Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Aktuelle Herausforderungen von Datenschutz und Datensicherheit in modernen Informationssystemen

Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825

Aktuelle Herausforderungen von Datenschutz und Datensicherheit in modernen Informationssystemen

Seminar im Sommersemester 2007

Ursula KotzurBetreuerin: Jutta Mülle

IPD - Lehrstuhl für Systeme der InformationsverwaltungUniversität Karlsruhe (TH)

Sicherheit in Service-orientierten Architekturen

Universität Karlsruhe (TH)Forschungsuniversität • gegründet 1825 Sicherheit in Service-Orientierten Architekturen 2

Gliederung

(1) Einführung(2) Nachrichtensicherheit(3) Identitätsmanagement(4) Zusammenfassung


Einführung (I)• Was ist eine Service-orientierte Architektur?

- " Systemarchitektur-Konzept, das die Bereitstellung fachlicher Dienste und Funktionalitäten in Form von Services vorsieht.Ein Service ist in diesem Kontext eine

Funktionalität, die über eine standardisierte Schnittstelle in

Anspruch genommen werden kann."- " Abstraktes Konzept einer Software-Architektur,

in deren Zentrum das Anbieten, Suchen und Nutzen von Diensten über ein Netzwerk steht."

- Merkmale Lose Kopplung Virtualisierung: Austauschbarkeit von Komponenten Interoperabilität


Einführung (II)• Was sind Web Services?

- Technologie zur Realisierung von SOAs

- Dienste, die über das Internet angesprochen werden können(mittels HTTP, FTP und SMTP)

Server stellt einen Dienstzur Verfügung

Client nimmt einen Dienst in Anspruch

Kommunikation mittelsXML-Nachrichten ( SOAP)

- Schnittstellenbeschreibungdurch XML ( WSDL)

Green

WhiteService-

Verzeichnis

Service-Konsument

Service-Anbieter

Servicesuchen

12

3

SOAP

SOAP

SOAP

WSD

L

UDDI

Yellow

Service ver-öffentlichen/registrieren

Servicenutzen

WSDL


Einführung (III)

Dienstnehmer

- Website -

Dienstanbieter 1

Dienstanbieter 2Endnutzer

- Webbrowser -

SSLSicherheitskontext


Gliederung(1) Einführung(2) Nachrichtensicherheit

XML Sicherheit XML Signature (XMLDsig) XML Encryption (XMLEnc) XML Key Management Specification (XKMS)

Web Service Sicherheit WS-Security WS-* Family

(3) Identitätsmanagement(4) Zusammenfassung


Nachrichtensicherheit

Authen-tizität

Autori-sierung Integrität Vertrau-

lichkeitXML-Signature + + XML-Encryption +XKMS + +SAML + + WS-Security + + + +

• Standards im Überblick


XML Signature (I)• Status

- W3C-Recommendation seit 12. Februar 2002 - RFC 3275 bei IETF

• Funktion - Repräsentation digitaler Signaturen in XML- Beliebige Teilbäume können signiert werden,

ebenso externe Dokumente- Ablauf

Ausgangspunkt: kanonische XML-Dokumente Berechnung des Hashwerts: Message Digest Signierung mittels Public-Key-Verfahren

- Basis für XML Encryption ( <KeyInfo>)


XML Signature (II)• Erzeugung und Validierung von XML-Signaturen

aus: Melzer, I.: Service-orientierte Architekturen mit Web Services; Konzepte - Standards - Praxis, 2. Auflage, Spektrum 2007


<Signature Id="MyFirstSig" xmlns="xmldsig#"> <SignedInfo> <CanonicalizationMethod Algorithm="REC-xml-c14n-20010315"/> <SignatureMethod Algorithm="xmldsig#dsa-sha1"/> <Reference URI="REC-xhtml1-20000126/"> <Transforms> <Transform Algorithm="REC-xml-c14n-20010315"/> </Transforms> <DigestMethod Algorithm="xmldsig#sha1"/> <DigestValue>j6lwx3rvEPO0vKtMup4NbeVu8nk=</DigestValue> </Reference> </SignedInfo> <SignatureValue>MC0CFFrVLtRlk=...</SignatureValue> <KeyInfo> <KeyValue> <DSAKeyValue> <P>...</P><Q>...</Q><G>...</G><Y>...</Y> </DSAKeyValue> </KeyValue> </KeyInfo> </Signature>

XML Signature (III)


