Security Goal Facts

This document provides facts related to "Security Goals" for usage in the written part of my diploma thesis.

Content

General

  • Verschlüsselung
    • XML-Encryption

What targets exist in literature?

Article foundFact
XML / SOAP Web Services Security [Mü02]
  • Datenschutz / Verschlüsselung
  • Authentifizierung
  • Autorisierung
  • Unleugbarkeit / Datenintegrität
Sicherheit [Eckert]
  • Authentizität:Glaubwürdigkeit eines Benutzers/Dokuments
  • Vertraulichkeit:keine unautorisierte Informationsgewinnung
  • Integrität: keine unautorisierte Datenmanipulation
  • Verbindlichkeit:kein Abstreiten von Aktionen im Nachhinein
  • Verfügbarkeit:keine Verhinderung berechtigterZugriffe
  • Privatheit:keine unautorisierte Profilbildung, Privatsphäre
The XML Security Suite: Increasing the security of e-business [Ti00] When sending secure data across the Web, you need four things:
  1. Confidentiality -- No one else can access or copy the data.
  2. Integrity -- The data isn't altered as it goes from the sender to the receiver.
  3. Authentication -- The document actually came from the purported sender.
  4. Nonrepudiability -- The sender of the data cannot deny that they sent it, and they cannot deny the contents of the data.

Confidentiality

Article foundFact
XML / SOAP Web Services Security [Mü02]
  • Viren lassen sich in verschlüsselten Attachments nicht ausfindig machen (Viren-Scan erst nach dem Entschlüsseln möglich)
Web Service Security [On02]
  • It is often noted that most security breaches happen not while data is in transit, but while data is in storage. [...]Once data has reached its final destination, it must be stored in a secure state.

Authentification

Article foundFact
XML / SOAP Web Services Security [Mü02]
  • Bisher hat sich nur der Anwender beim Web-Server angemeldet, um an Informationen zu gelangen.
  • Nun sollten sich sowohl der Service-Requester als auch der Service-Provider gegenseitig authentifizieren, da sensible Daten in beide Richtungen versendet werden.
  • Man kann z.B. Passwörter, Zertifikate, Kerberos, Lightweight Directory Access Protocol (LDAP) oder Active Directory verwenden.
  • Single sign-on

Authorization

Article foundFact
XML / SOAP Web Services Security [Mü02]
  • Prüfen, ob Benutzer Zugang zu bestimmten Ressourcen hat und welche Operationen der Benutzer ausführen darf.
  • Es empfiehlt sich nach dem Prinzip "least privilege" vorzugehen.
  • Mehrere Administratoren mit unterschiedlichen Rechten, um Risiken zu verteilen.
  • Nur Leserechte auf Logdateien für Admins.

Integrity/Nonrepudiation

Article foundFact
XML / SOAP Web Services Security [Mü02]
  • Nachweisen des Ursprungs einer Nachricht
  • mittels Signaturen lässt sich feststellen, ob die Nachricht unterwegs verändert wurde (signieren mit dem private key, verifizieren mit dem public key)
  • Logdateien signieren, um zu verhindern, dass Hackerspuren verwischt werden können.

Single Sign On

Article foundFact
XML / SOAP Web Services Security [Mü02]
  • Ziel: einmalige Authentifizierung für mehrere Web Services
  • Ansatz: Security Assertion Markup Language (SAML), ist ein Standard in XML, womit man für verschiedene Web Services Informationen zur Authentifizierung und Autorisierung festhalten kann.
  • somit kann jeder Web Service bei einer SAML-Autorität die SAML-Zuweisungen bezüglich eines Anwenders abfragen