1 / 41

Portalbeispiele B2C

Portalbeispiele B2C. Spezielles Seminar WI SS 2002 Prof. Dr. Kai Rannenberg Mobile CSCW insb. Sicherheit mobiler Plattformen für mobiles Arbeiten Autor: Thomas Laumeier Datum: 23. Juni 2002. AGENDA. Einleitung Security-Anforderungen GSM-Netze Schlüsselverwaltung Authentifizierung

beverly-ramos
Télécharger la présentation

Portalbeispiele B2C

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Portalbeispiele B2C Spezielles Seminar WISS 2002 Prof. Dr. Kai Rannenberg Mobile CSCW insb. Sicherheit mobiler Plattformen für mobiles Arbeiten Autor: Thomas Laumeier Datum: 23. Juni 2002

  2. AGENDA • Einleitung • Security-Anforderungen • GSM-Netze • Schlüsselverwaltung • Authentifizierung • Protokolle • WAP • WTLS • Relevante Risiken für das MSP • Fragen Thema Nr. 4: Sicherheit mobiler Seite 2 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  3. Situation • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen m-Commerce? Sicherheit Offenenheit e-Commerce • Integration immer größerer Be- reiche der Wertschöpfungskette • Zunehmende Automatisierung • Kurze Entwicklungszyklen Thema Nr. 4: Sicherheit mobiler Seite 3 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  4. Begriffe & Definitionen • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen • Security • Immaterielle Schutzgüter • Beabsichtigte Angriffe • Safety • Leib & Leben • Unbilden der Natur • Unbilden der Technik Sicherheit Thema Nr. 4: Sicherheit mobiler Seite 4 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  5. Security-Anforderungen • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen • Vertraulichkeit • Anonymität • Pseudonymität • Unbeobachtbarkeit • Unverkettbarkeit • Unabstreitbarkeit • Übertragungsintegrität Thema Nr. 4: Sicherheit mobiler Seite 5 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  6. Vertraulichkeit • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen • EINE Authorisation, anschließend voller Zugriff auf alle Ressourcen • Verschlüsselung des User-Passwortes auf dem Endgerät: z.B. Palm OS in Klartext • User bestimmt sein Passwort: z.B. „Sommer“ • Voller Zugriff für Erweiterungen (Active X & Java) Thema Nr. 4: Sicherheit mobiler Seite 6 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  7. Anonymität • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen • Starke Abhängigkeit vom Userverhalten • (De)aktivierung der Rufnummernübermittlung • (De)aktivierung Funkübertragung (z.B. Bluetooth) • Heterogenität der Umwelt erfordert ausgeklügeltes Sicherheitsmanagement • Location Based Services (LBC) • Spontane Vernetzung • Betriebsnetzwerk • Private IT-Umgebung Thema Nr. 4: Sicherheit mobiler Seite 7 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  8. Pseudonymität • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen • Pre-Paid-Karten • Elektronische Zahlungs-Dienste • Z.B. Paybox • Zahlungsgarantie • Authentifizierung • Trust-Lösung: Hohe Vertrauenswürdigkeit vorrausgesetzt Thema Nr. 4: Sicherheit mobiler Seite 8 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  9. Unbeobachtbarkeit • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen • Enge Fassung (Netzbetreiber gilt als Außenstehender) • Big Brother Is Watching You • Weite Fassung(Netzbetreiber wird nicht berücksichtigt) • Protokollierung, falls Nutzung fremder Netze Thema Nr. 4: Sicherheit mobiler Seite 9 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  10. Unverkettbarkeit • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen • Netzbetreiber kennen alle Verbindungsdaten, aber • Firmenhandy • Familienanschluß • Sammlung von Daten möglich, aber • Heterogene Netze erschweren die gezielte Zusammentragung • Spy-Software Thema Nr. 4: Sicherheit mobiler Seite 10 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  11. Unabstreitbarkeit • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen • „MoSign“: Mobile Digitale Signatur • Anbieter- & Nachfragerstruktur Thema Nr. 4: Sicherheit mobiler Seite 11 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  12. Übertragungsintegrität • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen • Gewährleistung mittels digitaler Signatur • Authentifizierung „per Personalisierung“ • SSL  X  X  Thema Nr. 4: Sicherheit mobiler Seite 12 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  13. GSM-Netze • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen • Digitalisierung • Komprimierung • Chiffrierung • Frequency Hopping • Neuer Schlüssel je Sitzung Thema Nr. 4: Sicherheit mobiler Seite 13 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  14. Authentifizierung in GSM-Netzen • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen Thema Nr. 4: Sicherheit mobiler Seite 14 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  15. Authentifizierung in GSM-Netzen • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen 1 2 Seriennummer 3 3 Schlüsselübergabe Authentifizierung Schlüsselübergabe Authentifizierung 5 5 4 Chiffrierung Chiffrierung 6 6 Thema Nr. 4: Sicherheit mobiler Seite 15 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  16. Authentifizierung in GSM-Netzen • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen • Außerordentlich hohes Sicherheitsniveau • Erfolgreicher Hack 1998 • Kenntnis der Algorithmen A8 und A3 • Choosen Challenge Angriff • „Fütterung“ der SIM-Karte • Analyse der Ergebnisse und Ermittlung von Ki Thema Nr. 4: Sicherheit mobiler Seite 16 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  17. WAP-Protokollfamilie • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen Wireless Application Environment Wireless Session Protokol Wireless Transaction Protocol Wireless Transport Layer Security Wireless Datagram Protokol Thema Nr. 4: Sicherheit mobiler Seite 17 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  18. WTLS • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen • Ableitung aus SSL • Kompromisse • Initialisierungs-Vektoren werden linear berechnet • DES-Schlüssellänge lediglich 35 Bit • Teilalgorithmus führt primitives 40 Bit-XOR durch • Verwendete Primzahlen haben nur eine Länge von 512 oder 768 Bit • Fazit: WTLS alleine unzureichend Thema Nr. 4: Sicherheit mobiler Seite 18 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  19. Relevante Risiken für MSP • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen Thema Nr. 4: Sicherheit mobiler Seite 19 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  20. Relevante Risiken für MSP • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen • GSM • Schutz der SIM-Karte mittels PIN • COMP128-Algorithmus nicht vollständig bekannt (D1 und E-Plus setzten bereits 1998 Varianten ein) • Benötigte Rechenzeit zur Berechnung Ki: 8 Stunden • WAP-Gateway • Transformationsprozess html zu WAP zwingend vorgegeben • Klartext direkt an Außenschnittstelle Thema Nr. 4: Sicherheit mobiler Seite 20 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  21. Überleitung • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen m-Commerce Sicherheit Offenenheit Thema Nr. 4: Sicherheit mobiler Seite 21 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  22. Vielen Dank für Ihre Aufmerksamkeit!