XML Encryption (I)• Status

- W3C-Recommendation seit 10. Dezember 2002

• Funktion - Repräsentation verschlüsselter Inhalte in XML- Beliebige Teilbäume können verschlüsselt werden,

ebenso externe Dokumente- Beliebige Verschlüsselungsalgorithmen anwendbar- Erweitert <KeyInfo> aus digitaler Signatur

Übertragung von (verschlüsselten) geheimen Schlüsseln möglich ( <EncryptedKey>)


XML Encryption (II)<?xml version='1.0'?> <PaymentInfo xmlns='http://example.org/paymentv2'> <Name>John Smith</Name> <CreditCard Limit='5,000' Currency='USD'> <Number>4019 2445 0277 5567</Number> <Issuer>Example Bank</Issuer> <Expiration>04/02</Expiration> </CreditCard> </PaymentInfo>

<?xml version='1.0'?> <PaymentInfo xmlns='http://example.org/paymentv2'> <Name>John Smith</Name> <EncryptedData Type='http://www.w3.org/2001/04/xmlenc#Element' xmlns='http://www.w3.org/2001/04/xmlenc#'> <CipherData> <CipherValue>A23B45C56</CipherValue> </CipherData> </EncryptedData> </PaymentInfo>


Zusammenspiel von XMLDsig und XMLEnc


XML Key Management Specification• Status

- W3C-Note seit 30. März 2001

• Funktion- Protokoll zur Validierung und Verwaltung von PKI-

Schlüsseln- Kompatibel zu XML Signature und XML Encryption

• Bestandteile- XML Key Information Service Specification (X-KISS)

Lokalisierung von Schlüsselinformationen und Validierung von Schlüsseln

□ Delegation von <KeyInfo> an Trust service

- XML Key Registration Service Specification (X-KRSS) Registrierung und Verwaltung öffentlicher Schlüssel


WS-Security (I)• Status

- Web Services Security: SOAP Message Security 1.1 (WS-Security 2004) ist OASIS-Standard seit Februar 2006

• Funktion- Bietet Rahmenwerk zur Einbettung bereits bestehender

Standards in den SOAP-Nachrichten-Header XML-Signature zur Signierung XML-Encryption zur Verschlüsselung

- definiert ein SOAP-Header-Element, in dem sicherheitsbezogene Daten enthalten sind

Anhängen von Security Credentials an SOAP-Nachrichten- stellt Kontext für sichere Ende-zu-Ende Kommunikation

bereit


WS-Security (II)<S11:Envelope xmlns:S11="..." xmlns:wsse="..." xmlns:wsu="..."

xmlns:ds="..." xmlns:xenc="..."> <S11:Header> <wsse:Security> <xenc:ReferenceList> <xenc:DataReference URI="#bodyID"/> </xenc:ReferenceList> </wsse:Security> </S11:Header> <S11:Body> <xenc:EncryptedData Id="bodyID"> <ds:KeyInfo> <ds:KeyName>CN=Hiroshi Maruyama, C=JP</ds:KeyName> </ds:KeyInfo> <xenc:CipherData> <xenc:CipherValue>...</xenc:CipherValue> </xenc:CipherData> </xenc:EncryptedData> </S11:Body></S11:Envelope>


WS-Security (III)• Security Tokens

- Unsigned Security Token Username

- Signed Security Token X.509 Zertifikate Kerberos Tickets

- Seit Ende 2004 auch SAML Token• Nachrichtenfluss

Web Service-Client

Sicherheitstokendienst

Web Service5. Antwort wird empfangen

3. Nachricht wird signiert und an Web Service gesendet.

4. Tokens werden überprüft.

1. Anforderung für Tokens wird gesendet.

2. Erhaltene Tokens werden zur SOAP-Nachricht hinzugefügt.


WS-* Family• WS-Trust

- Möglichkeiten zum initialen Austausch von sicherheitsrelevanten und geheimen Daten

• WS-SecureConversation- Rahmen, der das Erzeugen eines Sicherheitskontext

(SecurityContextToken) ermöglicht• WS-Policy

- Formulierung von Sicherheitsanforderungen und Richtlinien, die erfüllt werden müssen, um mit einem Dienst interagieren zu können

• WS-Federation- Integration von Vertrauensdomänen über Unternehmensgrenzen

hinweg- Demo: SSO with WS-Federation (PRP)

http://ip.tm.uni-karlsruhe.de/demo/demo/• WS-Privacy

- Einbindung von Forderung zur Vertraulichkeit• WS-Authorization

- Richtlinien zur Zugriffskontrolle• WS-...


Gliederung(1) Einführung(2) Nachrichtensicherheit(3) Identitätsmanagement

Zentrales Identitätsmanagemento Microsoft Passport

Föderatives Identitätsmanagemento Liberty Allianceo Shibboleth

(4) Zusammenfassung


Identitätsmanagement


Zentrales Identitätsmanagement• Microsoft Passport

- Prinzip Nutzer speichern ihr Profil bei Microsoft

□ mindestens E-Mail und Passwort erforderlich□ stimmen bei Anmeldung zu, dass ihre Daten an

alle beteiligten Dienste weitergegeben werden dürfen

□ Kann per Single-Sign-On alle beteiligten Dienste nutzen

Dienste bezahlen für diesen Service

- Nachteile: Eine Partei (hier: Microsoft) als

zentraler Vertrauensanker? Single Point of Failure Globale Benutzer ID Benutzername/Passwort einzige

Authentifizierungsmethode


Föderatives Identitätsmanagement

• Vorteile:- Informationen verteilt auf verschiedenen (von einander

unabhängigen) Systemen- Somit keine zentrale Kontrolle- Verschiedene Authentifizierungsmethoden möglich


Liberty Alliance (I)• 2001 von etwa 30 Organisationen gegründet

- Mittlerweile um die 150 Mitglieder aus verschiedensten Sparten (auch Behörden)

• Ziel: Schaffung von Standards, Richtlinien und Methoden für föderiertes Identitätsmanagement

• Struktur:Management Board

Service Group Subteams

Identity Services

Expert GroupsIdentity Infrastructure &

Policy

Special Interest Groups

Applying Liberty


Liberty Alliance (II)• Nutzt bereits bestehenden Standards

- SAML- XML Signature- XML Encryption- ...

• Circle of Trust- Vertrauensverbund zwischen kooperierenden

Unternehmen zur Nutzung von digitalen Identitäten über Unternehmensgrenzen hinweg

- Beteiligte Principal Identity Provider (IdP) Service Provider (SP) Liberty Enabled Clients or Proxies (LECP)


Liberty Alliance (III)

work profile

home profile

IdP(e.g.

my company)

IdP(e.g. my bank)

Name: Joe Self

Name: Joe Self

Calendar

PayableApplication

SupplyChain

Aggregator

Service Providers

Supplier 1 Supplier 2 Supplier 3

Merchants

Friends& Family

Notification

ServiceAggregator

NewsSource

NewsSource

NewsSource

Service Providers

Consumer Circle of Trust

Enterprise Circle of Trust


Liberty Alliance (IV)• Architektur

Liberty Identity Federation

Framework (ID-FF)

ermöglicht Verwaltung und Föderation von

Identitäten durch Single-Sign-On und Session-

Management

Liberty Identity Web Services Framework (ID-WSF)

stellt Rahmenwerk zur Bildung interoperabler Identitätsdienste bereit

Liberty Identity Services Interface Specifications (ID-SIS)

ermöglicht interoperable Identitätsdienste


Liberty Alliance (V)


Liberty Alliance (VI)• Beispiel: T-Online "Netzausweis"

- T-Com fungiert als Identity Provider- Bietet Single-Sign-On, Single-Logout- Log-In via E-Mail-Adresse und Passwort- Netzausweis-LogIn bei Partnerseiten

Verwaltung der LogIn-Einstellungen im Kundencenter Anmeldung zum "Netzausweis Zusatzdienste" notwendig "Automatische Login bei T-Online Partnerseiten" standardmäßig

ausgeschaltet- Partner:


Liberty Alliance (VII)• Pressemitteilung auf telekom.com:

- IDDY Award 2006 der Liberty Alliance für T-Online Netzausweis14.09.2006T-Com erhält Auszeichnung für herausragende Leistungen beim Einsatz von Digital Identity Management Lösungen

• "Wir gratulieren T-Com zur Einführung einer auf den Spezifikationen von Liberty basierenden Lösung, die nach dem Urteil der IDDY-Jury zum "Besten vom Besten" gehört, was das digitale Identitätsmanage-ment heute zu bieten hat." (George Goodman, Präsident des Vorstands der Liberty Alliance und Direktor des Platform Capabilities Lab von Intel.)


