Direkt zum Inhalt
Symbolfoto: Das AIT ist Österreichs größte außeruniversitäre Forschungseinrichtung
AIT Logo Logo AIT Blog - Austrian Insitute of Technology verlinkt zur Startseite des AIT Blog Logo AIT Blog - Austrian Insitute of Technology verlinkt zur Startseite des AIT Blog
Sie befinden sich hier:

Startseite  Themen  Cyber Security  Projects  CREDENTIAL

CREDENTIAL

SECURE Cloud Identity Wallet

Zusammenfassung des Kontexts und der Gesamtziele des Projekts (für den letzten Zeitraum sind die Schlussfolgerungen der Aktion anzugeben)
CREDENTIAL - seCuRE clouD idENTIty wALlet - war eine Innovationsmaßnahme, die im Rahmen des Forschungs- und Innovationsprogramms Horizon 2020 der Europäischen Union finanziert wurde. Das Projekt brachte elf Partner aus sechs Mitgliedsländern der EU zusammen und hatte eine Laufzeit von 36 Monaten. Kurz gesagt war das Hauptziel von CREDENTIAL die Nutzung bestehender und die Entwicklung neuer kryptografischer Werkzeuge und Techniken, um eine datenschutzfreundliche, cloudbasierte und durchgängig sichere Plattform für die Identitätsbereitstellung und den Datenaustausch zu entwickeln.
CREDENTIAL hat einen Software-Stack entwickelt, der es den Nutzern ermöglicht, all ihre potenziell sensiblen Identitätsdaten in einer zentralen Cloud-Umgebung zu speichern, die als "CREDENTIAL Wallet" (oder einfach "Wallet") bezeichnet wird. Es bietet ähnliche Funktionen wie bestehende Identitätsanbieter, mit dem Hauptunterschied, dass es die Identitätsinformationen des Nutzers nicht erfährt, aber dennoch in der Lage ist, Dienstanbietern (auch "relying parties" genannt), die Daten nach der Nutzerauthentifizierung anfordern, sehr hohe formale Authentizitätsgarantien zu geben. Darüber hinaus kann die Wallet dazu verwendet werden, beliebige Daten in verschlüsselter Form zu speichern, während sie gleichzeitig äußerst benutzerfreundliche und intuitive Schnittstellen bietet, um die Daten mit Datenempfängern zu teilen. Um den Nutzern wieder die volle Kontrolle über ihre Daten zu geben, haben sie die Möglichkeit, die Zugriffsrechte auf einer sehr feingranularen Basis zu definieren, d.h. sie können nicht nur den Zugriff auf Dateiebene gewähren, sondern auch festlegen, wer auf welche Teile eines Dokuments zugreifen darf, während sie - im Falle von signierten Dokumenten - dem Datenempfänger immer noch die Sicherheit geben, dass die empfangenen Teile des Dokuments nicht vom Nutzer böswillig verändert wurden.
Um diese Ziele zu erreichen, ist CREDENTIAL speziell auf die folgenden Ziele ausgerichtet
- Anpassung und Verbesserung kryptographischer Methoden zur sicheren Speicherung und Weitergabe von Identitätsdaten
- Schutz des Zugangs zu Identitätsdaten durch starke Authentifizierungsmechanismen - Entwicklung eines benutzerfreundlichen und portablen Systems für den Zugang zu Identitätsdaten und deren Verwaltung
- Schaffung von Basistechnologien für Dienstanbieter und Datenkonsumenten
- Umsetzung der Projektergebnisse in marktreife Technologien und Standards

