Webservice Authentifizierung Server <> Client

philippgerard

Professional

Posts: 292

Thursday, September 3rd 2009, 11:41pm

Webservice Authentifizierung Server <> Client

Hallo allerseits,

für ein Großprojekt schreibe ich derzeit einen Webservice, der verschiedene Clients mit Daten versorgen soll. Ich plane derzeit die Authentifizierung. Ich habe von verschiedenen Techniken gelesen, diese zu implementieren. So benutzt AWS/Amazon S3 z.B. eine Technik namens "Hash Message Authentication Code". Kann mir dazu oder zu anderen vergleichbaren Methoden der Basisauthentifizierung (Client darf auf Webservice zugreifen) jemand Literatur, Best-Practice-Beispiele o.ä. empfehlen? Vielen Dank im Voraus!

Grüße,
Philipp

Torben Brodt

Administrator

Posts: 8,454

Friday, September 4th 2009, 8:57pm

Ich kann dir dazu nur unser Script aus der Vorlesung Krytpografie empfehlen: http://www.cs.hs-rm.de/~reith/lehre/krypto0708/

Quoted

Bisher haben wir Hashfunktionen nur als MDC – Modification Detection Codes verwendet, nun wollen wir sie dazu verwenden, die Quelle der Nachricht zu authentifizieren. Solche Funktionen werden MACs (Message Authentication Codes) genannt. Hier brauchen beide Seiten einen geheimen Schl ̈ssel k mit dem die Hashfunktion parametrisiert wird:

D.h. die Signatur hängt von der Nachricht und dem Key ab und die beiden Seiten können die Signatur berechnen. (Wichtiger Vertreter: HMAC).

Digitale Signaturen

Challenge-Response Verfahren
Oft muss ein Teilnehmer identifiziert werden. Dieses Problem ist unter dem Namen Teilnehmerauthentifikation bekannt.
Solch eine Technik kann man mit Hashfunktionen und Zufallszahlen nachbauen und bekommt ein kryptographisches Protokoll zur Teilnehmerauthentifikation.

Zero-Knowledge Protokolle
Ziel ist es, einen Beweis für eine Behauptung zu führen, um eine Teilnehmerauthentifikation zu ermöglichen. Prover will Verifier von der Richtigkeit einer Behauptung uberzeugen, wobei Bob Fragen an Alice stellen darf.