Post on 05-Apr-2015
transcript
"Wer bin ich?" Ihre digitale Identität und die strenge Authentisierung
Walter Jekat
ICON Systems GmbH
wje@icon.de
1. Februar 2002
Agenda
• Die Herausforderung• Was ist "starke Authentisierung"?• Lösungsansätze:
– Einmalpasswörter: S/Key
– Tokens: RSA SecurID
– Device Authentisierung: Phoenix First Authority
– Digitale Zertifikate/Managed PKI: Verisign/D-Trust
– Einige Gedanken zur Biometrie
e-Security für e-Business
• Wissen Sie mit wem Sie Geschäfte machen...?
• Wissen Sie wer Zugang zu was hat...?
• Wissen Sie ob Ihre Informationen privat sind…?
• Wissen Sie ob der Inhalt Ihrer Info verändert ist..?
• Wissen Sie ob eine Transaktion rechtsbindend ist..?
• Wissen Sie ob Sie Ihrem
e-Business Umfeld trauen können...?
Das Unternehmensnetz im Wandel
FirmenFirmenDatenDaten
Public Public Web SiteWeb Site
IBM SystemsIBM SystemsNT/Win2KNT/Win2K
DirectoryDirectoryServicesServices
DominoDomino
SecureSecureExtranetExtranet
Unix SystemsUnix Systems
Mitarbeiter
Lieferant
Kunde
Partner
Freie MA
Mitarbeiter Interesssent
Public Web Site
NT/Win2K
DirectoryServices
MessagingWorkflow
CRM
SecureExtranet
Unix Systeme
Grossrechner
Trügerische Passwort SecurityUser:
– Passwörter stehen auf Post-It Notes und liegen unter Tastaturen
– Einfache Passwörter– Passwort Crackers & Sniffers– Replay Angriffe– Social Engineering
Administratoren:– “Ausgeliehene” IDs und Passwörter – Ehemalige Mitarbeiter hinterlassen
Sicherheitslöcher
MAINFRAMEUser: PeterID: 043118Password:XXXXXXX
NETWARE
User: Peter
ID: harrison
Password:
XXXXXXX NTUser: PeterID: harrispPassword:XXXXXXX
ORACLEUser: PeterID: ph04311Password:XXXXXXX
NOTESUser: PeterID: peha65Password:XXXXXXX
NETSCAPE
User: Peter
ID: pharrison
Password:
XXXXXXX
SAPUser: PeterID: peterhPassword:XXXXXXX
EMAILUser: PeterID: peteh
Password:XXXXXXX
Lokales Netz(LAN)
Firmennetz(Intranet)
Geschäfts-Partner
(Extranet)
Das Internet
KUNDENPROBLEM: Entfernung vom Administrator
Grad desGrad desSicherheits-Sicherheits-
risikosrisikos
Entfernung von der AdministrationEntfernung von der Administration
Die Sicherheitsrisiken steigen mit der Entfernung vom AdministratorDie Sicherheitsrisiken steigen mit der Entfernung vom Administrator
Einbruchserkennung MonitoringEinbruchserkennung MonitoringPermanentes MonitoringPermanentes Monitoring
Userbezogene Sicherheitsstufen
Zugangskontrolle, Ausweissystem,Türen
Identitätsregistrierung, Überprüfungsmethoden
Privilegien, Profile, Rollen, "Policy Enforcement"
Verschlüsselung, Integrität
Einrichten, Verwalten, Kosten, Durchsetzung, Zentralisierung
Risikoabschätzung• Internes/Externes Risiko
• Existenzgefährdung
• Exponiertheit
Wertebeurteilung• Datenbestände
• Ressourcen
• Dienste
Firmeninternes Firmeninternes
SicherheitskonzeptSicherheitskonzept+
„Starke Authentisierung“?
Es gibt genau drei Methoden der Anwender-Authentisierung
""SuperUserSuperUser””,,““45294529"",,""hugohugo""
• Etwas, das man Etwas, das man weißweiß
– Passwort, PIN, “Mutters Mädchenname”....
• Etwas, das man Etwas, das man besitztbesitzt
– Magnetstreifenkarte, Schlüssel, Gegenstand, ....
• Etwas, das man Etwas, das man istist
– Fingerabdruck, Stimme, Augenhintergrund, ....
Was ist starke Authentisierung?
Da mehr und mehr Computer miteinander verbunden werden und mehr und mehr Geschäfte über diese getätigt werden wird die Frage nach
"Mit WEM mache ich diese Geschäfte?"
von lebendsnotwendiger, geschäftlicher Wichtigkeit.
Das ist unser Geschäft !
Beweis, daß Sie die Person sind, die Sie vorgeben zu sein.
