Zertifikatsbasierte Zugriffskontrolle in verteilten Informationssytemen

Bekannte Techniken für die Verwaltung und Überprüfung von Zertifikaten wurden zur Unterstützung von PKIs entwickelt. Aufgrund verschiedener Defizite dieser Techniken bezüglich Performanz und Sicherheit wird ein eigener Ansatz vorgestellt. Dieser Ansatz greift auf Vorgängerarbeiten zurück, im Wesentl...

Cijeli opis

Spremljeno u:
Bibliografski detalji
Glavni autor: Nochta, Zoltán
Format: Online
Jezik:njemački
Izdano: KIT Scientific Publishing 2021
Teme:
Online pristup:34353
Oznake: Dodaj oznaku
Bez oznaka, Budi prvi tko označuje ovaj zapis!
_version_ 1869517591085580288
author Nochta, Zoltán
author_browse Nochta, Zoltán
author_facet Nochta, Zoltán
author_sort Nochta, Zoltán
collection Directory of Open Access Books
description Bekannte Techniken für die Verwaltung und Überprüfung von Zertifikaten wurden zur Unterstützung von PKIs entwickelt. Aufgrund verschiedener Defizite dieser Techniken bezüglich Performanz und Sicherheit wird ein eigener Ansatz vorgestellt. Dieser Ansatz greift auf Vorgängerarbeiten zurück, im Wesentlichen auf Arbeiten von Ralph Charles Merkle, Irene Gassko et. al und Ahto Buldas. Einen wichtigen Baustein des vorgestellten Ansatzes bildet die Datenstruktur mit der Bezeichnung Improved Certification Verification Tree (I-CVT). Diese ermöglicht die kosteneffiziente und sichere Verwaltung und Überprüfung von Attributszertifikaten und kann die Basis einer sogenannten Privilege Management Infrastructure bilden. Basierend auf der I-CVT-Technik können die mit Attributszertifikaten verbundenen Verwaltungskosten niedrig gehalten werden. Wichtiger noch, dass mit Hilfe von I-CVTs die Überprüfung sowohl einzelner als auch gleichzeitig mehrerer Attributszertifikate einer Zertifizierungsstelle effizient und sicher durchführbar ist. Anhand von I-CVTs lassen sich so genannte Vollständigkeitsbeweise generieren. Diese verhindern die unbemerkte Zurückhaltung von auf eine Anfrage passenden Attributszertifikaten durch die diese speichernde Datenbank. Angenommen wird dabei, dass der Anfragende die Anzahl jener Attributszertifikate im Voraus nicht kennt. Einen Spezialfall für Vollständigkeitsbeweise bilden Anfragen, welche höchstens einen Treffer haben können. In solchen Fällen können so genannte Existenz-Beweise beziehungsweise Nicht-Existenz-Beweise generiert und vom Anfragenden ausgewertet werden, je nach Erfolg der jeweiligen Suche. Die Möglichkeit, solche Beweise zu generieren macht den Einsatz von I-CVTs neben der gewünschten sicheren Zugriffskontrolle auch für zahlreiche andere Szenarien attraktiv, die auf Datenbankanfragen basieren. Aus Sicht der performanten Überprüfung während der Zugriffskontrolle haben Attributszertifikate, welche durch Delegierung entstanden, eine Sonderstellung. Bei der zertifikatsbasierten Rechtedelegierung entstehen so genannte Delegierungsnetzwerke, die in den einfachsten Fällen eine Delegierungskette (engl. Delegation Chain) bilden. Ein solches Netzwerk besteht aus Zertifikaten, die von verschiedenen Stellen ausgestellt wurden. Den vertrauten Ursprung solcher Netzwerke, falls es überhaupt einen gibt, während der Zugriffskontrolle zu finden, kann lange Wartezeiten im System verursachen. Ein Vorschlag von Tuomas Aura den hiermit verbundenen Aufwand zu reduzieren, war die Reduktion derartiger Netzwerke auf Attributszertifikate, welche direkt von vertrauten Instanzen ausgestellt werden. Dies hat eine wesentliche Vereinfachung der Ursprungsprüfung delegierter Berechtigungen zur Folge. Einen sicheren Dienst für diesen Zweck innerhalb einer PMI zu konstruieren wirft aber etliche Probleme auf, welche diskutiert werden. In dieser Arbeit wird deshalb neben anderen Konzepten die Technik der so genannten Offline-Delegierung vorgeschlagen. Sie bietet eine einfache Lösung des Problems, indem die gleiche Nutzfunktionalität - sprich die Weitergabe von Berechtigungen - ganz ohne das Entstehen von Delegierungsnetzwerken geschieht. Dies macht die Ursprungsprüfung der Delegierungen einfacher sowie eine nachträgliche Reduzierung von Delegierungsnetzwerken unnötig. Die kombinierte Verwendung von I-CVTs und der Offline-Delegierung bildet das theoretische Fundament eines prototypisch implementierten Systems mit der Kurzbezeichnung PAMINA (Privilege Administration and Management INfrAstructure). Die den jeweiligen Bedürfnissen anpassbare und erweiterbare Komponenten des Systems PAMINA Administration Server, Privilege Database und Certificate Verifier ermöglichen eine flexible Einführung in eine Betriebsumgebung. Die Tragfähigkeit von PAMINA wurde bei der Absicherung eines an der Universität Karlsruhe entwickelten internetbasierten Lernsystems mit der Bezeichnung ed.tec demonstriert.
