© Copyright 2010 ecsec GmbH, All Rights Reserved.© 2013 ecsec GmbH

Dr. Detlef Hühnlein (ecsec GmbH)

Authentisierung für die Cloud mit dem neuen Personalausweis

Berlin, Omnicard, 16.01.2013

© 2013 ecsec GmbH >> 2>> 2

Agenda

© 2013 ecsec GmbH

� Einleitung� Authentisierung für die Cloud …� … mit dem neuen Personalausweis� Zusammenfassung und Ausblick

© 2013 ecsec GmbH

Cloud Computing

>> 3

Quelle: http://de.wikipedia.org/wiki/Cloud-Computing

• Bedarfsorientierung• Selbstbedienung• Netzwerkzugriff• Ressourcenbündelung• Elastische Leistung • Messbare Dienste

Quelle: http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf

© 2013 ecsec GmbH

Marktprognosen für eID und Cloud

>> 4

Quelle: http://www.berlecon.de/iddQuelle: http://www.asw-online.de/downloads/Studie_Sicherheitstechnologien_09.pdf

© 2013 ecsec GmbH >> 5>> 5

Agenda

© 2013 ecsec GmbH

� Einleitung� Authentisierung für die Cloud …� … mit dem neuen Personalausweis� Zusammenfassung und Ausblick

© 2013 ecsec GmbH

Authentisierung für die Cloud

>> 6

IdP

SP

UserUA

����

����

����

����

����

ISISISISISIS …

© 2013 ecsec GmbH

SAML Web Browser SSO Profile

>> 7

���� GET

���� <AuthnRequest/>

IS IdP Disc. Profile(_saml_idp)

Authentication Context

����<Response/>

����

Identity Provider

����

Quelle: http://docs.oasis-open.org/security/saml/v2.0/saml- core-2.0-os.pdf

© 2013 ecsec GmbH

OpenID

���� GETIS ID Resolution

& SecurityAssociation

����

OpenIDProvider

���� checkid

RelyingParty

����

����id_res

Authentication

Quelle: http://openid.net/specs/openid-authentication-2_0.h tml

>> 8

© 2013 ecsec GmbH

Microsoft CardSpace

>> 9

���� GET

���� <Object/>

IS

Authentisierung durchPrüfung des WS Security Token <STIP/>

����POST <STRP/>

����

Identity Provider(IP)

RelyingParty(RP)

����

Prüfung des <STRP/>

Quelle: http://docs.oasis-open.org/imi/identity/v1.0/identi ty.pdf

© 2013 ecsec GmbH

OAuth 2.0

>> 10

Quelle: http://www.ietf.org/id/draft-ietf-oauth-v2-25.txt

AuthorizationServer

RessourceServer

User

Client

����

����

authz_code,code=xyz

����

access_token

������������

© 2013 ecsec GmbH

Wie sicher ist die Cloud?

>> 11

Cross-Site-Scripting Signature-Wrapping

siehe J. Somorovsky, M. Heiderich, M. Jensen, J. Schwenk, N. Gruschka, L. Lo Iacono: Breaking the Clouds – Security Analysis of Cloud Man agement Interfaces , in ACM Cloud ComputingSecurity Workshop (CCSW), 2011

© 2013 ecsec GmbH >> 12

© 2013 ecsec GmbH

XML-Signature-Wrapping -Attack

>> 13

© 2013 ecsec GmbH >> 14>> 14

Agenda

© 2013 ecsec GmbH

� Einleitung� Authentisierung für die Cloud …� … mit dem neuen Personalausweis� Zusammenfassung und Ausblick

© 2013 ecsec GmbH

Authentisierung in der Cloud

>> 15

…

IdP

SP

Client

����

����

����

����

����

ISISISISISIS

EAC (BSI-TR-03110)

C2C (EN 14890)

TLS (RFC 5246)

HOTP (RFC 4226)

…

Starke

© 2013 ecsec GmbH

SkIDentity – Lösungsansatz

>> 16

SP

Client

IdPPolicy

App

eID-Broker

© 2013 ecsec GmbH

SkIDentity – Referenzarchitektur

>> 17

© 2013 ecsec GmbH >> 18

eID-Broker

…

Policy

App

SkIDentity – Ablauf

© 2013 ecsec GmbH

SkIDentity – Client

>> 19

© 2013 ecsec GmbH

eCard-API-Framework (BSI TR 03112)

© 2013 ecsec GmbH

CardInfo gemäß BSI TR 03112-4, CEN 15480-3

>> 21

und ISO/IEC 24727-3 (Amd1)

© 2013 ecsec GmbH

Das Open eCard Projekt

>> 22

http://openecard.org

© 2013 ecsec GmbH >> 23

.jar .jnlpApplet …

Versionen der Open eCard App

http://openecard.org

© 2013 ecsec GmbH

Open eCard App für Windows, Linux und OS X

>> 24

http://openecard.org/nikolaus

© 2013 ecsec GmbH

Open eCard App für Android

>> 25

http://openecard.org/android

© 2013 ecsec GmbH

Open eCard App für Android

>> 26

http://openecard.org/android

© 2013 ecsec GmbH >> 27>> 27

Agenda

© 2013 ecsec GmbH

� Einleitung� Authentisierung für die Cloud …� … mit dem neuen Personalausweis� Zusammenfassung und Ausblick

© 2013 ecsec GmbH

Zusammenfassung und Ausblick

>> 28

� Dem Cloud Computing wird eine große Zukunft vorausgesagt

� Starke Authentisierung ist eine essentielle Grundlage für Sicherheit in der Cloud

� eID-Nutzung in der Cloud ist sehr vielversprechend� Open eCard liefert quelloffenen eID-Client� SkIDentity bietet starke und Policy-getriebene

Authentisierung für die Cloud� FutureID eröffnet Europäische Perspektive� Mehr davon beim Open Identity Summit 2013

© 2013 ecsec GmbH

Policy-getriebene Authentisierung

>> 29

© 2013 ecsec GmbH

Policy-getriebene Authentisierung

>> 30

http://demo.skidentity.de

© 2013 ecsec GmbH >> 31

http://futureid.eu

Seit 01.11.2012: EU -Projekt „FutureID“

© 2013 ecsec GmbH

Deadline für Call for Papers: 15.05.2013>> 32

http://openidentity.eu

Open Identity Summit 2013

© 2013 ecsec GmbH >> 33© Copyright 2010 ecsec GmbH, All Rights Reserved.

Titelmasterformat durch Klicken bearbeiten

Formatvorlage des Untertitelmasters durch Klicken bearbeiten

© 2013 ecsec GmbH

Herzlichen Dank für Ihre Aufmerksamkeit!

Kontakt: