Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe

Identitätsmanagement mit

sicherer Authentifizierung und

Attributweitergabe

Moritz Platt — Vortrag zum 14. Deutschen IT-Sicherheitskongress (20. Mai 2015)

Agenda

Einführung▼

Föderiertes Identitätsmanagement▼

Sichere Authentifizierung▼

Identitätssicherung ▼

Implementierung

Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 2

Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung > Implementierung

Hintergrund

• Mitarbeit in der Bundesdruckerei im Jahr 2014• Daraus hervorgehend:

Veröffentlichung unter dem Titel „Secure Authentication and Attribute Sharing in Federated Identity Scenarios“

• Beispielhafte Proof-of-Concept Implementierung• Weitere Untersuchung des gesellschaftlichen und technischen Rahmens für

Identitätsmanagementsysteme im Internet



Identitätskriminalität nimmt zu

• Fallzahlen von Identitätsdiebstahl in den USA:

• Benutzer finanzielle Schäden, emotionale Folgen• Unternehmen finanzielle Schäden, Zahlungsausfallrisiko• ÖffentlicheHand Gefährdung der Vertaulichkeit/Verlässlichkeit von

E-Governement, hoher Strafverfolgungsaufwand

[Federal Trade Commission, 2014]

500,000

1,500,000

2,500,000

20132010200720042001



Sicherheitskonzepte im Web halten nicht mit der e-Business Entwicklung schritt

• Bedarf und Verbreitung von e-Commerce/e-Government steigt stetig• Für einen zentralen Erfolgsfaktor von Geschäftsbeziehungen –Identität– im

Internet gibt es noch keine verlässliche Herangehensweise:• Aus Sicht eines Dienstanbieters:

• Authentifizierung Ist diejenige wirklich die, die sie zu sein vorgibt? Besteht das Risiko von Identitätsdiebstahl?

• Risikoabschätzung Mit welcher Wahrscheinlichkeit sind Identitätsat-tribute zutreffend? Wie verlässlich ist die Identitätsinformation?

• Aus Sicht eines Individuums:• Identitätsdiebstahlrisiko Wie vermeide ich, dass meine Identität

missbräuchlich verwendet werden kann?• Datenschutz/Privatsphäre Wie behalte ich die Kontrolle über die

Verwendung meiner Identitätsinformationen?



Bilaterales Identitätsmanagement impliziert Interessenskonflikte

• Die Interessen von Benutzern und Dienstanbietern stehen mitunter im Konflikt miteinander• e-Commerce

• Erwartung der Benutzer: hohe Bequemlichkeit, zurückhaltende Frei-gabe von Identitätsdaten, schnelle Auftragsabwicklung, Authentifi-zierung mit hoher Usability, etc.

• Erwartung der Händler: geringes Debitorenrisiko durch zutreffende Identitätsinformationen, Risikomanagement, etc.

• e-Government• Erwartung der Benutzer: hohe Bequemlichkeit, einfache Abläufe,

schnelle Abwicklung von Verwaltungsvorgängen• Erwartungen staatlicher Stellen: Gesetzeskonformität, Angemessen-

heit, rechtssicheres Identitätssicherungsniveau• Idee: Entkopplung verschiedener Ansprüche durch Föderation


Föderiertes

Identitätsmanagement

Problem > FöderiertesIDManagement > Sichere Authentifizierung > Identitässicherung > Implementierung

Die föderierte Authentifizierungslandschaft

Benutzer

Dienstanbieter

SicherheitBequemlichkeitVerlässlichkeit




Benutzer

Identitätsanbieter

Identitätsdokumente

Beweis




Benutzer

Dienstanbieter Identitätsanbieter


Identitäts-intermediär

Zusicherung


Beweis




Benutzer



Zusicherung

Sicherheit Bequemlichkeit


Beweis

Zusicherung




FIM unterstützt Benutzer und Dienstanbieter

• Föderiertes Identitätsmanagement ist kein Selbstzweck• Verschiedene Stakeholder im FIM-Umfeld:

• Benutzer• Dienstanbieter, z.B. E-Commerce-/E-Government-Anwendungen• Identitätsanbieter, z.B. Registrierungsstellen, institutionelle Anbieter

• Hauptziel: Prozesse für Benutzer und Dienstanbieter verbessern• Sicherheitfür Benutzer erhöhen• GutbenutzbareAnwendungen für Benutzer bereitstellen• Dienstanbietern Identitätsattribute von gesicherterQualitätzur Verfügung

stellen

• Identitätsattribute werden zentral bei einem Identitätsintermediär abgelegt• Benutzer und Dienstanbieter greifen auf Identitätsattribute über einen Iden-

titätsintermediär zu



Benutzer entscheiden fallabhängig über ihre Daten

• Das Identitätsdiebstahlrisiko muss durch verlässliche Authentifizierung minimiert werden

• Identitätsattribute müssen verlässlich sein• Nichtmandatierte Zugriffe auf Benutzerdaten müssen bestmöglich erschwert

werden

• Ziele aus Benutzersicht• Benutzer müssen volle Kontrolle über die Verwendung ihrer Daten haben• Benutzer müssen der Datenfreigabe explizit zustimmen• Ein Zugriffsmandat für Benutzerdaten muss wie folgt gestaltet sein:

• Zeitlichbeschränkt• BeschränktimUmfang (d.h. Beschränkt auf eine Menge bestimmter

Attribute)• BeschränktimBerechtigungskreis (z.B. nur für einen bestimmten

Dienstanbieter)


Sichere Authentifizierung

Problem > Föderiertes ID Management > SichereAuthentifizierung > Identitässicherung > Implementierung

Passworte bieten nur wenig Sicherheit

• Aktuell verwendet der Großteil der Online-Dienstanbieter Authentifizierung auf Basis von Benutzername und Passwort

• Diese bietet niedrigeSicherheit durch Anfälligkeit für diverse Angriffe:• Nicht-technische Angriffe

• Beobachtung während der Passworteingabe• „Educated Guessing“ eines Passworts oder von Wiederherstellungsin-

formationen• Missbrauch veröffentlichter Passworte• Phishing

• Technische Angriffe• „Brute Force“ Angriffe• Wörterbuchbasierte Angriffe• Kompromittierung eines Systems (Key logging, Traffic Logging)• Kompromittierung von Kommunikationskanälen („Man-in-the-Middle“)



Passworte überwinden: Wissen und Besitz

• Es gab zahlreiche Versuche, Passworte durch überlegene Authentifizierung-stechnologien zu ersetzen

• Viele nutzten Hardware-Tokens• Vielen fehlte industrielle Unterstützung, Unterstützung durch Standards und

Herstellerunabhängigkeit• Ein aufkommender Standard ist FIDOU2F

• Breite Industrieunterstützung (ARM, Google, Mastercard, Microsoft, VISA, etc.)

• Benötigt USB-/NFC-fähige Hardware (z.B. Yubico YubiKey NEO)

• Low-level (ADPU) und high-level (Java- Script) Schnittstellen

• Einfaches Challenge-Response-Verfahren basierend auf SHA Signaturen



Hardware Authentifizierung erhöht die Sicherheit

Passwörter FIDOHardwareResistent ggü. Beobachtung

Resistent ggü. Raten

Resistent ggü. interner Beobachtung

Resistent ggü. Leaks anderer Dienstanbieter

Resistent ggü. Phishing

Resistent ggü. Diebstahl

[Bonneau et al., 2012]

• Eine Kombination von Hardwareauthentifizierung und Passworten („Second Factor“) maximiert die Authentifizierungssicherheit


