Zertifikatsbasierte Zugriffskontrolle in verteilten Informationssytemen

Abstract

Bekannte Techniken für die Verwaltung und Überprüfung von Zertifikaten wurden zur Unterstützung von PKIs entwickelt. Aufgrund verschiedener Defizite dieser Techniken bezüglich Performanz und Sicherheit wird ein eigener Ansatz vorgestellt. Dieser Ansatz greift auf Vorgängerarbeiten zurück, im Wesentlichen auf Arbeiten von Ralph Charles Merkle, Irene Gassko et. al und Ahto Buldas. Einen wichtigen Baustein des vorgestellten Ansatzes bildet die Datenstruktur mit der Bezeichnung Improved Certification Verification Tree (I-CVT). Diese ermöglicht die kosteneffiziente und sichere Verwaltung und Überprüfung von Attributszertifikaten und kann die Basis einer sogenannten Privilege Management Infrastructure bilden. Basierend auf der I-CVT-Technik können die mit Attributszertifikaten verbundenen Verwaltungskosten niedrig gehalten werden. Wichtiger noch, dass mit Hilfe von I-CVTs die Überprüfung sowohl einzelner als auch gleichzeitig mehrerer Attributszertifikate einer Zertifizierungsstelle effizient und sicher durchführbar ist. Anhand von I-CVTs lassen sich so genannte Vollständigkeitsbeweise generieren. Diese verhindern die unbemerkte Zurückhaltung von auf eine Anfrage passenden Attributszertifikaten durch die diese speichernde Datenbank. Angenommen wird dabei, dass der Anfragende die Anzahl jener Attributszertifikate im Voraus nicht kennt. Einen Spezialfall für Vollständigkeitsbeweise bilden Anfragen, welche höchstens einen Treffer haben können. In solchen Fällen können so genannte Existenz-Beweise beziehungsweise Nicht-Existenz-Beweise generiert und vom Anfragenden ausgewertet werden, je nach Erfolg der jeweiligen Suche. Die Möglichkeit, solche Beweise zu generieren macht den Einsatz von I-CVTs neben der gewünschten sicheren Zugriffskontrolle auch für zahlreiche andere Szenarien attraktiv, die auf Datenbankanfragen basieren. Aus Sicht der performanten Überprüfung während der Zugriffskontrolle haben Attributszertifikate, welche durch Delegierung entstanden, eine Sonderstellung. Bei der zertifikatsbasierten Rechtedelegierung entstehen so genannte Delegierungsnetzwerke, die in den einfachsten Fällen eine Delegierungskette (engl. Delegation Chain) bilden. Ein solches Netzwerk besteht aus Zertifikaten, die von verschiedenen Stellen ausgestellt wurden. Den vertrauten Ursprung solcher Netzwerke, falls es überhaupt einen gibt, während der Zugriffskontrolle zu finden, kann lange Wartezeiten im System verursachen. Ein Vorschlag von Tuomas Aura den hiermit verbundenen Aufwand zu reduzieren, war die Reduktion derartiger Netzwerke auf Attributszertifikate, welche direkt von vertrauten Instanzen ausgestellt werden. Dies hat eine wesentliche Vereinfachung der Ursprungsprüfung delegierter Berechtigungen zur Folge. Einen sicheren Dienst für diesen Zweck innerhalb einer PMI zu konstruieren wirft aber etliche Probleme auf, welche diskutiert werden. In dieser Arbeit wird deshalb neben anderen Konzepten die Technik der so genannten Offline-Delegierung vorgeschlagen. Sie bietet eine einfache Lösung des Problems, indem die gleiche Nutzfunktionalität - sprich die Weitergabe von Berechtigungen - ganz ohne das Entstehen von Delegierungsnetzwerken geschieht. Dies macht die Ursprungsprüfung der Delegierungen einfacher sowie eine nachträgliche Reduzierung von Delegierungsnetzwerken unnötig. Die kombinierte Verwendung von I-CVTs und der Offline-Delegierung bildet das theoretische Fundament eines prototypisch implementierten Systems mit der Kurzbezeichnung PAMINA (Privilege Administration and Management INfrAstructure). Die den jeweiligen Bedürfnissen anpassbare und erweiterbare Komponenten des Systems PAMINA Administration Server, Privilege Database und Certificate Verifier ermöglichen eine flexible Einführung in eine Betriebsumgebung. Die Tragfähigkeit von PAMINA wurde bei der Absicherung eines an der Universität Karlsruhe entwickelten internetbasierten Lernsystems mit der Bezeichnung ed.tec demonstriert.