Modularizing Holder-of-Key Assertions in SAML 2.0 for Enhanced Identity Provider Flexibility: Improving Upgradability and Interchangeability of Identity Provider Software Through Decoupled Assertion of Proof-of-Possession of Private Keys
2024 (English)Independent thesis Advanced level (degree of Master (Two Years)), 20 credits / 30 HE credits
Student thesisAlternative title
Modularisering av Holder-of-Key-försäkranden i SAML 2.0 för ökad flexibilitet för identitetsleverantörer : Förbättrad uppgraderbarhet och utbytbarhet av programvara för identitetsleverantörer genom frikopplat säkerställande av bevis på innehav av privata nycklar (Swedish)
Abstract [en]
The growing reliance on digital services highlights the need for secure and efficient authentication processes to reduce the risks associated with password fatigue and breaches. This report explores the possibility of separating Holder-of-Key (HoK) assertions from the core functions of identity providers in Security Assertion Markup Language (SAML) 2.0, allowing the upgrade and interchangeability of identity provider software. This study emphasizes the potential of modularizing security components to enhance the adaptability and security of authentication systems, provided they are regularly maintained and updated in line with evolving standards and recommendations. The research involves a structured approach, including a literature study, system design, implementation, and evaluation. A HoK assertion module was created and integrated with various identity providers such as Keycloak, Authentik, Casdoor, and SimpleSAMLphp to assess its performance, ability to mitigate attacks, interchangeability, upgrade potential, and scalability. The module effectively mitigates specific replay and man-in-the-middle attacks between it and the identity provider it is coupled with, demonstrating robustness. Interchangeability tests showed that several identity providers are compatible with the module, except those using outdated cryptographic methods or producing invalid Extensible Markup Language (XML) documents. However, scalability testing was inconclusive due to resource constraints, highlighting the need for further investigation. The study found that integrating the HoK module increased login time from 263 ms to 556 ms, which was still acceptable for controlled environments. The research concludes that while modular HoK assertions show promise, their impact on large-scale deployments requires additional investigation. Future work should focus on assessing maintenance efforts, conducting further interchangeability tests with identity providers like Shibboleth, and comprehensive scalability evaluations.
Abstract [sv]
Det ökande beroendet av digitala tjänster understryker behovet av säkra och effektiva autentiseringsprocesser för att minska riskerna med lösenordströtthet och dataintrång. I denna rapport undersöks möjligheten att separera HoK (Holder-of-Key)-försäkranden från de huvudsakliga funktioner hos identitetsleverantörer i Security Assertion Markup Language (SAML) 2.0, för att möjliggöra uppgradering och utbytbarhet av identitetsleverantörers programvara. Studien visar på potentialen i modularisering av säkerhetskomponenter för att förbättra anpassningsbarheten och säkerheten i autentiseringssystem, förutsatt att de regelbundet underhålls och uppdateras i linje med nya standarder och rekommendationer. Studien innefattar ett strukturerat tillvägagångssätt: en litteraturstudie, systemdesign, implementering och utvärdering. En HoK-försäkrande komponent skapades och integrerades med olika identitetsleverantörer som Keycloak, Authentik, Casdoor och SimpleSAMLphp för att bedöma dess prestanda, förmåga att hindra attacker, tillåta utbytbarhet, uppgraderingspotential och skalbarhet. Komponenten motverkar effektivt specifika repetitions- och man-i-mitten-attack-attacker utförda mellan sig själv och identitetsleverantören den är kopplad till, vilket visar på tillförlitlighet. Utbytbarhetstester visade att flera identitetsleverantörer är kompatibla med modulen, utom de som använder föråldrade kryptografiska metoder eller producerar ogiltiga Extensible Markup Language (XML)-dokument. Skalbarhetstesterna var dock inte entydiga på grund av resursbegränsningar, vilket visar på behovet av ytterligare undersökningar. Studien visade att integreringen av HoK-komponenten ökade inloggningstiden från 263 ms till 556 ms, vilket fortfarande var acceptabelt inom kontrollerade miljöer. Slutsatsen av studien är att även om modulära HoK-försäkrningar är lovande, kräver deras inverkan på storskaliga implementeringar ytterligare undersökningar. Framtida arbete bör fokusera på att bedöma underhållsinsatser, genomföra ytterligare utbytbarhetstester med identitetsleverantörer som Shibboleth och omfattande skalbarhetsutvärderingar.
Place, publisher, year, edition, pages
Stockholm: KTH Royal Institute of Technology , 2024. , p. 100
Series
TRITA-EECS-EX ; 2024:484
Keywords [en]
Holder-of-Key, Proof-of-Possession, Security Assertion Markup Language, SAML 2.0, Identity Providers, Single Sign-On (SSO), DigitalIdentity
Keywords [sv]
Holder-of-Key, Bevis på innehav, Security Assertion Markup Language, SAML 2.0, Identitetsleverantörer, Single Sign-On (SSO), Digitalidentitet
National Category
Computer Sciences Computer Engineering
Identifiers
URN: urn:nbn:se:kth:diva-351606OAI: oai:DiVA.org:kth-351606DiVA, id: diva2:1887983
External cooperation
Pointsharp
Subject / course
Computer Science
Supervisors
Examiners
2024-09-232024-08-102024-09-23Bibliographically approved