3.4 Aufbau einer zertifikatbasierten AAI
3.4.3 Privilege-Management-Infrastrukturen
Steht die Authentizit¨at des Kommunikationspartners fest, so kann ein Autorisierungs-verfahren durchgef¨uhrt werden. In diesem wird bestimmt, ob eine Entit¨at ¨uber die Be-rechtigung zur Durchf¨uhrung bestimmter Aktionen verf¨ugt.
Einem solchen Verfahren liegt wie schon bei der Authentifizierung der Einsatz von Zer-tifikaten zugrunde, welche unter dem Oberbegriff Attributzertifikate zusammengefasst werden. Darunter fallen Deskriptive Attributzertifikate sowie Privilegzertifikate:
Definition 3.10 Deskriptives Attributzertifikat
In einem Deskriptiven Attributzertifikat wird einer Entit¨at ein Wert f¨ur ein bestimmtes beschreibendes Attribut, d.h. eine reale oder digitale Eigenschaft, ein Merkmal, Wissens-merkmal oder digitales Besitztum zugeordnet. Die Zertifizierungsstelle beglaubigt mit ihrer digitalen Signatur, dass sie von der Authentizit¨at dieser Zuordnung ¨uberzeugt ist.
Ein Deskriptives Attributzertifikat kann dem Inhaber beispielsweise eine bestimmte Au-genfarbe, ein biometrisches Referenzmuster oder eine Abteilungs- oder Rollenzugeh¨orig-keit innerhalb eines Unternehmens zuordnen.
Definition 3.11 Privilegzertifikat
In einem Privilegzertifikat wird einer Entit¨at ein Privileg, d.h. eine Berechtigung zur Durchf¨uhrung einer spezifizierten Aktion, mit einer Delegationsstufe zugeordnet. Diese Delegationsstufei∈Ngibt an, ¨uber wie viele Stufen der Inhaber dieses Privileg delegieren darf. Die Zertifizierungsstelle beglaubigt mit ihrer digitalen Signatur, dass sie von der Authentizit¨at dieser Zuordnung ¨uberzeugt ist.
Ein Pr¨ufer V wird nun genau dann eine Entit¨at A zur Durchf¨uhrung einer bestimmten Aktion autorisieren, wenn ihm ein Privilegzertifikat vorliegt, in welchem A das notwen-dige Privileg bescheinigt ist. Deskriptive Attributzertifikate k¨onnen dabei unterst¨utzend herangezogen werden, wie das folgende Beispiel illustriert:
Die Mitarbeiter der Abteilung Y einer Firma haben Zugriff auf ein spezielles Verzeich-nis eines Firmenservers. Es gibt mehrere M¨oglichkeiten, diesen Sachverhalt in Form von Zertifikaten zu modellieren:
1. Ausschließliche Verwendung von Privilegzertifikaten:F¨ur jeden Mitarbeiter der Ab-teilungY wird ein Privilegzertifikat f¨ur den Privilegtyp”Zugriff auf Verzeichnisz“
erzeugt.
2. Kombination von Privileg- und Deskriptiven Attributzertifikaten: F¨ur jeden Mitar-beiter von AbteilungY wird ein Deskriptives Attributzertifikat erzeugt, in welchem die Abteilungszugeh¨origkeit zertifiziert wird. Weiterhin wird ein einziges Privileg-zertifikat generiert, in welchem f¨ur den Inhaber”Mitarbeiter von AbteilungY“ das Privileg
”Zugriff auf Verzeichnis z“ best¨atigt wird.
Die Kombination von Privileg- und Deskriptiven Attributzertifikaten erlaubt also z.B. die Implementierung von rollenbasierten Zugriffskontrollsystemen (RBAC) [ZhM04] [Woe06].
Angelehnt an die PKI-Notation von Maurer werden die beschriebenen Zertifikate wie folgt notiert:
• Deskriptive Attributzertifikate:Zertifikate, in denen ein AusstellerXeinem Inhaber Y das Attribut vom TypatY mit Attributwert avY mittels seiner digitalen Unter-schrift zertifiziert. Das Zertifikat ist mitskX signiert und daher mit dem ¨offentlichen Schl¨ussel pkX uberpr¨ufbar. Man schreibt:¨
Cert(X, pkX, Y, atY, avY)
• Privilegzertifikate: Zertifikate, in denen ein AusstellerX einem InhaberY das Pri-vileg vom Typ ptY der Delegationsstufe pdY zertifiziert:
Cert(X, pkX, Y, ptY, pdY).
Um ein Privilegzertifikat zu verifizieren, sind durch V folgende Punkte zu pr¨ufen:
1. Ist das Zertifikat von einem vertrauensw¨urdigen, authentischen Aussteller signiert?
Hierf¨ur muss eine Kette von Schl¨usselzertifikaten erzeugt werden. Ihr Zielzertifikat ist f¨ur den Erzeuger des vorliegenden Privilegzertifikats ausgestellt.
2. Hat der Aussteller das Recht zur Ausstellung dieses Privilegzertifikats? Zur Pr¨ufung dieses Punktes muss eine Kette von Privilegzertifikaten aufgestellt werden. Defini-tion 3.12 beschreibt die Zusammensetzung einer solchen Kette.