Die CREDENTIAL Wallet wurde in Pilotprojekten in den Hochsicherheitsbereichen eGovernment, eHealth und eBusiness vorgestellt. Alle drei Piloten - unter Verwendung der gesamten Wallet oder einzelner Komponenten davon - bewiesen die technische Machbarkeit und praktische Effizienz der CREDENTIAL Wallet. Darüber hinaus wurde anhand des Feedbacks der Pilottester und auf der Grundlage der Usability- und HCI-Expertise innerhalb des Projektkonsortiums gezeigt, dass hohe Usability und starke Sicherheits- und Datenschutzgarantien gleichzeitig erreicht werden können und keine Gegensätze sein müssen, wenn sie von Anfang an geplant werden, selbst bei einem komplexen System.
Vom Beginn des Projekts bis zum Ende des Berichtszeitraums durchgeführte Arbeiten und die wichtigsten bisher erzielten Ergebnisse (für den letzten Zeitraum bitte einen Überblick über die Ergebnisse und ihre Nutzung und Verbreitung beifügen)

Die technische Arbeit im Projekt lässt sich in drei Bereiche unterteilen, die wir im Folgenden kurz zusammenfassen. Track I konzentrierte sich auf die Sammlung von Anforderungen und die Identifizierung von Lücken in bestehenden Technologien; Track II konzentrierte sich auf die Schließung dieser Lücken und den Entwurf, die Implementierung und die Demonstration einer benutzerfreundlichen, hochsicheren und datenschutzfreundlichen Architektur für das Identitätsmanagement und den Datenaustausch; Track III schließlich konzentrierte sich auf die Verbreitung und Nutzung der Projektergebnisse.
Track I - Definition von Anwendungsfällen, Anforderungserhebung und Lückenanalyse In einem ersten Schritt identifizierten wir insgesamt 15 potenzielle Storyboards für die drei Pilotdomänen, d. h. ein Storyboard beschreibt eine High-Level-Funktionalität, die die CREDENTIAL Wallet einem Benutzer bietet. Diese Storyboards wurden dann iterativ zu geschäftlichen und logischen Anwendungsfällen verfeinert. Eine Teilmenge dieser Anwendungsfälle wurde dann im Detail verfeinert, um sie in die Pilotphase des Projekts einzubeziehen. Darüber hinaus wurden funktionale, rechtliche, organisatorische, technische, Benutzerfreundlichkeits-, Datenschutz- und Sicherheitsanforderungen an die geplanten Softwarekomponenten definiert. Schließlich wurde eine gründliche Bewertung bestehender Technologien in den Bereichen Technologien zur Verbesserung des Datenschutzes, Authentifizierung in der Cloud, Identitätsprotokolle und pilotspezifische Technologien durchgeführt. Auf der Grundlage dieser Bewertung wurden konkrete Primitive und Protokolle vorgeschlagen und für die weitere Forschung und Verwendung in CREDENTIAL empfohlen.
Track II - Forschung, Entwicklung, Implementierung und Demonstration In diesem Track wurde zum einen erforscht, wie die Lücken im Bereich der kryptografischen und sicherheitsrelevanten Technologien geschlossen werden können. Andererseits wurde eine detaillierte Architektur für die CREDENTIAL-Wallet definiert. Dazu gehörte neben den serverseitigen Komponenten auch das UI-Design für die Client-Seite (eine mobile Android-Anwendung). Diese Architektur wurde in einem iterativen Prozess realisiert. Um sicherzustellen, dass alle in Track I definierten Anforderungen auch tatsächlich erfüllt werden, wurde eine Datenschutz-Folgenabschätzung für die CREDENTIAL Wallet durchgeführt und der Code von professionellen Penetrationstestern getestet, um die Sicherheit auch auf der Implementierungsebene zu gewährleisten. Parallel zur Entwicklung der CREDENTIAL Wallet begannen die Pilotpartner mit der Integration der Wallet in bestehende Plattformen und Anwendungen, um die Praxistauglichkeit unserer Ergebnisse in den Bereichen eGovernment, eHealth und eBusiness zu demonstrieren. Die realisierten Szenarien wurden dann erfolgreich mit externen Nutzern getestet.
