Prof. Dr. Norbert Pohlmann Home mobile
slider

Security analysis of OpenID, followed by a reference implementation of an nPA-based OpenID - Prof. Dr. Norbert Pohlmann

Security analysis of OpenID, followed by a reference implementation of an nPA-based OpenID provider

264-Security-analysis-of-OpenID-followed-by-a-reference-implementation-of-an-nPA-based-OpenID-provider-Prof-Norbert-Pohlmann

S. Feld, N. Pohlmann:,
“Security analysis of OpenID, followed by a reference implementation of an nPA-based OpenID provider”.
In Proceedings of the ISSE 2010 – Securing Electronic Business Processes – Highlights of the Information Security Solutions Europe 2010 Conference,
Eds.: N. Pohlmann, H. Reimer, W. Schneider;
Vieweg-Teubner Verlag,
Wiesbaden 2010

OpenID ist ein offener, dezentraler und URL-basierter Standard fur Single Sign-On (SSO) im Internet. Daruber hinaus wird in Deutschland ab November 2010 der neue, elektronische Personalausweis (nPA) eingeführt. Ziel dieser Arbeit ist eine Sicherheitsbewertung des OpenID-Protokolls sowie die Darstellung, wie ein OpenID-Provider die Restricted Identification (RI) des nPAs mit einer OpenID-Identität verknupfen kann. Es wird erörtert, welche Mehrwerte die Kombination der beiden Technologien nPA und OpenID erschaffen konnen.

In diesem Abschnitt wird die der Arbeit zugrunde liegende Problematik bei Identity Management (IdM) im Internet aufgezeigt und mogliche Losungsansätze des Problems aufgeführt.

Identitaten im Internet
Das Internet scheint den klassischen Desktop immer weiter zu verdrangen. Eine Vielzahl an Software wird heute nur noch als Dienstleistung uber das Internet angeboten. Die treibenden Konzepte in diesem Bereich sind Software as a Service (Saas) sowie Cloud Computing. Dabei reicht die Bandbreite der Anwendungen von E-Mail-Clients uber Office-Paketen bis hin zu sozialen Netzwerken.
Die meisten Internetdienste haben die Forderung einer Identifizierung und Authentisierung gemeinsam. Bei nahezu jedem Dienst findet erst ein Login (die Behauptung und der anschließende Beweis einer Identitat) statt, bevor der Dienst genutzt werden kann. Es bestehen hohe Sicher-heitsanforderungen von Seiten der Dienstanbieter, aber auch seitens der Nutzer.
Im Einklang mit SaaS und Cloud Computing pragt sich immer mehr der Begriff der digitalen Identitat, für den viele unterschiedliche Verstandnisse existieren. Im Kontext dieser Arbeit stellt eine digitale Identitat einen Identifikator (z.B. ”john-Doe”) zusammen mit einer bestimmten Anzahl an Attributen (Alter, Nationalitat, E-Mail-Adresse usw.) dar. Daruber hinaus werden im Internet zahlreiche digitale ”Fußspuren” hinterlassen. Neben Accounts bei Webshops oder E-Mail-Providern, erstellten Profilen auf Plattformen wie Xing oder Facebook sowie veroffentlichten Inhalten auf Webseiten, in Blogs oder bei Twitter konnen auch Bewegungsinformationen wie Logdaten der Server oder Verbindungsda-

ten der Internet Service Provider (ISPs) zu einer digitalen Identitat gez ¨ ahlt werden. Schließlich konnen Profile kombiniert werden, was durch gewollte und ungewollte Verlinkungen zwischen den Diensten realisiert wird. Zusammengefasst lasst sich sagen, dass Internetnutzer eine Vielzahl freiwillig aber auch unfreiwillig preisgegebener Daten besitzen. Ein aktuelles Ziel sollte sein, die digitale Identitat der Internetnutzer moglichst stark zu schützen.


kostenlos downloaden
264-Security-analysis-of-OpenID-followed-by-a-reference-implementation-of-an-nPA-based-OpenID-provider-Prof-Norbert-Pohlmann
Security analysis of OpenID, followed by a reference implementation of an nPA-based OpenID provider Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten
500x500