Lehrstuhl Dr. Max für Mustermann Wirtschaftsinformatik I - Informationssysteme Referat Kommunikation & Marketing Verwaltung Identitätschaos Ist mein digitales Ich im Internet sicher und beherrschbar? Prof. Dr. Günther Pernul IT-Sicherheit am Donaustrand, Linz, 22. Sept. 2011
Steiner, P.: Cartoon. In: The New Yorker, Vol.69 (LXIX) no. 20 (1993) Prof. Dr. Günther Pernul 2
Agenda Einleitung Ausgangssituation, Gefahren, Identitätsdiebstahl Auf dem Weg zum Web-SSO - allgemein Sicherheits-Prozesskette, Identitätsföderationen Lösungen - konkret Web-Single-Sign-On-Systeme Authentifizierungs- und Autorisierungsinfrastrukturen npa Schlussfolgerung 3
Digitale Identität Eine Identität ist eine Untermenge an Attributen einer natürlichen Person, die diese Einzelperson aus einer Menge an Personen heraus ausreichend identifiziert. Es gibt nicht nur eine Identität, sondern mehrere. [Pfitzmann, Hansen 2008] Portal X 4
Voluminöse digitale Schlüsselanhänger 5 http://www.fredcavazza.net/
Chaos wächst mit jeder weiteren (Web-) Anwendung! Joe s Fish Market.Com Tropical, Fresh Water, Shell Fish, Lobster,Frogs, Whales, Seals, Clams 6
Treiber & Trends im Identitätsmanagement npa Cloud Computing, SOA 7
Sicherheits-Prozesskette Identifizierung, Authentifizierung Autorisierung beschäftigt sich damit, welche (Zugriffs-) rechte bezüglich eines bestimmtes Objekts, einem bestimmte Subjekt zugeordnet sind Zugriffskontrolle untersucht ob ein bestimmtes Subjekt für eine bestimmte Aktion autorisiert ist; als Ergebnis wird die Aktion genehmigt oder verweigert 8
Going through changes Client SP A IdMI A SP B SP C IdMI: Identity Management Infrastructure SP: Service Provider IdP: Identity Provider AC: Access Control 9 IdMI C IdMI B Von Identitätssilos zu...
... Web single-sign-on SP A Client 1. Request Identitätsföderationen SP B 3. Request 4. Authenticate IdMI C 10
AAI - Infrastructure for Authentication and Authorisation Client 1. Request Federation SP A 8. Grant/Deny Resource 3. Authenticate IdMI A 4. Get Attributes 5. Evaluate Attributes 6. AC Decision IdP 11
XACML Framework v2.0 12
Microsoft.NET Passport (1) Von Microsoft 1999 eingeführt Authentifizierungs- und Single-Sign-On System für das Internet Ermöglicht die Nutzung von verschiedenen Services mit ein und demselben Berechtigungsnachweis Erster Versuch einer SSO-Lösung für das Web Teil der Microsoft.NET Strategie im Hailstorm Identity Projekt Berechtigungsnachweise werden zentral vom Microsoft Passport Server gespeichert 13
Microsoft.NET Passport (2) Passport.net Passport.com User Target 5 7 Check if vendor is known 3 Redirect: passport.net Present LogIn Form Enter User Data Redirect: passport.com with User Data Authentication 10 9 4 Cookies 1 Redirect: passport.com 4 6 8 Redirect: Target Passport Login Button 2 Cookies, Acces 2 11 Mar 99 Microsoft.NET Passport launched Apr 06 launch of Windows Live-ID incorporating Passport Feb 07 First Live ID Client released (1.0 SDK Alpha) Aug 07 Dec 03 Microsoft announces 200 mio customers Cardspace and Windows Live ID integrated 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 14 Oct 04 Monster.com revokes Passport Login for its users Jan 05 ebay revokes Passport LogIn for its users Mar 05 Downscaling of Passport for Microsoft services only