  23. WAP-Gateway Application-Server WML / HTML Banks Vendors Legitimation-Server ISP (HTTP) MoSign Architektur • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen Wireless /WiredDevices Certificates and Key + StandardSmart Card SecureTransactions + = Thema Nr. 4: Sicherheit mobiler Seite 23 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  24. Please insert your card and enterthe PIN code to unlock it: Please confirm order of transaction for 3.000,- DM. Please confirm the order of transaction for 3.000,- DM. Please confirm the order of transaction for 3.000,- DM. Signature Authorized. Transaction Completed. Bestätigen Confirm Confirm Confirm Abbrechen Cancel Cancel Cancel MoSign Signierungsprozess • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen Mobile Devices Legitimation Server * * * * * * * * * * * Application-Server(WML/HTML) Wireless Gateway / ISP Thema Nr. 4: Sicherheit mobiler Seite 24 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  25. PKI Verschlüsselung • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen Thema Nr. 4: Sicherheit mobiler Seite 25 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  26. PKI Signatur • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MSP • Fragen  Thema Nr. 4: Sicherheit mobiler Seite 26 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  27. Wireless-Security-Conzept • Einleitung • Security An- forderungen • GSM-Netze • Protokolle - WAP - WTLS • Relevante Risiken MBP • Fragen Thema Nr. 4: Sicherheit mobiler Seite 27 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  28. Begriffe & Definitionen • Einleitung • Modelle- Web Service Model - ebXML • Protokolle - XML-Based Security Services - SAML • BSI • Thesen • Datensicherheit • Confidentiality : Sichere Wege • Integrity : Keine Manipulation • Authentication : Beweis der Person • Access Control : Zugriffskontrolle • Nonrepudiation : Unabstreitbarkeit • Availability : Jederzeitige Verfügbarkeit • Datenschutz • Privacy : Wer sammelte welche Daten Thema Nr. 4: Sicherheit mobiler Seite 28 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  29. Begriffe & Definitionen • Einleitung • Modelle- Web Service Model - ebXML • Protokolle - XML-Based Security Services - SAML • BSI • Thesen • E-Business-Integration • Direkte oder indirekte Verbindung • Zwei oder mehr Business-Anwendungen • Geschäftsbezogener Informationsaustausch • Unternehmensinterne oder –externe Integration • Web Services • Verwendung XML-basierte Standards • Auffinden des Dienstes mittels UDDI (Universal Description, Discovery and Integration) • Definition des Dienstes mittels WSDL (Web Service Description Language) • Über das Internet erreichbar Thema Nr. 4: Sicherheit mobiler Seite 29 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  30. Begriffe & Definitionen • Einleitung • Modelle- Web Service Model - ebXML • Protokolle - XML-Based Security Services - SAML • BSI • Thesen • Datensicherheit • Confidentiality : Sichere Wege • Integrity : Keine Manipulation • Authentication : Beweis der Person • Access Control : Zugriffskontrolle • Nonrepudiation : Unabstreitbarkeit • Availability : Jederzeitige Verfügbarkeit • Datenschutz • Privacy : Wer sammelte welche Daten Thema Nr. 4: Sicherheit mobiler Seite 30 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  31. Ziel des Web Service Models • Einleitung • Modelle- Web Service Model - ebXML • Protokolle - XML-Based Security Services - SAML • BSI • Thesen • IBM • Microsoft • VeriSign • W3C • OASIS • Ziel: praxistauglicher und schnell umsetzbarer Standard zur Entwicklung von Web Services Thema Nr. 4: Sicherheit mobiler Seite 31 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  32. Rollen & Funktionen • Einleitung • Modelle- Web Service Model - ebXML • Protokolle - XML-Based Security Services - SAML • BSI • Thesen ServiceDescription Service Registry Publish Find WSDL, UDDI WSDL, UDDI Service Requestor ServiceProvider Service Bind ServiceDescription Thema Nr. 4: Sicherheit mobiler Seite 32 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  33. Web Service security model • Einleitung • Modelle- Web Service Model - ebXML • Protokolle - XML-Based