410 likes | 521 Views
Portalbeispiele B2C. Spezielles Seminar WI SS 2002 Prof. Dr. Kai Rannenberg Mobile CSCW insb. Sicherheit mobiler Plattformen für mobiles Arbeiten Autor: Thomas Laumeier Datum: 23. Juni 2002. AGENDA. Einleitung Security-Anforderungen GSM-Netze Schlüsselverwaltung Authentifizierung
E N D
Portalbeispiele B2C Spezielles Seminar WISS 2002 Prof. Dr. Kai Rannenberg Mobile CSCW insb. Sicherheit mobiler Plattformen für mobiles Arbeiten Autor: Thomas Laumeier Datum: 23. Juni 2002
AGENDA • Einleitung • Security-Anforderungen • GSM-Netze • Schlüsselverwaltung • Authentifizierung • Protokolle • WAP • WTLS • Relevante Risiken für das MSP • Fragen Thema Nr. 4: Sicherheit mobiler Seite 2 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Situation • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen m-Commerce? Sicherheit Offenenheit e-Commerce • Integration immer größerer Be- reiche der Wertschöpfungskette • Zunehmende Automatisierung • Kurze Entwicklungszyklen Thema Nr. 4: Sicherheit mobiler Seite 3 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Begriffe & Definitionen • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen • Security • Immaterielle Schutzgüter • Beabsichtigte Angriffe • Safety • Leib & Leben • Unbilden der Natur • Unbilden der Technik Sicherheit Thema Nr. 4: Sicherheit mobiler Seite 4 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Security-Anforderungen • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen • Vertraulichkeit • Anonymität • Pseudonymität • Unbeobachtbarkeit • Unverkettbarkeit • Unabstreitbarkeit • Übertragungsintegrität Thema Nr. 4: Sicherheit mobiler Seite 5 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Vertraulichkeit • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen • EINE Authorisation, anschließend voller Zugriff auf alle Ressourcen • Verschlüsselung des User-Passwortes auf dem Endgerät: z.B. Palm OS in Klartext • User bestimmt sein Passwort: z.B. „Sommer“ • Voller Zugriff für Erweiterungen (Active X & Java) Thema Nr. 4: Sicherheit mobiler Seite 6 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Anonymität • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen • Starke Abhängigkeit vom Userverhalten • (De)aktivierung der Rufnummernübermittlung • (De)aktivierung Funkübertragung (z.B. Bluetooth) • Heterogenität der Umwelt erfordert ausgeklügeltes Sicherheitsmanagement • Location Based Services (LBC) • Spontane Vernetzung • Betriebsnetzwerk • Private IT-Umgebung Thema Nr. 4: Sicherheit mobiler Seite 7 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Pseudonymität • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen • Pre-Paid-Karten • Elektronische Zahlungs-Dienste • Z.B. Paybox • Zahlungsgarantie • Authentifizierung • Trust-Lösung: Hohe Vertrauenswürdigkeit vorrausgesetzt Thema Nr. 4: Sicherheit mobiler Seite 8 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Unbeobachtbarkeit • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen • Enge Fassung (Netzbetreiber gilt als Außenstehender) • Big Brother Is Watching You • Weite Fassung(Netzbetreiber wird nicht berücksichtigt) • Protokollierung, falls Nutzung fremder Netze Thema Nr. 4: Sicherheit mobiler Seite 9 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Unverkettbarkeit • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen • Netzbetreiber kennen alle Verbindungsdaten, aber • Firmenhandy • Familienanschluß • Sammlung von Daten möglich, aber • Heterogene Netze erschweren die gezielte Zusammentragung • Spy-Software Thema Nr. 4: Sicherheit mobiler Seite 10 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Unabstreitbarkeit • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen • „MoSign“: Mobile Digitale Signatur • Anbieter- & Nachfragerstruktur Thema Nr. 4: Sicherheit mobiler Seite 11 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Übertragungsintegrität • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen • Gewährleistung mittels digitaler Signatur • Authentifizierung „per Personalisierung“ • SSL X X Thema Nr. 4: Sicherheit mobiler Seite 12 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
GSM-Netze • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen • Digitalisierung • Komprimierung • Chiffrierung • Frequency Hopping • Neuer Schlüssel je Sitzung Thema Nr. 4: Sicherheit mobiler Seite 13 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Authentifizierung in GSM-Netzen • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen Thema Nr. 4: Sicherheit mobiler Seite 14 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Authentifizierung in GSM-Netzen • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen 1 2 Seriennummer 3 3 Schlüsselübergabe Authentifizierung Schlüsselübergabe Authentifizierung 5 5 4 Chiffrierung Chiffrierung 6 6 Thema Nr. 4: Sicherheit mobiler Seite 15 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Authentifizierung in GSM-Netzen • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen • Außerordentlich hohes Sicherheitsniveau • Erfolgreicher Hack 1998 • Kenntnis der Algorithmen A8 und A3 • Choosen Challenge Angriff • „Fütterung“ der SIM-Karte • Analyse der Ergebnisse und Ermittlung von Ki Thema Nr. 4: Sicherheit mobiler Seite 16 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
WAP-Protokollfamilie • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen Wireless Application Environment Wireless Session Protokol Wireless Transaction Protocol Wireless Transport Layer Security Wireless Datagram Protokol Thema Nr. 4: Sicherheit mobiler Seite 17 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
WTLS • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen • Ableitung aus SSL • Kompromisse • Initialisierungs-Vektoren werden linear berechnet • DES-Schlüssellänge lediglich 35 Bit • Teilalgorithmus führt primitives 40 Bit-XOR durch • Verwendete Primzahlen haben nur eine Länge von 512 oder 768 Bit • Fazit: WTLS alleine unzureichend Thema Nr. 4: Sicherheit mobiler Seite 18 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Relevante Risiken für MSP • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen Thema Nr. 4: Sicherheit mobiler Seite 19 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Relevante Risiken für MSP • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen • GSM • Schutz der SIM-Karte mittels PIN • COMP128-Algorithmus nicht vollständig bekannt (D1 und E-Plus setzten bereits 1998 Varianten ein) • Benötigte Rechenzeit zur Berechnung Ki: 8 Stunden • WAP-Gateway • Transformationsprozess html zu WAP zwingend vorgegeben • Klartext direkt an Außenschnittstelle Thema Nr. 4: Sicherheit mobiler Seite 20 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Überleitung • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen m-Commerce Sicherheit Offenenheit Thema Nr. 4: Sicherheit mobiler Seite 21 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
WAP-Gateway Application-Server WML / HTML Banks Vendors Legitimation-Server ISP (HTTP) MoSign Architektur • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen Wireless /WiredDevices Certificates and Key + StandardSmart Card SecureTransactions + = Thema Nr. 4: Sicherheit mobiler Seite 23 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Please insert your card and enterthe PIN code to unlock it: Please confirm order of transaction for 3.000,- DM. Please confirm the order of transaction for 3.000,- DM. Please confirm the order of transaction for 3.000,- DM. Signature Authorized. Transaction Completed. Bestätigen Confirm Confirm Confirm Abbrechen Cancel Cancel Cancel MoSign Signierungsprozess • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen Mobile Devices Legitimation Server * * * * * * * * * * * Application-Server(WML/HTML) Wireless Gateway / ISP Thema Nr. 4: Sicherheit mobiler Seite 24 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
PKI Verschlüsselung • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen Thema Nr. 4: Sicherheit mobiler Seite 25 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
PKI Signatur • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen Thema Nr. 4: Sicherheit mobiler Seite 26 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Wireless-Security-Conzept • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MBP • Fragen Thema Nr. 4: Sicherheit mobiler Seite 27 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Begriffe & Definitionen • Einleitung • Modelle- Web Service Model - ebXML • Protokolle - XML-Based Security Services - SAML • BSI • Thesen • Datensicherheit • Confidentiality : Sichere Wege • Integrity : Keine Manipulation • Authentication : Beweis der Person • Access Control : Zugriffskontrolle • Nonrepudiation : Unabstreitbarkeit • Availability : Jederzeitige Verfügbarkeit • Datenschutz • Privacy : Wer sammelte welche Daten Thema Nr. 4: Sicherheit mobiler Seite 28 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Begriffe & Definitionen • Einleitung • Modelle- Web Service Model - ebXML • Protokolle - XML-Based Security Services - SAML • BSI • Thesen • E-Business-Integration • Direkte oder indirekte Verbindung • Zwei oder mehr Business-Anwendungen • Geschäftsbezogener Informationsaustausch • Unternehmensinterne oder –externe Integration • Web Services • Verwendung XML-basierte Standards • Auffinden des Dienstes mittels UDDI (Universal Description, Discovery and Integration) • Definition des Dienstes mittels WSDL (Web Service Description Language) • Über das Internet erreichbar Thema Nr. 4: Sicherheit mobiler Seite 29 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Begriffe & Definitionen • Einleitung • Modelle- Web Service Model - ebXML • Protokolle - XML-Based Security Services - SAML • BSI • Thesen • Datensicherheit • Confidentiality : Sichere Wege • Integrity : Keine Manipulation • Authentication : Beweis der Person • Access Control : Zugriffskontrolle • Nonrepudiation : Unabstreitbarkeit • Availability : Jederzeitige Verfügbarkeit • Datenschutz • Privacy : Wer sammelte welche Daten Thema Nr. 4: Sicherheit