Domino Security Present and Future ConnectED Review - ICS.UG 2016
AS2 in10 Schritten
1. AS2 in zehn Schritten
Alexander Küken
eMail: alexander@kueken.net
eMail: alexander@ kueken.
2. AS2 steht für:
MIME-based Secure Peer-to-Peer
Business Data Interchange over the Internet
Using HTTP
29.05.2004 AS2 - In zehn Schritten 2
3. Einordnung der Thematik
ERP ERP
Konverter Konverter
Internet (HTTP)
AS2 Server AS2 Server
29.05.2004 AS2 - In zehn Schritten 3
4. AS2 Historie
• 1996: Gründung der IETF Working Group for EDI over the
Internet (EDIINT)
• August 1996: erster Spezifikationsentwurf für AS1
• Dezember 1996: erster Spezifikationsentwurf für AS2
• 1997: Start der Kompatibilitätstests für AS1, die dann alle 6 - 12
Monate wiederholt wurden
• 2000: Start der Kompatibilitätstests für AS2, die bis heute
wiederholt werden
• September 2002: Erhebung des 17. Spezifikationsentwurfs von
AS1 zum IETF-Standard RFC 3335
• 2003: Anerkennung der S/MIME 3.1 Spezifikation als Standard
RFC2633
• Februar 2004: Veröffentlichung des 15. Spezifikationsentwurfs
von AS2
29.05.2004 AS2 - In zehn Schritten 4
5. AS2 in zehn Schritten
Vom EDI-Interchange zur
AS2-Kommunikationen in zehn Schritten
29.05.2004 AS2 - In zehn Schritten 5
6. Schritt 1: Generieren eines Message-Digest
Um die Integrität der übermittelten Daten zu verifizieren
benötigt man einen so genannten Message-Digest, der
zusammen mit den Daten übermittelt und in einer MDN
wieder empfangen wird. Abweichung zwischen Original
und empfangenem Digest zeigen Änderungen während
des Transfers auf.
EDI Message
MD5, SHA1
Interchange Digest
Hash
29.05.2004 AS2 - In zehn Schritten 6
7. Schritt 2: Komprimieren der Daten
In diesem optionalem Schritt wird der Interchange mit
einem GZIP oder LZ77 kompatiblen Algorithmus
komprimiert. Dadurch können die Daten schneller
übermittelt werden und die Kryptoanalyse wird erschwert.
EDI
Komprimierter
GZIP / LZ77
Interchange
Interchange
29.05.2004 AS2 - In zehn Schritten 7
8. Schritt 3: MIME Header voranstellen
Innerhalb der EDIINT Standards wird ein Daten-Objekt
als MIME-Objekt übertragen. So muss jedes zu
übertragene Objekt mit einem oder mehreren RFC-822
kompatiblen Headern ausgestattet werden.
Content-Type: application/edi-x12
Komprimierter Content-Transfer-Encoding: base64
MIME Content-Length: 605
Interchange Header
H7654+Rg2h24f...
HRKJfur78G-fg...
29.05.2004 AS2 - In zehn Schritten 8
9. Schritt 4: Generieren der Signatur
Wiederum wird ein Message Digest generiert, diesmal auf
Basis der MIME-Nachricht. Dieser wird dann mit Hilfe
eines Private-Keys über RSA/DSA verschlüsselt und über
ASN.1 als „signedData“ CMS Objekt abgelegt.
MIME MD5, SHA1
RSA/DSA
Nachricht Hash
Private Key ASN.1
„signedData“ CMS
29.05.2004 AS2 - In zehn Schritten 9
10. Schritt 5: MIME Header voranstellen
Nun wird die Signatur auf base64 umcodiert und der
entsprechende MIME-Header vorangestellt.
„signed data“
base64
CMS
Content-Type: application/pkcs7-signatur;
name=smime.p7s
Content-Transfer-Encoding: base64
MIME
Content-Disposition: attachment;
Header filename=„smime.p7s“
Content-Length: 496
gj5g7gujg/Tgbjgf67trjh.6FFGHFTZ...
29.05.2004 AS2 - In zehn Schritten 10
11. Schritt6: Daten und Signatur zusammenfügen
Die EDI-Daten und die Signatur können jetzt unter einem
Multipart-MIME-Header zusammengefasst werden.
Content-Type: multipart/signed;
Interchange mit protocol=„application/pkcs7-signature“;
micalg=sha1; boundary=„boundary1“
MIME-Header
--boundary1
Content-Type: application/edi-x2...
H7654+Rg2h24f...
--boundary1
Content-Type: application/pkcs7-signatur...
