390 likes | 564 Views
Aktuelle Herausforderungen von Datenschutz und Datensicherheit in modernen Informationssystemen Seminar im Sommersemester 2007 Ursula Kotzur Betreuerin: Jutta Mülle IPD - Lehrstuhl für Systeme der Informationsverwaltung Universität Karlsruhe (TH).
E N D
Aktuelle Herausforderungen von Datenschutz und Datensicherheit in modernen Informationssystemen Seminar im Sommersemester 2007 Ursula Kotzur Betreuerin: Jutta Mülle IPD - Lehrstuhl für Systeme der InformationsverwaltungUniversität Karlsruhe (TH) Sicherheit in Service-orientierten Architekturen
Gliederung • Einführung • Nachrichtensicherheit • Identitätsmanagement • Zusammenfassung Sicherheit in Service-Orientierten Architekturen
Einführung (I) • Was ist eine Service-orientierte Architektur? • "Systemarchitektur-Konzept, das die Bereitstellung fachlicher Dienste und Funktionalitäten in Form von Services vorsieht. Ein Service ist in diesem Kontext eine Funktionalität, die über eine standardisierte Schnittstelle in Anspruch genommen werden kann." • " Abstraktes Konzept einer Software-Architektur, in deren Zentrum das Anbieten, Suchen und Nutzen von Diensten über ein Netzwerk steht." • Merkmale • Lose Kopplung • Virtualisierung: Austauschbarkeit von Komponenten • Interoperabilität Sicherheit in Service-Orientierten Architekturen
Einführung (II) • Was sind Web Services? • Technologie zur Realisierung von SOAs • Dienste, die über das Internet angesprochen werden können(mittels HTTP, FTP und SMTP) • Server stellt einen Dienstzur Verfügung • Client nimmt einen Dienst in Anspruch • Kommunikation mittelsXML-Nachrichten ( SOAP) • Schnittstellenbeschreibungdurch XML ( WSDL) Green White Service- Verzeichnis Yellow WSDL UDDI Servicesuchen 2 1 Service ver-öffentlichen/registrieren SOAP SOAP Service- Konsument Service- Anbieter WSDL SOAP Servicenutzen 3 Sicherheit in Service-Orientierten Architekturen
Einführung (III) SSLSicherheitskontext Dienstnehmer - Website - Dienstanbieter 1 Endnutzer - Webbrowser - Dienstanbieter 2 Sicherheit in Service-Orientierten Architekturen
Gliederung • Einführung • Nachrichtensicherheit • XML Sicherheit • XML Signature (XMLDsig) • XML Encryption (XMLEnc) • XML Key Management Specification (XKMS) • Web Service Sicherheit • WS-Security • WS-* Family • Identitätsmanagement • Zusammenfassung Sicherheit in Service-Orientierten Architekturen
Nachrichtensicherheit • Standards im Überblick Sicherheit in Service-Orientierten Architekturen
XML Signature (I) • Status • W3C-Recommendation seit 12. Februar 2002 • RFC 3275 bei IETF • Funktion • Repräsentation digitaler Signaturen in XML • Beliebige Teilbäume können signiert werden,ebenso externe Dokumente • Ablauf • Ausgangspunkt: kanonische XML-Dokumente • Berechnung des Hashwerts: Message Digest • Signierung mittels Public-Key-Verfahren • Basis für XML Encryption ( <KeyInfo>) Sicherheit in Service-Orientierten Architekturen
XML Signature (II) • Erzeugung und Validierung von XML-Signaturen aus: Melzer, I.: Service-orientierte Architekturen mit Web Services; Konzepte - Standards - Praxis, 2. Auflage, Spektrum 2007 Sicherheit in Service-Orientierten Architekturen
XML Signature (III) <Signature Id="MyFirstSig" xmlns="xmldsig#"> <SignedInfo> <CanonicalizationMethod Algorithm="REC-xml-c14n-20010315"/> <SignatureMethod Algorithm="xmldsig#dsa-sha1"/> <Reference URI="REC-xhtml1-20000126/"> <Transforms> <Transform Algorithm="REC-xml-c14n-20010315"/> </Transforms> <DigestMethod Algorithm="xmldsig#sha1"/> <DigestValue>j6lwx3rvEPO0vKtMup4NbeVu8nk=</DigestValue> </Reference> </SignedInfo> <SignatureValue>MC0CFFrVLtRlk=...</SignatureValue> <KeyInfo> <KeyValue> <DSAKeyValue> <P>...</P><Q>...</Q><G>...</G><Y>...</Y> </DSAKeyValue> </KeyValue> </KeyInfo> </Signature> Sicherheit in Service-Orientierten Architekturen
