Secure OpenID

ОpenFest 2008 - 1.11.2008
СЕП БЪЛГАРИЯ Система за електронни плащания OpenID – седем прости правила , за да излизаш с дъщеря ми

Mалко за СЕП
СЕП България е оператор на национална мрежа за електронни услуги.
През 2007г, СЕП е лицензиран от БНБ , като оператор на платежна система, осигуряващо законосъобразност на предлаганите от оператора услуги. БНБ одобри операционни правила на нов Електронен Платежен Инструмент „Мобилно плащане”, с което бе въведен като ново платежно средство на територията на Република България.
През 2008г, СЕП бе лицензиран от КРС като доставчик на удостоверителни услуги. Компанията предложи на българския пазар услуга та за лична сигурност – МОБИСЕЙФ , осигуряваща Електронен подпис.
Една от услугите ни за частни клиенти е е-самоличност - Мобисейф ;

Mалко за лектора
Роден съм в месеца и деня на първата поява на понятието Интернет дефиниран в RFC 675
В СЕП съм от 2007 година
Занимавам се с Управление на продукти в СЕП
bogo @ sepbulgaria . com
http :// bogomil . info

Mалко теория Какво е OpenID OpenID e лесен бърз и сигурен (при някои обстоятелства) начин за представяне в Интернет или във вътрешно фирмени системи. Потребителят може да влиза в много сайтове само с един идентификатор. Освен това, потребителя т може да вижда какви данни изисква уеб-сайта от него и да решава дали да ги даде или не Така потребителя т , може да знае във всеки един момент, ко й и за какво използва данните му, поради факта, че само той позволява това да се случи. Погледнато от друга страна, когато потребителя си асоциира OpenID, всеки ще знае, че това е той, без да става объркване от имена или прякори или потребителски имена в различни услуги.

Mалко теория Какво е OpenID: Идентификация OpenID показва на собственика на сайта, този който иска вие да се представите, че сте същия идентификатор преди когато сте го ползвали сайта и сега. Тоест OpenID не гарантира и не представя личност, а само идентификация, която не е потвърдена, но така функционира Интернет :) ‏ Собственика на сайта, знае, че вие сте този, който е регистрирал акаунта при него, но нищо повече.

Mалко теория Какво е OpenID: Одит ОpenID се използва за вход в сайтовете и единствената информация, която се пази е кога и от кой сайт е била изисквана информация. Целта на този протокол е да идентифицира, в различна степен, а не да събира данни за това кой какво прави в Интернет.

Mалко теория Какво е OpenID: Използване Ако потребителят не е използвал досега openid, може би ще му е малко трудно, но протокола позволява така да се направи, че само с 2 реда, да можете да използвате собствен домейн или страницата си в Интернет като идентификатор. Нея няма как да я забрави нали? Няма и ограничение в използването като местоположение. Може потребителя да използва своя идентификатор и във фирмения портал и в интернет клуб на другия края на света и в библиотеката в Лисабон , ако тези електронни системи използват OpenID, а към момента го правят огромен брой сайтове и системи.

Mалко теория Какво е OpenID: Сигурност Така или иначе абсолютна сигурност няма. Едиственото, което потребителя, трябва да прецени добре и избора на своя доставчик на OpenID идентификация. Доверитето в този доставчик е най-важното и е основата на сигурността на този тип комуникация. Отворена система - Всеки може да стане доставчик на OpenID. Има готови скриптове и цели системи на повечето програмни езици - Всеки може да стане потребител на OpenID. Трябва само да се регистрирате и да получите своя универсален идентификатор и да изберете начин за оторизация. - Всички доставчици могат да работят със всички потребители . Тоест ако сте се регистрирал за openid в Yahoo, можете да използвате същия идентификатор в blogspot, например. Няма нужда от специални договорки между страните в процеса, няма нужда от федерации от идентичности, няма нужда от никакви допълнителни споразумения.

