Vertrauenswürdige Identitäten mit dem neuen Personalausweis

Größe: px

Ab Seite anzeigen:

Download "Vertrauenswürdige Identitäten mit dem neuen Personalausweis"

Margarete Wolf
vor 8 Jahren
Abrufe

1 Maximilian Schmidt FB Informatik Vertrauenswürdige Identitäten mit dem neuen Personalausweis Maximilian Schmidt

2 Inhalt 1. Einführung Arbeitstitel Motivation 3. Entwurf & Umsetzung Protokolle Komponenten / Software 2. Evaluation Kandidaten AC Systeme Hürden 4. Fazit Rückblick Ausblick 2/20

3 Einführung: Arbeitstitel Vertrauenswürdige Identitäten mit dem neuen Personalausweis Einfaches, effizientes und vertrauenswürdiges Identitätsmanagement auf Basis von Software-Token 3/20

4 Attribute auslesen eid Auslesevorgang Einführung: Motivation Nutzerclient ST Aussteller Zertifikat ausstellen/sperren Anforderungen: Software-basierte Token Authentizität der Identität Selektive Datenabfrage Einfache Integration Nutzerzentrische Datenhaltung Diensteanbieter eid-server 4/20

Software-basierte Token Authentizität der Identität Selektive

5 Inhalt 1. Einführung Arbeitstitel Motivation 3. Entwurf & Umsetzung Protokolle Komponenten / Software 2. Evaluation Kandidaten AC Systeme Hürden 4. Fazit Rückblick Ausblick 5/20

Sperren & Verifikation Integration Authentifizierung

6 Evaluation: Kandidaten Token U/P TAN/OTP SAML OAuth Protokolle Nutzerzentrisch Selektive Datenextraktion Sperren & Verifikation Integration Authentifizierung Autorisierung Identitätsmgmt-Systeme (IdMS) U-Prove Identity Mixer npa 6/20

AC Systeme: Artefakte/Protokolle Kandidaten U-Prove / Identity-Mixer: Anonymous Credential Systeme (Basis: Zero-Knowledge-Proof/Blind-Signatures) Vorhanden: Selektive Datenabfrage, Nutzerzentrisch,

7 AC Systeme: Artefakte/Protokolle Kandidaten U-Prove / Identity-Mixer: Anonymous Credential Systeme (Basis: Zero-Knowledge-Proof/Blind-Signatures) Vorhanden: Selektive Datenabfrage, Nutzerzentrisch, Anonym/Pseudonym Benötigt: Authentizität durch npa-integration, Sperren/Verifikation Nutzerclient (prover) Nachweis Zertifikat Nachweisstruktur Zertifikatsstruktur Diensteanbieter (verifier) (VerEnc, VE) Schlüsselpaar Aussteller (issuer) 7/20

Benötigt: Authentizität durch npa-integration, Sperren/Verifikation Nutzerclient (prover) Nachweis Zertifikat

8 Evaluation: Hürden Transportkanal undefiniert HTTP(S) Zertifikatsattribute (eid-daten) müssen vom Client vorbereitet werden (zusätzl. Protokollverschlüsselung) Sperren/Verifikation beim Aussteller muss möglich sein Zertifikats-ID (verschlüsselt) Unvollständige Nachweise können vom Client nicht erzeugt werden Protokollfehler ausdefinieren Integration kompatibel eid-integration optional 8/20

Protokollverschlüsselung) Sperren/Verifikation beim Aussteller muss möglich sein Zertifikats-ID

9 Inhalt 1. Einführung Arbeitstitel Motivation 3. Entwurf & Umsetzung Protokolle Komponenten / Software 2. Evaluation Kandidaten AC Systeme Hürden 4. Fazit Rückblick Ausblick 9/20

10 Entwurf: Protokollerweiterungen Nutzerclient 1. GET / POST / POST 3. POST / POST / POST ST Aussteller 2. SAML Request / PAOS / SAML Response Zertifikatsausstellung (issue) eid-server 10/20

11 Entwurf: Protokollerweiterungen Nutzerclient ST Aussteller 1. GET / POST +VE 2. POST / POST Nachweiserzeugung (prove) Diensteanbieter 11/20

12 Entwurf: Protokollerweiterungen Nutzerclient ST Aussteller 1. GET / POST +VE 2. POST / POST Nachweisverifikation (verify) Diensteanbieter 12/20

13 Entwurf: Protokollerweiterungen Nutzerclient 1. GET / POST / POST 2. POST ST Aussteller Sperren mit Zertifikat (revoke) 13/20

14 Entwurf: Protokollerweiterungen Nutzerclient 1. GET 3. POST ST Austeller 2. SAML Request / PAOS / SAML Response Sperren mit npa (revoke) eid-server 14/20

15 Umsetzung: Komponenten / SW Testing mit Buildsystem Continuous Integration Codemanagement Codeanalyse Basissprache Cryptobibliothek 15/20

16 Inhalt 1. Einführung Arbeitstitel Motivation 3. Entwurf & Umsetzung Protokolle Komponenten / Software 2. Evaluation Kandidaten AC Systeme Hürden 4. Fazit Rückblick Ausblick 16/20

17 Rückblick: Messungen Messungen Generieren von Ausstellerschlüsseln Generieren von VE-Schlüsseln Ver-/Entschlüsselung mittels VE Erzeugen von Nachweisen Protokolllaufzeiten 17/20

18 Rückblick: Herausforderungen Idemix Mängel / erweiterte Funktionalität Unverschlüsselte Übertragung bei Protokollerweiterungen Zeitverhalten bei issue-erweiterung Betrachtung von Mandantenmanagement (Aussteller) Sperren von Zertifikaten wenn Zertifikat/nPA nicht verfügar SSL-Zertifikat (Client), selbstsigniert und unsicher abgelegt 18/20

issue-erweiterung Betrachtung von Mandantenmanagement (Aussteller) Sperren von

19 Zusammenfassung/Ausblick Zusammfassung Einfaches, effizientes und vertrauenswürdiges Identitätsmanagement auf Basis von Software-Token Software-basierte Token Authentizität der Identität Selektive Datenabfrage Einfache Integration Nutzerzentrische Datenhaltung Idemix Weiterentwicklung im Kontext von Kooperation u.a. von Microsoft und IBM zur Integration von U-Prove und Identity Mixer Projektresultate Temporär verfügbar unter Optimierung und Dokumentation vor Veröffentlichung (BSD-Lizenz) 19/20

Weiterentwicklung im Kontext von https://ab

20 Ende DANKE! 20/20

Ähnliche Dokumente

Identitätskonzepte. Hauptseminar Web Engineering Vortrag. OpenID, WebID und OAuth. Robert Unger

Identitätskonzepte. Hauptseminar Web Engineering Vortrag. OpenID, WebID und OAuth. Robert Unger Identitätskonzepte OpenID, WebID und OAuth Hauptseminar Web Engineering Vortrag Robert Unger WS 12/13 07.12.2012 Inhalt Einführung OpenID WebID OAuth Fazit Quellen TU-Chemnitz - Hauptseminar Web Engineering