Zentrum für sichere Informationstechnologie – Austria

13

Juli

2017

Rich Ende-zu-Ende Verschlüsselung

Kategorie: eGovernment

Aus dem Projekt „Skytust“ zur Verschiebung des Schlüsselmaterials von der Applikation zu einem Applikations-externen Punkt ist es gelungen, das Schlüsselmaterial selbst aus dem Visier von vielen Angriffen zu nehmen. Damit geraten aber Authentifizierungsinformationen, die zur Autorisierung der Schlüsselnutzung verwendet werden, umso mehr ins Fadenkreuz. Diese Informationen müssen von einer Applikation gesammelt und entsprechend weitergeleitet werden – die Applikation hat damit Zugriff auf diese sensiblen Daten. Eine adäquatere Herangehensweise wäre, diese Daten außerhalb der Applikation zu sammeln. Dazu ist ein Service zwischen Applikation und Schlüsselservice notwendig, was wiederum nach einer Ende-zu-Ende-verschlüsselten Kommunikation verlangt. Die Herausforderung ist nun, die Authentifizierungsdaten so zu sammeln und weiterzuleiten, dass der sammelnde Dienst die verschlüsselte Kommunikation nicht aufbrechen muss, dennoch aber Daten zur Kommunikation hinzufügen kann.

Weiter lesen…

LOD und LOV für Autorisierungskonzepte

Kategorie: eGovernment

Linked Open Data (LOD) und Linked Open Vocabularies (LOV) befassen sich mit der Definition von wiederverwendbaren Konzepten und mit der Entwicklung von Systemen und Architekturen, die die praktische Integration von Daten und Diensten im Web-Maßstab ermöglichen. Es existieren bereits viele Vocabularies, die die Beschreibung von Daten und anderen Strukturen, sowie ihren Zusammenhang unterstützten. Moderne intelligente Dienste bauen diese Konzepte ein, um kontextbewusste und domänenübergreifende intelligente Dienste anzubieten. Es fehlen jedoch Vocabularies, die die Wiederverwendung von sicherheitsbezogenen Konzepten etablieren. Solche Vocabularies würden, unter anderem, die Entwicklung von intelligenten und autonomen Sicherheitsdiensten und Methoden unterstützten.

Weiter lesen…

24

April

2017

Automatisierte Reasoning über Sicherheitsrichtlinien

Kategorie: eGovernment, IT-Sicherheit

Angewandte Ansätze des Autorisierungsmanagements konzentrieren sich oft auf ein einzelnes System oder eine konkrete Umgebung. Aus dieser Perspektive wird oft die Sicherheit von Datenaustauschprozessen vernachlässigt, die sich über verschiedenen Abteilungen und Organisationen erstrecken.
Im Zuge dieser Arbeit wird das Autorisierungsmanagement von konkreten Organisationen, sowie von ihren Geschäfts- oder Ressourcenmodellen und zugehörigen Implementierungen getrennt. Dazu wird ein Framework vorgestellt, das ein einheitliches und flexibles Dienst- und Sicherheitsrichtlinienmodel sowie unterstützende Tools zur Verfügung stellt.
Das Ziel dieses Projekts ist die Evaluierung von potentieller Anwendung von ontologischem bzw. semantischem Reasoning für  dienstübergreifende Autorisierungsmanagement.

Weiter lesen…

15

März

2017

Sicherheitsaspekte Web APIs

Kategorie: Cloud Computing, eGovernment, IT-Sicherheit, Web Technologien

Web-APIs sind wesentlicher Baustein des heutigen Webs, sie erlauben effiziente und technologisch neutrale Daten- und Prozessintegration zwischen Akteuren und Plattformen. Als Innovationstreiber spielen Web APIs weiter eine wichtige Rolle, da diese Technologie die Verwirklichung neuer Geschäftsmodelle und Produkte methodisch unterstützt. Diverse Modelle und Implementationen haben die Erzeugung sowie die Etablierung von standardisierten Frameworks für API-Spezifikation motiviert. Weiter lesen…

Kontextbezogener Datenaustausch

Kategorie: Cloud Computing, eGovernment, IT-Sicherheit

In diesem Projekt wurde eine Token-Struktur definiert, die eine multilaterale und flexible Definition von Autorisierungsanforderungen ermöglicht. Insbesondere zielt diese Struktur, die fortgeschrittene Anforderungen im Bezug auf die Expressivität, Kontextsensitivität sowie die Anpassbarkeit von Autorisierungen zu unterstützen. Weiters haben wir die entsprechende Softwarekomponenten entwickelt, die die Gestaltung, die Analyse sowie die Integration von dieser Struktur unterstützen. Anhand eines Prototyps und einer Fallstudie demonstrieren wir die praktische Anwendung sowie die Vorteile unseres Vorschlags für das Sicherheitsmanagement von domainübergreifenden Datenaustausche.

30

April

2016

Ontologien im E-Government

Kategorie: eGovernment

Ontologie-basierte Konzepte finden vor allem im Kontext von Semantic-Web-Anwendungen starke Verbreitung und sind darüber hinaus im Fokus zahlreicher Forschungsaktivitäten. Deren Fähigkeit, gespeicherte und verarbeitete Daten um eine semantische Komponente zu erweitern, ermöglicht zahlreiche Einsatzmöglichkeiten und Anwendungsszenarien.
Weiter lesen…

Sicherheitsempfehlungen für Behörden

Kategorie: eGovernment, IT-Sicherheit

Kryptographie ist ein mächtiges Werkzeug, das – richtig eingesetzt – die Vertraulichkeit, Integrität und Authentizität elektronisch gespeicherter, verarbeiteter und übertragener Daten gewährleistet. Elektronische internetbasierte Dienste aus sicherheitskritischen Bereichen wie E-Government oder E-Banking wären ohne die Verwendung kryptographischer Methoden unmöglich. Die korrekte Verwendung kryptographischer Methoden ist daher unter anderem auch für Behörden von zentraler Bedeutung.
Weiter lesen…

Analyse aktueller Frameworks zur Entwicklung von mobilen Cross-Plattform-Applikationen

Kategorie: eGovernment

In dieser Studie wird analysiert, welche Sicherheitsmechanismen in beliebten Cross-Plattform-Frameworks zur Verfügung stehen. Betrachtet werden die beiden am häufigsten verwendeten Cross-Plattform-Frameworks, Apache Cordova und Xamarin, sowie Alpha Anywhere. Alpha Anywhere wurde ausgewählt, weil es explizit mit Sicherheitsfeatures wirbt. Die ausgesuchten Frameworks decken die beiden populären Ansätze zu Erstellung von Cross-Plattform-Applikationen ab. Apache Cordova und Alpha Anywhere erzeugen interpretierte Applikationen, während Xamarin hybride Applikationen erzeugt.

Weiter lesen…

eID in der Cloud mit SCIM

Kategorie: eGovernment

System for Cross-Domain Identity Management (SCIM) steht für ein neues Protokoll, das die Verwaltung von e-Identitäten in Cloud-basierten Anwendungen und Diensten erleichtert und unterstützt. In dieser Studie wird das Thema von Identity-Provisioning in der Cloud untersucht, insbesondere im Hinblick auf eID in einer verteilten, organisationsübergreifenden Umgebung. Die Studie analysiert mehrere Cloud-Provisioning Anwendungsfälle, sowie das SCIM Protokol und vorhandene SCIM-Implementierungen. Schließlich werden in dem Bericht die potentielle Anwendung und Integration von SCIM, sowie die Herausforderungen und weitere Richtungen, dargestellt.

 

Weiter lesen…