docVertrauenswürdige Identitäten mit dem neuen Personalausweis
download 
Report Transcription
Vertrauenswürdige Identitäten mit dem neuen Personalausweis
Maximilian Schmidt FB Informatik Vertrauenswürdige Identitäten mit dem neuen Personalausweis Maximilian Schmidt Vertrauenswürdige Identitäten mit dem neuen Personalausweis, 30. Juli 2012 Inhalt 1. Einführung Arbeitstitel Motivation 3. Entwurf & Umsetzung Protokolle Komponenten / Software 2. Evaluation Kandidaten AC Systeme Hürden 4. Fazit Rückblick Ausblick Vertrauenswürdige Identitäten mit dem neuen Personalausweis, 30. Juli 2012 2/20 Einführung: Arbeitstitel Vertrauenswürdige Identitäten mit dem neuen Personalausweis „Einfaches, effizientes und vertrauenswürdiges Identitätsmanagement auf Basis von Software-Token“ Vertrauenswürdige Identitäten mit dem neuen Personalausweis, 30. Juli 2012 3/20 Einführung: Motivation ST Aussteller Nutzerclient Anforderungen: Software-basierte Token Authentizität der Identität Selektive Datenabfrage Einfache Integration Nutzerzentrische Datenhaltung Diensteanbieter Vertrauenswürdige Identitäten mit dem neuen Personalausweis, 30. Juli 2012 eID Auslesevorgang Attribute auslesen Zertifikat ausstellen/sperren eID-Server 4/20 Inhalt 1. Einführung Arbeitstitel Motivation 3. Entwurf & Umsetzung Protokolle Komponenten / Software 2. Evaluation Kandidaten AC Systeme Hürden 4. Fazit Rückblick Ausblick Vertrauenswürdige Identitäten mit dem neuen Personalausweis, 30. Juli 2012 5/20 Evaluation: Kandidaten Token • U/P • • TAN/OTP Nutzerzentrisch Selektive Datenextraktion Sperren & Verifikation Integration Protokolle Authentifizierung Autorisierung • SAML • • OAuth Identitätsmgmt-Systeme (IdMS) • U-Prove • Identity Mixer • nPA Vertrauenswürdige Identitäten mit dem neuen Personalausweis, 30. Juli 2012 6/20 AC Systeme: Artefakte/Protokolle Kandidaten U-Prove / Identity-Mixer: • Anonymous Credential Systeme (Basis: Zero-Knowledge-Proof/Blind-Signatures) • Vorhanden: Selektive Datenabfrage, Nutzerzentrisch, Anonym/Pseudonym • Benötigt: Authentizität durch nPA-Integration, Sperren/Verifikation Nutzerclient (prover) Nachweis Zertifikat Zertifikatsstruktur Nachweisstruktur Schlüsselpaar Diensteanbieter (verifier) (VerEnc, VE) Vertrauenswürdige Identitäten mit dem neuen Personalausweis, 30. Juli 2012 Aussteller (issuer) 7/20 Evaluation: Hürden • Transportkanal undefiniert HTTP(S) • Zertifikatsattribute (eID-Daten) müssen vom Client vorbereitet werden (zusätzl. Protokollverschlüsselung) • Sperren/Verifikation beim Aussteller muss möglich sein Zertifikats-ID (verschlüsselt) • Unvollständige Nachweise können vom Client nicht erzeugt werden Protokollfehler ausdefinieren • Integration kompatibel eID-Integration optional Vertrauenswürdige Identitäten mit dem neuen Personalausweis, 30. Juli 2012 8/20 Inhalt 1. Einführung Arbeitstitel Motivation 3. Entwurf & Umsetzung Protokolle Komponenten / Software 2. Evaluation Kandidaten AC Systeme Hürden 4. Fazit Rückblick Ausblick Vertrauenswürdige Identitäten mit dem neuen Personalausweis, 30. Juli 2012 