mobiler Seite 30 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Ziel des Web Service Models • Einleitung • Modelle- Web Service Model - ebXML • Protokolle - XML-Based Security Services - SAML • BSI • Thesen • IBM • Microsoft • VeriSign • W3C • OASIS • Ziel: praxistauglicher und schnell umsetzbarer Standard zur Entwicklung von Web Services Thema Nr. 4: Sicherheit mobiler Seite 31 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Rollen & Funktionen • Einleitung • Modelle- Web Service Model - ebXML • Protokolle - XML-Based Security Services - SAML • BSI • Thesen ServiceDescription Service Registry Publish Find WSDL, UDDI WSDL, UDDI Service Requestor ServiceProvider Service Bind ServiceDescription Thema Nr. 4: Sicherheit mobiler Seite 32 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Web Service security model • Einleitung • Modelle- Web Service Model - ebXML • Protokolle - XML-Based Security Services - SAML • BSI • Thesen WS-SecureConversation WS-Federation WS-Authentication WS-Policy WS-Trust WS-Privacy WS-Security Today SOAP Foundation Time Thema Nr. 4: Sicherheit mobiler Seite 33 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Vorteile des WS security models • Einleitung • Modelle- Web Service Model - ebXML • Protokolle - XML-Based Security Services - SAML • BSI • Thesen • Aufbauend auf vorhandenen Technologien • Erweiterbarkeit des Modells • Hohe erwartete Effektivität • Toolset Thema Nr. 4: Sicherheit mobiler Seite 34 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Electronic Business XML • Einleitung • Modelle- Web Service Model - ebXML • Protokolle - XML-Based Security Services - SAML • BSI • Thesen • OASIS (Organization for the Advancement of Structured Information Standards) • Weltweit gültig • Modular aufgebaut • Trennung in zwei Architekturen • Prozessarchitektur (Methoden & Mechanismen von Systementwicklung & -analyse) • Produktarchitektur (Technologische Infrastruktur) • Messaging-Service • Spezielle SOAP-Erweiterungen • Registry/Repository-Service (RR) • Vielseitiger als UDDI • ... Thema Nr. 4: Sicherheit mobiler Seite 35 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Protokollfamilie • Einleitung • Modelle- Web Service Model - ebXML • Protokolle - XML-Based SecurityServices - SAML • BSI • Thesen • XML Signatur • XML Encryption • XML Key Management • AUthXML • S2ML • SAML Parallele Entwicklung Einstellung 2001 Thema Nr. 4: Sicherheit mobiler Seite 36 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
OASIS Security Assertion Markup Language • Einleitung • Modelle- Web Service Model - ebXML • Protokolle - XML-Based Security Services - SAML • BSI • Thesen Verbindung SAML & SOAP Nachrichten-austausch Denial of Service Authentifizierungnicht spezifiziert Nachrichten-modifizierung Nachrichten-löschung Vertraulichkeitnicht spezifiziert Nachrichtenintegritätnicht spezifiziert „Man In The Middle“ Belauschen Thema Nr. 4: Sicherheit mobiler Seite 37 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
OASIS Security Assertion Markup Language • Einleitung • Modelle- Web Service Model - ebXML • Protokolle - XML-Based Security Services - SAML • BSI • Thesen Verbindung SAML & SOAP Nachrichten-austausch Denial of Service Authentifizierungnicht spezifiziert Zeitstempel Nachrichten-modifizierung Nachrichten-löschung Vertraulichkeitnicht spezifiziert Ipsec-Tunneling Digitale Signatur Nachrichtenintegritätnicht spezifiziert „Man In The Middle“ Belauschen Thema Nr. 4: Sicherheit mobiler Seite 38 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Bundesamt für Sicherheit in der Informationstechnik • Einleitung • Modelle- Web Service Model - ebXML • Protokolle - XML-Based Security Services - SAML • BSI • Thesen • Zertifizierungen (Seit Jan. 2002) • IT-Grundschutzhandbuch (111,50 €) • GS-Tool • Modellierung und Erstellung des Schichtenmodells • IT-Systemerfassung und Strukturanalyse • Anwendungserfassung • Maßnahmenumsetzung • Kostenauswertung • Schutzbedarfsfeststellung • Revisionsunterstützung • Basissicherheitschecks Thema Nr. 4: Sicherheit mobiler Seite 39 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Bundesamt für Sicherheit in der Informationstechnik • Einleitung • Modelle- Web Service Model - ebXML • Protokolle - XML-Based Security Services - SAML • BSI • Thesen Thema Nr. 4: Sicherheit mobiler Seite 40 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002
Bundesamt für Sicherheit in der Informationstechnik • Einleitung • Modelle- Web Service Model - ebXML • Protokolle - XML-Based Security Services - SAML • BSI • Thesen • Another hype: Web Services sind heute „in“ aber morgen bereits wieder „out“ • Die Anforderungen an Security-Komponenten, wie Hard- und Software aber auch Know How der Mitarbeiter, werden weiterhin stark wachsen und damit auch die Kosten in diesem Bereich explodieren lassen • Kampf der Standards: Microsoft schlägt zurück • Wo ein Wille, da ein Weg – Mitarbeitertreue? Thema Nr. 4: Sicherheit mobiler Seite 41 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002