XML Encryption (I) • Status • W3C-Recommendation seit 10. Dezember 2002 • Funktion • Repräsentation verschlüsselter Inhalte in XML • Beliebige Teilbäume können verschlüsselt werden,ebenso externe Dokumente • Beliebige Verschlüsselungsalgorithmen anwendbar • Erweitert <KeyInfo> aus digitaler Signatur • Übertragung von (verschlüsselten) geheimen Schlüsseln möglich ( <EncryptedKey>) Sicherheit in Service-Orientierten Architekturen
XML Encryption (II) <?xml version='1.0'?> <PaymentInfo xmlns='http://example.org/paymentv2'> <Name>John Smith</Name> <CreditCard Limit='5,000' Currency='USD'> <Number>4019 2445 0277 5567</Number> <Issuer>Example Bank</Issuer> <Expiration>04/02</Expiration> </CreditCard> </PaymentInfo> <?xml version='1.0'?> <PaymentInfo xmlns='http://example.org/paymentv2'> <Name>John Smith</Name> <EncryptedData Type='http://www.w3.org/2001/04/xmlenc#Element' xmlns='http://www.w3.org/2001/04/xmlenc#'> <CipherData> <CipherValue>A23B45C56</CipherValue> </CipherData> </EncryptedData> </PaymentInfo> Sicherheit in Service-Orientierten Architekturen
Zusammenspiel von XMLDsig und XMLEnc Sicherheit in Service-Orientierten Architekturen
XML Key Management Specification • Status • W3C-Note seit 30. März 2001 • Funktion • Protokoll zur Validierung und Verwaltung von PKI-Schlüsseln • Kompatibel zu XML Signature und XML Encryption • Bestandteile • XML Key Information Service Specification (X-KISS) • Lokalisierung von Schlüsselinformationen und Validierung von Schlüsseln • Delegation von <KeyInfo> an Trust service • XML Key Registration Service Specification (X-KRSS) • Registrierung und Verwaltung öffentlicher Schlüssel Sicherheit in Service-Orientierten Architekturen
WS-Security (I) • Status • Web Services Security: SOAP Message Security 1.1 (WS-Security 2004) ist OASIS-Standard seit Februar 2006 • Funktion • Bietet Rahmenwerk zur Einbettung bereits bestehender Standards in den SOAP-Nachrichten-Header • XML-Signature zur Signierung • XML-Encryption zur Verschlüsselung • definiert ein SOAP-Header-Element, in dem sicherheitsbezogene Daten enthalten sind • Anhängen von Security Credentials an SOAP-Nachrichten • stellt Kontext für sichere Ende-zu-Ende Kommunikation bereit Sicherheit in Service-Orientierten Architekturen
WS-Security (II) <S11:Envelope xmlns:S11="..." xmlns:wsse="..." xmlns:wsu="..." xmlns:ds="..." xmlns:xenc="..."> <S11:Header> <wsse:Security> <xenc:ReferenceList> <xenc:DataReference URI="#bodyID"/> </xenc:ReferenceList> </wsse:Security> </S11:Header> <S11:Body> <xenc:EncryptedData Id="bodyID"> <ds:KeyInfo> <ds:KeyName>CN=Hiroshi Maruyama, C=JP</ds:KeyName> </ds:KeyInfo> <xenc:CipherData> <xenc:CipherValue>...</xenc:CipherValue> </xenc:CipherData> </xenc:EncryptedData> </S11:Body> </S11:Envelope> Sicherheit in Service-Orientierten Architekturen
WS-Security (III) • Security Tokens • Unsigned Security Token • Username • Signed Security Token • X.509 Zertifikate • Kerberos Tickets • Seit Ende 2004 auch SAML Token • Nachrichtenfluss 1. Anforderung für Tokens wird gesendet. Web Service-Client Sicherheitstokendienst 2. Erhaltene Tokens werden zur SOAP-Nachricht hinzugefügt. 4. Tokens werden überprüft. 3. Nachricht wird signiert und an Web Service gesendet. Web Service 5. Antwort wird empfangen Sicherheit in Service-Orientierten Architekturen
WS-* Family • WS-Trust • Möglichkeiten zum initialen Austausch von sicherheitsrelevanten und geheimen Daten • WS-SecureConversation • Rahmen, der das Erzeugen eines Sicherheitskontext (SecurityContextToken) ermöglicht • WS-Policy • Formulierung von Sicherheitsanforderungen und Richtlinien, die erfüllt werden müssen, um mit einem Dienst interagieren zu können • WS-Federation • Integration von Vertrauensdomänen über Unternehmensgrenzen hinweg • Demo: SSO with WS-Federation (PRP) • http://ip.tm.uni-karlsruhe.de/demo/demo/ • WS-Privacy • Einbindung von Forderung zur Vertraulichkeit • WS-Authorization • Richtlinien zur Zugriffskontrolle • WS-... Sicherheit in Service-Orientierten Architekturen
