Vergleich  von PKI, AAI und IDM  

Inhaltsverzeichnis

Abbildungsverzeichnis   

Abbildungsverzeichnis   

1.  Einleitung  3

Abbildung  1: Public Key Encryption  4

2.  Public Key Infrastructure (PKI)  4

Abbildung  2: ohne AAI, Pilotprojekt Universitäten.  6

3.  Authentifizierungs- und Autorisierungsinfrastruktur (AAI)  6

Abbildung  3: mit AAI, Pilotprojekt Universitäten  6

3.1  Single Sign On  6

Abbildung  4: Directory Information Tree  9

3.1.1  Vorteile.  6

Abbildung  5: Vergleich von PKI und AAI  11

3.1.2  Nachteile.  7

Abbildung  6: Zusammenhang zwischen PKI und IDM  11

3.1.3  Auswirkungen eines SSO auf die AAI  7

Abbildung  7: Vergleich von AAI und IDM  12

3.1.4  Implementierungsbeispiel mit Shibboleth  7

Abbildung  8: Zusammenhang AAI, PKI und IDM  12

4.  Identitätsmanagement (IDM)  8

4.1  Physische Identität  8

4.2  Digitale Identität. 8 Tabellenverzeichnis  

4.3  Virtuelle Identität  8

Tabelle 1:  Komponenten einer PKI. Fehler Textmarke nicht  

4.4  Das Identitätsmanagement  8

definiert.   

4.4.1  IDM in Unternehmen.  8

Tabelle 2:  Vergleich PKI, AAI und IDM.  13

4.5  Vor- und Nachteile vom Identitätsmanagement  9

4.5.1  Vorteile.  9

4.5.2  Nachteile.  9

4.6  Verfahren des Identitätsmanagement  9

4.6.1  Verzeichnisdienste.  9

4.6.2  Single-Sign-On (SSO)  9

4.6.3  Role Based Access Control  10

4.7  Implementierungsbeispiel SOA  10

5.  Vergleich PKI, AAI und IDM  11

5.1  PKI vs. AAI.  11

5.2  PKI vs. IDM.  11

5.3  AAI vs. IDM  12

5.4  Zusammenfassung der Vergleiche  12

Quellen   14

Glossar 1. Einleitung

Offene Netzwerke wie das Internet haben in der heutigen Zeit eine

PMI  (Privileg  Management  Infrastructure)   

Permission to make digital or hard copies of all or part of this work for Conference’04, Month 1-2, 2004, City, State, Country. personal or classroom use is granted without fee provided that copies are Copyright 2004 ACM 1-58113-000-0/00/0004…$5.00. not made or distributed for profit or commercial advantage and that copies bear this notice and the full citation on the first page. To copy otherwise, or republish, to post on servers or to redistribute to lists, requires prior specific permission and/or a fee.

¹ Stellt die Vertraulichkeit, Verfügbarkeit und Integrität der

Informationsverbreitenden und -lagernden Systemen sicher

Um den Status von Zertifikaten abzufragen, werden häufig Protokolle wie beispielsweise das OCSP eingesetzt.

2. Public Key Infrastructure (PKI)

Die Kommunikation innerhalb einer PKI läuft dabei nach Die Public Key Infrastructure ist ein System aus der Kryptologie, folgendem Muster ab:

welches digitale Zertifikate ausstellen, verteilen und prüfen kann. ² Jeder in dem (PKI-) Netzwerk registrierte Sender oder Empfänger Die Zertifikate dienen dabei der Absicherung der besitzt einen öffentlichen (public) und einen privaten (private) rechnergestützten Kommunikation innerhalb einer PKI. ³ Schlüssel (key). Damit für den Sender sichergestellt werden kann, dass der Kommunikationspartner auch wirklich derjenige ist, für Um einen Überblick des Aufbaus einer PKI zu erlangen, werden den die Nachricht bestimmt ist, kontrolliert dieser zunächst das im Folgenden die Komponenten, die zu einer PKI gehören Zertifikat, welches die Echtheit des öffentlichen Schlüssels des benannt und beschrieben.

Empfängers verifizieren soll. ⁷ Dieses Zertifikat beinhaltet zum Certification Authority - CA: Beispiel Informationen über den Zulassungs-und

Anwendungsbereich des öffentlichen Schlüssels. Die Echtheit des Die CA gibt die Zertifikate, die innerhalb einer PKI bestehen aus. Zertifikats wird hierbei wiederum durch eine Signatur, die mit Dabei folgt der Aufbau der Zertifizierungsstellen dem einer Hilfe des öffentlichen Schlüssels des Zertifikatausstellers Baumstruktur. Es gibt eine Wurzelzertifizierungsstelle, welche die überprüft werden kann, sichergestellt. ⁸ Basis des Vertrauens bildet. Unterhalb dieser Wurzel gibt es weitere Zertifizierungsstellen, welche wiederum Nachfolger Damit der Sender seine Nachricht sicher an den Empfänger haben. Die Vertrauenswürdigkeit dieser Zertifizierungsstellen ist schicken kann, benötigt dieser nun zunächst den öffentlichen sehr wichtig, denn sobald eine dieser Zertifizierungsstelle nicht Schlüssel des Empfängers (dessen Echtheit er mittels des mehr vertrauenswürdig erscheint, sind alle in der Hierarchie Zertifikats überprüft). Diesen erhält er zum Beispiel per Mail oder darunter liegenden in Bezug auf ihre Vertrauenswürdigkeit von einer Web-Site. ⁹ Anschließend benutzt er diesen öffentlichen ebenfalls kritisch zu hinterfragen. 4

