امنیت SAML
SAML چیست؟
SAML مخفف عبارت Security Assertion Markup Language است. این یک استاندارد باز مبتنی بر XML برای انتقال دادههای هویتی بین دو طرف است: ارائه دهنده هویت (IdP) و ارائه دهنده خدمات (SP).
SAML غالباً برای ورود به سیستم (ورود به سیستم با Google ، ورود به سیستم با Twitter و ... ) استفاده می شود. به این معنی که وقتی می خواهید به example.com وارد شوید؛ example.com می تواند به یک ارائه دهنده احراز هویت خارجی اعتماد کرده و از آن برای تأیید هویت کاربری شما استفاده کند. SAML در مورد انتقال این احراز هویت و جزئیات هویت در مرزهای سازمان (دامنههای وب) است.
مزایای احراز هویت SAML
بهبود تجربه کاربری - کاربران برای دسترسی به چندین ارائهدهنده خدمات فقط باید یک بار وارد سیستم شوند. این امر باعث میشود تا فرآیند احراز هویت سریعتر صورت پذیرد و انتظار کمتری از کاربر برای به خاطر سپردن اطلاعات متعدد ورود به سیستم برای هر برنامه وجود داشته باشد.
افزایش امنیت - SAML یک نقطه احراز هویت را ارائه میدهد. سپس، SAML اطلاعات هویت را به ارائهدهندگان خدمات منتقل می کند. این نوع احراز هویت اطمینان می دهد که اعتبارنامه ها فقط به طور مستقیم به IDP ارسال می شوند.
اتصال شل دایرکتوریها - SAML نیازی به نگهداری و همگامسازی اطلاعات کاربر بین دایرکتوریها ندارد.
کاهش هزینه ها برای ارائه دهندگان خدمات - با SAML ، لازم نیست اطلاعات حساب را در چندین سرویس حفظ کنید. تنها ارائهدهنده هویت این بار را بر دوش می کشد.
چرا مهم است؟
SAML در مکان های زیادی استفاده می شود؛ بنابراین با احتمال زیادی امنیت شما را نیز تحت تأثیر قرار میدهد. SAML اخیراً دارای آسیب پذیری های فاجعهبار با تأثیر زیاد بوده است. به عنوان مثال، اکثر خدمات دولتی از جمله خدمات مالیاتی و سیستمهای ثبت پرونده سلامت در فنلاند به گونهای آسیبپذیر بودند که مهاجم میتوانست اظهارات مالیاتی افراد را جاسوسی کند و پرونده های بهداشتی و اساساً هر چیزی که به صورت آنلاین در دسترس دولت بود را بخواند. این امر تا حد زیادی توسط رسانهها نادیده گرفته شده است؛ شاید به این دلیل که هنوز از آسیبپذیری ها سوءاستفاده نشده است.
SAML چگونه کار می کند؟
یک فرایند احراز هویت معمولی SSO شامل این سه طرف است:
- طرف اصلی : که تقریباً همیشه یک کاربر انسانی است که سعی می کند به یک برنامه میزبانیشده دسترسی پیدا کند.
- ارائه دهنده هویت : یک سرویس نرم افزاری ابری است که هویت کاربر را ذخیره و تأیید می کند: معمولاً از طریق ورود به سیستم. اساساً نقش IdP این است که بگوید: «من این شخص را می شناسم و در اینجا کاری است که او مجاز به انجام آن است».
- ارائه دهنده خدمات : همان برنامه یا سرویسی است که کاربر می خواهد از آن استفاده کند. نمونه های رایج شامل سیستم عاملهای ایمیل ابری مانند Gmail و Microsoft Office365 ، خدمات ذخیره سازی ابری مانند Google Drive و برنامه های ارتباطی مانند Slack و Skype است. معمولاً یک کاربر فقط به طور مستقیم وارد این خدمات می شود؛ اما وقتی از SSO استفاده می شود؛ کاربر به جای آن وارد SSO می شود و SAML برای دسترسی مستقیم به آنها استفاده می شود.
چرا SAML ناامن است؟
SAML از امضای مبتنی بر مقادیر محاسبهشده استفاده میکند. این کار، ذاتاً ناامن است و بنابراین SAML از نظر طراحی ناامن است.
چرا امضای مقادیر محاسبه شده خطرناک است؟
به طور خلاصه، هنگامی که امنیت خود را بر اساس برخی از ویژگی های محاسبه شده بنا میکنید؛ مهاجم میتواند از هر گونه نقص، اختلاف و ابهام در این محاسبه استفاده کند. جالب آن که هرچه محاسبات پیچیدهتر باشد؛ خطرناکتر میشود و محاسبه امضای SAML بسیار پیچیده است.