Track III - Kommunikation, Verbreitung und Nutzung CREDENTIAL hat bereits erhebliche Anstrengungen unternommen, um die Ergebnisse des Projekts zu verbreiten und zu nutzen:
- Es wurden mehr als 20 akademische und nichtakademische Fachartikel veröffentlicht und zahlreiche projektbezogene Präsentationen gehalten;
- Es wurden relevante akademische und industrielle Veranstaltungen besucht;
- Es wurden mehrere Konferenzen (mit)organisiert;
- Es wurden Verbindungen zu einschlägigen Forschungs- und Normungsinitiativen hergestellt;
- ein neues ISO/IEC-Standardisierungsprojekt zu redigierbaren Signaturen, einer der zentralen kryptografischen Komponenten, die in CREDENTIAL verwendet werden, wurde eingeleitet;
- die Website und die Konten in den sozialen Medien wurden aktiv genutzt, und mehrere technische und nichttechnische Videos zur Erläuterung der Projektziele und Pilotprojekte wurden zur Verfügung gestellt; - ein Patent auf CREDENTIAL-Ergebnisse wurde erteilt;
- detaillierte Nutzungs- und Geschäftspläne pro Partner und für das gesamte Konsortium wurden festgelegt.
Fortschritte, die über den Stand der Technik hinausgehen, erwartete Ergebnisse bis zum Ende des Projekts und potenzielle Auswirkungen (einschließlich der sozioökonomischen Auswirkungen und der breiteren gesellschaftlichen Implikationen des bisherigen Projekts)
 Im Folgenden werden die wichtigsten wissenschaftlichen und Forschungsergebnisse, die bisher im Rahmen von CREDENTIAL erzielt wurden, kurz zusammengefasst.
Bedeutende Fortschritte wurden bei der Übernahme und Verbesserung der kryptographischen Kernprimitive von CREDENTIAL erzielt, insbesondere bei der Kombination von redigierbaren Signaturen und Proxy-Wiederverschlüsselung, die für die datenschutzfreundliche und selektive Cloud-basierte Weitergabe von authentischen (d. h. signierten) Daten zwischen Datenbesitzern und -empfängern erforderlich war. In Verbindung mit dem Gesamtkonzept von CREDENTIAL werden diese Erkenntnisse insbesondere für die Erreichung des Ziels der Datenminimierung relevant werden. Außerdem hat die Forschung über die langfristige Sicherheit von Proxy-Wiederverschlüsselungsverfahren zum ersten zukunftssicheren Verfahren dieser Art in der Literatur geführt, was wiederum dazu beitragen wird, das Vertrauen in Cloud-Dienste zu verringern. Darüber hinaus haben wir verschiedene existierende Identitätsprotokolle wie z.B. SAML oder OpenID Connect analysiert, die zur Unterstützung der Proxy-Wiederverschlüsselung erweitert werden könnten. Um die Authentifizierung der Nutzer in der Cloud so sicher wie möglich zu machen, hat sich das Konsortium auf weit verbreitete Technologien wie FIDO konzentriert und diese analysiert. Adresse (URL) der öffentlichen Website des Projekts https://credential.eu

 

  • Partner: AIT Austrian Institute of Technology GmbH (Koordinator), ATOS SPAIN SA, FRAUNHOFER-GESELLSCHAFT ZUR FOERDERUNG DER ANGEWANDTEN, FORSCHUNG E.V, JOHANN WOLFGANG GOETHE UNIVERSITAET FRANKFURT AM MAIN, TECHNISCHE UNIVERSITAET GRAZ, HELLENIC TELECOMMUNICATIONS ORGANIZATION S.A. - OTE AE, INFOCERT SPA, KARLSTADS UNIVERSITET, KLUGHAMMER GMBH, LOMBARDIA INFORMATICA SPA, STIFTUNG SICHERE INFORMATIONS- UND KOMMUNIKATIONSTECHNOLOGIEN, EUROCLOUD EUROPE ASBL
  • Förderprogramm: H2020-DS-2014-2015/H2020-DS-2014-1, DS-02-2014 Zugangskontrolle
  • Projektlaufzeit: 10/2015-09/2018
Portraitfoto von Stephan Krenn

Stephan Krenn

Senior Scientist