Das Model der Self-Sovereign Identity (SSI) verspricht die Sicherheit und Benutzerzentrierung von Identity Management Systemen zu stärken. Da die Sicherheit jedes Online Dienstes von der Sicherheit des implementierten Identity Management Verfahrens abhängt, analysieren wir die Sicherheit von SSI und vergleichen sie mit den anderen Paradigmen. Dafür adaptieren wir einen hybriden Ansatz zur Modellierung von Threats basierend auf STRIDE, Attack Trees und der Quantifizierung der Bedrohungen. Datenflussdiagramme für das isolierte, zentralisierte und SSI Paradigma dienen als Grundlage für die Bewertung.
Die Weiterentwicklung zwischen den Identity Management Modellen zeigt eine Erhöhung der Komplexität basierend auf der Zunahme von Sicherheitszonen und Kommunikationspfaden zwischen den Komponenten. Wir konnten 35 Threats für die SSI Komponenten und 15 Schutzmaßnahmen identifizieren. Das Ergebnis unserer Forschung zeigt, dass die Attack Surface beim SSI Model wesentlich höher ist verglichen zu den traditionellen Modellen. Neben der Bewertung auf der Ebene des Models erlaubt die angewendete Methodik spezifische Implementierungen zu bewerten. Wir analysierten uPort mit dem Fokus auf den User Agent. Wir konnten feststellen, dass 2 von 10 Threats keine adequate Schutzmaßnahmen besitzen.
Link: https://link.springer.com/article/10.1007/s10207-023-00688-w