Mалко теория Как се ползва OpenID 1.Потребителя отива на сайта some.bg 2. Потребителя иска да се представи на сайта, за да може да работи с него. 3. Потребителя въвежда своя OpenID идентификатор, който е URL адрес. 4. Потребителят бива насочен към OpenID сайта, където може да се отиризира и да види какви данни some.bg иска от него и да реши дали да продължи или да отмени този процес 5 .Ако реши да продължи потребителят бива пренасочен към some.bg вече със оторизиран и може да използва всички функционалности на сайта.

Mалко теория Как се ползва OpenID Мислете за openID, като за име и парола на сайта, който сте решили да използвате. A сега си помислете за друг сайт. Може би имате еднакво име и парола на другия. С OpenID ще имате СЪЩОТО . Ако случайно решите да смените паролата си, няма нужда да ходите на всичките сайтове, а само на един – този на доставчика ви на уеб-идентичност..

Mалко теория А как работи OpenID ?!? Имаме 2 страни, които искат да си споделят секретен ключ в една несигурна среда. Единият е Сайта, който иска OpenID (сепчо) ‏ Другият е доставчика на OpenID (достьо) ‏ За да може да използват Diffie-Hellman за размяната на ключове, те трябва да направят следното:

Mалко теория А как работи OpenID ?!? Двете страни се разбират за стойностите на в променливи 'g' & 'p'. Te не са тайна за никого, дори и за страни извън процеса. 'p' обикновено е голямо просто число 'g' e малко число

Mалко теория А как работи OpenID ?!? Сепчо, си намисля още един номер, да речем 'х', който се преизчислява на основата на онези предни стойности на 'g' и 'p', по следната формула: X = g^ x mod p Сега сепчо, може да сподели ' X ' със достьо или със всеки друг, което се явява и публичен ключ на сепчо.

Mалко теория А как работи OpenID ?!? Достьо, си намисля още един номер, да речем 'y', който се преизчислява на основата на онези предни стойности на 'g' и 'p', по следната формула: Y = g^ y mod p Сега достьо, може да сподели ' Y ' със сепчо или със всеки друг, което се явява и публичения му ключ.

Mалко теория А как работи OpenID ?!? Имайки в предвид, че публичния ключ ' Y ' на достьо е достъпен, то сепчо, може да достъпи Diffie-Hellman секретния ключ споделен между двамата. Kx = Y^x mod p 'x' е на сепчо 'p' e общ 'Y' e нa достьо и е публичен

Mалко теория А как работи OpenID ?!? Имайки в предвид, че публичния ключ ' X ' на сепчо е достъпен, то сепчо, може да достъпи Diffie-Hellman секретния ключ споделен между двамата. Ky = X^y mod p 'y' е на сепчо 'p' e общ 'X' e нa достьо и е публичен

Mалко теория А как работи OpenID ?!? При Diffie-Hellman Kx=Ky. Сега и двете страни могат да си вярват една на друга след размяната на ключовете.

Mалко теория А как работи OpenID ?!? Как става комуникацията в последствие, можете да прочетете в документацията на протокола, която е свободно достъпна на: http:// openid.net

Mалко теория Методи за представяне Повечето системи в Интернет работят с анонимни акаунти. Abv.bg, Dir.bg, Yahoo, дори системи като ePay.bg не искат и не могат да знаят кои сте. Вие имате анонимен акаунт но той е защитен със някакви начини за защита. Към момента такива методи могат да се считат следните, обединени в 3 основни групи: Нещо, което знам – комбинация име и парола или идентификатор и парола и въпроси/отгвори комбинацията или PIN, който е по-кратък от паролата. Нещо, което нося – мобилен телефон с ОТП приложение, смарт- карта, USB устройство с OpenID, сертификат към браузъра. Нещо, което съм – биометрични данни, отпечатъци, ретина, начин на поведение и т.н

Mалко теория Допълнителна сигурност В СЕП ще използваме първата група и част от втората за да oсигурим максимален избор на потребителя. По подразбиране, сигурността нараства все повече със използването на групата от по-висок клас.

