persoapp - sichere und benutzerfreundliche internetanwendungen

Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.

PersoAppSichere und benutzerfreundliche Internetanwendungen

OMNICARD 2014 Berlin, 21. Januar 2014

!Prof. Dr. Ahmad-Reza Sadeghi

Dr. Sven Wohlgemuth !

Konsortialleitung Technische Universität Darmstadt

Center for Advanced Security Research Darmstadt (CASED)

Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth

PersoApp – Open-Source-Community Bürger, Regierung, Wirtschaft und Wissenschaft

• Einführung des neuen Personalausweises im November 2010

• Projekt PersoApp: € 684.880,- bis 31. Dezember 2015

Bundesministerium des Innern (BMI):

• Ziele:

Kernteam von PersoApp:

• AGETO Service GmbH: Open-Source-Bibliothek zur Online Ausweisfunktion

• Fraunhofer SIT: Handlungsempfehlungen zur sicheren Integration

• TU D/CASED: Aufbau der Community, Umfragen, Use Case, Workshops, …

1. Aufbau einer Open-Source-Community

2. Alternative zum eID-Client der Regierung (AusweisApp)

3. Experimentierplattform für neue Anforderungen, Dienste, …

"2PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.


Projektziele

!3

1. Aufbau einer Open-Source-Community !

!!!2. Alternative zum eID-Client der Regierung (AusweisApp) !!!!

3. Experimentierplattform für neue Anforderungen, Dienste, … !

PersoApp Major Release A1 https://persoapp.googlecode.com

• Internet-Milieus in Deutschland • Spontaner Informationsaustausch • Ein digitalisierter Campus

• Spontaner, vertrauenswürdiger Informationsaustausch • Kontrolle und Transparenz • Privacy Control und Privacy Forensics

https://persoapp.googlecode.com

Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen. !4

1. Aufbau einer Open-Source-Community Internet Milieus in Deutschland

Digital Outsiders:• Pers. Nutzen des Internet nicht

ersichtlich

• Stark verunsichert bei Risiken im Internet

Digital Immigrants:• Kommunikation mit Vertrauten &

Recherche• Stark sensibilisiert für Sicherheit und

Datenschutz

Digital Natives:• “Always on-line” für pers. Nutzen

• Hohe Internet-Expertise aber geringe Risikosensibilisierung

https://www.divsi.de/publikationen/studien/divsi-milieu-studie/

• Digital Natives bieten Orientierung und sind Multiplikatoren

• Initiales Community Building an Gymnasien und Universitäten

• Digital Natives haben größten Anteil an Fach-/Hochschulqualifikation



Szenario: Spontaner Informationsaustausch Beispiel: Schlüsselaustausch

Integrität und Verfügbarkeit von pkBob • Voraussetzung ist authentischer Kanal: Persönlicher Austausch, PKI, …

Informatisierte, vernetzte Gesellschaft: Spontaner Informationsaustausch • Keine globale PKI für Personen • Mehrseitige IT-Sicherheit: Zurechenbarkeit und Unbeobachtbarkeit explizite Schutzziele • In Deutschland: 74% möchten ihre Sicherheit an Dritte delegieren

pkBob, pkCA2, pkCA1

“Man in the middle”

Alice Bob

!5

W. Diffie and M.E. Hellmann. New Directions in Cryptography, 1976; K. Rannenberg. Multilateral Security A Concept and Examples for Balanced Security, 2000; http://www.divsi.de

http://www.divsi.de

Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth !6

Beispiel: Ein “digitalisierter” Campus

6. Zahlungsfunktion

4. Erwerb einer Qualifikation5. Vertrauenswürdiger Informationsaustausch

3. Stellvertreterregelung

7. Nachweis einer Qualifikation

Tagesablauf eines Studenten/Mitarbeiters an einem “digitalisierten” Campus

PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.

