Date post: | 30-Jul-2015 |
Category: |
Technology |
Upload: | moritz-p |
View: | 38 times |
Download: | 1 times |
Identitätsmanagement mit
sicherer Authentifizierung und
Attributweitergabe
Moritz Platt — Vortrag zum 14. Deutschen IT-Sicherheitskongress (20. Mai 2015)
Agenda
Einführung▼
Föderiertes Identitätsmanagement▼
Sichere Authentifizierung▼
Identitätssicherung ▼
Implementierung
Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 2
Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung > Implementierung
Hintergrund
• Mitarbeit in der Bundesdruckerei im Jahr 2014• Daraus hervorgehend:
Veröffentlichung unter dem Titel „Secure Authentication and Attribute Sharing in Federated Identity Scenarios“
• Beispielhafte Proof-of-Concept Implementierung• Weitere Untersuchung des gesellschaftlichen und technischen Rahmens für
Identitätsmanagementsysteme im Internet
Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 3
Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung > Implementierung
Identitätskriminalität nimmt zu
• Fallzahlen von Identitätsdiebstahl in den USA:
• Benutzer finanzielle Schäden, emotionale Folgen• Unternehmen finanzielle Schäden, Zahlungsausfallrisiko• ÖffentlicheHand Gefährdung der Vertaulichkeit/Verlässlichkeit von
E-Governement, hoher Strafverfolgungsaufwand
[Federal Trade Commission, 2014]
500,000
1,500,000
2,500,000
20132010200720042001
Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 4
Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung > Implementierung
Sicherheitskonzepte im Web halten nicht mit der e-Business Entwicklung schritt
• Bedarf und Verbreitung von e-Commerce/e-Government steigt stetig• Für einen zentralen Erfolgsfaktor von Geschäftsbeziehungen –Identität– im
Internet gibt es noch keine verlässliche Herangehensweise:• Aus Sicht eines Dienstanbieters:
• Authentifizierung Ist diejenige wirklich die, die sie zu sein vorgibt? Besteht das Risiko von Identitätsdiebstahl?
• Risikoabschätzung Mit welcher Wahrscheinlichkeit sind Identitätsat-tribute zutreffend? Wie verlässlich ist die Identitätsinformation?
• Aus Sicht eines Individuums:• Identitätsdiebstahlrisiko Wie vermeide ich, dass meine Identität
missbräuchlich verwendet werden kann?• Datenschutz/Privatsphäre Wie behalte ich die Kontrolle über die
Verwendung meiner Identitätsinformationen?
Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 5
Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung > Implementierung
Bilaterales Identitätsmanagement impliziert Interessenskonflikte
• Die Interessen von Benutzern und Dienstanbietern stehen mitunter im Konflikt miteinander• e-Commerce
• Erwartung der Benutzer: hohe Bequemlichkeit, zurückhaltende Frei-gabe von Identitätsdaten, schnelle Auftragsabwicklung, Authentifi-zierung mit hoher Usability, etc.
• Erwartung der Händler: geringes Debitorenrisiko durch zutreffende Identitätsinformationen, Risikomanagement, etc.
• e-Government• Erwartung der Benutzer: hohe Bequemlichkeit, einfache Abläufe,
schnelle Abwicklung von Verwaltungsvorgängen• Erwartungen staatlicher Stellen: Gesetzeskonformität, Angemessen-
heit, rechtssicheres Identitätssicherungsniveau• Idee: Entkopplung verschiedener Ansprüche durch Föderation
Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 6
Problem > FöderiertesIDManagement > Sichere Authentifizierung > Identitässicherung > Implementierung
Die föderierte Authentifizierungslandschaft
Benutzer
Dienstanbieter
SicherheitBequemlichkeitVerlässlichkeit
Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 8
Problem > FöderiertesIDManagement > Sichere Authentifizierung > Identitässicherung > Implementierung
Die föderierte Authentifizierungslandschaft
Benutzer
Identitätsanbieter
Identitätsdokumente
Beweis
Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 9
Problem > FöderiertesIDManagement > Sichere Authentifizierung > Identitässicherung > Implementierung
Die föderierte Authentifizierungslandschaft
Benutzer
Dienstanbieter Identitätsanbieter
Identitätsdokumente
Identitäts-intermediär
Zusicherung
SicherheitBequemlichkeitVerlässlichkeit
Beweis
Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 10
Problem > FöderiertesIDManagement > Sichere Authentifizierung > Identitässicherung > Implementierung
Die föderierte Authentifizierungslandschaft
Benutzer
Dienstanbieter Identitätsanbieter
Identitätsdokumente
Zusicherung
Sicherheit Bequemlichkeit
SicherheitBequemlichkeitVerlässlichkeit
Beweis
Zusicherung
Identitäts-intermediär
Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 11
Problem > FöderiertesIDManagement > Sichere Authentifizierung > Identitässicherung > Implementierung
FIM unterstützt Benutzer und Dienstanbieter
• Föderiertes Identitätsmanagement ist kein Selbstzweck• Verschiedene Stakeholder im FIM-Umfeld:
• Benutzer• Dienstanbieter, z.B. E-Commerce-/E-Government-Anwendungen• Identitätsanbieter, z.B. Registrierungsstellen, institutionelle Anbieter
• Hauptziel: Prozesse für Benutzer und Dienstanbieter verbessern• Sicherheitfür Benutzer erhöhen• GutbenutzbareAnwendungen für Benutzer bereitstellen• Dienstanbietern Identitätsattribute von gesicherterQualitätzur Verfügung
stellen
• Identitätsattribute werden zentral bei einem Identitätsintermediär abgelegt• Benutzer und Dienstanbieter greifen auf Identitätsattribute über einen Iden-
titätsintermediär zu
Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 12
Problem > FöderiertesIDManagement > Sichere Authentifizierung > Identitässicherung > Implementierung
Benutzer entscheiden fallabhängig über ihre Daten
• Das Identitätsdiebstahlrisiko muss durch verlässliche Authentifizierung minimiert werden
• Identitätsattribute müssen verlässlich sein• Nichtmandatierte Zugriffe auf Benutzerdaten müssen bestmöglich erschwert
werden
• Ziele aus Benutzersicht• Benutzer müssen volle Kontrolle über die Verwendung ihrer Daten haben• Benutzer müssen der Datenfreigabe explizit zustimmen• Ein Zugriffsmandat für Benutzerdaten muss wie folgt gestaltet sein:
• Zeitlichbeschränkt• BeschränktimUmfang (d.h. Beschränkt auf eine Menge bestimmter
Attribute)• BeschränktimBerechtigungskreis (z.B. nur für einen bestimmten
Dienstanbieter)
Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 13
Problem > Föderiertes ID Management > SichereAuthentifizierung > Identitässicherung > Implementierung
Passworte bieten nur wenig Sicherheit
• Aktuell verwendet der Großteil der Online-Dienstanbieter Authentifizierung auf Basis von Benutzername und Passwort
• Diese bietet niedrigeSicherheit durch Anfälligkeit für diverse Angriffe:• Nicht-technische Angriffe
• Beobachtung während der Passworteingabe• „Educated Guessing“ eines Passworts oder von Wiederherstellungsin-
formationen• Missbrauch veröffentlichter Passworte• Phishing
• Technische Angriffe• „Brute Force“ Angriffe• Wörterbuchbasierte Angriffe• Kompromittierung eines Systems (Key logging, Traffic Logging)• Kompromittierung von Kommunikationskanälen („Man-in-the-Middle“)
Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 15
Problem > Föderiertes ID Management > SichereAuthentifizierung > Identitässicherung > Implementierung
Passworte überwinden: Wissen und Besitz
• Es gab zahlreiche Versuche, Passworte durch überlegene Authentifizierung-stechnologien zu ersetzen
• Viele nutzten Hardware-Tokens• Vielen fehlte industrielle Unterstützung, Unterstützung durch Standards und
Herstellerunabhängigkeit• Ein aufkommender Standard ist FIDOU2F
• Breite Industrieunterstützung (ARM, Google, Mastercard, Microsoft, VISA, etc.)
