PersoApp - Sichere und benutzerfreundliche Internetanwendungen
1. Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.
PersoApp
Sichere und benutzerfreundliche Internetanwendungen
OMNICARD 2014
Berlin, 21. Januar 2014
!
Prof. Dr. Ahmad-Reza Sadeghi
Dr. Sven Wohlgemuth
!
Konsortialleitung
Technische Universität Darmstadt
Center for Advanced Security Research Darmstadt (CASED)
2. Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth
PersoApp – Open-Source-Community
Bürger, Regierung, Wirtschaft und Wissenschaft
• Einführung des neuen Personalausweises im November 2010
• Projekt PersoApp: € 684.880,- bis 31. Dezember 2015
Bundesministerium des Innern (BMI):
• Ziele:
Kernteam von PersoApp:
• AGETO Service GmbH: Open-Source-Bibliothek zur Online Ausweisfunktion
• Fraunhofer SIT: Handlungsempfehlungen zur sicheren Integration
• TU D/CASED: Aufbau der Community, Umfragen,
Use Case, Workshops, …
1. Aufbau einer Open-Source-Community
2. Alternative zum eID-Client der Regierung (AusweisApp)
3. Experimentierplattform für neue Anforderungen, Dienste, …
"2PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.
3. Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.
Projektziele
!3
1. Aufbau einer Open-Source-Community
!
!
!
!
2. Alternative zum eID-Client der Regierung (AusweisApp)
!
!
!
!
3. Experimentierplattform für neue Anforderungen, Dienste, …
!
PersoApp Major Release A1
https://persoapp.googlecode.com
• Internet-Milieus in Deutschland
• Spontaner Informationsaustausch
• Ein digitalisierter Campus
• Spontaner, vertrauenswürdiger Informationsaustausch
• Kontrolle und Transparenz
• Privacy Control und Privacy Forensics
4. Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen. !4
1. Aufbau einer Open-Source-Community
Internet Milieus in Deutschland
Digital Outsiders:
• Pers. Nutzen des Internet nicht
ersichtlich
• Stark verunsichert bei Risiken im
Internet
Digital Immigrants:
• Kommunikation mit Vertrauten &
Recherche
• Stark sensibilisiert für Sicherheit und
Datenschutz
Digital Natives:
• “Always on-line” für pers. Nutzen
• Hohe Internet-Expertise aber geringe
Risikosensibilisierung
https://www.divsi.de/publikationen/studien/divsi-milieu-studie/
• Digital Natives bieten Orientierung und sind Multiplikatoren
• Initiales Community Building an Gymnasien und Universitäten
• Digital Natives haben größten Anteil an Fach-/Hochschulqualifikation
Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.
5. Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.
Szenario: Spontaner Informationsaustausch
Beispiel: Schlüsselaustausch
Integrität und Verfügbarkeit von pkBob
• Voraussetzung ist authentischer Kanal: Persönlicher Austausch, PKI, …
Informatisierte, vernetzte Gesellschaft: Spontaner Informationsaustausch
• Keine globale PKI für Personen
• Mehrseitige IT-Sicherheit: Zurechenbarkeit und Unbeobachtbarkeit explizite Schutzziele
• In Deutschland: 74% möchten ihre Sicherheit an Dritte delegieren
pkBob, pkCA2, pkCA1
“Man in the
middle”
Alice Bob
!5
W. Diffie and M.E. Hellmann. New Directions in Cryptography, 1976; K. Rannenberg. Multilateral Security A Concept and Examples for Balanced Security, 2000; http://www.divsi.de
6. Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth !6
Beispiel: Ein “digitalisierter” Campus
6. Zahlungsfunktion
4. Erwerb einer Qualifikation
5. Vertrauenswürdiger
Informationsaustausch
3. Stellvertreterregelung
7. Nachweis einer Qualifikation
Tagesablauf eines Studenten/Mitarbeiters an einem “digitalisierten” Campus
PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.