Microsoft.NET Passport (3) Alle beteiligten Parteien müssen Microsoft vertrauen!.net Passport war nur für eigene Services (z.b. MSN oder Hotmail) erfolgreich Föderationen zwischen Parteien außerhalb von Microsoft haben.net Passport nicht eingesetzt.net Passport hat keine allgemeine Verbreitung gefunden! Datenschutzbedenken Umbenennung des Nachfolgers in Windows Live-ID 15
Liberty Alliance Project (1) Als Konkurrenz zu Microsoft.NET Passport 2001 gegründet Globales Konsortium von mehr als 160 Organisationen (Sun Microsystems, Nokia, American Express, Novell, Intel, ) Ziel: Entwicklung von offenen Standards, Richtlinien und Best practices Liberty Architektur Identity Federation Framework (ID-FF) Identity Services Interface Specifications (ID-SIS) Identity Web Services Framework (ID-WSF) Architektur setzt auf offenen Standards auf (XML, SAML, SOAP, ) 16
Liberty Alliance Project (2) Jan 02 start of ID-FF development Mar 03 Federated Network Identity architecture completed Jul 02 ID-FF v1.0 Nov 02 SAML v1.0 Jan 03 ID-FF v1.1 Sep 03 SAML v1.1 Nov 03 ID-FF v1.2 Mar 05 SAML v2.0 Apr 05 SAML v2.0 adoption - stop of ID-FF development Apr 09 Transformation to Kantara Initiatve 2002 2003 2004 2005 2006 2007 2008 Nov 03 ID-WSF v1.0 Apr 05 ID-SIS v1.0 Dec 05 ID-WSF v2.0 Dec 01 Foundation of the Liberty Alliance Project Apr 03 1st presentation of Liberty compliant products Jan 07 Start of the openliberty Initiative 17
Shibboleth (1) Open-Source Projekt vom Internet2 Konsortium entwickelt und betrieben Ursprünglich gegründet um SSO und Föderationen zwischen akademischen Einrichtungen zu ermöglichen Aktuell entwickelt sich Shibboleth in eine umfassende AAI für alle Organisationstypen Definiert ein Protokoll zum Zugriff auf entfernte Ressourcen Authentifizierung bei der Heimatorganisation (IdP) Autorisierung beim Serviceanbieter (SP) Demo version http://www.switch.ch/aai/demo 18
Shibboleth (2) User IdP WAYF Target 4 5 Request resource ρ Refer to List of potential Home Domains 2 Choose Home Domain 3 Refer to Present log-in form Authenticate as α SAML AuthN Token (β) SAML Authentication Token for opaque ID β Check SAML assertion, request attributes A β 7 SAML assertion with A β Grant / deny access to ρ 1 6 8 1999 Foundation of I2MI Feb 00 Start of the Shibboleth project Feb 02 1st Shibboleth beta Nov 02 Sibboleth v0.7 Jun 03 Shibboleth v1.0 Jun 04 Shibboleth v1.2 2004 Shibboleth v1.2 Jul 05 Shibboleth v1.3 Dec 06 Roadmap for Shibboleth v2.0 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 Apr 03 1st US test federation "InQueue" Dec 04 Finnish HAKA Federation Mar 05 US InComon Federation Apr 05 Swiss Switch federation May 07 German DFN AAR federation 19
Shibboleth (3) Pseudonymer Serviceaufruf Identität der Nutzer wird als Pseudonym dargestellt (wechselt bei jedem Serviceaufruf) Profilierung schwer möglich Attribute Release Policies (ARP) Heimatorganisation und Nutzer können festlegen welche Attribute übertragen werden Nur wirklich notwendige Attribute werden übertragen Realisiert durch manuelles Editieren von XML Dateien» ShARPE (Shibboleth Attribute Release Policy Editor) Autorisierung basiert auf Attributen (ABAC) Professor an der Universität Regensburg Abteilungsleiter bei voestalpine Student an der FH OÖ Hagenberg 20