Microsoft / IBM

Zusammenhang zwischen den StandardsLiberty AllianceOASIS

WS-Federation

WS-Trust WS-Policy

WS-Security

SAML 2.0

WSS

SAML 1.1

SAML 1.0

Liberty Phase 3

IDFF 1.1

IDFF 1.0

IDFF 1.2 WSF 1.2

nach: Windley, Ph.: Digital Identity. 1. Edition. O'Reilly, 2005Legend Dependency

Relation


Shibboleth (I)• 2000 parallel und unabhängig zum Liberty

Alliance Project im Hochschul-Umfeld in den USA entstanden

• ermöglicht SSO, sowie föderierte Administration von zugangsbeschränkten Ressourcen

• Legt besonderen Wert auf Schutz personenbezogener Daten- Grundlage: Family Educational Rights and Privacy Act,

1974• Nutzt bereits bestehende Standards wie SAML,

SSL


Shibboleth (II)• Bestandteile

- Identity Provider (IdP) Attribute Authority (AA) Handle Service (HS) Attribute sources Local sign-on system (SSO)

- Service Provider (SP) Assertion Consumer Service (ACS) Attribute Requestor (AR) Resource Manager (RM)

- Where are you from? (WAYF)


Shibboleth (III)• Ablauf

Quelle: http://switch.ch/aai/demo/medium.html


Vergleich: Shibboleth – Liberty Alliance• Liberty Alliance und Shibboleth haben leicht

unterschiedliche Lösungensansätze:- Liberty Alliance: "Ich weiß, wer du bist."- Shibboleth:"Ich weiß, woher du kommst"

• Beide sind grundlegend an der Entwicklung von SAML 2.0 beteiligt

• Internet2 Mitglied bei Liberty Alliance


Zusammenfassung• Große Auswahl an Sicherheitsstandards

- Sicherheit sowohl auf Transport- als auch auf Anwendungsschicht möglich

• Identitätsmanagement gerade im Hinblick auf verteilte Dienste wichtig- Zur Zeit ist Liberty Alliance hier führend

• Clientseitige Technologien wie CardSpace (InfoCard) von Microsoft gewinnen in Zukunft evtl. an Bedeutung- Prinzip der Selbstverwaltung- Speicherung der Daten auf dem Heimrechner, PDA, o.ä.


Ende

Fragen ???


• Aus der offiziellen Pressemitteilung:- "Leitmotiv von PRIME ist, die personenbezogenen Daten unter der

Kontrolle des Nutzers zu belassen. Es verfolgt dabei einen integrierten Ansatz mit dem Ziel eines maximalen Datenschutzes über die Durchsetzung von Datenschutz-Policies, wenn der Nutzer seine Daten aus seinem Verfügungsbereich herausgibt. Der Nutzer steht im Zentrum. Ihm wird das für ihn Datenschutzrelevante deutlich gemacht, so dass er informierte Entscheidungen über die Verarbeitung seiner personenbezogenen Daten treffen kann. PRIME bietet Lösungen an und arbeitet heraus, was noch zu tun bleibt."

• Projektlaufzeit- März 2004 bis Februar 2008

• Förderung: - Das PRIME-Projekt wird gefördert vom Sechsten Forschungsrahmenprogramm

der Europäischen Union und vom Schweizer Bundesamt für Bildung und Wissenschaft.

• PRIME Whitepaper (aktuelle Version: v2.0 vom Juni 2007)- https://www.prime-project.eu/prime_products/whitepaper/


Secure Assertion Markup Language (SAML)

• Status- SAML v2.0 ist OASIS-Standard seit 15. März 2005

• Funktion- Ermöglicht Austausch von authentifizierungs- und

autorisierungsbezogenen Informationen (Assertions)- Bestandteile:

SAML Assertions SAML Protokoll SAML Bindings und Profile

- Anwendungsfälle Web Browser Single Sign-On (SSO) Authorization Service Back Office Transaction


Secure Assertion Markup Language (SAML)

• SAML AssertionsTyp ErklärungAuthentication Benutzer oder Dienst wurde authentifiziertAttribute Benutzer oder Dienst werden gewisse Attribute

(Rollen, Informationen) zugeordnetAuthorization Decision

Benutzer oder Dienst ist autorisiert, auf bestimmte Ressourcen zuzugreifen

Documents

Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Aktuelle Herausforderungen von Datenschutz und Datensicherheit in modernen Informationssystemen