Gliederung • Einführung • Nachrichtensicherheit • Identitätsmanagement • Zentrales Identitätsmanagement • Microsoft Passport • Föderatives Identitätsmanagement • Liberty Alliance • Shibboleth • Zusammenfassung Sicherheit in Service-Orientierten Architekturen
Identitätsmanagement Sicherheit in Service-Orientierten Architekturen
Zentrales Identitätsmanagement • Microsoft Passport • Prinzip • Nutzer speichern ihr Profil bei Microsoft • mindestens E-Mail und Passwort erforderlich • stimmen bei Anmeldung zu, dass ihre Daten an alle beteiligten Dienste weitergegeben werden dürfen • Kann per Single-Sign-On alle beteiligten Dienste nutzen • Dienste bezahlen für diesen Service • Nachteile: • Eine Partei (hier: Microsoft) als zentraler Vertrauensanker? • Single Point of Failure • Globale Benutzer ID • Benutzername/Passwort einzige Authentifizierungsmethode Sicherheit in Service-Orientierten Architekturen
Föderatives Identitätsmanagement • Vorteile: • Informationen verteilt auf verschiedenen (von einander unabhängigen) Systemen • Somit keine zentrale Kontrolle • Verschiedene Authentifizierungsmethoden möglich Sicherheit in Service-Orientierten Architekturen
Liberty Alliance (I) • 2001 von etwa 30 Organisationen gegründet • Mittlerweile um die 150 Mitglieder aus verschiedensten Sparten (auch Behörden) • Ziel: Schaffung von Standards, Richtlinien und Methoden für föderiertes Identitätsmanagement • Struktur: Management Board Service Group Subteams Identity Services Expert Groups Identity Infrastructure & Policy Special Interest Groups Applying Liberty Sicherheit in Service-Orientierten Architekturen
Liberty Alliance (II) • Nutzt bereits bestehenden Standards • SAML • XML Signature • XML Encryption • ... • Circle of Trust • Vertrauensverbund zwischen kooperierenden Unternehmen zur Nutzung von digitalen Identitäten über Unternehmensgrenzen hinweg • Beteiligte • Principal • Identity Provider (IdP) • Service Provider (SP) • Liberty Enabled Clients or Proxies (LECP) Sicherheit in Service-Orientierten Architekturen
Liberty Alliance (III) Enterprise Circle of Trust Supplier 1 Supplier 2 Supplier 3 Name: Joe Self Service Providers PayableApplication IdP (e.g. my company) SupplyChainAggregator Calendar work profile NewsSource NewsSource Name: Joe Self NewsSource Service Providers Merchants IdP (e.g. my bank) ServiceAggregator home profile Friends& FamilyNotification Consumer Circle of Trust Sicherheit in Service-Orientierten Architekturen
Liberty Alliance (IV) • Architektur Liberty Identity Federation Framework (ID-FF) ermöglicht Verwaltung und Föderation von Identitäten durch Single-Sign-On und Session-Management Liberty Identity Services Interface Specifications (ID-SIS) ermöglicht interoperable Identitätsdienste Liberty Identity Web Services Framework (ID-WSF) stellt Rahmenwerk zur Bildung interoperabler Identitätsdienste bereit Sicherheit in Service-Orientierten Architekturen
Liberty Alliance (V) Sicherheit in Service-Orientierten Architekturen
Liberty Alliance (VI) • Beispiel: T-Online "Netzausweis" • T-Com fungiert als Identity Provider • Bietet Single-Sign-On, Single-Logout • Log-In via E-Mail-Adresse und Passwort • Netzausweis-LogIn bei Partnerseiten • Verwaltung der LogIn-Einstellungen im Kundencenter • Anmeldung zum "Netzausweis Zusatzdienste" notwendig • "Automatische Login bei T-Online Partnerseiten" standardmäßig ausgeschaltet • Partner: Sicherheit in Service-Orientierten Architekturen
Liberty Alliance (VII) • Pressemitteilung auf telekom.com: • IDDY Award 2006 der Liberty Alliance für T-Online Netzausweis14.09.2006T-Com erhält Auszeichnung für herausragende Leistungen beim Einsatz von Digital Identity Management Lösungen • "Wir gratulieren T-Com zur Einführung einer auf den Spezifikationen von Liberty basierenden Lösung, die nach dem Urteil der IDDY-Jury zum "Besten vom Besten" gehört, was das digitale Identitätsmanage-ment heute zu bieten hat."(George Goodman, Präsident des Vorstands der Liberty Alliance und Direktor des Platform Capabilities Lab von Intel.) Sicherheit in Service-Orientierten Architekturen
