© copyright 2010 ecsec gmbh, all rights reserved. © 2013 skidentity-team die...
TRANSCRIPT
© Copyright 2010 ecsec GmbH, All Rights Reserved.© 2013 SkIDentity-Team
Die SkIDentity-Referenzarchitektur für die starke Authentisierung
in der Cloud
Dr. Detlef Hühnlein (ecsec GmbH)
© 2013 SkIDentity-Team >>
2
>>
2
Agenda
Motivation Das SkIDentity-Projekt Die SkIDentity-Referenzarchitektur Zusammenfassung
© 2013 SkIDentity-Team
© 2013 SkIDentity-Team
Cloud Computing
>>
3
Quelle: http://de.wikipedia.org/wiki/Cloud-Computing
• Bedarfsorientierung• Selbstbedienung• Netzwerkzugriff• Ressourcenbündelung• Elastische Leistung • Messbare Dienste
Quelle: http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf
© 2013 SkIDentity-Team
Marktprognosen für Cloud Computing
>>
4
Quelle: http://www.berlecon.de/idd
© 2013 SkIDentity-Team
Quellen:[isc.sans.edu, www.cloudtweaks.com, nakedsecurity.sophos.com, www.infoworld.com, www.hgi.rub.de, www.zdnet.com, www.futuregov.asia, www.pcworld.com]
Wie sicher ist denn die Cloud?
© 2013 SkIDentity-Team
Identitätsdiebstahl in der Cloud
>>
6
Cross-Site-Scripting Signature-Wrapping
siehe J. Somorovsky, M. Heiderich, M. Jensen, J. Schwenk, N. Gruschka, L. Lo Iacono: Breaking the Clouds – Security Analysis of Cloud Management Interfaces, in ACM Cloud Computing Security Workshop (CCSW), 2011
© 2013 SkIDentity-Team
XSS-Angriff auf die Browser-basierte Schnittstelle
8
• Downloadlink für X.509-Zertifikate enthält Parameter, der an verwundbares Serverskript übergeben wird.
• Parameter wird mit bösartigem Javascript gefüllt.
• Javascript wird im Kontext des Browser-basierten Management-Interfaces ausgeführt und hat Zugriff auf Nutzername/Passwort oder andere Berechtigungstoken des Administrators
© 2013 SkIDentity-Team
XML-Signature-Wrapping-Attack
>>
9
© 2013 SkIDentity-Team
Diebstahl von Bitcoins im Wert von US $ 228.000
>>
10
http://arstechnica.com/business/news/2013/03/bitcoins-worth-228000-stolen-from-customers-of-hacked-webhost.ars
© 2013 SkIDentity-Team
Sicherheitsempfehlungen des BSI für Cloud Computing Anbieter
>>
11
http://docs.ecsec.de/BSI-MSACC
© 2013 SkIDentity-Team >>
12
>>
12
Agenda
Motivation Das SkIDentity-Projekt Die SkIDentity-Referenzarchitektur Zusammenfassung
© 2013 SkIDentity-Team
© 2013 SkIDentity-Team
Ziel
>>
13
Cloud ?
© 2013 SkIDentity-Team
Problemstellung
>>
14
eID-Services nur für nPA
… nicht KMU-tauglich
unklareSicherheit
unklareGeschäfts-
modelle
© 2013 SkIDentity-Team
Das SkIDentity-Projekt
>>
15
…
© 2013 SkIDentity-Team >>
16
>>
16
Agenda
Motivation Das SkIDentity-Projekt Die SkIDentity-Referenzarchitektur Zusammenfassung
© 2013 SkIDentity-Team
© 2013 SkIDentity-Team
Authentisierung
BesitzBiometrieWissen
Riesige Anzahl an verschiedenenAuthentisierungsprotokollen
Symmetric Key Credentials
Public Key Credentials
"Bearer Tokens"
andere
Formate
Infrastrukturen
Vertrauensmodelle
© 2013 SkIDentity-Team >>
18
Die Europäische eID-Landkarte
© 2013 SkIDentity-Team
Authentisierung in der Cloud
>>
19
…
IdP
SPClient
ISISISISISIS
EAC (BSI-TR-03110)
C2C (EN 14890)
TLS (RFC 5246)
HOTP (RFC 4226)
…
Starke
© 2013 SkIDentity-Team
SkIDentity – Lösungsansatz
>>
20
SPClient
IdP
eID-Broker
© 2013 SkIDentity-Team
SkIDentity – Referenzarchitektur
>>
21
© 2013 SkIDentity-Team >>
26
eID-Broker…
SkIDentity – Ablauf
© 2013 SkIDentity-Team
SkIDentity – Client
>>
27
© 2013 SkIDentity-Team
Open eCard App (www.openecard.org)
>>
28
© 2013 SkIDentity-Team
Erweiterbare Open eCard Plattform
>>
29
© 2013 SkIDentity-Team
SkIDentity – Service Provider
>>
30
© 2013 SkIDentity-Team
SkIDentity – Service Provider
Cloud Application (CA)• Web-Anwendung
Cloud Connector (CC)• Kommunikation mit SkIDentity-Infrastruktur
>>
31
© 2013 SkIDentity-Team
Cloud Connector
>>
32
<Config>
«interface»IConnector
+ Authenticate ( inout : Session : String [0..1], in : Policy : String [0..1], inout : Attribute : AttributeType [0..*] ) : Result
Cloud Connector
IConnector
• BrokerURL• DefaultReturnURL• DefaultPolicy• TLSClientKeyFile
© 2013 SkIDentity-Team
Zusammenfassung
>>
33
Dem Cloud Computing wird eine große Zukunft vorausgesagt
Starke Authentisierung ist eine essentielle Grundlage für Sicherheit in der Cloud
Sowohl für Endkunden als auch im B2B-Bereich eID-Nutzung in der Cloud ist sehr vielversprechend SkIDentity – vertrauenswürdige Identitäten für
die Cloud
© 2013 SkIDentity-Team >>
34
© Copyright 2010 ecsec GmbH, All Rights Reserved.
Titelmasterformat durch Klicken bearbeiten
Formatvorlage des Untertitelmasters durch Klicken bearbeiten
© 2013 SkIDentity-Team
Herzlichen Dank für Ihre Aufmerksamkeit!
Kontakt: