Berlin, 5-6 maja 2003 r.

Transkrypt

1 SPRAWOZDANIE Z UDZIAŁU W SZKOLENIU NA TEMAT ZARZĄDZANIA PROCEDURAMI IDENTYFIKACJI W SIECIACH KOMPUTEROWYCH (IDENTITY MANAGEMENT IN COMMUNICATION NETWORKS), W RAMACH EUROPEJSKIEJ AKADEMII WOLNOŚCI INFORMACJI I OCHRONY DANYCH OSOBOWYCH (EAFIDP -EUROPEAN ACADEMY FOR FREEDOM OF INFORMATION AND DATA PROTECTION) Berlin, 5-6 maja 2003 r. W szkoleniu uczestniczyli Andrzej Kaczmarek Dyrektor Departamentu Informatyki oraz Piotr Zydorowicz Inspektor, informatyk w Biurze GIODO. Szkolenie rozpoczął przewodniczący EAFIDP Prof. Dr. Hamns Jurgen Garstka Komisarz Ochrony Danych Osobowych oraz Wolności Informacji w Berlinie. Po przywitaniu wykładowców oraz uczestników szkolenia, przewodniczący podkreślił, że szkolenie jest jednym z pierwszych szkoleń o tematyce ściśle technicznej oraz, że tematyka ta będzie coraz częściej tematem szkoleń z uwagi na jej ogromne znaczenie w rozwijającej się rzeczywistości globalnych technologii XXI wieku. Po krótkim wprowadzeniu w tematykę mającego się odbyć szkolenia do wygłoszenia referatu wstępnego na temat głównych zadań procedur identyfikacji i uwierzytelnienia poproszony został Pan Hans Wilhelm Heibey. Pan Hans Wilhelm Heibey identyfikację użytkownika w sieciach komputerowych przedstawił jako problem, którego rozwiązanie powinno zmierzać w kierunku uczynienia go przyjaznym dla użytkownika. Zaznaczył przy tym, że wraz z rozwojem i upowszechnianiem się usług sieciowych zmieniają się zarówno potrzeby jak i oczekiwania. W celu zilustrowania problemu przedstawione zostały dwa skrajne rozwiązania. Pierwsze, bez wsparcia technologicznego, polegające na niezależnym powtarzaniu procesu uwierzytelnienia do każdego zasobu sieci. Wiąże się to z koniecznością używania dużej liczby identyfikatorów i odpowiadających im haseł. Użytkownicy w obawie przed zapomnieniem dane te zapisują na kartkach (listy identyfikatorów i haseł). Wskazano na uciążliwość takiego rozwiązania i niebezpieczeństwo utraty poufności poprzez przypadkową utratę takiej listy. Drugie rozwiązanie, bardziej bezpieczne, to rozwiązanie wspierane odpowiednim systemem służącym do zarządzania procesem uwierzytelnienia. Rozwiązanie to nadal bazuje na tym, że każda usługa wymagająca uwierzytelnienia posiada swój niezależny identyfikator oraz hasło, z tym jednak, że użytkownik nie musi ich osobiście pamiętać. Otrzymuje on do dyspozycji specjalny program, który dla każdej usługi wymagającej uwierzytelnienia zapamiętuje w swojej bazie odpowiedni identyfikator i hasło. Dane te chronione są przed innymi użytkownikami metodami kryptograficznymi. Stosując program zarządzania procesami uwierzytelnienia, użytkownik musi pamiętać tylko jeden identyfikator i jedno hasło, którymi są odpowiednio identyfikator i hasło do programu zarządzania. Identyfikatory i hasła do poszczególnych aplikacji pamiętane są natomiast w chronionej bazie danych systemu zarządzania, który jednocześnie wspomaga procesy logowania się do poszczególnych usług. 1

2 Użytkownik Użytkownik Uwierzytelnianie bez systemu zarządzania ID 1 ID 2 ID 3 ID n ID Uwierzytelnianie poprzez system zarządzania identyfikatorami i hasłami Apl. 1 Apl. 2 Apl. 3 Apl. n Apl. 1 Apl. 2 Apl. 3 Apl. n Obydwa przedstawione systemy prócz zalet posiadają wiele wad. Zasadniczą wadą dotychczasowych systemów zarządzania uwierzytelnianiem jest ich lokalizacja na komputerze użytkownika. Rozwiązanie takie uniemożliwia korzystanie z zarejestrowanych tam usług sieciowych poza biurem lub domem, z dowolnego miejsca np. w czasie podróży. Aby wyjść naprzeciw takim zapotrzebowaniom tworzone są systemy zarządzania uwierzytelnianiem dostępne w sieci. Przykładem takich rozwiązań są: scentralizowany system zarządzania uwierzytelnianiem firmy Microsoft oraz rozproszony system zarządzania uwierzytelnianiem rozwijany przez firmę Sun Microsystems. USŁUGA NET PASSPORT FIRMY MICROSOFT Program realizacji internetowego systemu zarządzania uwierzytelnieniami rozwijany przez Microsoft Corporation przedstawił jej przedstawiciel Bob Hyman starszy menadżer projektu Net Passport. Wyjaśnił on, iż we wrześniu 2001 r. Microsoft Corporation ogłosiła plany rozszerzenia swojej popularnej usługi uwierzytelniania Passport. Plany te przewidywały stworzenie rozwiązań umożliwiających: współdziałanie systemu uwierzytelniania Passport z rozwiązaniami innych przedsiębiorstw, oraz dostarczenie usług sieciowych godnych zaufania, wykorzystujących uniwersalny standard pojedynczego logowania. Przystępując do realizacji ogłoszonego zadania Microsoft zapowiedział, iż do uwierzytelniania pomiędzy instytucjami wykorzystywać będzie sprawdzone standardy szyfrowania Kerberos. Miało to zapewnić pokonanie barier natury technicznej, które uniemożliwiały wiarygodne wzajemne udostępnianie uwierzytelnień użytkowników pomiędzy niezależnymi, rywalizującymi ze sobą, lub w inny sposób niezgodnymi ze sobą systemami. Jako główny cel stawiano stworzenie godnego zaufania, ujednoliconego systemu uwierzytelniania sieciowego oraz uniwersalnego standardu pojedynczego logowania dla wszystkich użytkowników, a także zapewnienie jego współdziałania z różnymi systemami uwierzytelniania w przedsiębiorstwach i usługach sieciowych. 2

3 Prace rozpoczęto od wbudowania mechanizmu jednokrotnego logowania się do systemów wewnętrznych, obsługujących różnego rodzaju usługi elektroniczne takie jak: usługi poczty elektronicznej (msn hotmail), usługi handlu elektronicznego (msn shopping), usługi przesyłania obrazów i komunikatów (msn massenger) i wielu innych. W następnej kolejności prace integracyjne systemu obsługi płatności elektronicznej realizowano na rzecz innych operatorów. Wynikiem tych działań, jak zaznaczył Pan Bob Hyman, jest obecność na dzień dzisiejszy (5 maja 2003 r.) obecność około 300 milionów aktywnych użytkowników systemu uwierzytelniania ( Net Passport ) wśród których 90% to użytkownicy witryn zarządzanych bezpośrednio przez Microsoft oraz jedynie 10% to użytkownicy innych podmiotów współpracujących. Według ogłoszonej przez Microsoft Corporation polityki bezpieczeństwa, gromadzone w bazie danych systemu uwierzytelniania dane osobowe nie mogą być sprzedawane, dzierżawione ani udostępniane innym podmiotom bez zgody osób, których dotyczą. Wyjątek stanowią jedynie sytuacje kiedy potrzeba udostępnienia wynika z: 1) wymagań prawnych lub wyroków sądowych nałożonych na firmę Microsoft, 2) potrzeby obrony praw lub własności firmy Microsoft, usługi NET Passport oraz witryn i usług uczestniczących w programie NET Passport oraz 3) potrzeby działania w krytycznych okolicznościach w celu ochrony bezpieczeństwa osobistego użytkowników usługi NET Passport lub bezpieczeństwa publicznego. Minimalny zakres danych, jaki jest niezbędny do utworzenia konta NET Passport to adres poczty elektronicznej i hasło oraz dowolne pytanie użytkownika i odpowiedź. Te dwie ostatnie dane, o wartościach znanych tylko użytkownikowi, jak twierdzi Microsoft są po to, aby w przypadku zapomnienia przez użytkownika