Portalbeispiele B2C Spezielles Seminar WI SS 2002 Prof. Dr. Kai Rannenberg Mobile CSCW insb....
-
Upload
kai-schirmer -
Category
Documents
-
view
109 -
download
0
Transcript of Portalbeispiele B2C Spezielles Seminar WI SS 2002 Prof. Dr. Kai Rannenberg Mobile CSCW insb....
Portalbeispiele B2CSpezielles Seminar WI
SS 2002
Prof. Dr. Kai Rannenberg
Mobile CSCWinsb. Sicherheit mobiler Plattformen
für mobiles Arbeiten
Autor: Thomas Laumeier
Datum: 23. Juni 2002
Thema Nr. 4: Sicherheit mobiler Seite 2 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
AGENDA
Einleitung
Security-Anforderungen
GSM-Netze
– Schlüsselverwaltung
– Authentifizierung
Protokolle– WAP– WTLS
Relevante Risiken für das MSP
Fragen
Thema Nr. 4: Sicherheit mobiler Seite 3 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
Situation
Offenenheit
Sicherheit
- Integration immer größerer Be- reiche der Wertschöpfungskette
- Zunehmende Automatisierung
- Kurze Entwicklungszyklen
m-Commerce?
Einleitung
Security An- forderungen
GSM-Netze
Protokolle - WAP - WTLS
Relevante Risiken MSP
Fragen
e-Commerce
Thema Nr. 4: Sicherheit mobiler Seite 4 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
Begriffe & Definitionen
Security– Immaterielle Schutzgüter– Beabsichtigte Angriffe
Safety– Leib & Leben– Unbilden der Natur– Unbilden der Technik
Sicherheit
Einleitung
Security An- forderungen
GSM-Netze
Protokolle - WAP - WTLS
Relevante Risiken MSP
Fragen
Thema Nr. 4: Sicherheit mobiler Seite 5 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
Security-Anforderungen
Vertraulichkeit
Anonymität
Pseudonymität
Unbeobachtbarkeit
Unverkettbarkeit
Unabstreitbarkeit
Übertragungsintegrität
Einleitung
Security An- forderungen
GSM-Netze
Protokolle - WAP - WTLS
Relevante Risiken MSP
Fragen
Thema Nr. 4: Sicherheit mobiler Seite 6 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
Vertraulichkeit
EINE Authorisation, anschließend voller Zugriff auf alle
Ressourcen
Verschlüsselung des User-Passwortes auf dem
Endgerät: z.B. Palm OS in Klartext
User bestimmt sein Passwort: z.B. „Sommer“
Voller Zugriff für Erweiterungen (Active X & Java)
Einleitung
Security An- forderungen
GSM-Netze
Protokolle - WAP - WTLS
Relevante Risiken MSP
Fragen
Thema Nr. 4: Sicherheit mobiler Seite 7 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
Anonymität
Starke Abhängigkeit vom Userverhalten
– (De)aktivierung der Rufnummernübermittlung
– (De)aktivierung Funkübertragung (z.B. Bluetooth)
Heterogenität der Umwelt erfordert ausgeklügeltes
Sicherheitsmanagement
– Location Based Services (LBC)
– Spontane Vernetzung
– Betriebsnetzwerk
– Private IT-Umgebung
Einleitung
Security An- forderungen
GSM-Netze
Protokolle - WAP - WTLS
Relevante Risiken MSP
Fragen
Thema Nr. 4: Sicherheit mobiler Seite 8 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
Pseudonymität
Pre-Paid-Karten
Elektronische Zahlungs-Dienste
– Z.B. Paybox
– Zahlungsgarantie
– Authentifizierung
– Trust-Lösung: Hohe Vertrauenswürdigkeit vorrausgesetzt
Einleitung
Security An- forderungen
GSM-Netze
Protokolle - WAP - WTLS
Relevante Risiken MSP
Fragen
Thema Nr. 4: Sicherheit mobiler Seite 9 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
Unbeobachtbarkeit
Enge Fassung
(Netzbetreiber gilt als Außenstehender)
– Big Brother Is Watching You
Weite Fassung
(Netzbetreiber wird nicht berücksichtigt)
– Protokollierung, falls Nutzung fremder Netze
Einleitung
Security An- forderungen
GSM-Netze
Protokolle - WAP - WTLS
Relevante Risiken MSP
Fragen
Thema Nr. 4: Sicherheit mobiler Seite 10 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
Unverkettbarkeit
Netzbetreiber kennen alle Verbindungsdaten, aber
– Firmenhandy
– Familienanschluß
Sammlung von Daten möglich, aber
– Heterogene Netze erschweren die gezielte Zusammentragung
– Spy-Software
Einleitung
Security An- forderungen
GSM-Netze
Protokolle - WAP - WTLS
Relevante Risiken MSP
Fragen
Thema Nr. 4: Sicherheit mobiler Seite 11 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
Unabstreitbarkeit
„MoSign“: Mobile Digitale Signatur
Anbieter- & Nachfragerstruktur
Einleitung
Security An- forderungen
GSM-Netze
Protokolle - WAP - WTLS
Relevante Risiken MSP
Fragen
Thema Nr. 4: Sicherheit mobiler Seite 12 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
Übertragungsintegrität
Gewährleistung mittels digitaler Signatur
Authentifizierung „per Personalisierung“
SSL
X
X
Einleitung
Security An- forderungen
GSM-Netze
Protokolle - WAP - WTLS
Relevante Risiken MSP
Fragen
Thema Nr. 4: Sicherheit mobiler Seite 13 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
GSM-Netze
Digitalisierung
Komprimierung
Chiffrierung
Frequency Hopping
Neuer Schlüssel je Sitzung
Einleitung
Security An- forderungen
GSM-Netze
Protokolle - WAP - WTLS
Relevante Risiken MSP
Fragen
Thema Nr. 4: Sicherheit mobiler Seite 14 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
Authentifizierung in GSM-Netzen
Einleitung
Security An- forderungen
GSM-Netze
Protokolle - WAP - WTLS
Relevante Risiken MSP
Fragen
Thema Nr. 4: Sicherheit mobiler Seite 15 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
Authentifizierung in GSM-Netzen
AuthentifizierungSchlüsselübergabe AuthentifizierungSchlüsselübergabe
1Seriennummer 2
3 3
4
55
66
Chiffrierung Chiffrierung
Einleitung
Security An- forderungen
GSM-Netze
Protokolle - WAP - WTLS
Relevante Risiken MSP
Fragen
Thema Nr. 4: Sicherheit mobiler Seite 16 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
Authentifizierung in GSM-Netzen
Außerordentlich hohes Sicherheitsniveau
Erfolgreicher Hack 1998
– Kenntnis der Algorithmen A8 und A3
– Choosen Challenge Angriff
• „Fütterung“ der SIM-Karte
• Analyse der Ergebnisse und Ermittlung von Ki
Einleitung
Security An- forderungen
GSM-Netze
Protokolle - WAP - WTLS
Relevante Risiken MSP
Fragen
Thema Nr. 4: Sicherheit mobiler Seite 17 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
WAP-Protokollfamilie
Wireless Application Environment
Wireless Session Protokol
Wireless Datagram Protokol
Wireless Transport Layer Security
Wireless Transaction Protocol
Einleitung
Security An- forderungen
GSM-Netze
Protokolle - WAP - WTLS
Relevante Risiken MSP
Fragen
Thema Nr. 4: Sicherheit mobiler Seite 18 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
WTLS
Ableitung aus SSL
Kompromisse
– Initialisierungs-Vektoren werden linear berechnet
– DES-Schlüssellänge lediglich 35 Bit
– Teilalgorithmus führt primitives 40 Bit-XOR durch
– Verwendete Primzahlen haben nur eine Länge von 512 oder
768 Bit
Fazit: WTLS alleine unzureichend
Einleitung
Security An- forderungen
GSM-Netze
Protokolle - WAP - WTLS
Relevante Risiken MSP
Fragen
Thema Nr. 4: Sicherheit mobiler Seite 19 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
Relevante Risiken für MSP
Einleitung
Security An- forderungen
GSM-Netze
Protokolle - WAP - WTLS
Relevante Risiken MSP
Fragen
Thema Nr. 4: Sicherheit mobiler Seite 20 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
Relevante Risiken für MSP
GSM
– Schutz der SIM-Karte mittels PIN
– COMP128-Algorithmus nicht vollständig bekannt
(D1 und E-Plus setzten bereits 1998 Varianten ein)
– Benötigte Rechenzeit zur Berechnung Ki: 8 Stunden
WAP-Gateway
– Transformationsprozess html zu WAP zwingend vorgegeben
– Klartext direkt an Außenschnittstelle
Einleitung
Security An- forderungen
GSM-Netze
Protokolle - WAP - WTLS
Relevante Risiken MSP
Fragen
Thema Nr. 4: Sicherheit mobiler Seite 21 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
Überleitung
Offenenheit
Sicherheit
m-Commerce
Einleitung
Security An- forderungen
GSM-Netze
Protokolle - WAP - WTLS
Relevante Risiken MSP
Fragen
Vielen Dank für Ihre Aufmerksamkeit!
