OpenID und der neue, elektronische Personalausweis
|
|
|
- Maja Voss
- vor 8 Jahren
- Abrufe
Transkript
1 OpenID und der neue, elektronische Personalausweis Über sichere Identitäten im Internet CeBIT 2010, Hannover Linux Media AG Open Source Forum Sebastian Feld internet-sicherheit. de Institut für Internet-Sicherheit Fachhochschule Gelsenkirchen
2 Agenda OpenID und der neue, elektronische Personalausweis Institut für Internet-Sicherheit Identitäten im Internet OpenID Der neue, elektronische Personalausweis OpenID-Proxy für den npa Fazit und Ausblick 2
3 Institut für Internet-Sicherheit Kurzinfo vom Institut Wer wir sind Eine innovative, unabhängige und wissenschaftliche Einrichtung der Fachhochschule Gelsenkirchen Unsere Aufgaben Forschung, Entwicklung und anwendungsbezogene Lehre auf dem Gebiet der Internet-Sicherheit Unser Team Ca. 50 wissenschaftliche Mitarbeiter, Diplomanden und Studenten Unser Ziel Mehrwert an Vertrauenswürdigkeit und Sicherheit im Internet herstellen 3
4 Institut für Internet-Sicherheit Forschungsschwerpunkte und aktuelle Projekte Trusted Computing Sichere Betriebssysteme Network Access Control Internet-Frühwarnsysteme Internet-Analyse Strukturelle Analyse des Internets -Sicherheit Anti-Spam -Verlässlichkeit Identity Management Neuer, elektronischer Personalausweis Studie IdMS-Konzept Sonstige Mobile Security, VoIP, Web Services Security, Branchenbuch IT-Sicherheit, Awareness 4
5 Identitäten im Internet Motivation Web statt Windows Software as a Service (SaaS) Webmail, Google Docs, Soziale Netzwerke Digitale Identität Blog, eigene Webseite, Profile in soz. Netzwerken, Tweets, Authentisierung Heutzutage: Login bei fast jedem Dienst nötig Hohe Sicherheitsanforderung 5
6 Identitäten im Internet Was nervt... Lästige Registrierungsprozedur Vertraue ich dem Dienst meine Daten an? Und erst meine Credentials Welcher Benutzername? Präferierter Benutzername belegt Benutzername vorgeschrieben? Welches Passwort? Restriktion der Passwortwahl Vorgegebenes Passwort? Und überhaupt: Zig verstreute, redundante Identitäten mit verschiedenen Kennungen und Passwörter Das Passwort-Dilemma 6
7 Identitäten im Internet Das Passwort-Dilemma Zu kurze/einfache Passwörter Gut zu merken, aber 'schalke04' 'gericom' Auch leicht zu erraten Das gleiche Passwort für verschiedene Dienste Auch leicht zu merken Dumm nur, wenn es auffliegt Aufschreiben von Passwörtern Gefahren bei Passwörter 'WaeGg,fsh.' Malware mit Keylogger Man-in-the-Middle Phishing-Angriff Gibt es Abhilfe? 7
8 Identitäten im Internet Abhilfe für das Passwort-Dilemma Passwort-Safe unterschiedliche und starke Passwörter Benutzerfreundlichkeit, Mobilität? Single Sign-On (SSO) Einmalanmeldung nur eine Kennung, starkes Passwort OpenID Single Point of Failure, Phishing (!) Starke Authentifizierung Mehrere Faktoren (Wissen, Besitz, Eigenschaft) Nutzung von digitalen Zertifikaten eid-funktion des neuen, elektronischen Personalausweis 8
9 OpenID Offener Standard für SSO im Internet Web-Single-Sign-On URL- Besitz bestimmt Identität Dezentraler Mechanismus Identitätsverwalter frei wählbar Art der Authentifizierung Im Standard nicht spezifiziert Liegt beim Identitätsverwalter Benutzername/Passwort Digitale Zertifikate Voraussetzung User Agent mit HTTP(S) Nutzen Einmaliger Login mit OpenID, anschließend Nutzung aller Dienste mit OpenID-Unterstützung 9
10 OpenID Terminologie / Akteure Identifier Eine http(s) URI oder eine XRI Benutzer Der Anwender, im Besitz einer OpenID (Identifier) ist Relying Party Eine Webapplikation (Dienst), die einen Beweis dafür möchte, dass der Benutzer einen Identifier kontrolliert OpenID-Provider Ein OpenID Authentication Server, dessen Aussage (assertion) eine Relying Party vertraut 10
11 OpenID Protokollablauf von OpenID 11
12 OpenID Protokollablauf Quelle: Alexander Lindholm 12
