Auch wenn heute die meisten daten- oder rechenintensiven Anwendungen nach dem Client-Server-Paradigma umgesetzt werden, kann P2P-ZuSI durch das Angebot eines plattformunabh¨angigen, kosteng¨unstigen und skalierbaren Datenverwaltungssystems f¨ur AAI-Daten die einfache Realisierung von Authentifizierung und Autorisierung in vielf¨alti-gen Systemumgebunvielf¨alti-gen erm¨oglichen. Damit kann ein Anreiz geschaffen werden, die De-zentralisierung auch von sicherheitsrelevanten Diensten allgemein voranzutreiben und so die Vorteile von Peer-to-Peer auch in neuen Anwendungsbereichen zu nutzen.
Erwartungsgem¨aß wird sich die Dezentralisierung in vielen F¨allen auf ein kontrolliertes Umfeld wie die nicht ausgelasteten PC-Ressourcen in Unternehmen beschr¨anken (siehe 8.2.2, 8.2.3), so dass die M¨oglichkeiten der dezentralisierten Organisation hier nicht von Bedeutung sind, sondern v.a. teure und arbeitsintensive Server ersetzt werden sollen.
Auch standort¨ubergreifende Anwendungen von Peer-to-Peer sind ein interessantes An-wendungsgebiet, sofern M¨oglichkeiten zur subnetz¨ubergreifenden Knotenkommunikation existieren, wie z.B. ein Virtual Private Network.
Aber auch neue, von Privatpersonen oder lose organisierten Gruppen (z.B. der Open-Source-Community) gemeinsam angebotene Dienste im Internet k¨onnen von P2P-ZuSI profitieren. A&A-Dienste k¨onnen dann - wie auch im Beispiel PGP gezeigt - einer großen
2Im Jahr 2007 existieren beispielsweise an der Universit¨at Regensburg fast 650 PCs in solchen Computer-Pools [RZURG].
Nutzergruppe zur Verf¨ugung stehen und deren selbstorganisierte Kommunikation, Inter-aktion und Kollaboration f¨ordern.
Zus¨atzlich istP2P-ZuSI gut einsetzbar, wenn der Nutzen einer AAI erst evaluiert werden soll oder unklare Anforderungen hinsichtlich des entstehenden Aufwands, der Gr¨oße und Beschaffenheit von Nutzergruppen und dem Datenumfang bestehen. So werden die Ein-satzh¨urden f¨ur A&A-Dienste prinzipiell gesenkt, da die Anschaffung eines leistungsf¨ahi-gen Servers trotz unklarer Rahmenbedingunleistungsf¨ahi-gen dann nicht mehr n¨otig ist.
8.4 Fazit
Es wurden verschiedene Szenarien vorgestellt, in denen P2P-ZuSI praktisch eingesetzt werden kann. Abbildung 8.1 stellt diese hinsichtlich der erwarteten Fluktuation, Angrei-ferdichte und Offenheit der Benutzergruppe gegen¨uber.
Abbildung 8.1: Taxonomie der Einsatzszenarien
Es ergibt sich die M¨oglichkeit zur Beseitigung des Paradigmenbruchs f¨ur Web-of-Trust-basierte AAI-Ans¨atze, wie am Beispiel PGP vorgestellt. Auch ist der Einsatz in File-sharing- und Groupware-Anwendungen im Internet gegeben. Dadurch wird die Interak-tion von Teilnehmern in flexiblen und zielgerichteten Gruppenstrukturen erleichtert, was beispielsweise im universit¨aren Umfeld f¨ur studentische Projekt- oder Referatsgruppen genutzt werden kann.
Vor dem Hintergrund ungenutzter Ressourcen und Kosten- sowie Skalierbarkeitsgesichts-punkten ist P2P-ZuSI als Verzeichnisdienst f¨ur zertifikatbasierte AAI auch in Unter-nehmen, Beh¨orden, Universit¨aten u.¨a. auf B¨urocomputern, Workstations oder Clustern realisierbar, wobei hier die geringeren Fluktuations- und Angriffswahrscheinlichkeiten po-sitiv zu werten sind, wobei aber der Dienst nur einer geschlossenen, fest definierten Be-nutzergruppe zur Verf¨ugung steht. W¨ahrend hier gezielt zus¨atzliche Sicherheitstechniken wie z.B. SmartCards eingesetzt werden k¨onnen, welche eine vertrauensw¨urdigen Instanz ben¨otigen, ist organisatorische Unabh¨angigkeit und Selbstorganisation der Teilnehmer kein Ziel und Inhalt der Anwendung. Der Einsatz von P2P-ZuSI w¨are hier also
grund-legend anders motiviert als bei einer Realisierung im Internet mit offener Benutzergruppe.
In beiden Kategorien von Einsatzszenarien istP2P-ZuSI eine interessante und zukunftsf¨a-hige Alternative zu serverbasierter Verwaltung von AAI-Daten.
Fazit
9.1 Ergebnisse der Arbeit
Um ein verteiltes Verzeichnis f¨ur AAI-Daten zu realisieren, wurde zun¨achst aus den zur Verf¨ugung stehenden strukturierten Peer-to-Peer-Regelwerken das optimale Regelwerk, Kademlia, ausgew¨ahlt. Die Entscheidungskriterien bezogen sich daher auf die inh¨arenten Sicherheitseigenschaften der Kandidaten, die f¨ur ein verteiltes Datenverwaltungssystem von Vorteil sind.
Erstmals wurde die Verf¨ugbarkeit von Datens¨atzen in Kademlia-Netzwerken auf einer stochastischen Basis formalisiert und unter realistischen Annahmen analysiert. Insbeson-dere die Ber¨ucksichtigung von b¨oswilligem Verhalten hebt dieses Formelwerk deutlich von bisherigen unzureichenden Analyseans¨atzen ab.
Die Anwendung dieser Formeln erm¨oglicht nicht nur die Berechnung der Verf¨ugbarkeits-wahrscheinlichkeit zu jedem beliebigen Zeitpunkt nach Ver¨offentlichung eines Daten-satzes, sondern auch die Optimierung des Replikationsfaktors anhand der gew¨unschten Verf¨ugbarkeitsdauer und der Rahmenparameter (angenommene Fluktuations- und An-griffswahrscheinlichkeit). So kann je nach konkretem Einsatzszenario der optimale Wert f¨urk gew¨ahlt werden.
Auf dieser Basis wurde ein Regelwerk definiert, welches die Nutzung eines Kademlia-Netzwerks als verteiltes Verzeichnis f¨ur AAI-Daten erm¨oglicht: dasP2P-ZuSI-Regelwerk.
Hier wurden Statusinformationen als G¨ultigkeitsbeweis von Zertifikaten gew¨ahlt, um falsche G¨ultigkeitsannahmen unm¨oglich zu machen. Zudem eignen sich diese kleinen Da-tens¨atze optimal f¨ur die Speicherung in einem Peer-to-Peer-System.
DasP2P-ZuSI-Regelwerk wird als abgeschlossene Schicht definiert, welche f¨ur die dar¨uber-liegende AAI-Anwendung die Details des darunter dar¨uber-liegenden P2P-Netzwerks vollst¨andig abstrahiert, indem sie nur Anfrage- und Publikationsmethoden f¨ur Zertifikate und Sta-tusinformationen anbietet. Innerhalb der Regelwerk-Schicht werden dann die FileIDs auf Basis inhaltsbezogener Informationen ¨uber die Datens¨atze generiert, um die gespeicher-ten Dagespeicher-ten f¨ur jeden m¨oglichen Pr¨ufer auffindbar zu machen. Zudem implementiert die Regelwerk-Schicht die einfache symmetrische Verschl¨usselung der Zertifikate, um einen Basisschutz gegen¨uber dem Aussp¨ahen von Daten zu bieten.
190
Die Kombination des Kademlia-basierten Netzwerk mit diesen definierten Regeln wird als P2P-ZuSI bezeichnet. Das Schichtenmodell erlaubt den Einsatz von P2P-ZuSI als Verzeichnisdienst mit beliebigen zertifikatbasierten Authentifizierungs- und Autorisie-rungsinfrastrukturen unabh¨angig von deren Architektur. Durch die Beschr¨ankung auf vier von der AAI-Schicht zugreifbare Methoden zur Publikation und Anfrage von Da-tens¨atzen kann P2P-ZuSI ohne großen Anpassungsaufwand in zertifikatbasierte AAI, PKI oder PMI integriert werden.
Das aus dem abstrakten Schichtenmodell entwickelte konkrete formale Modell f¨ur die Kombination aus einer abstrakten zertifikatbasierten AAI und P2P-ZuSI als hierarchi-sches gef¨arbtes Petrinetz bildet die handelnden Entit¨aten und ihre Aktionen in rollenba-sierter Form ab. Neben der computergest¨utzten Simulation von Datenfl¨ussen erm¨oglicht es auch die Weiterentwicklung vonP2P-ZuSI und kann außerdem als Ausgangspunkt f¨ur eine softwaretechnische Umsetzung verwendet werden.
Der Nachweis der Sicherheitseigenschaften vonP2P-ZuSI stellt die Arbeit auf ein solides Fundament. Zus¨atzlich zur bereits erw¨ahnten stochastischen Analyse der Verf¨ugbarkeit wurden Sicherheitsziele der Vertraulichkeit und Integrit¨at und deren Erf¨ullung diskutiert.
Die Vertraulichkeit von Zertifikaten kann - trotz der eingef¨uhrten Verschl¨usselung - nicht sichergestellt werden, ist allerdings auch nur in wenigen F¨allen notwendig.
Die Sicherheit gegen¨uber Integrit¨atsangriffen durch b¨oswillige Teilnehmer des P2P-Netz-werks wurde anhand der Zustandsraumanalyse des HCPN-Modells unter Verwendung geeigneter Initial Markings gezeigt.
Trotz der Verteilung von Daten auf nicht vertrauensw¨urdige Knoten bietet das entwickelte System also ein gutes Sicherheitsprofil, das vielf¨altige Einsatzm¨oglichkeiten im Internet, in Unternehmen oder Universit¨aten er¨offnet.