Sigantur mit gj5g7gujg/Tgbjgf67trjh.6FFGHFTZ...
--boundary1--
MIME-Header
29.05.2004 AS2 - In zehn Schritten 11
12. Schritt 7: Nachricht verschlüsseln 1/2
Soll die Nachricht verschlüsselt übertragen werden, so
kommt ein Einweg-Block-Chiffre wie Triple DES oder
RS2 zum Einsatz.
29.05.2004 AS2 - In zehn Schritten 12
14. Schritt 8: HTTP Request erstellen
Für die Übertragung muss nun die S/MIME Nachricht mit
einem entsprechendem HTTP-Header versehen werden
POST http://www.empfaenger.de/edi HTTP/1.1
S/MIME
Host: www.absender.de
Nachricht AS2-From: absender
AS2-To: empfaenger
Date: Son, June 20, 2004
Subject: EDI Message
Message-Id: <20040620175400001>
Content-Type: application/pkcs7-mime;
Smime-type=enveloped-data; name=smime.p7m;
Content-Transfer-Encoding: base64
Content-Disposition: inline; filename=„smime.p7m“
Content-Length: 2962
HTTP
Header MDHUIDI8754nfunjt...
Alexander Küken AS2 - In zehn Schritten 14
15. Schritt 9: Übermittlung der AS2-Nachricht
Die nun fertig generierte AS2-Nachricht kann jetzt je nach
Angaben im HTTP-Header über HTTP oder HTTPS
übermittelt werden.
Alexander Küken AS2 - In zehn Schritten 15
16. Schritt 10: Empfang der AS2-MDN
Egal ob eine synchrone oder asynchrone Kommunikation
vorliegt, erhält der Absender früher oder später eine MDN
vom AS2-Server des Empfängers.
Ein Abgleich der Message-Digest aus der MDN und dem
in Schritt 1 generierten Message-Digest gibt Aufschluss,
ob die Daten korrekt übermittelt wurden.
Alexander Küken AS2 - In zehn Schritten 16
17. Synchrone AS2 Kommunikation
HTTP(S) Connect
AS2 Server AS2 Server
HTTP(S) Request [AS2-Message]
Handelspartner 1 Handelspartner 2
HTTP(S) Response [AS2-MDN]
29.05.2004 AS2 - In zehn Schritten 17
18. Vor- und Nachteile des Verfahrens
• Direkte, verifizierte Antwort innerhalb eines
logischen Ablaufs
• Große Nachrichten können zu einem
Verbindungs-TimeOut führen
• Blockieren der Abarbeitung, wenn Verbindungs-
Maximum erreicht ist.
29.05.2004 AS2 - In zehn Schritten 18
19. Asynchrone AS2 Kommunikation
HTTP(S) Connect
AS2 Server AS2 Server
HTTP(S) Request [AS2-Message]
Handelspartner 1 Handelspartner 2
HTTP(S) Response
HTTP(S) Connect
AS2 Server AS2 Server
HTTP(S) Request [AS2-MDN]
Handelspartner 1 Handelspartner 2
HTTP(S) Response
29.05.2004 AS2 - In zehn Schritten 19
20. Vor- und Nachteile des Verfahrens
• Direkte Antwort auf Transport-Schicht, wodurch
geringe Verbindungszeiten ermöglicht werden.
• Sender der AS2-Nachricht muss nicht zwingend
Empfänger des AS2-MDN sein.
• Zur Übermittlung des MDN kann auch AS1, also
SMTP verwendet werden
• Höherer Aufwand um Nachricht und MDN
zusammenzuführen
29.05.2004 AS2 - In zehn Schritten 20
21. Vorteile von AS2
• Kann (fast) jede Art von Geschäftsdokumenten
übermitteln
• Flexibel einsetzbar
• Nutzt durchgängig Standard-Technologie
• Hoher Sicherheitsstandard
• Schnelle Refinanzierung, durch geringe laufende
Kosten
• Schnell zu implementieren
• „Eier legende Wollmilchsau“ ?
