Web-Service-Security

Web-Service-Security

Web-Services sind erwachsen geworden und haben ein beachtliches Potential entwickelt: sie basieren auf einem offenen, dynamischen Austausch von Daten. Die Offenheit ist ihre Stärke und sorgte für eine breite Akzeptanz. Diese Offenheit ist aber mangels Sicherheit gleichzeitig auch der Hemmschuh, um Web Services auf breiter Basis in der Praxis einzusetzen. Web Services müssen sicher werden, umschützenswerte Daten angemessen übertragen zu können.

Voraussetzungen für den sicheren elektronischen Datenaustausch von Informationen über elektronische Wege sind Vertraulichkeit, Integrität und Verbindlichkeit. Verschlüsselung und digitale Signatur auf der Basis krytographischer Verfahren sind hierfür geeignete Verfahren. Eine <lex word="PKI">Public Key Infrastructure (PKI)</lex> stellt hierfür geeignete Software, Protokolle und Standards bereit. Der richtige und langfristige Weg Web Services abzusichern, ist die Nutzung einer <lex>PKI</lex>. Der Aufbau und Betrieb einer <lex>PKI</lex> ist aber relativ aufwändig und bedarf verschiedener Protokolle auf der Client-Seite. Dies kann zu einer komplexen Angelegenheit führen, zu der nicht alle Anwendungsprogramme bzw. Anwendungsgeräte in der Lage sind.

Neue Ansätze ermöglichen eine einfache Kommunikation mit einer <lex>PKI</lex>. Web-Services und das Simple Object Access Protocol (SOAP) sind einfache Mittel, um in einer Service Orientated Architecture (SOA) entfernte Dienste in Anspruch zu nehmen. Die <lex>XML Key Management Specification (XKMS)</lex> definiert ein Protokoll, um Validierung und Verwaltung von Schlüsseln auf Basis von XML via Web Services zu verwirklichen. Die resultierenden Vorteile machen den Umgang mit einer <lex>PKI</lex> einfacher und schlanker. Die vorliegende Arbeit stellt die <lex>XKMS</lex>-Spezifikation vor, erläutert deren Funktionsweise, nennt Vor- und Nachteile und gibt Einblick in die Realisierung eines <lex>XKMS</lex> Responders im Rahmen des Projektes TrustPoint.