hasła możliwe było jego bezpieczne przypomnienie. Nieco szerszy zakres danych (dane wymienione wyżej plus numer telefonu komórkowego i PIN), jest niezbędny tylko wtedy, gdy użytkownik chce się logować do usługi za pomocą telefonu komórkowego wykorzystując jago numer i PIN zamiast standardowo adresu poczty i hasła. Poza wymienionymi wyżej informacjami użytkownik może dodatkowo, w tzw. profilu użytkownika usługi NET Passport przechowywać inne dane z zakresu: imię, nazwisko, adres poczty elektronicznej, kraj lub region, stan lub terytorium, kod pocztowy, język, strefę czasową, płeć, datę urodzenia, oraz 3

4 zawód. W przypadku jednak, kiedy użytkownik zapisuje się do usługi NET Passport w witrynie lub usłudze uczestniczącej w programie NET Passport, witryna określa, jakie dane osobowe musi podać użytkownik. Użytkownik otwiera wówczas dwa różne konta jednocześnie: jedno w witrynie lub usłudze uczestniczącej i drugie w usłudze NET Passport. Wszystkie dane dostarczone wówczas przez użytkownika mogą być przetwarzane przez witrynę uczestniczącą. W usłudze NET Passport przechowywane są jednak dane, nie w szerszym zakresie niż wymieniony wyżej. Po utworzeniu konta usługi NET Passport użytkownik może modyfikować wszystkie wprowadzone dane oprócz adresu poczty elektronicznej, który w NET Passport występuje w roli identyfikatora użytkownika. Dane zapisane w profilu NET Passport mogą być udostępniane stronom uczestniczącym, np. podczas zapisywania się użytkownika do witryny internetowej, która jest stroną uczestniczącą w programie NET Passport. Udostępnianie takie uzależnione jest jednak od wyrażenia zgody przez użytkownika. Zgodę taką należy zaznaczyć w czasie wpisywania danych do profilu, lub w dowolnym czasie, poprzez jego modyfikację. Istnieje możliwość wyrażania zgody w następującym zakresie: 1) na udostępnianie adresu , 2) na udostępnianie imienia i nazwiska, oraz 3) na udostępnianie pozostałych danych zapisanych w profilu. Pan Bob Hyman starszy menadżer projektu Net Passport w swoim wystąpieniu zapewniał uczestników, że dane przetwarzane przez Microsoft w związku ze świadczeniem usługi NET Passport są zabezpieczone wg najnowszych standardów. Przesył danych pomiędzy użytkownikiem i serwerami, na których zlokalizowane są dane w jednostkach firmy Microsoft oraz serwerami, na których zlokalizowane są usługi lub strony uczestniczące w programie NET Passport, jest zabezpieczany metodami kryptograficznymi. W systemie obsługi usług NET Passport stosowanych jest wiele różnych metod ochrony oraz metod wzmacniania bezpieczeństwa całego systemu. Jako najważniejsze metody ochrony Pan Bob Hyman wymienił: 1) Metodę human interactive proof do blokowania możliwości wykorzystywania systemów automatycznie generujących konta NET Passport w celu np. zablokowania usługi. Metoda ta polega na generowaniu graficznie zniekształconego ciągu znaków, które w zasadzie potrafi poprawnie odczytać tylko człowiek, a których wprowadzenie jest niezbędne do utworzenia konta. 2) Metodę generowania opóźnień pomiędzy próbami kolejnych nieudanych logowań. Metoda ta zabezpiecza przed atakami typu brute force attack atak polegający na generowaniu kolejnych haseł i testowaniu ich poprawności, aż do wyczerpania wszelkich możliwych kombinacji. 3) Wymóg stosowania haseł o odpowiedniej długości (aktualnie minimum 6 znaków) 4) Przesyłanie informacji tylko w postaci zaszyfrowanej, 5) Ciągły monitoring pracy systemów obsługujących usługę Net Passport oraz innych usług i witryn uczestniczących w programie Net Passport. 4