Identitätssicherung


Komponenten einer gesicherten digitalen Identität

Attributname Attributwert LOA

First Name Oliver High

Last Name Jones High

Address Station Road 7 High

Post Code M6 5WG High

City Salford High

E-Mail Address [email protected] Medium

Website www.example.org Low

• Digitale Identitäten bestehen aus At-tributen und deren Werten

• Identitätsattribute können mehr oder weniger vertrauenswürdig sein

• Der ISO Standard für „Identity proofing“[ISO/IEC WD 29003] definiert vier Ver-trauenslevel (Level of Assurance; „LOA“):• Low (Little or no confidence in

the claimed or asserted identity)• Medium (Some confidence in the claimed or asserted identity)• High (High confidence in the claimed or asserted identity)• VeryHigh (Very high confidence in the claimed or asserted identity)



Identitätsanbieter zertifizieren Benutzeridentitäten

• Die BewertungvonAttributenhinsichtlichihresVertrauenslevelsnehmen Identitätsanbieter vor

• Sie geben die Daten an den Identitätsintermediär weiter• Diese Daten werden dann vom Identitätsintermediär gespeichert und verteilt• Ein Identitätsintermediär hat keinen Einfluss auf die Art der Attributverifi-

zierung durch einen Identitätsanbieter• Es gibt zahlreiche Wege, Attribute mit hohem Vertrauenslevel zu gewinnen:

• Direkte Übertragung von Daten (z.B. Registerdaten)• Bereitstellung elektronisch ausgelesener Identitätsdaten (z.B. Personalaus-

weisdaten)• Manuelle Überprüfung von Identitätsdokumenten (z.B. Überprüfung eines

Führerscheins) durch ausgebildetes Personal• Wiederverwendung von Attributen aus bestehenden Geschäftsbeziehun-

gen (z.B. Zahlungsdaten)


Implementierung


Wiederholung: Föderiertes Identitätsmanagement

Benutzer



REST API

REST API

OAuth 2.0 UI



Systemüberblick

BenutzerschnittstellenServersysteme

(A.1) Identity Intermediary Reference Implementation de.mplatt.idi

(A.2) Apache Oltu org.apache.oltu

(A.3) Hibernate Persistence Framework org.hibernate

(A.4) Java RESTful Webservice Interfaces javax.ws.rs

(B) PostgreSQL Database Server

(A) Tomcat Application Server

III

(C) Identity Intermediary User Interface

(D) (Virtual) U2F Token

I

II

IV



Benutzeroberfläche

• Dienstanbieter fordern Identitätsdaten durch OAuth 2.0 Anfragen an• Benutzer werden dann zur Authentifizierungsseite weitergeleitet

https://localhost:8080/idi/auth?client_id=ec3ec0e5-d6b9-472c-a611-1b87f301bfdc&response_type=code&scope=read:firstname%20read:date

IDIIdentity Intermediary Sign-In

The service provider Smith’s Bikes is requesting one-time access to your personal data stored by the Identity Intermediary Service.

The service provider requests the following attributes:

• E-Mail Address • Last Name • First Name • Address of Residence

Do you want to share these personal attributes with Smith’s Bikes? You will have the chance to review the attributes before making your final decision.

Yes. Review these attributes.No. Cancel Sign In.



Benutzeroberfläche

• Benutzer authentifizieren sich dann beim Identitätsintermediär• Authentifizierung findet mittels Hardware („FIDO“ token) und Passwort statt

https://localhost:8080/idi/confirm

IDIIntermediary Sign-In

To share data with Smith’s Bikes please perform FIDO multi-factor authentication.

Authenticate with your local deviceThe authentication process can be performed in various ways depending on the vendor of the FIDO token used. Authentication normally takes place via USB or wirelessly.

Enter your IDI password

Password Submit



Benutzeroberfläche

• Benutzer können die angeforderten Attribute dann überprüfen• Daten können auch attributweise abgewählt werden

https://localhost:8080/idi/review

IDIIdentity Intermediary Sign-In

Please review the data you are going to share with Smith’s Bikes:

E-Mail Address [email protected] Last Name Jones First Name Odharnait Address of Residence Station Road 7, Salford M6 5WG

Do you want to share these personal attributes with Smith’s Bikes?

Yes. Share these attributes.No. Cancel Sign In.



