Titelaufnahme

Titel
ABC for Privacy. Implementierung eines Demonstrationsmodells für Privatsphärenbewahrende Authentifizierung in der Rechnerwolke / vorgelegt von Dominik Koehle
Weitere Titel
ABC for Privacy. Implementing a Demonstrator Model for Privacy-Preserving Authentication in the Cloud
AutorInnenKoehle, Dominik
GutachterHaböck, Ulrich
Erschienen2018
Umfangvii, 57 Blatt : Illustrationen
HochschulschriftWien, FH Campus Wien, Masterarb., 2018
Datum der AbgabeJuli 2018
SpracheEnglisch
DokumenttypMasterarbeit
Schlagwörter (DE)ABC / Android / Identitätsmanagement / Implementierung / OAuth 2.0 / privatsphärenbewahrenden Authentisierung / Proxy-Neu-Verschlüsselung / Python / QR-Code
Schlagwörter (EN)ABC / Android / identity management / implementation / OAuth 2.0 / privacy-preserving authentication / proxy re-encryption / Python / QR code
Schlagwörter (GND)Identitätsverwaltung
URNurn:nbn:at:at-fhcw:1-3621 Persistent Identifier (URN)
Zugriffsbeschränkung
 Das Werk ist frei verfügbar
Dateien
ABC for Privacy. Implementierung eines Demonstrationsmodells für Privatsphärenbewahrende Authentifizierung in der Rechnerwolke [4.12 mb]
Links
Nachweis
Klassifikation
Zusammenfassung (Deutsch)

Diese Arbeit beschreibt den Entwurf und die Entwicklung eines Demonstrationsmodells für ein privatsphärenbewahrendes Identitätsmanagement-System (IdM-System) welches auf dem CREDENTIAL-Rahmenwerk basiert. Das Hauptproblem gegenwaertiger IdM-Systeme liegt in der Tatsache, dass die Nutzerin dem Identitäsprovider (IdP) seine Identität anvertrauen muss: um seinen Zweck erfüllen zu können (d.h. Bereitstellung der Identitätsinformationen seiner Nutzerinnen/Nutzer an Fremdservices), muss der IdP zuallererst die Identitätsinformationen seiner Nutzerinnen/Nutzer kennen.

Das CREDENTIAL-Team hat ein Rahmenwerk für ein IdM-System entwickelt, in dem der IdP keinen Klartext-Zugriff zu den Identitätsinformationen seiner Nutzerinnen und Nutzer hat. Stattdessen verwaltet er diese Informationen in verschlüsselter Form. Wann immer der IdP von der Nutzerin beauftragt wird, ihre Identitätsinformationen für ein spezifisches Fremdservice bereitzustellen, wendet der IdP eine sogenannte re-encryption (Wieder/Neu-Verschlüsselung) auf die Kopie ihrer Informationen an, sodass nur das spezifische Fremdservice diese entschlüsseln kann. Die Verwendung von OAuth 2.0, ein weitverbreitetes Rahmenwerk für delegierte Authorisierung (das grundlegende Konzept eines bestimmten Typus von IdM-System), und die Einführung attributbasierter Beglaubigungen (englisch: „attribute-based credentials“, ABCs) als Speicher/Kontainer für die Identitätsinformationen der Nutzerinnen und Nutzer erlaubte die Umsetzung eines IdM-Systems welches nicht nur einfach zum Benutzen (im Vergleich zu Smartcard-Technologien) sondern auch sicher und privatsphärenbewahrend (weil Nutzerinnen/Nutzer die volle Kontrolle über ihre Daten haben) ist.

Die Arbeit erklärt, wie das Problem der Nutzerauthentisierung um der Nutzerin überhaupt zu erlauben, Fremdservices zugriff zu ihren Informationen zu gewähren auf einem nicht vertrauenswürdigen Endgerät mit der Einführung eines separaten, vertrauten Endgerätes, welches die Nutzerin (sowieso schon) bei sich trägt (z.B. ihr Smartphone oder Tablet), gelöst. Es wird der Entwurf der Protokolle für die Koppelung von Engerät und System beschrieben, wie auch das Hochladen von Beglaubigungen („certificates“) und Authorisierung von Zugriffsanfragen von Fremdservices auf die Identitätsinformationen der Nutzerinnen und Nutzer der eigentliche Hauptverwendungszweck des Systems. Weiters beschreibt die Arbeit Details zur eigentlichen Implementierung und eine Dokumentation wie die einzelnen Systemkomponenten installiert und konfiguriert werden als auch eine Schritt-für-Schritt-Anleitung für potentielle Nutzerinnen und Nutzer, wie sie das System verwenden können. Am Ende steht eine Diskussion der Anwendbarkeit eines IdM-Systems in welchem der IdP die Fähigkeit verloren hat, sämtliche Informationen, welche seine Nutzerinnen und Nutzer bei ihm hochladen, zu verstehen. Es wird argumentiert, dass die Einführung und der Betrieb solch eines privatsphärenbewahrenden IdM-Systems Regierungen die Möglichkeit gibt, zu zeigen, dass sie den Datenschutz (d.h. den Schutz der Privatspäre ihrer Bürger) ernst nehmen.

Zusammenfassung (Englisch)

This thesis describes the design and development of a demonstrator model for a privacy-preserving identity management (IdM) system that is based on the CREDENTIAL framework. The main issue with current IdM systems lies in the fact that the user must trust the identity provider (IdP) with their identity: to be able to fulfill its purpose (i.e. providing users identity information to third-party applications/services on behalf of the users) the IdP, first of all, needs to know the users identity information.

The CREDENTIAL team developed a framework for an IdM system where the IdP does not have access to a users identity information in cleartext. Instead, it manages all users identity information in encrypted form. Whenever the user needs the IdP to provide some of her identity information to a specific third-party service, the IdP re-encrypts a copy of the information so that only the specified service is able to decrypt again. By utilizing OAuth 2.0, a widely-used framework for delegated authorization (i.e. the underlying concept of a type of IdM system), and introducing attribute-based credentials (ABCs) as a means for storing the users identity information, we were able to implement an IdM system that is not only easy to use (compared to some smartcard technologies) but also secure and privacy-preserving (because users are in full control over their data).

The thesis explains how the problem of authenticating a user to allow her to grant third-party services access to her information via an untrusted device was solved by introducing a separate, trusted device the user carries with her (e.g. her smartphone or tablet). It describes the design of the protocols for linking this device with the system, uploading credentials to the system and authorizing third-parties access requests to a users identity information the systems main use case. Furthermore, specifics regarding the actual implementation are described. The thesis also contains documentation on how to install and set up all the components of the sytem as well as a step-by-step guide for a potential user on how to use the system. Finally, we discuss the applicability of an IdM system where the IdP lost the capability of learning/knowing all the (identity) information its users provide. We argue that it might be a good opportunity for governments to show that they care about the privacy of their citizens by providing such privacy-preserving IdM systems for them.

Statistik
Das PDF-Dokument wurde 11 mal heruntergeladen.
Lizenz
CC-BY-Lizenz (4.0)Creative Commons Namensnennung 4.0 International Lizenz