29.05.2004 AS2 - In zehn Schritten 21
22. ROI: Return of Investment
Ergebnisse einer Untersuchung der Drummond Group zum Thema
Return of Investment bei EDI over the Internet vom Januar 2002
Großes Unternehmen Kleines Unternehmen
Jahresumsatz $25 - $50 Milliarde $160 Millionen
Handelpartner 500+ 5
Bestellungen/Tag 80%+ elektronisch (geschätzt 250K) ca. 250
Rechnung/Tag 80%+ elektronisch (geschätzt 375K) ca. 375
Dauer der Umstellung 2Monate für die Einführung AS1 Einführung in wenigen Tagen
Paralleler Testbetrieb für ein paar Monate
Umstellung eines Partners innerhalb eines Tages
AS2 gerade in Erprobung
Ausfallsicherheit sehr sicher ca. 2 Service-Fehler/Monat bei Asynch VAN
AS1: ca. 2 Service-Fehler innerhalb von 14 Monaten
Kosten geringer als VAN, bei gleichen netto 75% Einsparung gegenüber VAN-Lösung
Softwarekosten ROI: innerhalb der ersten 10 Monate
29.05.2004 AS2 - In zehn Schritten 22
23. Problem: Zertifizierung
• AS2 Produkte müssen einem Interoperabilitäts-Test
unterzogen werden
• Das UCC hat die Verantwortung für die Tests an die
Drummond Group übergeben.
• Rik Drummond ist verantwortlich für die AS2-
Spezifikation bei der IETF Working Group EDIINT
ÞHohe Zertifizierungskosten durch hohen
Testaufwand, die auf die Lizenzen umgeschlagen
werden müssen.
ÞMonopolstellung der Drummond Group
29.05.2004 AS2 - In zehn Schritten 23
24. Alternative: OpenAS2
• Bei OpenAS2 handelt es um eine Open-Source
Implementierung eines AS2-Servers in Java
• Kompatibilitäts-Tests durch Anwender
• Zur Zeit ist OpenAS2 interoperabel mit iSoft v3.1.5,
Cyclone Interchange v4.2.2.1, Cleo Lexicom v2.0.11
und IPNet BizConnect v2.3.1.217
• OpenAS2 befindet sich noch im Beta-Stadium
29.05.2004 AS2 - In zehn Schritten 24
25. Wo geht die Reise hin?
• Die Thematik AS2 wird primär von Wal-Mart,
als „global Player“, in Zusammenarbeit mit IBM
vorangetrieben
• März 2004: Veröffentlichung des zweiten
Spezifikationsentwurfs von AS3 (FTP)
• Bis August 2004: Neuer AS2
Spezifikationsentwurf oder Ernennung zum RFC
• ASx hat das Potential, neuer de-facto Standard
für Messaging im B2B-Bereich zu werden, auch
wenn es Konkurrenzverfahren gibt
29.05.2004 AS2 - In zehn Schritten 25
26. Quellen
MIME-based Secure Peer-to-Peer Business Data Interchange over the
Internet Using HTTP (draft-ietf-ediint-as2-15)
Compressed Data for EDIINT(draft-ietf-ediint-compression-03)
FTP Transport for Secure Peer-to-Peer Business Data Interchange over the
Internet (draft-ietf-ediint-as3-02)
IETF RFCs: MIME-based Secure EDI (RFC3335), MIME Encapsulation of
EDI Objects(RFC1767), S/MIME 3.1 (RFC2633)
EDI over the Internet Return on Investment Two surveys included January
2002 By Drummond Group Inc.
Brockmann B2B Blogging (http://www.brockmann.com/B1325096589/)
The 5 Keys to AS2 and The B2B Process Architecture by Peter Brockmann,
Vice-President Marketing bTrade (www.btrade.com)
EDI: Alive and Well After All These Years by Carol Sliwa, Computerworld
(http://www.computerworld.com/printthis/2004/0,4814,93808,00.html)
OpenAS2 Compatability by David Pittman (http://openas2.sourceforge.net)
iSoftTM EDI-INT AS2 Steps by iSoftTM Corporation
(http://www.isoft.com/iSoft_EDI_Demo/)
29.05.2004 AS2 - In zehn Schritten 26
27. Copyright
Attribution-NonCommercial-ShareAlike 2.0 Germany
You are free:
• to copy, distribute, display, and perform the work
• to make derivative works
Under the following conditions:
• Attribution. You must give the original author credit.
• Noncommercial. You may not use this work for commercial purposes.
• Share Alike. If you alter, transform, or build upon this work, you may distribute the resulting
work only under a license identical to this one.
• For any reuse or distribution, you must make clear to others the license terms of this work.
• Any of these conditions can be waived if you get permission from the copyright holder.
Your fair use and other rights are in no way affected by the above.
Copyright 2004 by Alexander Küken
This work is licensed under the Creative Commons Attribution-NonCommercial ShareAlike License. To view a copy of this license,
visit http://creativecommons.org/licenses/by-nc-sa/2.0/de/ or send a letter to Creative Commons, 559 Nathan Abbott Way, Stanford,
California 94305, USA.
29.05.2004 AS2 - In zehn Schritten 27