• Benötigt USB-/NFC-fähige Hardware (z.B. Yubico YubiKey NEO)
• Low-level (ADPU) und high-level (Java- Script) Schnittstellen
• Einfaches Challenge-Response-Verfahren basierend auf SHA Signaturen
Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 16
Problem > Föderiertes ID Management > SichereAuthentifizierung > Identitässicherung > Implementierung
Hardware Authentifizierung erhöht die Sicherheit
Passwörter FIDOHardwareResistent ggü. Beobachtung
Resistent ggü. Raten
Resistent ggü. interner Beobachtung
Resistent ggü. Leaks anderer Dienstanbieter
Resistent ggü. Phishing
Resistent ggü. Diebstahl
[Bonneau et al., 2012]
• Eine Kombination von Hardwareauthentifizierung und Passworten („Second Factor“) maximiert die Authentifizierungssicherheit
Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 17
Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung > Implementierung
Komponenten einer gesicherten digitalen Identität
Attributname Attributwert LOA
First Name Oliver High
Last Name Jones High
Address Station Road 7 High
Post Code M6 5WG High
City Salford High
E-Mail Address [email protected] Medium
Website www.example.org Low
• Digitale Identitäten bestehen aus At-tributen und deren Werten
• Identitätsattribute können mehr oder weniger vertrauenswürdig sein
• Der ISO Standard für „Identity proofing“[ISO/IEC WD 29003] definiert vier Ver-trauenslevel (Level of Assurance; „LOA“):• Low (Little or no confidence in
the claimed or asserted identity)• Medium (Some confidence in the claimed or asserted identity)• High (High confidence in the claimed or asserted identity)• VeryHigh (Very high confidence in the claimed or asserted identity)
Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 19
Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung > Implementierung
Identitätsanbieter zertifizieren Benutzeridentitäten
• Die BewertungvonAttributenhinsichtlichihresVertrauenslevelsnehmen Identitätsanbieter vor
• Sie geben die Daten an den Identitätsintermediär weiter• Diese Daten werden dann vom Identitätsintermediär gespeichert und verteilt• Ein Identitätsintermediär hat keinen Einfluss auf die Art der Attributverifi-
zierung durch einen Identitätsanbieter• Es gibt zahlreiche Wege, Attribute mit hohem Vertrauenslevel zu gewinnen:
• Direkte Übertragung von Daten (z.B. Registerdaten)• Bereitstellung elektronisch ausgelesener Identitätsdaten (z.B. Personalaus-
weisdaten)• Manuelle Überprüfung von Identitätsdokumenten (z.B. Überprüfung eines
Führerscheins) durch ausgebildetes Personal• Wiederverwendung von Attributen aus bestehenden Geschäftsbeziehun-
gen (z.B. Zahlungsdaten)
Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 20
Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung > Implementierung
Wiederholung: Föderiertes Identitätsmanagement
Benutzer
Dienstanbieter Identitätsanbieter
Identitäts-intermediär
REST API
REST API
OAuth 2.0 UI
Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 22
Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung > Implementierung
Systemüberblick
BenutzerschnittstellenServersysteme
(A.1) Identity Intermediary Reference Implementation de.mplatt.idi
(A.2) Apache Oltu org.apache.oltu
(A.3) Hibernate Persistence Framework org.hibernate
(A.4) Java RESTful Webservice Interfaces javax.ws.rs
(B) PostgreSQL Database Server
(A) Tomcat Application Server
III
(C) Identity Intermediary User Interface
(D) (Virtual) U2F Token
I
II
IV
Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 23
Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung > Implementierung
Benutzeroberfläche
• Dienstanbieter fordern Identitätsdaten durch OAuth 2.0 Anfragen an• Benutzer werden dann zur Authentifizierungsseite weitergeleitet
https://localhost:8080/idi/auth?client_id=ec3ec0e5-d6b9-472c-a611-1b87f301bfdc&response_type=code&scope=read:firstname%20read:date
IDIIdentity Intermediary Sign-In
The service provider Smith’s Bikes is requesting one-time access to your personal data stored by the Identity Intermediary Service.
The service provider requests the following attributes:
• E-Mail Address • Last Name • First Name • Address of Residence
Do you want to share these personal attributes with Smith’s Bikes? You will have the chance to review the attributes before making your final decision.
Yes. Review these attributes.No. Cancel Sign In.
Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 24
Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung > Implementierung
Benutzeroberfläche
• Benutzer authentifizieren sich dann beim Identitätsintermediär• Authentifizierung findet mittels Hardware („FIDO“ token) und Passwort statt
https://localhost:8080/idi/confirm
IDIIntermediary Sign-In
To share data with Smith’s Bikes please perform FIDO multi-factor authentication.
Authenticate with your local deviceThe authentication process can be performed in various ways depending on the vendor of the FIDO token used. Authentication normally takes place via USB or wirelessly.