Security Services - SAML • BSI • Thesen WS-SecureConversation WS-Federation WS-Authentication WS-Policy WS-Trust WS-Privacy WS-Security Today SOAP Foundation Time Thema Nr. 4: Sicherheit mobiler Seite 33 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  34. Vorteile des WS security models • Einleitung • Modelle- Web Service Model - ebXML • Protokolle - XML-Based Security Services - SAML • BSI • Thesen • Aufbauend auf vorhandenen Technologien • Erweiterbarkeit des Modells • Hohe erwartete Effektivität • Toolset Thema Nr. 4: Sicherheit mobiler Seite 34 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  35. Electronic Business XML • Einleitung • Modelle- Web Service Model - ebXML • Protokolle - XML-Based Security Services - SAML • BSI • Thesen • OASIS (Organization for the Advancement of Structured Information Standards) • Weltweit gültig • Modular aufgebaut • Trennung in zwei Architekturen • Prozessarchitektur (Methoden & Mechanismen von Systementwicklung & -analyse) • Produktarchitektur (Technologische Infrastruktur) • Messaging-Service • Spezielle SOAP-Erweiterungen • Registry/Repository-Service (RR) • Vielseitiger als UDDI • ... Thema Nr. 4: Sicherheit mobiler Seite 35 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  36. Protokollfamilie • Einleitung • Modelle- Web Service Model - ebXML • Protokolle - XML-Based SecurityServices - SAML • BSI • Thesen • XML Signatur • XML Encryption • XML Key Management • AUthXML • S2ML • SAML Parallele Entwicklung Einstellung 2001 Thema Nr. 4: Sicherheit mobiler Seite 36 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  37. OASIS Security Assertion Markup Language • Einleitung • Modelle- Web Service Model - ebXML • Protokolle - XML-Based Security Services - SAML • BSI • Thesen Verbindung SAML & SOAP Nachrichten-austausch Denial of Service Authentifizierungnicht spezifiziert Nachrichten-modifizierung Nachrichten-löschung Vertraulichkeitnicht spezifiziert Nachrichtenintegritätnicht spezifiziert „Man In The Middle“ Belauschen Thema Nr. 4: Sicherheit mobiler Seite 37 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  38. OASIS Security Assertion Markup Language • Einleitung • Modelle- Web Service Model - ebXML • Protokolle - XML-Based Security Services - SAML • BSI • Thesen Verbindung SAML & SOAP Nachrichten-austausch Denial of Service Authentifizierungnicht spezifiziert Zeitstempel Nachrichten-modifizierung Nachrichten-löschung Vertraulichkeitnicht spezifiziert Ipsec-Tunneling Digitale Signatur Nachrichtenintegritätnicht spezifiziert „Man In The Middle“ Belauschen Thema Nr. 4: Sicherheit mobiler Seite 38 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  39. Bundesamt für Sicherheit in der Informationstechnik • Einleitung • Modelle- Web Service Model - ebXML • Protokolle - XML-Based Security Services - SAML • BSI • Thesen • Zertifizierungen (Seit Jan. 2002) • IT-Grundschutzhandbuch (111,50 €) • GS-Tool • Modellierung und Erstellung des Schichtenmodells • IT-Systemerfassung und Strukturanalyse • Anwendungserfassung • Maßnahmenumsetzung • Kostenauswertung • Schutzbedarfsfeststellung • Revisionsunterstützung • Basissicherheitschecks Thema Nr. 4: Sicherheit mobiler Seite 39 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  40. Bundesamt für Sicherheit in der Informationstechnik • Einleitung • Modelle- Web Service Model - ebXML • Protokolle - XML-Based Security Services - SAML • BSI • Thesen Thema Nr. 4: Sicherheit mobiler Seite 40 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

  41. Bundesamt für Sicherheit in der Informationstechnik • Einleitung • Modelle- Web Service Model - ebXML • Protokolle - XML-Based Security Services - SAML • BSI • Thesen • Another hype: Web Services sind heute „in“ aber morgen bereits wieder „out“ • Die Anforderungen an Security-Komponenten, wie Hard- und Software aber auch Know How der Mitarbeiter, werden weiterhin stark wachsen und damit auch die Kosten in diesem Bereich explodieren lassen • Kampf der Standards: Microsoft schlägt zurück • Wo ein Wille, da ein Weg – Mitarbeitertreue? Thema Nr. 4: Sicherheit mobiler Seite 41 Thomas Laumeier Plattformen für mobiles Arbeiten 23. Juni 2002

More Related