3 Möglichkeiten
Starke Authentisierung = mindestens zwei der Verfahren
Lösungsansatz Einmalpasswörter: S/Key
• Ursprünglich entwickelt von Bell Communications Laboratories (Bellcore)• Als Open Source verfügbar, gebündelt mit den meisten UNIX Systemen und
FireWall-1/VPN-1, RFC-1760• Aus Anwendersicht ähnliche Erfahrung wie bei Homebanking mit TAN Listen• Anwender wählt geheimes Passwort• S/Key verarbeitet das geheime Passwort mit einem Hash Algorithmus
(Einbahnstrasse!) und generiert ein Einmalpasswort bestehend aus sechs maximal vierstelligen Worten
• z.B. SHIM WEAL LEW FUM CORC COCA• Dieses Einmalpasswort wird „n“ mal durch S/Key geschickt• User erhält Zettel mit „n“ Einmalpasswörtern• User arbeitet Liste mit Einmalpasswörtern sequentiell ab
• Recht wirksam, unterbindet Replay Angriffe• „kostenlos“• Administrationsaufwand• Keine echte Zweifaktor Authentisierung• Handhabbarkeit?
Lösungsansatz Tokens: RSA SecurID
RSA SecurIDZwei-Faktor Benutzer Autentifizierung
BENUTZERID: wjekatPASSCODE: 2468234836
PIN TOKENCODE
Der Tokencode: Jede Minute ein neues Passwort!
Einzigartige 64-bit Startzahl
Algorithmus
Quartzuhr synchronisiertauf GMT/UCT
PASSCODE = +PIN TOKENCODE
RSA SecurIDACE/Server Grundlagen
SeedZeit
Algorithmus
SeedZeit
354982354982
Algorithmus
Gleiche SeedGleiche Seed
Gleiche ZeitGleiche Zeit
Intranet
Mainframe
Enterprise
Unix
Web Server
ApplikationenApplikationen&&
RessourcenRessourcen
RSA Security Starke Authentifizierung Übersicht der unterstützten Systeme
RAS
RSA Agent
Remote AccessRemote Access
RSA ACE/Server
Internet
RSA Agent
Internet Internet AccessAccess
VPN und Firewall
E-BusinessE-Business
Enterprise Enterprise AccessAccess
RSA SecurID Zwei-Faktor User-Authentifizierung
• De-facto Standard für Authentifizierung im Remote Access Umfeld
– 8 Millionen aktive Nutzer– 260+ RSA SecurID-Ready Produkte von
ca. 130 Partnern
• Zero Footprint– KEINEKEINE zusätzliche SW/HW am PC nötig
– Schnelle Implementierung• Umfangreiche Auswahl
– Hardware Token– Software Token– Schlüsselanhänger– Palm Pilot– Wireless Geräte
Lösungsansatz Device Authentisierung: Phoenix First Authority
• Kerngedanke: nutze die PC Hardware zur Authentisierung (quasi: „der PC ist der Token“)
• Drei Komponenten:– Client PC:
• StrongROM im BIOS• oder StrongClient in SW
– Registrierung/Freischaltung durch „trusted third Party“:• Regional Device Authority (in Deutschland D-Trust)
– Authentisierungsserver im Enterprise Netz:• Radius-basierter DeviceConnect Server mit
Schnittstellen zu VPN-1, NT-Domäne, Exchange
„Phoenix StrongROM“ eingebettete Technologie
• Im ROM Chip des Client PCs:– Kryptographische Engine
– 3 Security Keys• Sind auf allen Maschinen identisch.• 128-bit RC6 Krypto Key• 1024-bit public keys für Kommunikation und Integritats
Überprüfung• RSA Krypto engine
• Aufnahme durch die bedeutenden PC Lieferanten– Einfachere Ausgabe von Clients
– Immense Abdeckung durch die Phoenix Bios Vorherrschaft
First Authority Authentisierung
Eine vom Phoenix StrongROM/StrongCLIENT freigegebeneVPN Applikation, würde z.B. nur erkannten und authorisiertenGeräten (PCs und Laptops) erlauben, sich in ein Netzwerkeinzuwählen und anzumelden. Dieses Sicherheitsmerkmalkann zu allen anderen bekannten Sicherheitsvorkehrungenhinzugefügt werden, ähnlich wie das bekannte verschlüsselnvon Username/Passwort. Roadmap:
NT (2000, XP) Logon Authentifikation NT (2000, XP) RAS Authentifikation Sicheres Logon mit eMail (Outlook, ccMail, Eudora)
StrongCLIENT authentifiziert und verschlüsselt eMail
Die neuen Qualitäten digitaler Kommunikation
schaffen Vertrauen
