© copyright 2010 ecsec gmbh, all rights reserved. © 2013 skidentity-team die...

© Copyright 2010 ecsec GmbH, All Rights Reserved.© 2013 SkIDentity-Team

Die SkIDentity-Referenzarchitektur für die starke Authentisierung

in der Cloud

Dr. Detlef Hühnlein (ecsec GmbH)

© 2013 SkIDentity-Team >>

2

>>

2

Agenda

Motivation Das SkIDentity-Projekt Die SkIDentity-Referenzarchitektur Zusammenfassung

© 2013 SkIDentity-Team


Cloud Computing

>>

3

Quelle: http://de.wikipedia.org/wiki/Cloud-Computing

• Bedarfsorientierung• Selbstbedienung• Netzwerkzugriff• Ressourcenbündelung• Elastische Leistung • Messbare Dienste

Quelle: http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf


Marktprognosen für Cloud Computing

>>

4

Quelle: http://www.berlecon.de/idd


Quellen:[isc.sans.edu, www.cloudtweaks.com, nakedsecurity.sophos.com, www.infoworld.com, www.hgi.rub.de, www.zdnet.com, www.futuregov.asia, www.pcworld.com]

Wie sicher ist denn die Cloud?


Identitätsdiebstahl in der Cloud

>>

6

Cross-Site-Scripting Signature-Wrapping

siehe J. Somorovsky, M. Heiderich, M. Jensen, J. Schwenk, N. Gruschka, L. Lo Iacono: Breaking the Clouds – Security Analysis of Cloud Management Interfaces, in ACM Cloud Computing Security Workshop (CCSW), 2011


XSS-Angriff auf die Browser-basierte Schnittstelle

8

• Downloadlink für X.509-Zertifikate enthält Parameter, der an verwundbares Serverskript übergeben wird.

• Parameter wird mit bösartigem Javascript gefüllt.

• Javascript wird im Kontext des Browser-basierten Management-Interfaces ausgeführt und hat Zugriff auf Nutzername/Passwort oder andere Berechtigungstoken des Administrators


XML-Signature-Wrapping-Attack

>>

9


Diebstahl von Bitcoins im Wert von US $ 228.000

>>

10

http://arstechnica.com/business/news/2013/03/bitcoins-worth-228000-stolen-from-customers-of-hacked-webhost.ars


Sicherheitsempfehlungen des BSI für Cloud Computing Anbieter

>>

11

http://docs.ecsec.de/BSI-MSACC


12

>>

12

Agenda




Ziel

>>

13

Cloud ?


Problemstellung

>>

14

eID-Services nur für nPA

… nicht KMU-tauglich

unklareSicherheit

unklareGeschäfts-

modelle


Das SkIDentity-Projekt

>>

15

…


16

>>

16

Agenda




Authentisierung

BesitzBiometrieWissen

Riesige Anzahl an verschiedenenAuthentisierungsprotokollen

Symmetric Key Credentials

Public Key Credentials

"Bearer Tokens"

andere

Formate

Infrastrukturen

Vertrauensmodelle


18

Die Europäische eID-Landkarte


Authentisierung in der Cloud

>>

19

…

IdP

SPClient

ISISISISISIS

EAC (BSI-TR-03110)

C2C (EN 14890)

TLS (RFC 5246)

HOTP (RFC 4226)

…

Starke

d:\cardspace.lnk


SkIDentity – Lösungsansatz

>>

20

SPClient

IdP

eID-Broker


SkIDentity – Referenzarchitektur

>>

21


26

eID-Broker…

SkIDentity – Ablauf


SkIDentity – Client

>>

27


Open eCard App (www.openecard.org)

>>

28


Erweiterbare Open eCard Plattform

>>

29


SkIDentity – Service Provider

>>

30


SkIDentity – Service Provider

Cloud Application (CA)• Web-Anwendung

Cloud Connector (CC)• Kommunikation mit SkIDentity-Infrastruktur

>>

31


Cloud Connector

>>

32

<Config>

«interface»IConnector

+ Authenticate ( inout : Session : String [0..1], in : Policy : String [0..1], inout : Attribute : AttributeType [0..*] ) : Result

Cloud Connector

IConnector

• BrokerURL• DefaultReturnURL• DefaultPolicy• TLSClientKeyFile


Zusammenfassung

>>

33

Dem Cloud Computing wird eine große Zukunft vorausgesagt

Starke Authentisierung ist eine essentielle Grundlage für Sicherheit in der Cloud

Sowohl für Endkunden als auch im B2B-Bereich eID-Nutzung in der Cloud ist sehr vielversprechend SkIDentity – vertrauenswürdige Identitäten für

die Cloud


34

© Copyright 2010 ecsec GmbH, All Rights Reserved.

Titelmasterformat durch Klicken bearbeiten

Formatvorlage des Untertitelmasters durch Klicken bearbeiten


Herzlichen Dank für Ihre Aufmerksamkeit!

Kontakt:

© copyright 2010 ecsec gmbh, all rights reserved. © 2013 skidentity-team die...

Documents