Privilege-Management-Infrastrukturen

Steht die Authentizit¨at des Kommunikationspartners fest, so kann ein Autorisierungs-verfahren durchgef¨uhrt werden. In diesem wird bestimmt, ob eine Entit¨at ¨uber die Be-rechtigung zur Durchf¨uhrung bestimmter Aktionen verf¨ugt.

Einem solchen Verfahren liegt wie schon bei der Authentifizierung der Einsatz von Zer-tifikaten zugrunde, welche unter dem Oberbegriff Attributzertifikate zusammengefasst werden. Darunter fallen Deskriptive Attributzertifikate sowie Privilegzertifikate:

Definition 3.10 Deskriptives Attributzertifikat

In einem Deskriptiven Attributzertifikat wird einer Entit¨at ein Wert f¨ur ein bestimmtes beschreibendes Attribut, d.h. eine reale oder digitale Eigenschaft, ein Merkmal, Wissens-merkmal oder digitales Besitztum zugeordnet. Die Zertifizierungsstelle beglaubigt mit ihrer digitalen Signatur, dass sie von der Authentizit¨at dieser Zuordnung ¨uberzeugt ist.

Ein Deskriptives Attributzertifikat kann dem Inhaber beispielsweise eine bestimmte Au-genfarbe, ein biometrisches Referenzmuster oder eine Abteilungs- oder Rollenzugeh¨orig-keit innerhalb eines Unternehmens zuordnen.

Definition 3.11 Privilegzertifikat

In einem Privilegzertifikat wird einer Entit¨at ein Privileg, d.h. eine Berechtigung zur Durchf¨uhrung einer spezifizierten Aktion, mit einer Delegationsstufe zugeordnet. Diese Delegationsstufei∈Ngibt an, ¨uber wie viele Stufen der Inhaber dieses Privileg delegieren darf. Die Zertifizierungsstelle beglaubigt mit ihrer digitalen Signatur, dass sie von der Authentizit¨at dieser Zuordnung ¨uberzeugt ist.

Ein Pr¨ufer V wird nun genau dann eine Entit¨at A zur Durchf¨uhrung einer bestimmten Aktion autorisieren, wenn ihm ein Privilegzertifikat vorliegt, in welchem A das notwen-dige Privileg bescheinigt ist. Deskriptive Attributzertifikate k¨onnen dabei unterst¨utzend herangezogen werden, wie das folgende Beispiel illustriert:

Die Mitarbeiter der Abteilung Y einer Firma haben Zugriff auf ein spezielles Verzeich-nis eines Firmenservers. Es gibt mehrere M¨oglichkeiten, diesen Sachverhalt in Form von Zertifikaten zu modellieren:

1. Ausschließliche Verwendung von Privilegzertifikaten:F¨ur jeden Mitarbeiter der Ab-teilungY wird ein Privilegzertifikat f¨ur den Privilegtyp”Zugriff auf Verzeichnisz“

erzeugt.

2. Kombination von Privileg- und Deskriptiven Attributzertifikaten: F¨ur jeden Mitar-beiter von AbteilungY wird ein Deskriptives Attributzertifikat erzeugt, in welchem die Abteilungszugeh¨origkeit zertifiziert wird. Weiterhin wird ein einziges Privileg-zertifikat generiert, in welchem f¨ur den Inhaber”Mitarbeiter von AbteilungY“ das Privileg

”Zugriff auf Verzeichnis z“ best¨atigt wird.

Die Kombination von Privileg- und Deskriptiven Attributzertifikaten erlaubt also z.B. die Implementierung von rollenbasierten Zugriffskontrollsystemen (RBAC) [ZhM04] [Woe06].

Angelehnt an die PKI-Notation von Maurer werden die beschriebenen Zertifikate wie folgt notiert:

• Deskriptive Attributzertifikate:Zertifikate, in denen ein AusstellerXeinem Inhaber Y das Attribut vom Typat_Y mit Attributwert av_Y mittels seiner digitalen Unter-schrift zertifiziert. Das Zertifikat ist mitsk_X signiert und daher mit dem ¨offentlichen Schl¨ussel pk_X uberpr¨ufbar. Man schreibt:¨

Cert(X, pk_X, Y, at_Y, av_Y)

• Privilegzertifikate: Zertifikate, in denen ein AusstellerX einem InhaberY das Pri-vileg vom Typ pt_Y der Delegationsstufe pd_Y zertifiziert:

Cert(X, pk_X, Y, pt_Y, pd_Y).

Um ein Privilegzertifikat zu verifizieren, sind durch V folgende Punkte zu pr¨ufen:

1. Ist das Zertifikat von einem vertrauensw¨urdigen, authentischen Aussteller signiert?

Hierf¨ur muss eine Kette von Schl¨usselzertifikaten erzeugt werden. Ihr Zielzertifikat ist f¨ur den Erzeuger des vorliegenden Privilegzertifikats ausgestellt.

2. Hat der Aussteller das Recht zur Ausstellung dieses Privilegzertifikats? Zur Pr¨ufung dieses Punktes muss eine Kette von Privilegzertifikaten aufgestellt werden. Defini-tion 3.12 beschreibt die Zusammensetzung einer solchen Kette.