Microsoft CardSpace (1) Integriert in Windows Vista und Windows 7 (zu XP erweiterbar) CardSpace repräsentiert digitale Identitäten als Information Cards (InfoCards), welche die entsprechenden Attribute beinhalten Vergleichbar mit einer Geldbörse mit verschiedenen Plastikkarten (Kreditkarte, Führerschein, Versicherungskarten, ) Feb. 2011: MS kündigt an, CardSpace zukünftig nicht mehr weiter zu verfolgen Microsoft U-Prove?? 21
Microsoft CardSpace (2) User CardSpace SW IdP Target 5 Request acces to resource ρ by click on CardSpace icon Refer to 2 Request security policy Return security policy Display suitable cards 4 Select card 6 Request Security Token Return Security Token 7 8 Grant / deny access to ρ Forward Security Token 1 3 9 22
OpenID (1) Offenes und dezentrales System für Identifizierung und Authentifizierung Erlaubt einem Benutzer nach Registrierung bei einem OpenID-Provider sich mit einer URL-basierten Identität ohne user-id/pwd bei allen relying parties anzumelden 2007 wurde die OpenID Formation gegründet, um OpenID zu unterstützen und zu pushen (Microsoft, AOL, Yahoo!, IBM, VeriSign, ) Aktuelle Version: OpenID 2.0 23
Eine OpenID erstellen 24
Meine OpenID 25
LiveJournal Login mit OpenID 26
Login beim OpenID Provider 27
Vertrauensverhältnis etablieren 28
Eingeloggt bei LiveJournal 29
OpenID (3) Stärken Vertrauen muss nur zu einer Entität aufgebaut werden Nutzer hat nur eine digitale Identität Freie Providerwahl Dezentraler Ansatz, open source Schwächen Keine starke Identitätsprüfung der Nutzeridentität» Nur low level of assurance Serviceanbieter nutzen OpenID z.b. Blogs, soziale Netzwerke,» Mögliche Erweiterung: Strong Authentication Provider Phishing möglich OpenID Provider könnte die Nutzergewohnheiten tracken 30
OAuth - Zugriffsdelegierung - Ermöglicht die Bereitstellung von privaten Ressourcen (Fotos, Videos, Kontaktlisten, ), die von einer Anwendung gehostet werden, für eine weitere Anwendung/Partei, ohne Details der Zugangsberechtigung wie U/P bekannt zu geben. - Benutzer A mit Site B - Benutzer stellt Token aus, welches zum Zugriff auf bestimmte Ressourcen berechtigt - Jedes Token gewährt Zugriff auf eine bestimmte Ressource von einer spezifischen Seite für eine definierte Zeit - OAuth Core 1.0 (Jan 09) - OpenID entwickelt eine OAuth Erweiterung 31
OAuth Interaktion 32 Quelle: http://www.heise.de/developer/artikel/szenarien-und-spezifikationen-845431.html
OAuth Interaktion 33 Quelle: http://www.heise.de/developer/artikel/szenarien-und-spezifikationen-845431.html
Schlussbetrachtung Drei unterschiedliche Klassen von Lösungsvorschlägen für identity chaos im Internet von prominenten Unternehmen aus der community idm light vom Staat Web-SSO Frameworks bieten grundsätzlich gute Ansätze Aktuelle Infrastrukturprojekte der Regierungen kommen spät und mit Kinderkrankheiten, welche die Akzeptanz mindern Erwartungen Zusammenfließen der Technologien 34
Vielen Dank für Ihre Aufmerksamkeit 35
Prof. Dr. Günther Pernul Lehrstuhl für Wirtschaftsinformatik I Universität Regensburg Universitätsstr. 31 D-93053 Regensburg Tel: +49 (0) 941 943 2743 Fax: +49 (0) 941 943 2744 email: guenther.pernul@wiwi.uni-regensburg.de Web: www-ifs.uni-regensburg.de 36