اما بیایید به توضیح مفهوم بپردازیم. بیایید یک سند هویت شبهSAML تهیه کنیم:
ما می توانیم فایل فوق را فقط به عنوان یک دسته بایت امضا کنیم:
حال اگر فایل را کمی تغییر دهیم. متوجه می شویم که امضا تغییر می کند:
این ویژگی بسیار خوبی است زیرا در حالت ایدهآل می خواهیم هرگونه تغییر (حتی آنهایی که در سطح JSON بی معنی تلقی می شوند) در سند امنیتی مهم (که SAML است) امضای متفاوتی ایجاد کند. حال اگر دو قطعه کد متفاوت داشته باشید که سند SAML را پردازش میکنند و تفسیر و رفتار متفاوتی در رابطه با محتوای معنایی پیام های تکراری JSON دارند ، چه اتفاقی می افتد؟
یک مهاجم از ارائهدهنده هویت خواسته است تأییدی را برای او امضا کند؛ اما به دلیل شکلپذیری SAML او توانست به تفاوتهای مفسر حمله کرده و سند را دستکاری کند تا همچنان برای اعتبارسنجی امضا معتبر باشد اما به عنوان کاربر دیگری دسترسی داشته باشد.
آسیبپذیری SAML در عمل
آنچه در مورد این آسیب پذیری های SAML اتفاق افتاده است؛ به آسانی مانند مثال JSON ما نیست. اما اصل و اساس این آسیبپذیریها و علت اصلی آنها امضای مقادیر محاسبه شده و شکل پذیری است. بیشتر آن که سایر آسیبپذیریهای SAML به دلیل ناپایداری رفت و برگشت XML است.
به طور خلاصه این آسیبپذیری ناشی از تجزیه XML است -> نوشتن XML سند معنایی متفاوتی تولید می کند؛ به عبارت دیگر کدگذاری (رمزگشایی (xmlDocument))! = xmlDocument).
چرا SAML اینگونه طراحی شده است ؟
با فرض اینکه طراحان SAML می دانستند به کارگیری روشهایی با انعطافپذیری کمتر در طراحی این پروتکل بهتر است با این حال در طراحی آن از روش هایی با قابلیت انعطافپذیری بالا استفاده کردهاند.
در این پروتکل زمانی که کاربر یک امضا ایجاد می کند؛ خروجی به عنوان signature بصورت زیر دریافت می کند:
ارسال signature به تنهایی کافی نیست و باید به همراه contentToSign ارسال شود تا کاربر با تطبیق آن ها از صحت اطلاعات خروجی اطمینان حاصل کند.
به نظر می آید ارسال contentToSign به تنهایی منجر به طراحی با قابلیت انعطاف کمتر می شود. در این حالت طراحان SAML می بایست SAML document و signature را در دو فایل جداگانه ارسال می کردند ( احتمالا signature را از طریق HTTP header و یا پارامتر های URL ارسال می کردند.)
با این حال طراحان SAML تصمیم گرفتند برای سادگی بیشتر، کلیه ی اطلاعات را در یک فایل XML جا داده و ارسال کنند:
از نظر فنی ، در ساختار فوق signature پایین تر از contentToSign قرار گرفته است و این نحوه قرارگیری ایجاب می کند که signature در فرآیند ارزیابی نادیده گرفته شود!
در عمل در ساختار فوق از گنجاندن signature در contentToSign خودداری شده است؛ چرا که منجر به شکلگیری مشکلات فنی غیر قابل بازگشت می شود :
در بررسی ساختار سادهتر که signature در contentTosign گنجانده نشده است؛ می خواهیم امکان پیادهسازی فرایند ارزیابی signature به صورت byte-based را بررسی کنیم!
مشکل موجود این است که فرایند استخراج بایت های متعلق به contentToSign از فایل XML بسیار دشوار است چرا که این ویژگی توسط API هایی که به عنوان XML parser عمل می کنند، پشتیبانی نمی شود. این در حالیست که در samldocument برای دسترسی به زیر شاخه ی contentTosign تنها امکان دسترسی سطح XML توسط طراحان فراهم شده است؛ که البته به نظر می رسد دقت لازم را بکار نگرفتهاند و برای آسودگی به امضای داده سطح XML رضایت دادهاند.
