© Copyright 2010 ecsec GmbH, All Rights Reserved.© 2013 ecsec GmbH
Dr. Detlef Hühnlein (ecsec GmbH)
Authentisierung für die Cloud mit dem neuen Personalausweis
Berlin, Omnicard, 16.01.2013
© 2013 ecsec GmbH >> 2>> 2
Agenda
© 2013 ecsec GmbH
� Einleitung� Authentisierung für die Cloud …� … mit dem neuen Personalausweis� Zusammenfassung und Ausblick
© 2013 ecsec GmbH
Cloud Computing
>> 3
Quelle: http://de.wikipedia.org/wiki/Cloud-Computing
• Bedarfsorientierung• Selbstbedienung• Netzwerkzugriff• Ressourcenbündelung• Elastische Leistung • Messbare Dienste
Quelle: http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf
© 2013 ecsec GmbH
Marktprognosen für eID und Cloud
>> 4
Quelle: http://www.berlecon.de/iddQuelle: http://www.asw-online.de/downloads/Studie_Sicherheitstechnologien_09.pdf
© 2013 ecsec GmbH >> 5>> 5
Agenda
© 2013 ecsec GmbH
� Einleitung� Authentisierung für die Cloud …� … mit dem neuen Personalausweis� Zusammenfassung und Ausblick
© 2013 ecsec GmbH
Authentisierung für die Cloud
>> 6
IdP
SP
UserUA
����
����
����
����
����
ISISISISISIS …
© 2013 ecsec GmbH
SAML Web Browser SSO Profile
>> 7
���� GET
���� <AuthnRequest/>
IS IdP Disc. Profile(_saml_idp)
Authentication Context
����<Response/>
����
Identity Provider
����
Quelle: http://docs.oasis-open.org/security/saml/v2.0/saml- core-2.0-os.pdf
© 2013 ecsec GmbH
OpenID
���� GETIS ID Resolution
& SecurityAssociation
����
OpenIDProvider
���� checkid
RelyingParty
����
����id_res
Authentication
Quelle: http://openid.net/specs/openid-authentication-2_0.h tml
>> 8
© 2013 ecsec GmbH
Microsoft CardSpace
>> 9
���� GET
���� <Object/>
IS
Authentisierung durchPrüfung des WS Security Token <STIP/>
����POST <STRP/>
����
Identity Provider(IP)
RelyingParty(RP)
����
Prüfung des <STRP/>
Quelle: http://docs.oasis-open.org/imi/identity/v1.0/identi ty.pdf
© 2013 ecsec GmbH
OAuth 2.0
>> 10
Quelle: http://www.ietf.org/id/draft-ietf-oauth-v2-25.txt
AuthorizationServer
RessourceServer
User
Client
����
����
authz_code,code=xyz
����
access_token
������������
© 2013 ecsec GmbH
Wie sicher ist die Cloud?
>> 11
Cross-Site-Scripting Signature-Wrapping
siehe J. Somorovsky, M. Heiderich, M. Jensen, J. Schwenk, N. Gruschka, L. Lo Iacono: Breaking the Clouds – Security Analysis of Cloud Man agement Interfaces , in ACM Cloud ComputingSecurity Workshop (CCSW), 2011
© 2013 ecsec GmbH >> 12
© 2013 ecsec GmbH
XML-Signature-Wrapping -Attack
>> 13
© 2013 ecsec GmbH >> 14>> 14
Agenda
© 2013 ecsec GmbH
� Einleitung� Authentisierung für die Cloud …� … mit dem neuen Personalausweis� Zusammenfassung und Ausblick
© 2013 ecsec GmbH
Authentisierung in der Cloud
>> 15
…
IdP
SP
Client
����
����
����
����
����
ISISISISISIS
EAC (BSI-TR-03110)
C2C (EN 14890)
TLS (RFC 5246)
HOTP (RFC 4226)
…
Starke
© 2013 ecsec GmbH
SkIDentity – Lösungsansatz
>> 16
SP
Client
IdPPolicy
App
eID-Broker
© 2013 ecsec GmbH
SkIDentity – Referenzarchitektur
>> 17
© 2013 ecsec GmbH >> 18
eID-Broker
…
Policy
App
SkIDentity – Ablauf
© 2013 ecsec GmbH
SkIDentity – Client
>> 19
© 2013 ecsec GmbH
eCard-API-Framework (BSI TR 03112)
© 2013 ecsec GmbH
CardInfo gemäß BSI TR 03112-4, CEN 15480-3
>> 21
und ISO/IEC 24727-3 (Amd1)
© 2013 ecsec GmbH
Das Open eCard Projekt
>> 22
http://openecard.org
© 2013 ecsec GmbH >> 23
.jar .jnlpApplet …
Versionen der Open eCard App
http://openecard.org
© 2013 ecsec GmbH
Open eCard App für Windows, Linux und OS X
>> 24
http://openecard.org/nikolaus
© 2013 ecsec GmbH
Open eCard App für Android
>> 25
http://openecard.org/android
© 2013 ecsec GmbH
Open eCard App für Android
>> 26
http://openecard.org/android
© 2013 ecsec GmbH >> 27>> 27
Agenda
© 2013 ecsec GmbH
� Einleitung� Authentisierung für die Cloud …� … mit dem neuen Personalausweis� Zusammenfassung und Ausblick
© 2013 ecsec GmbH
Zusammenfassung und Ausblick
>> 28
� Dem Cloud Computing wird eine große Zukunft vorausgesagt
� Starke Authentisierung ist eine essentielle Grundlage für Sicherheit in der Cloud
� eID-Nutzung in der Cloud ist sehr vielversprechend� Open eCard liefert quelloffenen eID-Client� SkIDentity bietet starke und Policy-getriebene
Authentisierung für die Cloud� FutureID eröffnet Europäische Perspektive� Mehr davon beim Open Identity Summit 2013
© 2013 ecsec GmbH
Policy-getriebene Authentisierung
>> 29
© 2013 ecsec GmbH
Policy-getriebene Authentisierung
>> 30
http://demo.skidentity.de
© 2013 ecsec GmbH >> 31
http://futureid.eu
Seit 01.11.2012: EU -Projekt „FutureID“
© 2013 ecsec GmbH
Deadline für Call for Papers: 15.05.2013>> 32
http://openidentity.eu
Open Identity Summit 2013
© 2013 ecsec GmbH >> 33© Copyright 2010 ecsec GmbH, All Rights Reserved.
Titelmasterformat durch Klicken bearbeiten
Formatvorlage des Untertitelmasters durch Klicken bearbeiten
© 2013 ecsec GmbH
Herzlichen Dank für Ihre Aufmerksamkeit!
Kontakt:
Top Related