Zusammenhang zwischen den Standards Microsoft / IBM OASIS Liberty Alliance WS-Federation Liberty Phase 3 SAML 2.0 IDFF 1.2 WSF 1.2 WSS WS-Trust WS-Policy SAML 1.1 IDFF 1.1 WS-Security IDFF 1.0 SAML 1.0 Legend Dependency Relation nach: Windley, Ph.: Digital Identity. 1. Edition. O'Reilly, 2005 Sicherheit in Service-Orientierten Architekturen
Shibboleth (I) • 2000 parallel und unabhängig zum Liberty Alliance Project im Hochschul-Umfeld in den USA entstanden • ermöglicht SSO, sowie föderierte Administration von zugangsbeschränkten Ressourcen • Legt besonderen Wert auf Schutz personenbezogener Daten • Grundlage: Family Educational Rights and Privacy Act, 1974 • Nutzt bereits bestehende Standards wie SAML, SSL Sicherheit in Service-Orientierten Architekturen
Shibboleth (II) • Bestandteile • Identity Provider (IdP) • Attribute Authority (AA) • Handle Service (HS) • Attribute sources • Local sign-on system (SSO) • Service Provider (SP) • Assertion Consumer Service (ACS) • Attribute Requestor (AR) • Resource Manager (RM) • Where are you from? (WAYF) Sicherheit in Service-Orientierten Architekturen
Shibboleth (III) • Ablauf Quelle: http://switch.ch/aai/demo/medium.html Sicherheit in Service-Orientierten Architekturen
Vergleich: Shibboleth – Liberty Alliance • Liberty Alliance und Shibboleth haben leicht unterschiedliche Lösungensansätze: • Liberty Alliance: "Ich weiß, wer du bist." • Shibboleth:"Ich weiß, woher du kommst" • Beide sind grundlegend an der Entwicklung von SAML 2.0 beteiligt • Internet2 Mitglied bei Liberty Alliance Sicherheit in Service-Orientierten Architekturen
Zusammenfassung • Große Auswahl an Sicherheitsstandards • Sicherheit sowohl auf Transport- als auch auf Anwendungsschicht möglich • Identitätsmanagement gerade im Hinblick auf verteilte Dienste wichtig • Zur Zeit ist Liberty Alliance hier führend • Clientseitige Technologien wie CardSpace (InfoCard) von Microsoft gewinnen in Zukunft evtl. an Bedeutung • Prinzip der Selbstverwaltung • Speicherung der Daten auf dem Heimrechner, PDA, o.ä. Sicherheit in Service-Orientierten Architekturen
Ende Fragen ??? Sicherheit in Service-Orientierten Architekturen
Aus der offiziellen Pressemitteilung: • "Leitmotiv von PRIME ist, die personenbezogenen Daten unter der Kontrolle des Nutzers zu belassen. Es verfolgt dabei einen integrierten Ansatz mit dem Ziel eines maximalen Datenschutzes über die Durchsetzung von Datenschutz-Policies, wenn der Nutzer seine Daten aus seinem Verfügungsbereich herausgibt. Der Nutzer steht im Zentrum. Ihm wird das für ihn Datenschutzrelevante deutlich gemacht, so dass er informierte Entscheidungen über die Verarbeitung seiner personenbezogenen Daten treffen kann. PRIME bietet Lösungen an und arbeitet heraus, was noch zu tun bleibt." • Projektlaufzeit • März 2004 bis Februar 2008 • Förderung: • Das PRIME-Projekt wird gefördert vom Sechsten Forschungsrahmenprogramm der Europäischen Union und vom Schweizer Bundesamt für Bildung und Wissenschaft. • PRIME Whitepaper (aktuelle Version: v2.0 vom Juni 2007) • https://www.prime-project.eu/prime_products/whitepaper/ Sicherheit in Service-Orientierten Architekturen
Secure Assertion Markup Language (SAML) • Status • SAML v2.0 ist OASIS-Standard seit 15. März 2005 • Funktion • Ermöglicht Austausch von authentifizierungs- und autorisierungsbezogenen Informationen (Assertions) • Bestandteile: • SAML Assertions • SAML Protokoll • SAML Bindings und Profile • Anwendungsfälle • Web Browser Single Sign-On (SSO) • Authorization Service • Back Office Transaction Sicherheit in Service-Orientierten Architekturen
Secure Assertion Markup Language (SAML) • SAML Assertions Sicherheit in Service-Orientierten Architekturen