13 OpenID Protokollerweiterungen (Extensions) Aktive Community erarbeitet Erweiterungen Simple Registration (SREG) Grundlegender Austausch von Profilinformationen Erleichterung von Registrierung neuer Accounts Attribute Exchange (AX) Erweiterter Austausch von Identitätsinformationen Provider Authentication Exchange Policy Extension (PAPE) Dienst kann bestimmte Ausprägung bei Authentifizierung fordern ID-Provider kann Dienst über Ausprägung der Authentifizierung informieren Trotzdem: Vertrauensverhältnis zwischen Dienst und ID-Provider notwendig Nur eine Auswahl 13
14 OpenID Bedenken und Gefahren Sicherheit Abhorchen/Mitlesen von Informationen Standardmäßig keine Verschlüsselung definiert Angreifer kann Authentifizierung mitlesen Ohne Integritätsprüfung: Angreifer kann unbemerkt Daten verändern SSL-verschlüsselte Kommunikation Replay-Angriff Abfangen einer Nachricht über erfolgreiche Authentifizierung Erneutes Einspielen dieser Nachricht Angreifer ist wie das Opfer authentifiziert Einsatz von Timestamp und Nonces 14
15 OpenID Bedenken und Gefahren Sicherheit Phishing-Angriff Betrügerischer Dienst leitet Nutzer an gefälschten ID-Provider weiter Credentials werden abgefangen Alternativ: Kompromittierung des Discovery-Prozess ( ID-Provider) Starke Authentifizierung DNS-Angriff DNS genutzt bei Recovery und Redirections Manipulation des DNS-Cache des Opfers Angreifer gibt sich als Identity Provider aus Starke Authentifizierung 15
16 OpenID Bedenken und Gefahren Privacy Datenschutz und Vertraulichkeit Server des OpenID-Provider hinreichend geschützt? Geschäftsmodell des OpenID-Provider? Bewegungsprofile Bewegungsdaten der Nutzer Erstellung von Bewegungsprofilen 16
17 OpenID Maßnahmen für die Sicherheit Kommunikation Verschlüsselung aller OpenID-Nachrichten via SSL-Protokoll Informationen können nicht mitgelesen oder verändert werden Benutzer Richtige Wahl des ID-Providers und der Dienste Relying Party Fehlerfreie Implementierung der OpenID-Schnittstelle OpenID Provider Fehlerfreie Implementierung der OpenID-Schnittstelle Keine Authentifizierung über Username/Passwort Clientzertifikat, CAPTCHA, Out-of-Band, Persönliches Icon, SmartCard, Der neue, elektronische Personalausweis?! 17
18 Der neue, elektronische Personalausweis Eine kurze Übersicht Ausprägung des npa RF-Chip (ähnlich epass) Kryptoprozessor Kartenlesegerät + Bürgerclient Freischaltung durch PIN 3 Funktionalitäten epass hoheitlich Online-Authentisierung ebusiness & egovernment Fortgeschrittene/qualifizierte Signatur ebusiness & egovernment Countdown läuft:
19 Der neue, elektronische Personalausweis Online-Authentisierung (eid-funktion) Funktionalität Identitätsfeststellung / authentische Übertragung von Attributen Gegenseitige Authentisierung wie in der realen Welt Anwendungsziele Anträge / Anmeldungen zu Prüfungen / Steuer / KFZ-Ummeldung Jugendschutz (Altersverifikation) Login mit dem npa Wiedererkennen eines bereits registrierten Nutzers Verwendung der Seriennummer rechtlich nicht zulässig Lösung: sektorspezifische Identifikation (Restricted Identification) Passwort-Dilemma, SSO,? 19
20 OpenID-Proxy für den npa Grundlegende Idee (1/2) Beweis des URL-Besitzes Starke Authentifizierung statt Passwort (Phishing) Verknüpfung der sektorspezifischen Identifikation mit der OpenID Idee 2: Nutzung des npa in Richtung der Dienste 20
21 OpenID-Proxy für den npa Grundlegende Idee (2/2) Proxy-Funktion Ermöglichung der eid-funktion für Dienste ohne Berechtigungszertifikat Anwender kann starke Authentifizierung auch bei kleinen Diensten nutzen 21
22 OpenID-Proxy für den npa Abstrahierter Ablauf 22
23 Fazit und Ausblick OpenID und der neue, elektronische Personalausweis Identitäten im Internet werden immer wichtiger Zusammenschluss vieler Eigenschaften und Informationen Das Passwort-Dilemma muss behoben werden Viele technische, aber auch organisatorische Ideen Offene Standards für SSO im Internet OpenID als einfache Möglichkeit Die eid-funktion des neuen, elektronischen Personalausweises Die Chance einer sicheren Authentisierung im Internet 23
24 OpenID und der neue, elektronische Personalausweis Über sichere Identitäten im Internet Vielen Dank für Ihre Aufmerksamkeit Fragen? Sebastian Feld internet-sicherheit. de Institut für Internet-Sicherheit Fachhochschule Gelsenkirchen