RUB » Bibliotheksportal

Thomas Groß

• This thesis considers secure authentication by browser-based identity federation. This special class of identity federation only uses a standard web browser as client and therefore provides a zero-footprint authentication. Instead of a traditional key exchange and subsequent channel establishment, this protocol class bootstraps a server-authenticated secure channel with a third-party credential to obtain mutual authentication. The results of our investigation include vulnerabilities and novel security mechanisms, which have improved SAML and WS-Federation as major standards. We will present the first formal model for browser-based protocols built upon the Reactive Simulatability framework, and establish channel authenticity as new security goal for this area. Through our formal model of the standardized WS-Federation Passive Requestor Profile, we achieve the first rigorous security proof for browser-based identity federation.
• Browserbasierte Identitätsföderation etabliert eine Dreiparteienauthentifikation mit einem Standard-Webbrowser als Client. Ein Standard-Webbrowser ist nicht unmittelbar in der Lage, die vorherrschende Methode des sicheren Sitzungsschlüsselaustausches für Identitätsföderation einzusetzen. Stattdessen verwendet ein Webbrowser einen bereits etablierten server-authentifizierten Kanal, um den Berechtigungsnachweis einer dritten Partei zu übertragen. Mit diesen zwei Schritten wird ein beidseitig authentifizierter Kanal aufgebaut. Diese Arbeit führt detaillierte Protokollanalysen von Föderationsstandards durch, welche eine Reihe potentieller Sicherheitslücken bei einem realistischen Angreifermodell aufzeigen. Sie zeigt den ersten rigorosen Sicherheitsbeweis für standardisierte Identitätsföderation mit einem formalen Browsermodell. Im Prinzip garantiert Channel Authenticity einen sicheren Kanal zwischen dem identifizierten Benutzer und einem akzeptierenden Dienstleister.