Thema Nr. 4: Sicherheit mobiler Seite 23 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
MoSign Architektur
WAP-Gateway
ISP (HTTP)Vendors
Banks
Certificates andKey + Standard
Smart Card
SecureTransactions
Wireless /Wired
Devices+ =
Application-Server
WML / HTML
Legitimation-Server
Einleitung
Security An- forderungen
GSM-Netze
Protokolle - WAP - WTLS
Relevante Risiken MSP
Fragen
Thema Nr. 4: Sicherheit mobiler Seite 24 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
MoSign Signierungsprozess
Signature Authorized.
Transaction Completed.Confirm Cancel
Please confirm order oftransaction for 3.000,- DM.
Confirm Cancel
Please confirm the order oftransaction for 3.000,- DM.
Confirm Cancel
Please confirm the order of transaction for 3.000,- DM.
Legitimation Server
Wireless Gateway / ISP Application-Server(WML/HTML)
Mobile Devices
* * * * * * * * * * *Bestätigen Abbrechen
Please insert your card and enterthe PIN code to unlock it:
Einleitung
Security An- forderungen
GSM-Netze
Protokolle - WAP - WTLS
Relevante Risiken MSP
Fragen
Thema Nr. 4: Sicherheit mobiler Seite 25 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
PKI Verschlüsselung
Einleitung
Security An- forderungen
GSM-Netze
Protokolle - WAP - WTLS
Relevante Risiken MSP
Fragen
Thema Nr. 4: Sicherheit mobiler Seite 26 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
PKI Signatur
Einleitung
Security An- forderungen
GSM-Netze
Protokolle - WAP - WTLS
Relevante Risiken MSP
Fragen
Thema Nr. 4: Sicherheit mobiler Seite 27 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
Wireless-Security-Conzept
Einleitung
Security An- forderungen
GSM-Netze
Protokolle - WAP - WTLS
Relevante Risiken MBP
Fragen
Thema Nr. 4: Sicherheit mobiler Seite 28 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
Begriffe & Definitionen
Datensicherheit
– Confidentiality : Sichere Wege
– Integrity : Keine Manipulation
– Authentication : Beweis der Person
– Access Control : Zugriffskontrolle
– Nonrepudiation : Unabstreitbarkeit
– Availability : Jederzeitige Verfügbarkeit
Datenschutz– Privacy : Wer sammelte welche Daten
Einleitung
Modelle
- Web Service Model
- ebXML
Protokolle
- XML-Based Security Services
- SAML
BSI
Thesen
Thema Nr. 4: Sicherheit mobiler Seite 29 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
Begriffe & Definitionen
Einleitung
Modelle
- Web Service Model
- ebXML
Protokolle
- XML-Based Security Services
- SAML
BSI
Thesen
E-Business-Integration– Direkte oder indirekte Verbindung– Zwei oder mehr Business-Anwendungen– Geschäftsbezogener Informationsaustausch– Unternehmensinterne oder –externe Integration
Web Services– Verwendung XML-basierte Standards– Auffinden des Dienstes mittels UDDI
(Universal Description, Discovery and Integration)
– Definition des Dienstes mittels WSDL (Web Service Description Language)
– Über das Internet erreichbar
Thema Nr. 4: Sicherheit mobiler Seite 30 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
Begriffe & Definitionen
Datensicherheit
– Confidentiality : Sichere Wege
– Integrity : Keine Manipulation
– Authentication : Beweis der Person
– Access Control : Zugriffskontrolle
– Nonrepudiation : Unabstreitbarkeit
– Availability : Jederzeitige Verfügbarkeit
Datenschutz– Privacy : Wer sammelte welche Daten
Einleitung
Modelle
- Web Service Model
- ebXML
Protokolle
- XML-Based Security Services
- SAML
BSI
Thesen
Thema Nr. 4: Sicherheit mobiler Seite 31 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
Ziel des Web Service Models
Einleitung
Modelle
- Web Service Model
- ebXML
Protokolle
- XML-Based Security Services
- SAML
BSI
Thesen
IBM
Microsoft
VeriSign
W3C
OASIS
Ziel: praxistauglicher und schnell umsetzbarer Standard zur Entwicklung von Web Services
Thema Nr. 4: Sicherheit mobiler Seite 32 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
Rollen & Funktionen
Einleitung
Modelle
- Web Service Model
- ebXML
Protokolle
- XML-Based Security Services
- SAML
BSI
Thesen
Service Requestor
ServiceProvider
Service Registr
y
ServiceDescription
ServiceDescription
ServiceBind
Find PublishWSDL, UDDIWSDL, UDDI
Thema Nr. 4: Sicherheit mobiler Seite 33 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
Web Service security model
Einleitung
Modelle
- Web Service Model
- ebXML
Protokolle
- XML-Based Security Services
- SAML
BSI
Thesen SOAP Foundation
WS-Security
WS-Policy
WS-SecureConversation
WS-Federation
WS-Trust
WS-Authentication
WS-Privacy
Tim
e
Today
Thema Nr. 4: Sicherheit mobiler Seite 34 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
Vorteile des WS security models
Einleitung
Modelle
- Web Service Model
- ebXML
Protokolle
- XML-Based Security Services
- SAML
BSI
Thesen
Aufbauend auf vorhandenen Technologien
Erweiterbarkeit des Modells
Hohe erwartete Effektivität
Toolset
Thema Nr. 4: Sicherheit mobiler Seite 35 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
Electronic Business XML
Einleitung
Modelle
- Web Service Model
- ebXML
Protokolle
- XML-Based Security Services
- SAML
BSI
Thesen
OASIS (Organization for the Advancement of Structured Information Standards)
Weltweit gültig
Modular aufgebaut
Trennung in zwei Architekturen– Prozessarchitektur (Methoden & Mechanismen von
Systementwicklung & -analyse)– Produktarchitektur (Technologische Infrastruktur)
• Messaging-Service
– Spezielle SOAP-Erweiterungen
• Registry/Repository-Service (RR)
– Vielseitiger als UDDI
• ...