2. Spontaner
Informationsaustausch
1. Authentifikation gegenüber persönlichen digitalen Assistenten
7. Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven WohlgemuthPersoApp – Sichere und benutzerfreundliche Internet-Anwendungen. Sichere Identitäten schaffen Vertrauen. !7
Beratung: Beirat
Ausrichtung:
• Beratung des Lenkungsausschusses in Anforderungen und Interessen
• Internationale Besetzung mit Entscheidungsträgern und Interessensvertretern
• Jährliche Treffen (konstituierende Sitzung im September 2013 beim BMI)
D01-QM Organisation und Rollenverteilung; D10-QM Community Building: Konzept, Maßnahmen und Bewertung
43 Mitglieder:
• Nationen: DE, AT, CH, EE, FR und JP
• Wirtschaft, Finanzen, Behörde,
Wissenschaft, Datenschutzbeauftragte
und Standardisierung
• Anwendungsfälle: Mitarbeiterkarte, Cloud
Computing, Zahlungsfunktion, …
• Anforderungen:
• Authentische Daten
• Sichere Dienste
• Verlässliche PKI Dienste
• Nachvollziehbarkeit
• Benutzerfreundlichkeit
• Mobilität
8. Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.
2. Experimentierplattform
pkBob
Alice Bob
Charlie
• Integrität und Verfügbarkeit von pkBob über Dritte
eIDBobeIDAlice
• Zurechenbarkeit und Unbeobachtbarkeit durch eID-Infrastrukturen
!8
pkBob pkBob
9. Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.
• Einseitiges Vertrauen: Keine Kontrolle über Nutzung von pkBob
2. Experimentierplattform
pkBob
Alice Bob
Charlie
• Integrität und Verfügbarkeit von pkBob über Dritte
eIDBobeIDAlice
• Zurechenbarkeit und Unbeobachtbarkeit durch eID-Infrastrukturen
!8
pkBob pkBob
10. Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.
• Einseitiges Vertrauen: Keine Kontrolle über Nutzung von pkBob
Ziel: Mehrseitiges Vertrauensmodell
2. Experimentierplattform
pkBob
Alice Bob
Charlie
• Integrität und Verfügbarkeit von pkBob über Dritte
eIDBobeIDAlice
• Zurechenbarkeit und Unbeobachtbarkeit durch eID-Infrastrukturen
!8
pkBob pkBob
11. Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.
Problem: Unbekannte, nicht-vermeidbare
Schwachstellen
Annahme: Jedes autorisierte IT-System ist als sicher zertifiziert
• Modellierte Abhängigkeiten implizieren Schwachstelle durch nicht-autorisierte Abhängigkeit
(z.B. Eskalation von Rechten, Versteckte Kanäle, Konfigurationsproblem, …)
• Es ist unmöglich automatisiert alle Abhängigkeiten zu entdecken
Fall (a): Passive Abweichung Fall (b): Aktive Abweichung
!9
C. Wang and S. Ju. The Dilemma of Covert Channels Searching, 2005.
12. Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.
Problem: Unbekannte, nicht-vermeidbare
Schwachstellen
Annahme: Jedes autorisierte IT-System ist als sicher zertifiziert
• Modellierte Abhängigkeiten implizieren Schwachstelle durch nicht-autorisierte Abhängigkeit
(z.B. Eskalation von Rechten, Versteckte Kanäle, Konfigurationsproblem, …)
• Es ist unmöglich automatisiert alle Abhängigkeiten zu entdecken
Fall (a): Passive Abweichung Fall (b): Aktive Abweichung
!9
• Störungen können nicht vollständig vermieden werden
• Kompromittiertes IT-System unterscheidet sich nicht von einem
Angreifer
C. Wang and S. Ju. The Dilemma of Covert Channels Searching, 2005.
13. Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen. !10
Ansatz: Kontrolle und Transparenz
Verbesserung von Vertrauen durch Messung mit Privacy Control und Privacy Forensics
eID-Client bewertet individuell Hinweise auf Abweichungen und deren Ursprung
IT-Risikoanalyse
Privacy Control
Privacy ForensicsOptimierung
Usage Control Policy
Toolbox
X
14. Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen. 10
Ansatz: Kontrolle und Transparenz
Verbesserung von Vertrauen durch Messung mit Privacy Control und Privacy Forensics
eID-Client bewertet individuell Hinweise auf Abweichungen und deren Ursprung
IT-Risikoanalyse
Privacy Control
Privacy ForensicsOptimierung
Usage Control Policy
Toolbox
X
Privatsphäre ist ein Hinweis für zuverlässige Datenverarbeitung.
15. Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth !11
Privacy Control
PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.
Qualifikationsnachweis: Nachweis und Widerruf beliebiger Rechte (Teil-Identitäten)
Spezifikation von Isolation durch pseudonymisierte Delegation von Rechten an Dritte
Kontrolle: Individuelle pseudonyme eID mit der eID-Infrastruktur des nPA
S. Wohlgemuth. Privatsphäre durch die Delegation von Rechten, 2008; N. Sonehara, I. Echizen
und S. Wohlgemuth. Isolation in Cloud Computing and Privacy-Enhancing Technologies, 2011
Kontrolle Transparenz
Transparenz
System 1
DP/DC
System 3
DP/DC
System 2
DP/DC
pkBob pkBob pkBob
Policy
16. Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth !11
Privacy Control
PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.
Qualifikationsnachweis: Nachweis und Widerruf beliebiger Rechte (Teil-Identitäten)
Spezifikation von Isolation durch pseudonymisierte Delegation von Rechten an Dritte
Kontrolle: Individuelle pseudonyme eID mit der eID-Infrastruktur des nPA
S. Wohlgemuth. Privatsphäre durch die Delegation von Rechten, 2008; N. Sonehara, I. Echizen
und S. Wohlgemuth. Isolation in Cloud Computing and Privacy-Enhancing Technologies, 2011
Kontrolle Transparenz
Transparenz
System 1
DP/DC
System 3
DP/DC
System 2
DP/DC
pkBob pkBobpkBob
Policy
d
Kontrolle
System 4
DP/DC
d
d
Policy
17. Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.
Transparenz
& Kontrolle
Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth !11
Privacy Control
PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.
Qualifikationsnachweis: Nachweis und Widerruf beliebiger Rechte (Teil-Identitäten)
Spezifikation von Isolation durch pseudonymisierte Delegation von Rechten an Dritte
Kontrolle: Individuelle pseudonyme eID mit der eID-Infrastruktur des nPA
S. Wohlgemuth. Privatsphäre durch die Delegation von Rechten, 2008; N. Sonehara, I. Echizen
und S. Wohlgemuth. Isolation in Cloud Computing and Privacy-Enhancing Technologies, 2011
Kontrolle
Transparenz
System 1
DP/DC
System 3
DP/DC
System 2
DP/DC
pkBob pkBobpkBob
Policy
d
Kontrolle
System 4
DP/DC
d
d
Policy
18. Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen. !12
Privacy Forensics
Transparenz: Data Provenance für Rekonstruktion der Nutzung von pkBob
eID-Client generiert Data Provenance Audit Trail
Transparenz
Kontrolle Transparenz
Transparenz
System 1
DP/DC
System 3
DP/DC
System 2
DP/DC
pkBob
System 4
DP/DC
pkBob
pkBob
System 2
Kontrolle: Individuelle pseudonyme eID mit der eID-Infrastruktur des nPA
D.J. Weitzner, H. Abelson, T. Berners-Lee, J. Feigenbaum, J. Hendler, and G.J. Sussman. Information Accountability, 2008; S.
Wohlgemuth, I. Echizen, N. Sonehara und G. Müller. Tagging Disclosures of Personal Data to Third Parties to Preserve Privacy, 2010.
19. Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen. !12
Privacy Forensics
Transparenz: Data Provenance für Rekonstruktion der Nutzung von pkBob
eID-Client generiert Data Provenance Audit Trail
Transparenz
Kontrolle Transparenz
Transparenz
System 1
DP/DC
System 3
DP/DC
System 2
DP/DC
pkBob
System 4
DP/DC
pkBob
pkBob
System 2
pkBob
System 2
System 3
Kontrolle: Individuelle pseudonyme eID mit der eID-Infrastruktur des nPA
D.J. Weitzner, H. Abelson, T. Berners-Lee, J. Feigenbaum, J. Hendler, and G.J. Sussman. Information Accountability, 2008; S.