3. Sind alle verwendeten Zertifikate zum aktuellen Zeitpunkt g¨ultig?
Definition 3.12 Zertifizierungskette (Privilegzertifikate):
Eine Zertifizierungskette von Privilegzertifikaten ist eine Menge von Zertifikaten, in wel-chen ein Privileg des Typs ptY beglaubigt wird. Die Zertifikate sind so verkettet, dass der Aussteller des i-ten Zertifikats der Inhaber des (i−1)-ten Zertifikats in der Kette darstellt. Die Zertifikate variieren nur in ihrer Delegationsstufe, nicht aber in ihrem Typ.
Dabei gilt f¨ur jede von einem Aussteller X zertifizierte Entit¨atY: pdX > pdY
Aussteller des ersten Zertifikats in der Kette ist eine Entit¨at, die vom Pr¨ufer als Source of Authority (SoA) anerkannt wird. Die SoA verf¨ugt also seiner ¨Uberzeugung nach ¨uber die unbeschr¨ankte Berechtigung zur Zertifizierung und Delegation bestimmter Privilegien (und damit ¨uber eine ”unendliche“ Delegationsstufe der entsprechenden Privilegtypen).
Abbildung 3.7: Beispiel: Zertifizierungsketten f¨ur die Validierung von Privilegzertifikaten Die Source of Authority kann beispielsweise der Inhaber eines Bankkontos sein, der dann Privilegien, welche dieses Konto betreffen, frei delegieren kann, z.B. Privilegien zur ¨Uberweisung, Kartenzahlung oder Erstellung von Dauerauftr¨agen. Ein Pr¨ufer V kann die SoAs in Form von selbst signierten Zertifikaten vorhalten (hier f¨ur SoA I):
Cert(V, pkV, I, ptI, pdI). Ist dies der Fall, beginnen alle g¨ultigen Ketten mit einem von V ausgestellten Zertifikat f¨ur diejenige SoA, welche Aussteller f¨ur das folgende Privileg-zertifikat ist.
Abbildung 3.7 zeigt exemplarische Zertifizierungsketten f¨ur die Validierung eines Pri-vilegzertifikats. Die Berechtigung von Z zur Weitergabe des Privilegs ptB wird von B zertifiziert, B selbst ist V als SoA f¨ur ptB bekannt. F¨ur beide Privilegzertifikate exis-tiert jeweils eine Zertifizierungskette von Schl¨usselzertifikaten, um die Signaturpr¨ufung zu erm¨oglichen.
Um ein Deskriptives Attributzertifikat zu verifizieren, muss der Pr¨ufer V die folgenden Fragen beantworten:
1. Ist das Zertifikat von einer vertrauensw¨urdigen Entit¨at ausgestellt und signiert?
Hierf¨ur muss eine Zertifizierungskette von Schl¨usselzertifikaten erzeugt werden.
2. Verf¨ugt der Aussteller des Zertifikats ¨uber die Berechtigung, das betreffende De-skriptive Attribut zu zertifizieren? Diese Berechtigung liegt dann vor, wenn der Aussteller ein Privilegzertifikat f¨ur die Ausstellung Deskriptiver Attributzertifikate des entsprechenden Attributtyps vorweisen kann und f¨ur dieses eine Zertifizierungs-kette gem¨aß Definition 3.12 herleitbar ist.
3. Sind alle verwendeten Zertifikate zum aktuellen Zeitpunkt g¨ultig?
Abbildung 3.8 zeigt eine exemplarische Zertifizierungskette f¨ur die Validierung eines De-skriptiven Attributzertifikats. Der Aussteller Z ist durch ein Privilegzertifikat mit dem Privileg
”Ausstellung von Zertifikaten f¨ur das Attribut atA“ (hier pt(Zertifiz.atA)) zur Ausstellung berechtigt, wobei dieses Privileg unmittelbar von der SoA B kommt, welche dem Pr¨ufer bekannt ist.
Abbildung 3.8: Beispiel: Zertifizierungsketten f¨ur die Validierung von Deskriptiven Attri-butzertifikaten
Definition 3.13 Privilege-Management-Infrastruktur (PMI)
Eine Privilege-Management-Infrastruktur ist ein System aus Software, Entit¨aten, Pro-zessen, Protokollen, Methoden und Regeln zur Verwaltung von digitalen Deskriptiven Attribut- und Privilegzertifikaten. Eine PMI enth¨alt auch das Regelwerk f¨ur die Pr¨ufung von Zertifikaten und die Erstellung von Zertifizierungsketten mit dem Ziel, authentische Deskriptive Attribute und Privilegien herzuleiten. Weiterhin werden Methoden f¨ur die Erstellung von Statusnachrichten definiert.
Die Akteure der PMI sind neben den zertifizierten Entit¨aten und den Pr¨ufern die At-tribute Authorities, welche Privileg- und Deskriptive Attributzertifikate ausgeben, sowie Attribute Revocation bzw. Attribute Status Authorities.