Mалко теория Какво е електронна самоличност и как можем да си я управляваме: - Обединени самоличности (a.k.a federated identities) ‏ - Твърдения и потвърждения (a.k.a claims) ‏ (SAML, Shibboleth) ‏ - SEP OpenID.

Mалко теория SEP{ OpenID Понякога искаме да знаем кой със сигурност е от другата страна: - Тър г уване с оръжия - Застраховки он-лайн - Заеми он-лайн - Банкови услуги OpenID + SEP OTP + ECDSA електронен подпис

Mалко теория SEP{ OpenID 0. Двете страни трябва да са се разбрали предварително за характеристиките на еклиптичната крива (q,FR,a,b,G, n ,h). Освен това изпращача, трябва да има двойка ключове подходяща за работа с ЕК. 1. Изчисляваме хеша на едно съобщение, като можем да си изберем алгор и тъм за целта – примерно SHA-256 2. Избираме си случайно цяло число от интервала [1, n − 1]. 3. Изчисляваме r, по тази формула r = x1 (mod n) , като (x1,y1) = kG. ако r = 0, се връщаме да изберем ново число в стъпка 2. 4. Изчисляваме s, по тази формула s = k − 1(e + rdA)(mod n) . Ако s = 0 се връщаме да изберем ново число в стъпка 2 5. Подписа е двойката (r,s) .

Mалко теория SEP{ OpenID Потвърждаване на подписа 0. Пров е ряваме дали r и s са числа в интервала [1,n − 1]. Ако не са, значи подпис ът е невалиден 1. Изчисляваме хеша e = HASH(m) , където се използва същата функция, като в предния случай. 2. Изчисляваме w = s − 1 (mod n) . 3. И пак изчисляваме (много изчисления, бре) u1 = ew(mod n) и u2 = rw(mod n) . 4. Изчисляваме (x1,y1) = u1G + u2QA . 5. Подписът е валиден ако r = x1(mod n) ‏

Да, размяната на ключовете е базирана на Diffie-Hellman алгоритъм, както и при OpenID

Mалко теория SEP{ OpenID – този път за последно ОTP 1. Потребителят генерира случайна комбинация от символи от своя телефон, като заявката за генериране е подписана по ECDSA алгоритъма 2. Тази комбинация - OTP парола, служи за да се представи и удостовери потребителя в OpenID услугата ( Нещо, което нося ) ‏ 3. След това може да управлява сам самоличността си.

Mалко теория Седем прости правила, за да излизаш с дъщеря ми: 1. Да те знам кой си (ОpenID/SEP) ‏ 2. Да използваш средства за предпазване на 'комуникацията' (ECDSA) ‏ 3. Да не спамиш (SEP Spam защита) ‏ 4. Да си вярвате, значи :) (Shibboleth)‏ 5. 6. 7.

Mалко теория Седем прости правила, за да излизаш с дъщеря ми: И коя е дъщеря ми .... ...ми питайте Google.

Крайна точка Ако темата ви е интересна, конференция за това, ще се проведе през април 2009: http ://p2p. wtconferences . com Какво да направите още: - посетете щанда на СЕП във фоайето - задайте ми въпроси - ха да видим отговора и въпросите

Благодаря , че ви има и че сме тук на празника на свободата - Край -

http://www.bogomil.info	195
http://mozgull.bogomil.info	36
http://bogomil.info	32
http://talkweb.eu	25
http://www.favit.bg	1
http://www.slideshare.net	1
http://translate.googleusercontent.com	1

Secure OpenID

by Bogomil Shopov on Nov 19, 2008

Accessibility

Upload Details

Usage Rights

7 Embeds 291

Statistics

Secure OpenID — Presentation Transcript