Wohlgemuth, I. Echizen, N. Sonehara und G. Müller. Tagging Disclosures of Personal Data to Third Parties to Preserve Privacy, 2010.
20. Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen. !12
Privacy Forensics
Transparenz: Data Provenance für Rekonstruktion der Nutzung von pkBob
eID-Client generiert Data Provenance Audit Trail
Transparenz
Kontrolle Transparenz
Transparenz
System 1
DP/DC
System 3
DP/DC
System 2
DP/DC
pkBob
System 4
DP/DC
pkBob
pkBob
System 2
Kontrolle: Individuelle pseudonyme eID mit der eID-Infrastruktur des nPA
pkBob
System 2
System 3
System 4
pkBob
System 2
System 3
System 4
System 3
D.J. Weitzner, H. Abelson, T. Berners-Lee, J. Feigenbaum, J. Hendler, and G.J. Sussman. Information Accountability, 2008; S.
Wohlgemuth, I. Echizen, N. Sonehara und G. Müller. Tagging Disclosures of Personal Data to Third Parties to Preserve Privacy, 2010.
21. Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen. !12
Privacy Forensics
Transparenz: Data Provenance für Rekonstruktion der Nutzung von pkBob
eID-Client generiert Data Provenance Audit Trail
Transparenz
Kontrolle Transparenz
Transparenz
System 1
DP/DC
System 3
DP/DC
System 2
DP/DC
pkBob
System 4
DP/DC
pkBob
pkBob
System 2
Kontrolle: Individuelle pseudonyme eID mit der eID-Infrastruktur des nPA
pkBob
System 2
System 3
System 4
pkBob
System 2
System 3
System 4
System 3
Erschweren einer nicht-authorisierten
Re-Identifizierung"
Unbeobachtbarkeit
Missbrauch von pkBob kann erkannt
werden"
Zurechenbarkeit
D.J. Weitzner, H. Abelson, T. Berners-Lee, J. Feigenbaum, J. Hendler, and G.J. Sussman. Information Accountability, 2008; S.
Wohlgemuth, I. Echizen, N. Sonehara und G. Müller. Tagging Disclosures of Personal Data to Third Parties to Preserve Privacy, 2010.
22. Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen. !13
Beispiel
Beispielhaftes Privacy
Forensics
• Data Provenance für Bilder
• Abgeleitete Informationen sind nicht
aufgeführt
Identity Forensics
• Überblick zu Nutzung von Daten zu Google Identität
• Zurechenbarkeit, Verfügbarkeit
und Unbeobachtbarkeit
• Zurechenbarkeit und Verfügbarkeit
aber keine Unbeobachtbarkeit
23. Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth !14
Resilienz: Erweiterung für IT-Sicherheit
Resilienz: Ability of an ICT system to provide and maintain an acceptable level of
service in the face of various faults and challenges to normal operation
(Sterbenz et al., 2010)
Akzeptable Durchsetzung von individuellen Sicherheitsinteressen
für einen spontanen Informationsaustausch von pkBob mit dem nPa
Eigene Abbildung nach illustration following (Sheffi, 2005; Günther et al., 2007; McNanus, 2009)
PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.
24. Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth !15
Beteiligen Sie sich!
Twitter über https://www.twitter.com/persoapp"• Information zu Neuigkeiten und Austausch über PersoApp
E-Mailverteiler"• Kontakt: persoapp@trust.cased.de"• Projektleiter: persoapp-projects@trust.cased.de"• Software-Entwickler: persoapp-devel@trust.cased.de"• Projektmitglieder: persoapp-broadcast@trust.cased.de"• Lenkungsausschuss: persoapp-steering@trust.cased.de"• Beirat: persoapp-advisory@trust.cased.de
Code Repository https://persoapp.googlecode.com/"• SVN-Repository"• Issue-Tracker
Internet Portal https://www.persoapp.de"• Forum"• Pre-Release"• Demo- und Testdienst"• Dokumentation"• Veranstaltungskalender
PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.