Lösungsansatz PKI/Digitale Zertifikate: D-Trust/Verisign
Digitale Signaturen als Grundlage für:
Sicherheitsinfrastrukturen in Unternehmen, Behörden und anderen Institutionen
Electronic Commerce, Entstehung elektronischer Marktplätze
Zahlungsverkehr über offene Netze
Verbindliche Online-Dienste
Ablösung von Print durch digitale Abläufe
Absicherung von Schutzrechten (Software, Wort, Bild, Musik)
Sukzessiver Einsatz der gesetzeskonformen digitalen Signatur
Das Spannungsfeld der Anforderungen
Das Digitale Zertifikate: der „elektronische Ausweis“
Serial Number xxxxx:
Validity: Nov.08,2001 - Nov.08,2002
UserOrganizationCA - Ref.,LIAB.LTD(c)96Organizational Unit = Digital ID Class 2 -Chelmsford
Status:
Public Key: ie86502hhd009dkias736ed55ewfgk98dszbcvcqm85k309nviidywtoofkkr2834kl
Signed By: VeriSign, Inc.:
Public Key
Certificate Authority
Private Key
Mitarbeiter ID Physikalische Sicherheit
Applikation Single Sign-OnGesicherte Informationen
Nutzen des digitalen Zertifikats
Physical world Digital world
Authentication
Digital signatures
Encryption
Non-repudiation
Digital certificates
Integrity &Confidentiality
Wichtige Anwendungen für digitale Zertifikate
Anwendung Normen/Firmen
Virtual Private Networks IPSec Check Point, Cisco usw
E-Mail S/MIME Microsoft, Lotus, Netscape...
Sichere Web Transaktionen Apache, Netscape, Microsoft
Java und ActiveX Authentisierung
Microsoft, Sun
Online Transaktionen SET: VISA, Mastercard SSL: Netscape
Home Banking alle namhaften Banken
Smart Cards Schlumberger, Gemplus, Infineon...
Media Distribution Set-Top Boxen
Quelle: Hambrecht & Quist
Asymmetrische RSA Schlüsselpaare:
Der öffentliche Schlüssel des Nutzers wird vom Trustcenter “zertifiziert”, jeder kann ihn zur Unterschriftsprüfung abfragen.
Der geheime Schlüssel dient zum Signieren und muss geschützt werden.
Jeder Nutzer braucht einen öffentlichen und einen geheimen Schlüssel:
RSAA
Jeder Kommunikationspartner verwendet 2 Schlüssel: einen öffentlichen und einen privaten, der
immer in der Chipkarte verbleibt. Der öffentliche Schlüssel (mit Zertifikat des Trust Centers) kann
vom Verzeichnisdienst abgefragt und dessen Gültigkeit überprüft werden.
1. Der Sender signiert die Prüfsumme zu einem Dokument mit seinem privaten Schlüssel und
verschlüsselt dieses mit dem öffentlichen Schlüssel des Empfängers.
2. Der Empfänger entschlüsselt die Prüfsumme des Dokuments mit seinem privaten Schlüssel
und
prüft die Signatur mit dem öffentlichen Schlüssel des Senders .
Verzeichnisdienst?
Sender Empfänger
§§
Wie werden die Schlüssel verwendet?
S SS
§§ SSS E
EE E
?
= S = E
OnSite (Managed PKI) Architecture
RA ControlRA ControlCenterCenter
CA ControlCA ControlCenterCenter
SubscriberSubscriberManagerManager
KeyKeyManagerManager
Key RecoveryKey RecoveryServiceService
CertificateCertificateManagerManager
CryptoCrypto
SSL
S/MIME
Custom
IPSec
Trust G’ways
EnterpriseRegistration
Database
EnterpriseCertificateDirectory
EnterpriseRA Admin.
Enterprise CA Admin.
EnterpriseServers
End UserClients
Enterprise VeriSign Center
Key Management
Certificate Processing
Einige Gedanken zur Biometrie
• Zumeist auf Basis Fingerabdruck, Iris Muster oder Stimme
• Viel Hype – wenige realisierte Projekte• Anwender kann viel „falsch“ machen• Anwender muss System trainieren• Oftmals Anwenderwiderstand• „Statisches Passwort“! Deswegen Komponente der
starken Authentisierung, nicht Ersatz!• Sinnvolle Anwendung: SmartCard + Fingerabdruck• Datenschutz! Mögliche Vernetzung mit biometrischen
Kennzeichen auf Ausweisen.....
Zusammenfassung
Es gibt nur eine Umgebung, die keine Benutzerauthentisierung (mehr) nötig hat ...