5 1 Sposób uwierzytelniania użytkownika, który wykorzystuje Net Passport Podczas zapisywania się użytkownika do usługi NET Passport, tworzone jest konto użytkownika do którego automatycznie przypisywany jest unikatowy, 64 bitowy identyfikator. Ten 64 bitowy identyfikator wysyłany jest w postaci zaszyfrowanej do wszystkich witryn uczestniczących w programie NET Passport podczas każdego procesu rejestrowania się użytkownika. Identyfikator ten umożliwia sprawdzenie, czy użytkownik jest tą samą osobą w kolejnych sesjach. Podczas rejestrowania się użytkownika, usługa NET Passport wysyła również na jego komputer plik cookie, w którym zapisane są: wymieniony wyżej unikatowy identyfikator, godzina rejestracji oraz wszystkie informacje, które użytkownik zdecydował się udostępnić witrynom uczestniczącym. Wymienione powyżej informacje zapisane są w nim w postaci zaszyfrowanej. Dzięki temu plikowi użytkownik może przechodzić ze strony na stronę w danej witrynie uczestniczącej bez potrzeby logowania się na każdej z nich. Korzystając z ustawień przeglądarki, użytkownik ma możliwość określenia, czy pliki cookie mają być akceptowane czy odrzucane. Jeśli użytkownik zdecyduje się odrzucać pliki cookie, nie będzie mógł rejestrować się za pomocą profilu NET Passport. 2 Projekt rozproszonego systemu zarządzania procesem uwierzytelniania (Liberty Alliance Project) Konkurencyjne rozwiązanie problemu uwierzytelniania użytkowników w sieci przedstawili następni prelegenci, którymi byli Robin Wilton oraz Hellmuth Broda, przedstawiciele firmy SUN Microsystems. Projekt rozwiązania problemu autoryzacji użytkownika w sieci wspierany przez SUN Microsystems i 16 innych firm nazwany The Liberty Alliance ogłoszony został w grudniu 2001 r. Jego celem było zbudowanie otwartego środowiska oraz standardu umożliwiającego rozwiązywanie problemu zarządzania uwierzytelnieniami użytkowników, którzy korzystając z usług różnych firm przekazywaliby na zasadzie wzajemnego zaufania uwierzytelnienia. Celem projektu było rozwiązanie bieżących i przyszłych problemów uwierzytelniania w sposób zaspokajający oczekiwania biznesu. W niedługim okresie czasu liczba firm, które przystąpiły do projektu wzrosła do ponad 160 (z całego świata). Do projektu przystąpiły głównie firmy będące liderami w świadczeniu usług finansowych, komunikacji bezprzewodowej, telekomunikacji, transportu, infrastruktury technologicznej jak i uniwersytety oraz instytucje zajmujące się ochroną prywatności. Pierwszy projekt specyfikacji standardu uwierzytelniania w sieci, opracowany przez Liberty Alians, ogłoszony został w czerwcu 2002 r. Projekt ten dotyczył głównie wymiany danych pomiędzy współpracującymi ze sobą instytucjami. Nad jego utworzeniem pracowały zespoły ekspertów z całego świata. Opracowany standard pozwala użytkownikom przesyłać informacje uwierzytelniające pomiędzy różnymi systemami bez potrzeby ich pamiętania w centralnej bazie danych, tak jak to jest realizowane w przypadku usługi NET Passport. Użytkownik w tym standardzie ma ponadto możliwość decydowania o zakresie przesyłanych danych pomiędzy obsługującymi go usługodawcami oraz kontrolowania, kiedy i w jaki sposób informacje o nim są pomiędzy nimi przesyłane. W praktyce sprowadza się to do tego, że użytkownik, który przedstawi się w 5