در واقع ، امضای خروجی عملیات واکاوی XML (XML parsing) دشوار است چرا که باید نهایت دقت به کار گرفته شود که امضای ورودی (input signature) از خروجی عملیات واکاوی XML مستقل نگه داشته شود؛ چراکه خروجی عملیات واکاوی بسته به نوع کتابخانهها و زبان های برنامه نویسی به کار گرفته شده، می تواند متفاوت باشد. با توجه به دلایل فوق ، ابزار XML dsig به منظور پردازش خروجی XML بکار گرفته می شود. کتابخانه ی مورد نظر این امکان را فراهم می کند که با مرتب سازی attributeهای فایل XML ، به چینش پایداری از بایت ها دست پیدا کنیم و به این ترتیب امکان ارزیابی امضای ورودی فراهم شود؛ چرا که نهایتاً فرایند ارزیابی byte-based خواهد بود.
در ادامه مثالی برای درک بیشتر تغییر صورتگرفته توسط این کتابخانه در الگوی چینش بایت آورده شده است:
که میشود:
به صورت خلاصه امضا و اعتبارسنجیِ زیرشاخههای فایل های XML دشوار است با این حال روش ها و ابزارهایی وجود دارند که این امکان را فراهم می کنند و شواهد تجربی نشان میدهد که این یک کابوس امنیتی است و به نظر میرسد کلیه پروتکلهایی که مبتنی بر روشهایی مشابه پروتکل SAML فعالیت می کنند در معرض آسیبپذیری شدید امنیتی قرار دارند.
کاهش آسیب پذیری
برای رعایت احتیاط در مسائل امنیتی می بایست فرایند ارزیابی پایداری پیش از پردازش فایل XML صورت پذیرد. بهطور خلاصه برای ارزیابی امضا بجای استفاده از روش های ارزیابی byte-based باید مراحل زیر طی شود :
- انجام مجدد واکاوی فایل XML
- ایجاد canonical XML ( با استفاده از XML design عملیات رمز کردن مجدد ولی این بار با قوانین و تبدیلات پیچیدهتر صورت می گیرد.)
همانطور که بنظر می رسد مراحل فوق پیچیده هستند و همین پیچیدگی احتمال وجود خطا ها و مشکلات امنیتی را افزایش می دهد.
چگونه SAML می توانست بهتر طراحی شود ؟
به عنوان یک ایده ی ساده می توان به مثال زیر اشاره کرد.
به جای استفاده از ساختار زیر که امکان امضا و اعتبارسنجی آن به صورت امن و دقیق دشوار است :
می توان از ساختار جایگزین زیر استفاده کرد که در آن محتوای تگ
به این ترتیب کلیه محتوای خروجی مورد نظر در یک فایل ارسال می شود و نیازی به ارسال signature و contentToSign به صورت جداگانه وجود ندارد ولی می بایست دو مرحله XML-parse صورت گیرد :
در مرحله اول : بر روی document خروجی و سپس ارزیابی اعتبار امضا
در مرحله دوم : بر روی document داخلی در صورت تطابق امضا
اگرچه ساختار پیشنهادی از نظر ظاهری ، ساختار چندان مطلوب به نظر نمی رسد؛ اما مزیتهای مهمی ایجاد میکند از جمله اینکه با جا دادن کلیه محتوای خروجی در SAMLContentToSign دارای انعطاف کمتری است همچنین نیاز به بکارگیری XML dsig و واکاوی دادههای ضروری امنیتی پیش از تایید شدن از سمت منبع وجود ندارد .
از دیگر ویژگی های غیر عادی SAML :
SAML در مواردی کاربران را ملزم به استفاده از XML document هایی میکند که دربردارنده مجموعهای از دادههای ناایمن هستند که ممکن است تحت کنترل مهاجمان سایبری باشند. در این موارد کاربر نیاز به بکارگیری کدهای اضافه برای دور انداختن دادههای ناایمن دارد.
چرا SMAL با وجود اشکلات امنیتی فراوان همچنان مورد استفاده قرار می گیرد ؟
یکی از پاسخ ها می تواند این باشد که زمانی که پروتکلی قدرت را به دست میگیرد و کابران بسیاری را یا خود همراه می کند؛ مهاجرت کاربران به گزینههای بهتری که ممکن است پس از آن ارائه شود، دشوار خواهد بود و تطابق با استاندارد جدید هزینههایی را برای کابران در پی خواهد داشت که اغلب از آن سر باز میزنند.
پیشنهادهای جایگزین برای SAML :
برخی کارشناسان OAuth2 و OpenID connect را پیشنهاد میکنند :
- https://twitter.com/pquerna/status/1338517755352387584
- https://github.com/dexidp/dex/discussions/1884