Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe

Transcript

1. Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe Moritz Platt ([email protected]) Vortrag

   zum 14. Deutschen IT-Sicherheitskongress (20. Mai 2015)

2. Agenda Einführung ▼ Föderiertes Identitätsmanagement ▼ Sichere Authentifizierung ▼ Identitätssicherung

   ▼ Implementierung Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 2

3. Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung

   > Implementierung Hintergrund • Mitarbeit in der Bundesdruckerei im Jahr 2014 • Daraus hervorgehend: Veröffentlichung unter dem Titel „Secure Authentication and Attribute Sharing in Federated Identity Scenarios“ • Beispielhafte Proof-of-Concept Implementierung • Weitere Untersuchung des gesellschaftlichen und technischen Rahmens für Iden- titätsmanagementsysteme im Internet Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 3

4. Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung

   > Implementierung Identitätskriminalität nimmt zu • Fallzahlen von Identitätsdiebstahl in den USA: • Benutzer finanzielle Schäden, emotionale Folgen • Unternehmen finanzielle Schäden, Zahlungsausfallrisiko • Öffentliche Hand Gefährdung der Vertaulichkeit/Verlässlichkeit von E-Governement, hoher Strafverfolgungsaufwand [Federal Trade Commission, 2014] 2001 2004 2007 2010 2013 2.500.000 1.500.000 500.000 Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 4

5. Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung

   > Implementierung Sicherheitskonzepte im Web halten nicht mit der e-Business Entwicklung schritt • Bedarf und Verbreitung von e-Commerce/e-Government steigt stetig • Für einen zentralen Erfolgsfaktor von Geschäftsbeziehungen – Identität – im Inter- net gibt es noch keine verlässliche Herangehensweise: • Aus Sicht eines Dienstanbieters: • Authentifizierung Ist diejenige wirklich die, die sie zu sein vorgibt? Besteht das Risiko von Identitätsdiebstahl? • Risikoabschätzung Mit welcher Wahrscheinlichkeit sind Identitätsattrib- ute zutreffend? Wie verlässlich ist die Identitätsinformation? • Aus Sicht eines Individuums: • Identitätsdiebstahlrisiko Wie vermeide ich, dass meine Identität miss- bräuchlich verwendet werden kann? • Datenschutz/Privatsphäre Wie behalte ich die Kontrolle über die Ver- wendung meiner Identitätsinformationen? Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 5

6. Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung

   > Implementierung Bilaterales Identitätsmanagement impliziert Interessenskonflikte • Die Interessen von Benutzern und Dienstanbietern stehen mitunter im Konflikt miteinander • e-Commerce • Erwartung der Benutzer: hohe Bequemlichkeit, zurückhaltende Freigabe von Identitätsdaten, schnelle Auftragsabwicklung, Authentifizierung mit hoher Usability, etc. • Erwartung der Händler: geringes Debitorenrisiko durch zutreffende Identitätsinformationen, Risikomanagement, etc. • e-Government • Erwartung der Benutzer: hohe Bequemlichkeit, einfache Abläufe, sch- nelle Abwicklung von Verwaltungsvorgängen • Erwartungen staatlicher Stellen: Gesetzeskonformität, Angemessenheit, rechtssicheres Identitätssicherungsniveau • Idee: Entkopplung verschiedener Ansprüche durch Föderation Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 6

7. Föderiertes Identitätsmanagement

8. Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung

   > Implementierung Die föderierte Authentifizierungslandschaft Benutzer Dienstanbieter Sicherheit Bequemlichkeit Verlässlichkeit Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 8

9. Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung

   > Implementierung Die föderierte Authentifizierungslandschaft Benutzer Identitätsanbi- eter Identitätsdokumente Beweis Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 9

10. Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung

    > Implementierung Die föderierte Authentifizierungslandschaft Benutzer Dienstanbieter Identitätsdokumente Identitäts- intermediär Zusicherung Beweis Sicherheit Bequemlichkeit Verlässlichkeit Identitätsanbi- eter Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 10

11. Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung

    > Implementierung Die föderierte Authentifizierungslandschaft Benutzer Dienstanbieter Identitätsdokumente Zusicherung Sicherheit Bequemlichkeit Beweis Identitäts- intermediär Sicherheit Bequemlichkeit Verlässlichkeit Identitätsanbi- eter Zusicherung Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 1 1

12. Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung

    > Implementierung FIM unterstützt Benutzer und Dienstanbieter • Föderiertes Identitätsmanagement ist kein Selbstzweck • Verschiedene Stakeholder im FIM-Umfeld: • Benutzer • Dienstanbieter, z.B. E-Commerce-/E-Government-Anwendungen • Identitätsanbieter, z.B. Registrierungsstellen, institutionelle Anbieter • Hauptziel: Prozesse für Benutzer und Dienstanbieter verbessern • Sicherheit für Benutzer erhöhen • Gut benutzbare Anwendungen für Benutzer bereitstellen • Dienstanbietern Identitätsattribute von gesicherter Qualität zur Verfügung stellen • Identitätsattribute werden zentral bei einem Identitätsintermediär abgelegt • Benutzer und Dienstanbieter greifen auf Identitätsattribute über einen Identitätsin- termediär zu Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 12

13. Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung

    > Implementierung Benutzer entscheiden fallabhängig über ihre Daten • Das Identitätsdiebstahlrisiko muss durch verlässliche Authentifizierung minimiert werden • Identitätsattribute müssen verlässlich sein • Nichtmandatierte Zugriffe auf Benutzerdaten müssen bestmöglich erschwert werden • Ziele aus Benutzersicht • Benutzer müssen volle Kontrolle über die Verwendung ihrer Daten haben • Benutzer müssen der Datenfreigabe explizit zustimmen • Ein Zugriffsmandat für Benutzerdaten muss wie folgt gestaltet sein: • Zeitlich beschränkt • Beschränkt im Umfang (d.h. Beschränkt auf eine Menge bestimmter At- tribute) • Beschränkt im Berechtigungskreis (z.B. nur für einen bestimmten Dien- stanbieter) Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 13

14. Sichere Authentifizierung

15. Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung

    > Implementierung Passworte bieten nur wenig Sicherheit • Aktuell verwendet der Großteil der Online-Dienstanbieter Authentifizierung auf Ba- sis von Benutzername und Passwort • Diese bietet niedrige Sicherheit durch Anfälligkeit für diverse Angriffe: • Nicht-technische Angriffe • Beobachtung während der Passworteingabe • „Educated Guessing“ eines Passworts oder von Wiederherstellungsinforma- tionen • Missbrauch veröffentlichter Passworte • Phishing • Technische Angriffe • „Brute Force“ Angriffe • Wörterbuchbasierte Angriffe • Kompromittierung eines Systems (Key logging, Traffic Logging) • Kompromittierung von Kommunikationskanälen („Man-in-the-Middle“) Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 15

16. Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung

    > Implementierung Passworte überwinden: Wissen und Besitz • Es gab zahlreiche Versuche, Passworte durch überlegene Authentifizierungstech- nologien zu ersetzen • Viele nutzten Hardware-Tokens • Vielen fehlte industrielle Unterstützung, Unterstützung durch Standards und Her- stellerunabhängigkeit • Ein aufkommender Standard ist FIDO U2F • Breite Industrieunterstützung (ARM, Google, Mastercard, Microsoft, VISA, etc.) • Benötigt USB-/NFC-fähige Hardware (z.B. Yubico YubiKey NEO) • Low-level (ADPU) und high-level (Java- Script) Schnittstellen • Einfaches Challenge-Response-Verfahren basierend auf SHA Signaturen Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 16

17. Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung

    > Implementierung Hardware Authentifizierung erhöht die Sicherheit Passwörter FIDO Hardware Resistent ggü. Beobachtung  Resistent ggü. Raten  Resistent ggü. interner Beobachtung  Resistent ggü. Leaks anderer Dienstanbi- eter  Resistent ggü. Phishing  Resistent ggü. Diebstahl  [Bonneau et al., 2012] • Eine Kombination von Hardwareauthentifizierung und Passworten („Second Factor“) maximiert die Authentifizierungssicherheit Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 17

18. Identitätssicherung

19. Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung

    > Implementierung Komponenten einer gesicherten digitalen Identität Attributname Attributwert LOA First Name Oliver High Last Name Jones High Address Station Road 7 High Post Code M6 5WG High City Salford High E-Mail Address [email protected] Medium Website www.example.org Low • Digitale Identitäten bestehen aus Attrib- uten und deren Werten • Identitätsattribute können mehr oder weniger vertrauenswürdig sein • Der ISO Standard für „Identity proofing“ [ISO/IEC WD 29003] definiert vier Vertrauenslevel (Level of Assurance; „LOA“): • Low (Little or no confidence in the claimed or asserted identity) • Medium (Some confidence in the claimed or asserted identity) • High (High confidence in the claimed or asserted identity) • Very High (Very high confidence in the claimed or asserted identity) Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 19

20. Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung

    > Implementierung Identitätsanbieter zertifizieren Benutzeridentitäten • Die Bewertung von Attributen hinsichtlich ihres Vertrauenslevels nehmen Iden- titätsanbieter vor • Sie geben die Daten an den Identitätsintermediär weiter • Diese Daten werden dann vom Identitätsintermediär gespeichert und verteilt • Ein Identitätsintermediär hat keinen Einfluss auf die Art der Attributverifizierung durch einen Identitätsanbieter • Es gibt zahlreiche Wege, Attribute mit hohem Vertrauenslevel zu gewinnen: • Direkte Übertragung von Daten (z.B. Registerdaten) • Bereitstellung elektronisch ausgelesener Identitätsdaten (z.B. Personalausweis- daten) • Manuelle Überprüfung von Identitätsdokumenten (z.B. Überprüfung eines Führ- erscheins) durch ausgebildetes Personal • Wiederverwendung von Attributen aus bestehenden Geschäftsbeziehungen (z.B. Zahlungsdaten) Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 20

21. Implementierung

22. Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung

    > Implementierung Wiederholung: Föderiertes Identitätsmanagement Benutzer Dienstanbieter Identitätsanbieter Identitäts- intermediär REST API REST API OAuth 2.0 UI Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 22

23. Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung

    > Implementierung Systemüberblick Benutzerschnittstellen Serversysteme (A.1) Identity Intermediary Reference Implementation de.mplatt.idi (A.2) Apache Oltu org.apache.oltu (A.3) Hibernate Persistence Framework org.hibernate (A.4) Java RESTful Webservice Interfaces javax.ws.rs (B) PostgreSQL Database Server (A) Tomcat Application Server III (C) Identity Intermediary User Interface (D) (Virtual) U2F Token I II IV Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 23

24. Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung

    > Implementierung Benutzeroberfläche • Dienstanbieter fordern Identitätsdaten durch OAuth 2.0 Anfragen an • Benutzer werden dann zur Authentifizierungsseite weitergeleitet https://localhost:8080/idi/auth?client_id=ec3ec0e5-d6b9-472c-a611-1b87f301bfdc&response_type=code&scope=read:firstname%20read:date IDI Identity Intermediary Sign-In The service provider Smith’s Bikes is requesting one-time access to your personal data stored by the Identity Intermediary Service. The service provider requests the following attributes: • E-Mail Address • Last Name • First Name • Address of Residence Do you want to share these personal attributes with Smith’s Bikes? You will have the chance to review the attributes before making your final decision. Yes. Review these attributes. No. Cancel Sign In. Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 24

25. Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung

    > Implementierung Benutzeroberfläche • Benutzer authentifizieren sich dann beim Identitätsintermediär • Authentifizierung findet mittels Hardware („FIDO“ token) und Passwort statt https://localhost:8080/idi/confirm IDI Intermediary Sign-In To share data with Smith’s Bikes please perform FIDO multi-factor authentication. Authenticate with your local device The authentication process can be performed in various ways depending on the vendor of the FIDO token used. Authentication normally takes place via USB or wirelessly. Enter your IDI password Password Submit Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 25

26. Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung

    > Implementierung Benutzeroberfläche • Benutzer können die angeforderten Attribute dann überprüfen • Daten können auch attributweise abgewählt werden https://localhost:8080/idi/review IDI Identity Intermediary Sign-In Please review the data you are going to share with Smith’s Bikes: E-Mail Address [email protected] Last Name Jones First Name Odharnait Address of Residence Station Road 7, Salford M6 5WG Do you want to share these personal attributes with Smith’s Bikes? Yes. Share these attributes. No. Cancel Sign In. Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 26

27. Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung

    > Implementierung Datenverschlüsselung • Bestätigte Attribute (A 1..3 ) werden in einer Basisrepräsentation (R B ) und je einer sep- araten Repräsentation (R A1 , R A2 ) pro berechtigtem Serviceprovider abgelegt • Die serviceproviderspezifische Repräsentation kann nur vom jeweiligen Servicepro- vider entschlüsselt werden • Dieses Verfahren ist durch verschiedene kryptographische Verfahren auf Server- seite und Clientseite (W3C Web Cryptography API) realisiert I B D 1 D 2 I B D 1 D 2 I B D 1 D 2 I B D 1 D 2 I B D 1 D 2 I B D 1 D 2 R B R D1 R D2 Attr 1 Attr 2 Attr 3 Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 27

28. Schlussfolgerung

29. Problem > Föderiertes ID Management > Sichere Authentifizierung > Identitässicherung

    > Implementierung Die vorgestellte Architektur ist ein Schritt in die rich- tige Richtung • Die Kombination eines föderierten Identitätsmanagementsystems mit dem FIDO U2F Standard hat großes Potenzial, aber … • … der Zielkonflikt zwischen Sicherheit und Usability wird durch die zusätzlichen Hardwareanforderungen spürbar. • … die FIDO U2F Spezifikation ist noch nicht vollständig ausgereift. • … FIDO U2F Token bieten nur Signaturfunktion (fortgeschrittene kryptographis- che Funktionen sind nicht durch die API erreichbar). • Der Erfolg des vorgestellten Ansatzes setzt ein Netzwerk von Dienstanbietern und Identitätsanbietern und eine hohe Markdurchdringung von FIDO U2F Hardware voraus • Die Wahl eines geeigneten Betreibers des Identitätsintermediärsdienstes ist eine Herausforderung Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 29

30. Diskussion

31. Literaturnachweis Bonneau, J., Herley, C., Oorschot, P. C. v. and

    Stajano, F. The quest to replace passwords: A framework for comparative evaluation of Web authentication schemes University of Cambridge, Computer Laboratory, 2012 (UCAM-CL-TR-817) Federal Trade Commission Consumer Sentinel Network Data Book for January - December 2013 Federal Trade Commission, 2014 Harrell, E. and Langton, L. Victims of Identity Theft, 2012 U.S. Department of Justice, Office of Justice Programs, Bureau of Justice Statistics, 2013 (NCJ 243779) ISO/IEC Information technology – Security techniques – Identity proofing International Organization for Standardization, 2012 (WD 29003) Perlroth, N. Adobe Hacking Attack Was Bigger Than Previously Thought http://bits.blogs.nytimes.com/2013/10/29/adobe-online-attack-was-bigger-than-previously-thought 2013 Perlroth, N. and Gelles, D. Russian Hackers Amass Over a Billion Internet Passwords http://www.nytimes.com/2014/08/06/technology/russian-gang-said-to-amass-more-than-a-billion-stolen-internet-creden- tials.html 2014 Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 31

32. Whittaker, Z. 6.46 million LinkedIn passwords leaked online http://www.zdnet.com/article/6-46-million-linkedin-passwords-leaked-online/ 2012

    Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 32

33. Bildnachweis Piktogramme: Seiten 5, 6, 7, 8, 22: Business by

    Thomas Helbig from The Noun Project Passport by Hunor Csaszar from The Noun Project Identification by Stefan Spieler from The Noun Project shop by Christian Wad from The Noun Project institution by Christian Wad from The Noun Project Cloud by matthew hall from The Noun Project Seite 23: USB Flash Drive by Michael Rowe from The Noun Project Computer by Océan Bussard from The Noun Project Website by Mister Pixel from The Noun Project Fotografie Page 1: “Key Exchange” by Thomas Hawk is licensed under a Attribution-NonCommercial 2.0 Generic license. Based on a work at https://www.flickr.com/photos/thomashawk/16894626665. To view a copy of this license, visit https://creativecommons.org/licenses/by-nc/2.0/legalcode. Page 13: “YubiKey NEO on Keychain” from http://www.yubico.com/press/images/. Used in accordance with the usage policy available online on 2014-09-20. Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe 33