D. Bär, A. Philipp, N. Pohlmann:,
“Web Service Security – XKMS (TrustPoint)”.
In Proceedings der Elektronische Geschäftsprozesse Konferenz,
Hrsg.: Patrick Horster,
syssec Verlag,
2004 Web Service Security – XKMS (TrustPoint)
Web-Services sind erwachsen geworden und haben ein beachtliches Potential entwickelt: sie basieren auf einem offenen, dynamischen Austausch von Daten. Die Offenheit ist ihre Stärke und sorgte für eine breite Akzeptanz. Diese Offenheit ist aber mangels Sicherheit gleichzeitig auch der Hemmschuh, um Web Services auf breiter Basis in der Praxis einzusetzen. Web Services müssen sicher werden, um schützenswerte Daten angemessen übertragen zu können. Voraussetzungen für den sicheren elektronischen Datenaustausch von Informationen über elektronische Wege sind Vertraulichkeit, Integrität und Verbindlichkeit. Verschlüsselung und digitale Signatur auf der Basis krytographischer Verfahren sind hierfür geeignete Verfahren. Eine Public Key Infrastructure (PKI) stellt hierfür geeignete Software, Protokolle und Standards bereit. Der richtige und langfristige Weg Web Services abzusichern, ist die Nutzung einer PKI. Der Aufbau und Betrieb einer PKI ist aber relativ aufwändig und bedarf verschiedener Protokolle auf der Client-Seite. Dies kann zu einer komplexen Angelegenheit führen, zu der nicht alle Anwendungsprogramme bzw. Anwendungsgeräte in der Lage sind. Neue Ansätze ermöglichen eine einfache Kommunikation mit einer PKI. Web-Services und das Simple Object Access Protocol (SOAP) sind einfache Mittel, um in einer Service Orientated Architecture (SOA) entfernte Dienste in Anspruch zu nehmen. Die XML Key Management Specification (XKMS) definiert ein Protokoll, um Validierung und Verwaltung von Schlüsseln auf Basis von XML via Web Services zu verwirklichen. Die resultierenden Vorteile machen den Umgang mit einer PKI einfacher und schlanker. Die vorliegende Arbeit stellt die XKMS-Spezifikation vor, erläutert deren Funktionsweise, nennt Vor- und Nachteile und gibt Einblick in die Realisierung eines XKMS Responders im Rahmen des Projektes TrustPoint. Web Services und IT-Sicherheit
Web Services erfüllen den Wunsch nach Interoperation heterogener Systeme – und das plattformneutral und herstellerunabhängig. Sie machen das möglich, was bis vor einigen Jahren nur eingeschränkt oder nur über komplizierte Mechanismen (beispielsweise Electronic Data Interchange, kurz: EDI) funktionierte: uneingeschränkter Austausch von IT-Applikationen und Diensten über standardisierte Verfahren zur gemeinsamen Nutzung und Verarbeitung von Daten. Alles wunderbar? Wäre da nicht die Kehrseite der Medaille: Die bei Web Services verwendeten Datenaustauschverfahren – wie zum Beispiel das HTTP-Protokoll – sind zunächst einmal notwendigerweise offen. Dies birgt vielschichtige Sicherheitsprobleme von der Netzwerkebene bis hin zur Applikationsebene. Bei Web Services handelt es sich um ein Bündel von Protokollen und Verfahren zum Austausch von Informationen. Dazu gehören Standards wie Universal Description, Discovery and Integration (UDDI), ein Registratur- und Verzeichnisdienst mit den dazugehörigen Extensible-Markup-Language-Schnittstellen (XML) oder die Web Services Description Language (WSDL), eine Sprache zur Beschreibung der Funktionen eines Web Services. Jedoch das Protokoll, das die meisten Web Services zum Nachrichtenaustausch benutzen, ist das Simple Object Access Protocol (SOAP), das über HTTP oder Simple Mail Transfer Protocol (SMTP) transportiert wird. Das klassische SOAP-Protokoll bietet keinerlei Sicherheitsfunktionalitäten wie Integritäts- oder Vertraulichkeitsschutz. Hier setzt nun die Sicherheit im Rahmen von Web Services auf. Im Rahmen des Methodenaufrufs per SOAP werden nun entsprechen Verfahren zum Schutz vor nicht berechtigtem Aufruf von Methoden sowie Verfahren zum Schutz der Vertraulichkeit, Integrität und Authentizität definiert. Die nachfolgende Grafik verdeutlicht noch einmal die bestehende Problematik, dass zum einen die Absicherung des Web Services an sich ein Problem darstellt (der im Rahmen des Artikel nicht behandelt wird) und zum anderen die Absicherung der Kommunikationsbeziehungen untereinander einen weiteren Themenkomplex darstellt. … kostenlos downloaden | 