Thema Nr. 4: Sicherheit mobiler Seite 36 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
Protokollfamilie
Einleitung
Modelle
- Web Service Model
- ebXML
Protokolle
- XML-Based Security Services
- SAML
BSI
Thesen
XML Signatur
XML Encryption
XML Key Management
AUthXML
S2ML
SAML
Parallele Entwicklung
Einstellung 2001
Thema Nr. 4: Sicherheit mobiler Seite 37 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
OASIS Security Assertion Markup Language
Einleitung
Modelle
- Web Service Model
- ebXML
Protokolle
- XML-Based Security Services
- SAML
BSI
Thesen
Belauschen
Denial of ServiceAuthentifizierungnicht spezifiziert
„Man In The Middle“
Vertraulichkeitnicht spezifiziert
Nachrichtenintegritätnicht spezifiziert
Verbindung S
AM
L & S
OA
P
Nachrichten-austausch
Nachrichten-löschung
Nachrichten-modifizierung
Thema Nr. 4: Sicherheit mobiler Seite 38 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
OASIS Security Assertion Markup Language
Einleitung
Modelle
- Web Service Model
- ebXML
Protokolle
- XML-Based Security Services
- SAML
BSI
Thesen
Belauschen
Denial of ServiceAuthentifizierungnicht spezifiziert
„Man In The Middle“
Vertraulichkeitnicht spezifiziert
Nachrichtenintegritätnicht spezifiziert
Verbindung S
AM
L & S
OA
P
Nachrichten-austausch
Nachrichten-löschung
Nachrichten-modifizierung
Zeitstempel
Digitale Signatur
Ipsec-Tun
neling
Thema Nr. 4: Sicherheit mobiler Seite 39 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
Bundesamt für Sicherheit in der Informationstechnik
Einleitung
Modelle
- Web Service Model
- ebXML
Protokolle
- XML-Based Security Services
- SAML
BSI
Thesen
Zertifizierungen (Seit Jan. 2002)
IT-Grundschutzhandbuch (111,50 €)
GS-Tool
– Modellierung und Erstellung des Schichtenmodells
– IT-Systemerfassung und Strukturanalyse
– Anwendungserfassung
– Maßnahmenumsetzung
– Kostenauswertung
– Schutzbedarfsfeststellung
– Revisionsunterstützung
– Basissicherheitschecks
Thema Nr. 4: Sicherheit mobiler Seite 40 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
Bundesamt für Sicherheit in der Informationstechnik
Einleitung
Modelle
- Web Service Model
- ebXML
Protokolle
- XML-Based Security Services
- SAML
BSI
Thesen
Thema Nr. 4: Sicherheit mobiler Seite 41 Thomas LaumeierPlattformen für mobiles Arbeiten 23. Juni 2002
Bundesamt für Sicherheit in der Informationstechnik
Einleitung
Modelle
- Web Service Model
- ebXML
Protokolle
- XML-Based Security Services
- SAML
BSI
Thesen
Another hype: Web Services sind heute „in“ aber morgen bereits wieder „out“
Die Anforderungen an Security-Komponenten, wie Hard- und Software aber auch Know How der Mitarbeiter, werden weiterhin stark wachsen und damit auch die Kosten in diesem Bereich explodieren lassen
Kampf der Standards: Microsoft schlägt zurück
Wo ein Wille, da ein Weg – Mitarbeitertreue?