format Online
id doab-20.500.12854ir-62918
institution Directory of Open Access Books
language ger
publishDate 2021
publishDateRange 2021
publishDateSort 2021
publisher KIT Scientific Publishing
publisherStr KIT Scientific Publishing
record_format ojs
spelling doab-20.500.12854ir-629182023-12-20T18:40:44Z Zertifikatsbasierte Zugriffskontrolle in verteilten Informationssytemen Nochta, Zoltán QA75.5-76.95 Datensicherung Elektronische Unterschrift Zugriffskontrolle Zugriffsrelation Zertifikat Computersicherheit Zertifizierungsstelle bic Book Industry Communication::U Computing & information technology::UY Computer science Bekannte Techniken für die Verwaltung und Überprüfung von Zertifikaten wurden zur Unterstützung von PKIs entwickelt. Aufgrund verschiedener Defizite dieser Techniken bezüglich Performanz und Sicherheit wird ein eigener Ansatz vorgestellt. Dieser Ansatz greift auf Vorgängerarbeiten zurück, im Wesentlichen auf Arbeiten von Ralph Charles Merkle, Irene Gassko et. al und Ahto Buldas. Einen wichtigen Baustein des vorgestellten Ansatzes bildet die Datenstruktur mit der Bezeichnung Improved Certification Verification Tree (I-CVT). Diese ermöglicht die kosteneffiziente und sichere Verwaltung und Überprüfung von Attributszertifikaten und kann die Basis einer sogenannten Privilege Management Infrastructure bilden. Basierend auf der I-CVT-Technik können die mit Attributszertifikaten verbundenen Verwaltungskosten niedrig gehalten werden. Wichtiger noch, dass mit Hilfe von I-CVTs die Überprüfung sowohl einzelner als auch gleichzeitig mehrerer Attributszertifikate einer Zertifizierungsstelle effizient und sicher durchführbar ist. Anhand von I-CVTs lassen sich so genannte Vollständigkeitsbeweise generieren. Diese verhindern die unbemerkte Zurückhaltung von auf eine Anfrage passenden Attributszertifikaten durch die diese speichernde Datenbank. Angenommen wird dabei, dass der Anfragende die Anzahl jener Attributszertifikate im Voraus nicht kennt. Einen Spezialfall für Vollständigkeitsbeweise bilden Anfragen, welche höchstens einen Treffer haben können. In solchen Fällen können so genannte Existenz-Beweise beziehungsweise Nicht-Existenz-Beweise generiert und vom Anfragenden ausgewertet werden, je nach Erfolg der jeweiligen Suche. Die Möglichkeit, solche Beweise zu generieren macht den Einsatz von I-CVTs neben der gewünschten sicheren Zugriffskontrolle auch für zahlreiche andere Szenarien attraktiv, die auf Datenbankanfragen basieren. Aus Sicht der performanten Überprüfung während der Zugriffskontrolle haben Attributszertifikate, welche durch Delegierung entstanden, eine Sonderstellung. Bei der zertifikatsbasierten Rechtedelegierung entstehen so genannte Delegierungsnetzwerke, die in den einfachsten Fällen eine Delegierungskette (engl. Delegation Chain) bilden. Ein solches Netzwerk besteht aus Zertifikaten, die von verschiedenen Stellen ausgestellt wurden. Den vertrauten Ursprung solcher Netzwerke, falls es überhaupt einen gibt, während der Zugriffskontrolle zu finden, kann lange Wartezeiten im System verursachen. Ein Vorschlag von Tuomas Aura den hiermit verbundenen Aufwand zu reduzieren, war die Reduktion derartiger