2. Spontaner Informationsaustausch

1. Authentifikation gegenüber persönlichen digitalen Assistenten

Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven WohlgemuthPersoApp – Sichere und benutzerfreundliche Internet-Anwendungen. Sichere Identitäten schaffen Vertrauen. !7

Beratung: BeiratAusrichtung: • Beratung des Lenkungsausschusses in Anforderungen und Interessen • Internationale Besetzung mit Entscheidungsträgern und Interessensvertretern • Jährliche Treffen (konstituierende Sitzung im September 2013 beim BMI)

D01-QM Organisation und Rollenverteilung; D10-QM Community Building: Konzept, Maßnahmen und Bewertung

43 Mitglieder: • Nationen: DE, AT, CH, EE, FR und JP • Wirtschaft, Finanzen, Behörde,

Wissenschaft, Datenschutzbeauftragte und Standardisierung

• Anwendungsfälle: Mitarbeiterkarte, Cloud Computing, Zahlungsfunktion, …

• Anforderungen: • Authentische Daten • Sichere Dienste • Verlässliche PKI Dienste • Nachvollziehbarkeit • Benutzerfreundlichkeit • Mobilität


2. Experimentierplattform

pkBob

Alice Bob

Charlie

• Integrität und Verfügbarkeit von pkBob über Dritte

eIDBobeIDAlice

• Zurechenbarkeit und Unbeobachtbarkeit durch eID-Infrastrukturen

!8

pkBob pkBob


• Einseitiges Vertrauen: Keine Kontrolle über Nutzung von pkBob


pkBob

Alice Bob

Charlie


eIDBobeIDAlice


!8

pkBob pkBob


• Einseitiges Vertrauen: Keine Kontrolle über Nutzung von pkBob

Ziel: Mehrseitiges Vertrauensmodell


pkBob

Alice Bob

Charlie


eIDBobeIDAlice


!8

pkBob pkBob


Problem: Unbekannte, nicht-vermeidbare Schwachstellen

Annahme: Jedes autorisierte IT-System ist als sicher zertifiziert

• Modellierte Abhängigkeiten implizieren Schwachstelle durch nicht-autorisierte Abhängigkeit (z.B. Eskalation von Rechten, Versteckte Kanäle, Konfigurationsproblem, …)

• Es ist unmöglich automatisiert alle Abhängigkeiten zu entdecken

Fall (a): Passive Abweichung Fall (b): Aktive Abweichung

!9

C. Wang and S. Ju. The Dilemma of Covert Channels Searching, 2005.


Problem: Unbekannte, nicht-vermeidbare Schwachstellen

Annahme: Jedes autorisierte IT-System ist als sicher zertifiziert

• Modellierte Abhängigkeiten implizieren Schwachstelle durch nicht-autorisierte Abhängigkeit (z.B. Eskalation von Rechten, Versteckte Kanäle, Konfigurationsproblem, …)

• Es ist unmöglich automatisiert alle Abhängigkeiten zu entdecken

Fall (a): Passive Abweichung Fall (b): Aktive Abweichung

!9

• Störungen können nicht vollständig vermieden werden • Kompromittiertes IT-System unterscheidet sich nicht von einem

Angreifer

C. Wang and S. Ju. The Dilemma of Covert Channels Searching, 2005.

Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen. !10

Ansatz: Kontrolle und TransparenzVerbesserung von Vertrauen durch Messung mit Privacy Control und Privacy Forensics

eID-Client bewertet individuell Hinweise auf Abweichungen und deren Ursprung

IT-Risikoanalyse

Privacy Control

Privacy ForensicsOptimierung

Usage Control Policy Toolbox

X

Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen.Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth PersoApp – Eine Open-Source-Community zum neuen Personalausweis. Sichere Identitäten schaffen Vertrauen. 10

Ansatz: Kontrolle und TransparenzVerbesserung von Vertrauen durch Messung mit Privacy Control und Privacy Forensics

eID-Client bewertet individuell Hinweise auf Abweichungen und deren Ursprung

IT-Risikoanalyse

Privacy Control

Privacy ForensicsOptimierung

Usage Control Policy Toolbox

X

Privatsphäre ist ein Hinweis für zuverlässige Datenverarbeitung.