3. Sind alle verwendeten Zertifikate zum aktuellen Zeitpunkt g¨ultig?

Definition 3.12 Zertifizierungskette (Privilegzertifikate):

Eine Zertifizierungskette von Privilegzertifikaten ist eine Menge von Zertifikaten, in wel-chen ein Privileg des Typs pt_Y beglaubigt wird. Die Zertifikate sind so verkettet, dass der Aussteller des i-ten Zertifikats der Inhaber des (i−1)-ten Zertifikats in der Kette darstellt. Die Zertifikate variieren nur in ihrer Delegationsstufe, nicht aber in ihrem Typ.

Dabei gilt f¨ur jede von einem Aussteller X zertifizierte Entit¨atY: pd_X > pd_Y

Aussteller des ersten Zertifikats in der Kette ist eine Entit¨at, die vom Pr¨ufer als Source of Authority (SoA) anerkannt wird. Die SoA verf¨ugt also seiner ¨Uberzeugung nach ¨uber die unbeschr¨ankte Berechtigung zur Zertifizierung und Delegation bestimmter Privilegien (und damit ¨uber eine ”unendliche“ Delegationsstufe der entsprechenden Privilegtypen).

Abbildung 3.7: Beispiel: Zertifizierungsketten f¨ur die Validierung von Privilegzertifikaten Die Source of Authority kann beispielsweise der Inhaber eines Bankkontos sein, der dann Privilegien, welche dieses Konto betreffen, frei delegieren kann, z.B. Privilegien zur ¨Uberweisung, Kartenzahlung oder Erstellung von Dauerauftr¨agen. Ein Pr¨ufer V kann die SoAs in Form von selbst signierten Zertifikaten vorhalten (hier f¨ur SoA I):

Cert(V, pk_V, I, pt_I, pd_I). Ist dies der Fall, beginnen alle g¨ultigen Ketten mit einem von V ausgestellten Zertifikat f¨ur diejenige SoA, welche Aussteller f¨ur das folgende Privileg-zertifikat ist.

Abbildung 3.7 zeigt exemplarische Zertifizierungsketten f¨ur die Validierung eines Pri-vilegzertifikats. Die Berechtigung von Z zur Weitergabe des Privilegs pt_B wird von B zertifiziert, B selbst ist V als SoA f¨ur pt_B bekannt. F¨ur beide Privilegzertifikate exis-tiert jeweils eine Zertifizierungskette von Schl¨usselzertifikaten, um die Signaturpr¨ufung zu erm¨oglichen.

Um ein Deskriptives Attributzertifikat zu verifizieren, muss der Pr¨ufer V die folgenden Fragen beantworten:

1. Ist das Zertifikat von einer vertrauensw¨urdigen Entit¨at ausgestellt und signiert?

Hierf¨ur muss eine Zertifizierungskette von Schl¨usselzertifikaten erzeugt werden.

2. Verf¨ugt der Aussteller des Zertifikats ¨uber die Berechtigung, das betreffende De-skriptive Attribut zu zertifizieren? Diese Berechtigung liegt dann vor, wenn der Aussteller ein Privilegzertifikat f¨ur die Ausstellung Deskriptiver Attributzertifikate des entsprechenden Attributtyps vorweisen kann und f¨ur dieses eine Zertifizierungs-kette gem¨aß Definition 3.12 herleitbar ist.

3. Sind alle verwendeten Zertifikate zum aktuellen Zeitpunkt g¨ultig?

Abbildung 3.8 zeigt eine exemplarische Zertifizierungskette f¨ur die Validierung eines De-skriptiven Attributzertifikats. Der Aussteller Z ist durch ein Privilegzertifikat mit dem Privileg

”Ausstellung von Zertifikaten f¨ur das Attribut at_A“ (hier pt(Zertifiz.at_A)) zur Ausstellung berechtigt, wobei dieses Privileg unmittelbar von der SoA B kommt, welche dem Pr¨ufer bekannt ist.

Abbildung 3.8: Beispiel: Zertifizierungsketten f¨ur die Validierung von Deskriptiven Attri-butzertifikaten

Definition 3.13 Privilege-Management-Infrastruktur (PMI)

Eine Privilege-Management-Infrastruktur ist ein System aus Software, Entit¨aten, Pro-zessen, Protokollen, Methoden und Regeln zur Verwaltung von digitalen Deskriptiven Attribut- und Privilegzertifikaten. Eine PMI enth¨alt auch das Regelwerk f¨ur die Pr¨ufung von Zertifikaten und die Erstellung von Zertifizierungsketten mit dem Ziel, authentische Deskriptive Attribute und Privilegien herzuleiten. Weiterhin werden Methoden f¨ur die Erstellung von Statusnachrichten definiert.

Die Akteure der PMI sind neben den zertifizierten Entit¨aten und den Pr¨ufern die At-tribute Authorities, welche Privileg- und Deskriptive Attributzertifikate ausgeben, sowie Attribute Revocation bzw. Attribute Status Authorities.