Netzwerke auf Attributszertifikate, welche direkt von vertrauten Instanzen ausgestellt werden. Dies hat eine wesentliche Vereinfachung der Ursprungsprüfung delegierter Berechtigungen zur Folge. Einen sicheren Dienst für diesen Zweck innerhalb einer PMI zu konstruieren wirft aber etliche Probleme auf, welche diskutiert werden. In dieser Arbeit wird deshalb neben anderen Konzepten die Technik der so genannten Offline-Delegierung vorgeschlagen. Sie bietet eine einfache Lösung des Problems, indem die gleiche Nutzfunktionalität - sprich die Weitergabe von Berechtigungen - ganz ohne das Entstehen von Delegierungsnetzwerken geschieht. Dies macht die Ursprungsprüfung der Delegierungen einfacher sowie eine nachträgliche Reduzierung von Delegierungsnetzwerken unnötig. Die kombinierte Verwendung von I-CVTs und der Offline-Delegierung bildet das theoretische Fundament eines prototypisch implementierten Systems mit der Kurzbezeichnung PAMINA (Privilege Administration and Management INfrAstructure). Die den jeweiligen Bedürfnissen anpassbare und erweiterbare Komponenten des Systems PAMINA Administration Server, Privilege Database und Certificate Verifier ermöglichen eine flexible Einführung in eine Betriebsumgebung. Die Tragfähigkeit von PAMINA wurde bei der Absicherung eines an der Universität Karlsruhe entwickelten internetbasierten Lernsystems mit der Bezeichnung ed.tec demonstriert. 2021-02-12T08:56:33Z 2021-02-12T08:56:33Z 2019-07-30 20:01:57 2005 book 34353 3937300309 https://directory.doabooks.org/handle/20.500.12854/62918 ger image/jpeg https://www.ksp.kit.edu/3937300309 KIT Scientific Publishing 10.5445/KSP/1000001172 10.5445/KSP/1000001172 68fffc18-8f7b-44fa-ac7e-0b7d7d979bd2 3937300309 178 p. open access
spellingShingle QA75.5-76.95
Datensicherung
Elektronische Unterschrift
Zugriffskontrolle
Zugriffsrelation
Zertifikat
Computersicherheit
Zertifizierungsstelle
bic Book Industry Communication::U Computing & information technology::UY Computer science
Nochta, Zoltán
Zertifikatsbasierte Zugriffskontrolle in verteilten Informationssytemen
title Zertifikatsbasierte Zugriffskontrolle in verteilten Informationssytemen
title_full Zertifikatsbasierte Zugriffskontrolle in verteilten Informationssytemen
title_fullStr Zertifikatsbasierte Zugriffskontrolle in verteilten Informationssytemen
title_full_unstemmed Zertifikatsbasierte Zugriffskontrolle in verteilten Informationssytemen
title_short Zertifikatsbasierte Zugriffskontrolle in verteilten Informationssytemen
title_sort zertifikatsbasierte zugriffskontrolle in verteilten informationssytemen
topic QA75.5-76.95
Datensicherung
Elektronische Unterschrift
Zugriffskontrolle
Zugriffsrelation
Zertifikat
Computersicherheit
Zertifizierungsstelle
bic Book Industry Communication::U Computing & information technology::UY Computer science
topic_facet QA75.5-76.95
Datensicherung
Elektronische Unterschrift
Zugriffskontrolle
Zugriffsrelation
Zertifikat
Computersicherheit
Zertifizierungsstelle
bic Book Industry Communication::U Computing & information technology::UY Computer science
url 34353
work_keys_str_mv AT nochtazoltan zertifikatsbasiertezugriffskontrolleinverteilteninformationssytemen