6 jednym systemie/serwisie (przejdzie proces uwierzytelnienia), może być rozpoznany i uwierzytelniony w innym bez konieczności powtarzania procesu weryfikacji. Głównym celem jest bowiem to, aby np. użytkownik posiadający konto w banku (identyfikator ID1 i hasło H1) oraz drugie konto w instytucji ubezpieczeniowej (identyfikator ID2 i hasło H2), mógł wykorzystując wzajemne zaufanie obydwu instytucji pomiędzy sobą stosować tylko jeden proces uwierzytelniania. Umowa, porozumienie o wzajemnym zaufaniu Bank (ID 1, H 1 ) ID 1 /H 1 ID 2 /H 2 Zakład ubezpieczeniowy (ID 2, H 2 ) ID 1 /H 1 Klient ID 2 /H 2 Realizacja jednokrotnego logowania w standardzie The Liberty Alliance bazuje na ustanowieniu wzajemnego mandatu zaufania pomiędzy współpracującymi podmiotami. Mandatem takim może być żeton, karta uczestnictwa, hasło lub bardziej zaawansowane środki jak karta mikroprocesorowa czy też dane biometryczne (odcisk palca, obraz tęczówki oka itp.). Użytkownik chcąc załatwić sprawę, która wymaga kontaktu z dwoma różnymi instytucjami, korzystając ze standardów The Liberty Alliance, będzie mógł ją załatwić rejestrując się tylko w jednej instytucji (pamiętając jeden identyfikator i jedno hasło). Przedstawione w specyfikacji protokołu The Liberty Alliance rozwiązania technologiczne są mechanizmem wspierającym realizację czynności pomiędzy stronami, które ustanowiły wzajemny mandat zaufania. Samo zaufanie poszczególnych stron natomiast to problem zawarcia odpowiednich umów i porozumień biznesowych. Pan Hellmuth Broda przedstawił wizję rozwoju zastosowań protokołu The Liberty Alliance jako otwartego narzędzia do tworzenia łańcucha wzajemnych porozumień, będących realizacją koncepcji kręgu zaufania (Circle of Trust), definiowanego jako grupę dostawców usług, którzy wspólnie będą wykorzystywać i udostępniać sobie określone dane. Zbudowanie odpowiednich narzędzi do technologicznego wspierania zawieranych różnego typu wzajemnych porozumień, których celem jest, między innymi, ułatwienie użytkownikom/ klientom korzystanie z usług z każdego miejsca na świecie w trybie online, wymaga wielostopniowego procesu uwierzytelniania. Stąd też protokół jednokrotnego logowania się The Liberty Alliance wprowadza trójpoziomowy model uwierzytelniania, w którym wyróżnia się takie warstwy jak: warstwę uwierzytelnienia potwierdzenie, że użytkownik jest tym za kogo się podaje, warstwę autoryzacji potwierdzenie, że zweryfikowany na poziomie uwierzytelnienia użytkownik ma określone uprawnienia, oraz warstwę atrybutów charakterystycznych dla danego użytkownika cech, upodobań, parametrów jego sprzętu itp. Ponadto zakłada się, że w procesie uwierzytelniania istotne jest środowisko i kontekst, który należy uwzględnić. 6

7 Wymieniony trójwarstwowy model protokołu, opracowanego przez grupę The liberty Alliance, wynika między innymi z potrzeb uwzględnienia życzeń użytkowników, którzy mają prawo do decydowania o tym, w jakim zakresie i komu ich dane mogą być udostępniane. Omawiając problematykę bezpieczeństwa danych, Pan Robin Wilton podkreślił, że zespół projektowy protokołu dużą uwagę poświęca zagadnieniom bezpieczeństwa danych. Zaznaczył jednak, że z uwagi na sposób rozwiązywania problemu, który polega na dostarczeniu potencjalnym użytkownikom otwartych narzędzi do budowy systemu a nie gotowego do użycia systemu, bezpieczeństwo będzie zależało od poprawności poszczególnych instalacji. Stąd też zespół projektowy pracuje aktualnie nad opracowaniem dokumentacji w charakterze przewodnika dla programistów i integratorów, w którym opisane zostaną zagadnienia dotyczące bezpieczeństwa informatycznego oraz ochrony danych osobowych