Datenverschlüsselung

• Bestätigte Attribute (A1..3) werden in einer Basisrepräsentation (RB) und je einer separaten Repräsentation (RA1, RA2) pro berechtigtem Serviceprovider abgelegt

• Die serviceproviderspezifische Repräsentation kann nur vom jeweiligen Servi-ceprovider entschlüsselt werden

I U S1 S2

I U S1 S2

I U S1 S2

I U S1 S2 I U S1 S2

I U S1 S2

RB RA1 RA2

A1

A2

A3

• Dieses Verfahren ist durch verschiedene kryptographische Verfahren auf Serverseite und Clientseite (W3C Web Cryptography API) realisiert


Schlussfolgerung


Die vorgestellte Architektur ist ein Schritt in die richtige Richtung

• Die Kombination eines föderierten Identitätsmanagementsystems mit dem FIDO U2F Standard hat großes Potenzial, aber …• … der Zielkonflikt zwischen Sicherheit und Usability wird durch die zusätzli-

chen Hardwareanforderungen spürbar.• … die FIDO U2F Spezifikation ist noch nicht vollständig ausgereift.• … FIDO U2F Token bieten nur Signaturfunktion (fortgeschrittene kryptogra-

phische Funktionen sind nicht durch die API erreichbar).

• Der Erfolg des vorgestellten Ansatzes setzt ein Netzwerkvon Dienstanbiet-ern und Identitätsanbietern und eine hohe Markdurchdringung von FIDO U2F Hardware voraus

• Die Wahl eines geeigneten Betreibers des Identitätsintermediärsdienstes ist eine Herausforderung


Diskussion

LiteraturnachweisBonneau, J., Herley, C., Oorschot, P. C. v. and Stajano, F.

The quest to replace passwords: A framework for comparative evaluation of Web authentication schemesUniversity of Cambridge, Computer Laboratory, 2012 (UCAM-CL-TR-817)

Federal Trade CommissionConsumer Sentinel Network Data Book for January - December 2013Federal Trade Commission, 2014

Harrell, E. and Langton, L.Victims of Identity Theft, 2012U.S. Department of Justice, Office of Justice Programs, Bureau of Justice Statistics, 2013 (NCJ 243779)

ISO/IECInformation technology – Security techniques – Identity proofingInternational Organization for Standardization, 2012 (WD 29003)

Perlroth, N.Adobe Hacking Attack Was Bigger Than Previously Thoughthttp://bits.blogs.nytimes.com/2013/10/29/adobe-online-attack-was-bigger-than-previously-thought2013

Perlroth, N. and Gelles, D.Russian Hackers Amass Over a Billion Internet Passwordshttp://www.nytimes.com/2014/08/06/technology/russian-gang-said-to-amass-more-than-a-billion-stolen-internet-credentials.html2014


Whittaker, Z.6.46 million LinkedIn passwords leaked onlinehttp://www.zdnet.com/article/6-46-million-linkedin-passwords-leaked-online/2012


Bildnachweis Piktogramme:

Seiten 5, 6, 7, 8, 22:Business by Thomas Helbig from The Noun ProjectPassport by Hunor Csaszar from The Noun ProjectIdentification by Stefan Spieler from The Noun Projectshop by Christian Wad from The Noun Projectinstitution by Christian Wad from The Noun ProjectCloud by matthew hall from The Noun Project

Seite 23:USB Flash Drive by Michael Rowe from The Noun ProjectComputer by Océan Bussard from The Noun ProjectWebsite by Mister Pixel from The Noun Project

FotografiePage 1:

“Key Exchange” by Thomas Hawk is licensed under a Attribution-NonCommercial 2.0 Generic license. Based on a work at https://www.flickr.com/photos/thomashawk/16894626665. To view a copy of this license, visit https://creativecommons.org/licenses/by-nc/2.0/legalcode.

Page 13:“YubiKey NEO on Keychain” from http://www.yubico.com/press/images/. Used in accordance with the usage policy available online per 2014-09-20.


http://www.yubico.com/press/images/

Date post:	30-Jul-2015
Category:	Technology
Upload:	moritz-p
View:	38 times
Download:	1 times

Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe

Technology