Enter your IDI password
Password Submit
Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 25
Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung > Implementierung
Benutzeroberfläche
• Benutzer können die angeforderten Attribute dann überprüfen• Daten können auch attributweise abgewählt werden
https://localhost:8080/idi/review
IDIIdentity Intermediary Sign-In
Please review the data you are going to share with Smith’s Bikes:
E-Mail Address [email protected] Last Name Jones First Name Odharnait Address of Residence Station Road 7, Salford M6 5WG
Do you want to share these personal attributes with Smith’s Bikes?
Yes. Share these attributes.No. Cancel Sign In.
Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 26
Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung > Implementierung
Datenverschlüsselung
• Bestätigte Attribute (A1..3) werden in einer Basisrepräsentation (RB) und je einer separaten Repräsentation (RA1, RA2) pro berechtigtem Serviceprovider abgelegt
• Die serviceproviderspezifische Repräsentation kann nur vom jeweiligen Servi-ceprovider entschlüsselt werden
I U S1 S2
I U S1 S2
I U S1 S2
I U S1 S2 I U S1 S2
I U S1 S2
RB RA1 RA2
A1
A2
A3
• Dieses Verfahren ist durch verschiedene kryptographische Verfahren auf Serverseite und Clientseite (W3C Web Cryptography API) realisiert
Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 27
Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung > Implementierung
Die vorgestellte Architektur ist ein Schritt in die richtige Richtung
• Die Kombination eines föderierten Identitätsmanagementsystems mit dem FIDO U2F Standard hat großes Potenzial, aber …• … der Zielkonflikt zwischen Sicherheit und Usability wird durch die zusätzli-
chen Hardwareanforderungen spürbar.• … die FIDO U2F Spezifikation ist noch nicht vollständig ausgereift.• … FIDO U2F Token bieten nur Signaturfunktion (fortgeschrittene kryptogra-
phische Funktionen sind nicht durch die API erreichbar).
• Der Erfolg des vorgestellten Ansatzes setzt ein Netzwerkvon Dienstanbiet-ern und Identitätsanbietern und eine hohe Markdurchdringung von FIDO U2F Hardware voraus
• Die Wahl eines geeigneten Betreibers des Identitätsintermediärsdienstes ist eine Herausforderung
Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 29
LiteraturnachweisBonneau, J., Herley, C., Oorschot, P. C. v. and Stajano, F.
The quest to replace passwords: A framework for comparative evaluation of Web authentication schemesUniversity of Cambridge, Computer Laboratory, 2012 (UCAM-CL-TR-817)
Federal Trade CommissionConsumer Sentinel Network Data Book for January - December 2013Federal Trade Commission, 2014
Harrell, E. and Langton, L.Victims of Identity Theft, 2012U.S. Department of Justice, Office of Justice Programs, Bureau of Justice Statistics, 2013 (NCJ 243779)
ISO/IECInformation technology – Security techniques – Identity proofingInternational Organization for Standardization, 2012 (WD 29003)
Perlroth, N.Adobe Hacking Attack Was Bigger Than Previously Thoughthttp://bits.blogs.nytimes.com/2013/10/29/adobe-online-attack-was-bigger-than-previously-thought2013
Perlroth, N. and Gelles, D.Russian Hackers Amass Over a Billion Internet Passwordshttp://www.nytimes.com/2014/08/06/technology/russian-gang-said-to-amass-more-than-a-billion-stolen-internet-credentials.html2014
Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 31
Whittaker, Z.6.46 million LinkedIn passwords leaked onlinehttp://www.zdnet.com/article/6-46-million-linkedin-passwords-leaked-online/2012
Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 32
Bildnachweis Piktogramme:
Seiten 5, 6, 7, 8, 22:Business by Thomas Helbig from The Noun ProjectPassport by Hunor Csaszar from The Noun ProjectIdentification by Stefan Spieler from The Noun Projectshop by Christian Wad from The Noun Projectinstitution by Christian Wad from The Noun ProjectCloud by matthew hall from The Noun Project
Seite 23:USB Flash Drive by Michael Rowe from The Noun ProjectComputer by Océan Bussard from The Noun ProjectWebsite by Mister Pixel from The Noun Project
FotografiePage 1:
“Key Exchange” by Thomas Hawk is licensed under a Attribution-NonCommercial 2.0 Generic license. Based on a work at https://www.flickr.com/photos/thomashawk/16894626665. To view a copy of this license, visit https://creativecommons.org/licenses/by-nc/2.0/legalcode.
Page 13:“YubiKey NEO on Keychain” from http://www.yubico.com/press/images/. Used in accordance with the usage policy available online per 2014-09-20.
Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 33