na poszczególnych warstwach procesu uwierzytelniania oraz wymiany danych pomiędzy zaufanymi stronami. Na zakończenie Pan Robin Wilton przedstawił kolejne fazy aktualnie wykonanych i projektowanych prac nad budową otwartych narzędzi, które pozwolą firmom budować systemy wspomagające procesy biznesowe z wykorzystaniem protokołu uwierzytelniania wg koncepcji The Liberty Alliance Znaczenie biznesowe Faza 2 Infrastruktura sieciowa Faza 3 Rozwój infrastruktury dla zaawansowanych serwisów Faza 1 Uproszczone logowanie Styczeń luty 2003 Połowa roku 2003 Lata Problemy zarządzania uwierzytelnianiem w telekomunikacji mobilnej Bardzo interesujący wykład wygłosił Prof. Kai Rannenberg z Uniwersytetu we Frankfurcie nad Menem. Problem zarządzania uwierzytelnianiem w telefonii mobilnej, jak wskazał Prof. Rannenberg, jest tak samo ważny jak w każdym innym systemie informatycznym a jego złożoność, z uwagi na konieczność współpracy różnych operatorów (roaming), czyni go dodatkowo szczególnie trudnym. Przesyłanie wszelkiego rodzaju danych, z uwagi na coraz powszechniejsze wykorzystywanie telefonów komórkowych do zarządzania 7

8 różnymi usługami (w tym usługami bankowymi), musi być szczególnie zabezpieczone. Przedstawiając problem zarządzania uwierzytelnianiem, Prof. Rannenberg przedstawił telefon komórkowy, jako element, który z punktu widzenia technologicznego należy traktować podobnie jak komputer, z którego do poszczególnych usług sieciowych możemy się dostać z dowolnego miejsca (miasta, kraju), gdzie dostępna jest odpowiednia infrastruktura. 4 Serwisy uwierzytelniania w sieci z punktu widzenia przedstawicieli Unii Europejskiej Po prezentacji wymienionych wyżej rozwiązań w zakresie sposobu rozwiązywania problemów zarządzania uwierzytelnianiem w sieci, głos zabrała Pani Diana Alonso Blas przedstawicielka Komisji Europejskiej, członek zespołu Internet Task Force przy Grupie Roboczej Art. 29. Zaprezentowała ona stanowisko, jakie w odniesieniu do przedstawionych rozwiązań zajmuje Grupa Robocza Art. 29. Zaznaczyła, że tematyka związana z rozwiązaniem wprowadzonym przez firmę Microsoft dyskutowana była wielokrotnie przez ekspertów z Grupy Roboczej. Prowadzone były w tym zakresie również bezpośrednie rozmowy z przedstawicielami firmy Microsoft, w wyniku których zawarto porozumienia w zakresie działań mających na celu dostosowania projektu NET Passport do wymagań określonych w Dyrektywie 95/46 o ochronie danych osobowych. Pani Diana Alonso Blas szczegółowo wyliczyła niezgodności projektu NET Passport z wymaganiami Dyrektywy 95/46, jakie wskazano firmie Microsoft podczas wspólnych spotkań oraz ich wyniki w postaci wprowadzonych przez Microsoft modyfikacji. (Szczegółowe opracowanie w tym zakresie można znaleźć na stronie internetowej Grupy Roboczej Art. 29 pod adresem URL: 5 Zakończenie Szkolenie podsumowane zostało dyskusją panelową, w której udział wzięli wszyscy zaproszeni prelegenci. Moderatorem dyskusji panelowej był Prof. Dr. Andreas Pfitzmann z Uniwersytetu w Dreźnie specjalista zajmujący się problematyką autoryzacji i identyfikacji od przeszło 20 lat. Szkolenie ocenione zostało, jako bardzo pożyteczne forum wymiany informacji. Na zakończenie przewodniczący EAFIDP Prof. Dr. Hamns Jurgen Garstka zapowiedział, że materiały prezentowane na szkoleniu udostępnione zostaną uczestnikom w postaci zapisu na płycie CD oraz, że tematyka z zakresu technologicznych aspektów ochrony danych osobowych będzie coraz częściej uwzględniana w programie EAFIDP. 8