Nachteile Diese Variante erlaubt es, ohne grosse Veränderungen an bisherigen Systemen verbundene Identitäten herzustellen. Auch ist auf Seiten des Erstellers des Schlüsselpaars kein Wissen über die weiter verfügbaren Identitäten eines Benutzers notwendig, sofern mit dem Schlüsselpaar eine Authentifizierung über ein weiteres, vom Benutzer selbst erstelltes Zertifikat möglich ist. Ebenfalls ein Vorteil ist die gewisse Anonymität zwischen den Identitäten es existiert kein Bezug zwischen ihnen ausser den gleichen Schlüsselwerten. Der Benutzer kann daher einem Serviceprovider gegenüber nur eine Identität vorweisen, ohne die anderen offenlegen zu müssen. Berner Fachhochschule Haute école spécialisée bernoise Bern University of Applied Sciences 6

7 Der Hauptnachteil dieser Variante liegt in der z.t. fehlenden Qualitätsaussage einer Identität die Verlinkung ändert daran nichts (ein selbst publiziertes WebID-Profil behält die gleiche Qualitätsstufe unabhängig davon, ob dasselbe PKI-Schlüsselpaar in einem Profil mit höherer Qualitätsstufe verwendet wird...) Ein weiterer Nachteil ist, dass gegeben durch die fehlende explizite Verbindung zwischen zwei Identitäten - zumindest theoretisch eine Gefahr von Kollisionen bei zufälligerweise gleich generierten Schlüsseln besteht. 4.2 Variante 2: Verlinkung mittels Profile Identifier (URI) Abbildung 3: Verlinkung mittels Profile Identifier (URI) Diese Variante geht im Vergleich zu Variante 1 den umgekehrten Weg. Es kommen zwei oder mehr unabhängig voneinander erstellte PKI-Schlüsselpaare zum Einsatz, welche jedoch von einem gemeinsamen WebID-Profil abgedeckt werden. Der Profile Identifier die URI des WebID-Profile ist hierbei bei allen Identitäten derselbe, der Benutzer kann sich während der Authentifizierung für ein Schlüsselpaar entscheiden. Die Verlinkung der Identitäten wird vom Profile Server oder dessen Betreiber vorgenommen. Er ist dafür zuständig, die relevanten Werte der einzelnen PKI-Schlüsselpaare eines Benutzers in das singuläre Profil-Dokument aufzunehmen. Ihm obliegt es somit auch, eine Beurteilung der Qualität vorzunehmen und ggf. die Aufnahme zu verweigern. Vor- und Nachteile Ein Vorteil dieser Lösung liegt in den unabhängigen einzelnen PKI-Schlüsselpaaren welche zumindest theoretisch eine kryptographisch höhere Sicherheit bieten. Ebenso, dies kann sowohl als Vor- wie auch als Nachteil aufgefasst werden, gibt es bei dieser Variante nur einen einzigen Profile Identifier mit welchem der Benutzer nach aussen auftritt mit den sich daraus ergebenden Konsequenzen. Dadurch, dass das WebID-Profil allenfalls auf einem Profile Server bei einem Provider mit einer höheren Qualitätsstufe liegt, besteht zumindest theoretisch die Möglichkeit der qualitativen Aufwertung einer Identität mit einer tieferen Qualitätsstufe. Berner Fachhochschule Haute école spécialisée bernoise Bern University of Applied Sciences 7

8 Dadurch, dass alle Keys in einem einzigen WebID-Profile aufgeführt sind, entsteht hingegen ein potentielles Problem im Bezug auf die Abgrenzung der einzelnen Identitäten durch Auslesen des Profiles können alle PKI-Schlüsselpaare identifiziert werden. 1.3 Variante 3: Explizite Verlinkung im WebID-Profil Abbildung 4: Explizite Verlinkung im WebID-Profil Die dritte Variante sieht die direkte Verlinkung der einzelnen Identitäten über die entsprechenden WebID-Profile vor. Hierzu wird in den WebID-Profilen selbst zusätzliche Information untergebracht, welches auf die weitere(n) Identitäten verweist. Eine Verlinkung von einem Profil mit tieferer Qualitätsstufe zu einem Profil mit einer höheren ist problemlos möglich, erst bei der umgekehrten Richtung ergeben sich Fragen: was ist die Aussage der Verlinkung? Welchen Einfluss hat die Verlinkung auf das Profil mit der tieferen Qualitätsstufe? Eine Verlinkung von WebIDs könnte mittels eines speziellen Vokabulars ( Ontologie ) oder mit den gängigen rdfs:seealso, allenfalls owl:sameas oder anderen, üblichen Prädikaten vorgenommen werden. Die Unterstützung von Identitäten, welche auf diese Art und Weise miteinander verlinkt sind, setzt allerdings eine Erweiterung der WebID-Spezifikation voraus, ebenso die Anpassung der Algorithmen zur Verifikation einer solchen. Die Verlinkung kann uni- oder bidirektional, in einer 1 N oder N N-Beziehung erfolgen und somit unterschiedliche Aussagen ermöglichen. Vor- und Nachteile Die Variante der expliziten Verlinkung bietet gewiss das höchste Mass an Flexibilität, allerdings zum Preis einer Erweiterung des Standards mit der damit verbundenen Anpassung von Algorithmen etc. Im Bezug auf Sicherheitsaspekte der Authentisierung unterscheidet sich diese Variante nicht von Variante zwei auch sie besitzt zwei unabhängige PKI-Schlüsselpaare. Berner Fachhochschule Haute école spécialisée bernoise Bern University of Applied Sciences 8

9 5 Zusätzliche Infos 5.1 Anwendungen der WebID Hier ist eine List von Anwendungen, die eine WebID akzeptieren (Stand März 2014): ( ( 5.2 Implementierung Einige Implementierungsmöglichkeiten (java, Javascript, Apache, ) sind vorhanden, siehe auch Die JavaScript-Implementierung läuft in CV3.0. Berner Fachhochschule Haute école spécialisée bernoise Bern University of Applied Sciences 9

10 6 Abbildungsverzeichnis Abbildung 1 : Authentifizierung mit WebID... 3 Abbildung 2: Verlinkung mittels Unique Keypair... 6 Abbildung 3: Verlinkung mittels Profile Identifier (URI)... 7 Abbildung 4: Explizite Verlinkung im WebID-Profil Glossar SuisseID IAC identification and authentication certificate STORK 2.0 Secure identity across borders linked 2.0 (siehe ) 8 Literaturverzeichnis ech-0170 ( 0170&documentVersion=1.0) Berner Fachhochschule Haute école spécialisée bernoise Bern University of Applied Sciences 10

11 9 Versionskontrolle Version Datum Beschreibung Autor Dokument erstellt Annett Laube Review und Ergänzungen Pascal Mainini Erweiterung nach 2. Workshop Annett Laube Ergänzung Profilverlinkung Pascal Mainini Dokument finalisiert Annett Laube Berner Fachhochschule Haute école spécialisée bernoise Bern University of Applied Sciences 11