Please use this identifier to cite or link to this item: http://dx.doi.org/10.18419/opus-12398
Authors: Bauer, Christina
Title: Formal analysis of self-issued OpenID providers
Other Titles: Formale Sicherheitsanalyse von Self-Issued OpenID Providers
Issue Date: 2022
metadata.ubs.publikation.typ: Abschlussarbeit (Master)
metadata.ubs.publikation.seiten: 132
URI: http://nbn-resolving.de/urn:nbn:de:bsz:93-opus-ds-124178
http://elib.uni-stuttgart.de/handle/11682/12417
http://dx.doi.org/10.18419/opus-12398
Abstract: The Self-Issued OpenID Provider specification is an extension of OpenID Connect that allows users to authenticate at Relying Parties using an Identity Provider under the local control of the user. For this, the Self-Issued OpenID Provider specification introduces a notion of an identity that is self-asserted by the user.To supplement the self-asserted claims of the user with verifiable claims by a trusted party, a natural extension for the Self-Issued OpenID Provider specification is the use of Verifiable Credentials. The Self-Issued OpenID Provider specification defines two protocol flows: the same-device flow and the cross-device flow where the latter is known to be vulnerable to authentication request replay. In this thesis, we analyze the Self-Issued OpenID Provider specification using the Web Infrastructure Model. We model the Self-Issued OpenID Provider same-device protocol flow and uncover an attack on the protocol during formal analysis.After mitigating this attack in the model, we show that the security properties authentication, session integrity, and holder binding for Verifiable Credentials hold under certain assumptions. We also developed a variant of the cross-device flow that mitigates the request replay attack on the cross-device flow at the cost of introducing a web service associated with the Self-Issued OpenID Provider. For our variant of the cross-device protocol flow, we show that it is secure with respect to the authentication security property under suitable assumptions.
Self-Issued OpenID Provider sind eine Erweiterung von OpenID Connect, die es Nutzern erlaubt, sich bei einer Relying Party mithilfe eines Identity Provider auf ihrem Endgerät zu authentifizieren. Für die Authentifizierung mit Self-Issued OpenID Providern definiert die Spezifikation Identitäten, deren Besitz der Nutzer beweisen kann. Um diese Identitäten mit prüfbaren Angaben einer vertrauenswürdigen Partei zu ergänzen, ist die zusätzliche Verwendung von Verifiable Credentials eine natürliche Erweiterung für Self-Issued OpenID Provider. In der Self-Issued OpenID Provider Spezifikation werden zwei Nachrichtenflüsse definiert, der Same-Device Flow und der Cross-Device Flow, wobei für den letzteren ein Replay Angriff bekannt ist. Im Rahmen dieser Masterarbeit führen wir eine formale Analyse der Self-Issued OpenID Provider Spezifikation im Web Infrastructure Model durch. Wir modellieren den Self-Issued OpenID Provider Same-Device Flow, beschreiben einen Angriff, den die formale Analyse aufdeckt, und zeigen, wie der Angriff verhindert werden kann. Für das angepasste Protokoll zeigen wir, dass Sicherheit bezüglich der Eigenschaften Authentifizierung, Session Integrity und Holder Binding von Verifiable Credentials erreicht wird. Wir beschreiben und modellieren zudem eine Variante des Cross-Device Flow, die im Rahmen dieser Arbeit entwickelt wurde. Für den Preis eines zusätzlichen Webservices erschwert die Variante den Replay Angriff auf den Cross-Device Flow erheblich.Für unsere Variante des Cross-Device Flow zeigen wir, dass sie sichere Authentifizierung ermöglicht.
Appears in Collections:05 Fakultät Informatik, Elektrotechnik und Informationstechnik

Files in This Item:
File Description SizeFormat 
Bauer_Christina_Formal_Analysis_of_Self-Issued_OpenID_Providers.pdf1,24 MBAdobe PDFView/Open


Items in OPUS are protected by copyright, with all rights reserved, unless otherwise indicated.