9/20 Entwurf: Protokollerweiterungen ST Aussteller Nutzerclient 1. GET / POST / POST 3. POST / POST / POST 2. SAML Request / PAOS / SAML Response Zertifikatsausstellung (issue) Vertrauenswürdige Identitäten mit dem neuen Personalausweis, 30. Juli 2012 eID-Server 10/20 Entwurf: Protokollerweiterungen ST Aussteller / POST 2. POST 1. GET / POST +VE Nutzerclient Nachweiserzeugung (prove) Diensteanbieter Vertrauenswürdige Identitäten mit dem neuen Personalausweis, 30. Juli 2012 11/20 Entwurf: Protokollerweiterungen ST Aussteller / POST 2. POST 1. GET / POST +VE Nutzerclient Nachweisverifikation (verify) Diensteanbieter Vertrauenswürdige Identitäten mit dem neuen Personalausweis, 30. Juli 2012 12/20 Entwurf: Protokollerweiterungen ST Aussteller Nutzerclient 1. GET / POST / POST 2. POST Sperren mit Zertifikat (revoke) Vertrauenswürdige Identitäten mit dem neuen Personalausweis, 30. Juli 2012 13/20 Entwurf: Protokollerweiterungen ST Austeller Nutzerclient 1. GET 3. POST 2. SAML Request / PAOS / SAML Response Sperren mit nPA (revoke) eID-Server Vertrauenswürdige Identitäten mit dem neuen Personalausweis, 30. Juli 2012 14/20 Umsetzung: Komponenten / SW • • • • Testing mit Buildsystem Continuous Integration Codemanagement Vertrauenswürdige Identitäten mit dem neuen Personalausweis, 30. Juli 2012 • Codeanalyse • Basissprache • Cryptobibliothek 15/20 Inhalt 1. Einführung Arbeitstitel Motivation 3. Entwurf & Umsetzung Protokolle Komponenten / Software 2. Evaluation Kandidaten AC Systeme Hürden 4. Fazit Rückblick Ausblick Vertrauenswürdige Identitäten mit dem neuen Personalausweis, 30. Juli 2012 16/20 Rückblick: Messungen Messungen • • • • • Generieren von Ausstellerschlüsseln Generieren von VE-Schlüsseln Ver-/Entschlüsselung mittels VE Erzeugen von Nachweisen Protokolllaufzeiten Vertrauenswürdige Identitäten mit dem neuen Personalausweis, 30. Juli 2012 17/20 Rückblick: Herausforderungen • Idemix – Mängel / erweiterte Funktionalität • Unverschlüsselte Übertragung bei Protokollerweiterungen • Zeitverhalten bei issue-Erweiterung • Betrachtung von Mandantenmanagement (Aussteller) • Sperren von Zertifikaten wenn Zertifikat/nPA nicht verfügar • SSL-Zertifikat (Client), selbstsigniert und unsicher abgelegt Vertrauenswürdige Identitäten mit dem neuen Personalausweis, 30. Juli 2012 18/20 Zusammenfassung/Ausblick Zusammfassung „Einfaches, effizientes und vertrauenswürdiges Identitätsmanagement auf Basis von Software-Token“ Software-basierte Token Authentizität der Identität Selektive Datenabfrage Einfache Integration Nutzerzentrische Datenhaltung Idemix • Weiterentwicklung im Kontext von https://abc4trust.eu/ • Kooperation u.a. von Microsoft und IBM zur Integration von U-Prove und Identity Mixer Projektresultate • Temporär verfügbar unter http://userpage.fu-berlin.de/kazcor/thesis • Optimierung und Dokumentation vor Veröffentlichung (BSD-Lizenz) Vertrauenswürdige Identitäten mit dem neuen Personalausweis, 30. Juli 2012 19/20 Ende DANKE! Vertrauenswürdige Identitäten mit dem neuen Personalausweis, 30. Juli 2012 20/20