Privacy Control


Qualifikationsnachweis: Nachweis und Widerruf beliebiger Rechte (Teil-Identitäten)

Spezifikation von Isolation durch pseudonymisierte Delegation von Rechten an Dritte

Kontrolle: Individuelle pseudonyme eID mit der eID-Infrastruktur des nPA

S. Wohlgemuth. Privatsphäre durch die Delegation von Rechten, 2008; N. Sonehara, I. Echizen und S. Wohlgemuth. Isolation in Cloud Computing and Privacy-Enhancing Technologies, 2011

Kontrolle Transparenz

Transparenz

System 1 DP/DC

System 3 DP/DC

System 2 DP/DCpkBob pkBob pkBob

Policy


Privacy Control







Transparenz

System 1 DP/DC

System 3 DP/DC

System 2 DP/DCpkBob pkBobpkBob

Policy

d

Kontrolle

System 4 DP/DC

d

d

Policy


Transparenz & Kontrolle

Prof. Dr. Ahmad-Reza Sadeghi und Dr. Sven Wohlgemuth !11

Privacy Control






Kontrolle

Transparenz

System 1 DP/DC

System 3 DP/DC

System 2 DP/DCpkBob pkBobpkBob

Policy

d

Kontrolle

System 4 DP/DC

d

d

Policy


Privacy ForensicsTransparenz: Data Provenance für Rekonstruktion der Nutzung von pkBobeID-Client generiert Data Provenance Audit Trail

Transparenz


Transparenz

System 1 DP/DC

System 3 DP/DC

System 2 DP/DCpkBob

System 4 DP/DC

pkBob

pkBob

System 2


D.J. Weitzner, H. Abelson, T. Berners-Lee, J. Feigenbaum, J. Hendler, and G.J. Sussman. Information Accountability, 2008; S. Wohlgemuth, I. Echizen, N. Sonehara und G. Müller. Tagging Disclosures of Personal Data to Third Parties to Preserve Privacy, 2010.



Transparenz


Transparenz

System 1 DP/DC

System 3 DP/DC

System 2 DP/DCpkBob

System 4 DP/DC

pkBob

pkBob

System 2pkBob

System 2 System 3





Transparenz


Transparenz

System 1 DP/DC

System 3 DP/DC

System 2 DP/DCpkBob

System 4 DP/DC

pkBob

pkBob

System 2


pkBob

System 2 System 3 System 4

pkBob

System 2 System 3 System 4 System 3




Transparenz


Transparenz

System 1 DP/DC

System 3 DP/DC

System 2 DP/DCpkBob

System 4 DP/DC

pkBob

pkBob

System 2


pkBob

System 2 System 3 System 4

pkBob

System 2 System 3 System 4 System 3

Erschweren einer nicht-authorisierten Re-Identifizierung"

Unbeobachtbarkeit

Missbrauch von pkBob kann erkannt werden"

Zurechenbarkeit



Beispiel

Beispielhaftes Privacy Forensics• Data Provenance für Bilder

• Abgeleitete Informationen sind nicht aufgeführt

Identity Forensics

• Überblick zu Nutzung von Daten zu Google Identität

• Zurechenbarkeit, Verfügbarkeit und Unbeobachtbarkeit

• Zurechenbarkeit und Verfügbarkeit aber keine Unbeobachtbarkeit


Resilienz: Erweiterung für IT-SicherheitResilienz: Ability of an ICT system to provide and maintain an acceptable level of service in the face of various faults and challenges to normal operation (Sterbenz et al., 2010)

Akzeptable Durchsetzung von individuellen Sicherheitsinteressen für einen spontanen Informationsaustausch von pkBob mit dem nPa

Eigene Abbildung nach illustration following (Sheffi, 2005; Günther et al., 2007; McNanus, 2009)



Beteiligen Sie sich!

Twitter über https://www.twitter.com/persoapp"• Information zu Neuigkeiten und Austausch über PersoApp

E-Mailverteiler"• Kontakt: [email protected]"• Projektleiter: [email protected]"• Software-Entwickler: [email protected]"• Projektmitglieder: [email protected]"• Lenkungsausschuss: [email protected]"• Beirat: [email protected]

Code Repository https://persoapp.googlecode.com/"• SVN-Repository"• Issue-Tracker

Internet Portal https://www.persoapp.de"• Forum"• Pre-Release"• Demo- und Testdienst"• Dokumentation"• Veranstaltungskalender