Schlüssel, um damit seine Nachricht zu verschlüsseln. Aufgrund der Tatsache, dass der public und der privat key zueinander invers Eine weltweit aufgestellte PKI gibt es in der Praxis jedoch nicht. sind ¹⁰ , kann der Empfänger die verschlüsselte Nachricht nun mit Stattdessen gibt es meist in einzelnen Ländern oder in seinem privaten Schlüssel entschlüsseln. ¹¹ Kryptosysteme wie Unternehmen eigenen PKIs, die eine eigene Wurzelinstanz dieses, bei denen jede der kommunizierenden Parteien ein solches besitzen und darunter nach hierarchischem Muster weitere Zertifizierungsstellen. ⁵ Um diese unterschiedlichen PKIs Schlüsselpaar besitzt, werden als asymmetrische Kryptosysteme bezeichnet. ¹² Der Ablauf ist in der folgenden Abbildung noch miteinander zu vernetzten, werden sogenannte Crosseinmal dargestellt. Zertifizierungen verwendet. Hierbei sprechen sich zwei gleichberechtigte Partner (in der Regel

Wurzelzertifizierungsstellen) das Vertrauen aus. Die Regelungen

der einen PKI sind dabei aber immer nur soweit für die andere PKI verbindlich, solange sie nicht deren Regelungen widersprechen. Dies kann also häufig zu Konflikten führen. 6

Registration Authority - RA:

Die Verbindung zwischen öffentlichem Schlüssel, der Identität des Nutzers sowie dazugehörige Attribute wird durch die RA überprüft und sichergestellt.

Trust Center:

Häufig werden die Aufgaben der CA und der RA in einem Trust Center zusammengefügt. Das Trust Center arbeitet dabei nach bestimmten Regeln, die in einer Policy (Certifiacation Practice Statement - CPS) festgehalten sind. Hierbei werden unter anderem der Ablauf der Authentifizierung von Benutzern oder Abbildung 1: Public Key Encryption (Quelle: [IO09]) rechtliche und finanzielle Bedingungen geregelt.

Certification Revocation List - CRL:

Sichere Kryptosysteme, wie zum Beispiel die asymmetrische Zertifikate, die vor Ablauf ihrer Gültigkeit zurückgezogen Verschlüsselung können nach dem heutigen Stand der Technik, wurden, werden in einer Sperrliste der CRL verwaltet. insofern geeignete Parameter, wie eine ausreichende Online Certifiacte Status Protocol - OCSP: Schlüssellänge (momentan gilt eine 4096 Bit Verschlüsselung als

⁷ Vgl. [WPPKI09]

² Vgl. [KT07], S. 1176 ⁸ Vgl. [KT07], S. 1176 ff

³ Vgl. [KT07], S. 1176 ⁹ Vgl. [WPPKI09]

⁴ Vgl. [KT07], S. 1175 ¹⁰ Vgl. [UKA09]

⁵ Vgl. [WPPKI09] ¹¹ Vgl. [KT07], S. 1176

⁶ Vgl. [GO05] ¹² Vgl. [WPAK09]

ausreichend) gewählt wurden, auch bei Kenntnis des Verfahrens nicht zeitnah geknackt werden.

Die innerhalb einer PKI ausgestellten Zertifikate besitzen eine zeitlich begrenzte Gültigkeit. Die DFN ¹³ hat beispielsweise folgende Gültigkeiten festgelegt:

• Zertifikate von Zertifizierungsstellen maximal 12 Jahre

• Zertifikate für Datenverarbeitungssysteme maximal 5 Jahre

• Nutzerzertifikate (natürliche Personen) maximal 3

Jahre ¹⁴  

Die Beschränkung der Gültigkeit hat folgende Gründe:

• Ein Nutzer könnte inaktiv werden und jemand anderes, der dieses Zertifikat entdeckt, könnte sich dann als der andere Nutzer ausgeben

• Informationen über den Nutzer können sich verändert haben (z.B. Name, Unternehmen)

• Auch eine Sperrung des Zertifikats ist möglich, wenn

der Besitzer z.B. seinen privaten Schlüssel verloren hat ¹⁵  

Häufig werden digitale Zertifikate bei der verschlüsselten Datenübertragung zwischen Webbrowser und Webserver unter Verwendung des SSL Protokolls eingesetzt. 16

¹³ Deutsches Forschungsnetz

¹⁴ Vgl. [DFN06], S. 22

¹⁵ Vgl. [SRPKI09]

¹⁶ Vgl. [HN04], S. 301 f