Starke Authentisierung in modernen Unternehmen

Starke Authentisierung in modernen Unternehmen

25. Februar 2005

Peter Schill Aladdin Knowledge Systems (Deutschland)

Agenda

• Aladdin – Eckdaten

• Authentisierung

• Was ist eToken

• Übersicht der eToken Lösungen

• eToken SSO

• Token Management System

• Zusammenfassung

• Gegründet: 1985(in IL als Aladdin Ltd.)(in DE als FAST Security AG)

• Merger: 1996 mit Aladdin

• Mitarbeiter: 369 (DE 64)

• Umsatz (2004): 69,1 Mio. US $

• NASDAQ: ALDN seit Oktober 1993

• Standort DE: Germering bei München

Firmenübersicht

Aladdin around the Globe

Kunden in 100 Ländern

Neun Niederlassungen weltweit

Distributoren in 50 Ländern auf fünf Kontinenten

Produktportfolio

Software Schutz & Lizenzierungstechnologie

Starke Authentisierung

Content Security

UBS UBS AGAG

Referenzliste eToken

Deutscher Ring

Authentisierung

Öffnung des Unternehmensnetzwerks durch:

a) Intern

- Zunehmende Mobilität der Mitarbeiter

- Verschlankung von Unternehmensprozessen (mehr Mitarbeiter erhalten Zugriff auf zuvor geschützte Ressourcen)

b) Extern

- Kurze Kommunikationswege mit Partnern, Lieferanten und/oder Kunden

- Nutzung vernetzter Informationsressourcen

Authentisierung - Situation

Authentisierung - Bedürfnisse

• Sichere Benutzerauthentisierung– Schutz gegen Angriffe von außen und innen– Eindeutige Identifizierung berechtigter Personen– Beweisfähigkeit von Transaktionen

• Simple/Simplified Sign-On (SSO)– Reduzieren von Support- und Helpdesk-Kosten– Sicherheitsrisiken minimieren durch die Ablösung von

Username/Passwort– Benutzerfreundlichkeit, Flexibilität und Portabilität

• Datensicherheit– Wahrung der Datenintegrität– Sichere Datenübertragung und -verschlüsselung– Unleugbarkeit von Transaktionen

Authentisierungsmethoden

1. Passwörter

2. Token ohne Lesegeräte

3. Token/Smartcards mit Lesegeräten

3b. (Transpondertechnologie – RFID)

4. Biometrie

Passwort

Authentisierungsmethoden

Authentisierungsdienste sind entscheidend für die Autorisierung und das Auditing. Unabhängig von der Qualität des Sicherheitsmanagements hängt alles an der tatsächlichen Identität der Benutzer. Ohne zuverlässig identifizierte Idividuen bleiben Auditpfade unzuverlässig.

Quelle: Gartner – „Assess Authentication Methods for Strong System Security“, August 2004

Erfolgreiche Unternehmen gehen zunehmend dazu über, bestehende User IDs und Passwortsysteme durch kohärente und starke Authentisierungslösungen abzulösen. Die Verwendung von Multifactor Authentisierungslösungen wie Smartcards, Einmalpasswort Token, Biometrie, Public Key Infrastructure (PKI) und USB Token ist stark ansteigend.

Quelle: IDC – „Identity Management in a Virtual World“, Juni 2003.

Authentisierungsmethoden

Authentisierungs-Token stellen die beste Investition im Jahr 2005 dar. Hardware Token, wie USB Token, Smart Cards und OTP Token, die mit einer User PIN oder einem Passwort kombiniert werden, vereinen eine einfache, eindeutige und starke Zugriffkontrolle auf Netzwerke mit einer transportablen und benutzerfreundlichen Form.

Biometrische Verfahren sind noch nicht ausgereift und leiden unter mangelnder Genauigkeit und Zuverlässigkeit. Fingerabdrucksensoren sind angreifbar und können mit „Faksimileattacken“ leicht übertölpelt werden. Über Biometrie kann nur der Benutzer authentifiziert werden, sie kann nicht benutzt werden, um Informationen zu verifizieren.

Zertifikate

Quelle: Gartner – „Assess Authentication Methods for Strong System Security“, August 2004

Arten von Zertifikatsträgern

1. Lokal am Rechner

2. Smartcards

3. USB Token

Authentisierung - Stand der Dinge

Quelle: Gartner, “The Security Scenario: The Future of Information Security”, September 2004

Was ist eToken?

eToken Produkte - Architektur

eToken Produktfamilie

eToken PRO [ eToken R2 ]

Chip

Infineon SLE66CX Chipfamilie Common Criteria EAL 5+

CX322P & CX642P, CardOS 4.20

(ITSEC LE4: 320P CardOS M4.01)

EEPROM

On-Board kryptografische

Funktion

• RSA (1024bit) 2048bit• 3DES• SHA-1, (MD5)

• 120bit DESX

Zertifizierung

FIPS 140-1 Level 2&3

x.509v3, SSLv3, IPSec/IKE, WHQL, OPSEC, AVVID, Entrust Ready, casmart, RSA Keon/ACE/SecurID ReadySAP Integration

Auf

Anf

rage

eToken Produktfamilie

eToken PRO [ eToken R2 ]

Speichergrösse 32Kb und 64Kb

Zusätzliche

Sicherheits-

Mechanismen

Retrycounter Zeitverzögerung

• Eindeutige Seriennummer• Passwortgeschützt • Passwortqualitycheck

Betriebsysteme

Treiber

Schnittstellen

Windows XP, 2000, NT4, 98, SE, ME

Linux, MAC (Beta), 16bit

MS CAPI, PKCS#11, PC/SC, CTAPI, APDU, OATH

eToken – next steps

eToken NG-OTP - Hardware

eToken + OneTimePassword (OTP)• Echter Hybrid Token• Volle Smartcard Funktionalität + OTP auf

Knopfdruck• Keine symmetrischen Uhren für die

Authentifizierung (=> nicht kompatibel zu RSA ACE-Strukturen/Backend)

Funktionen• RSA 1024bit (2048bit optional), 3DES, SHA-1• 160bit symmetrische Schlüssel für OTP• Standard PKI Support (MS CAPI, PKCS#11)• Radius OTP Support• Smartcard Chip wird für PKI und OTP verwendet

eToken OTP – Authentication Modul

OneTimePassword (OTP) basierte Authentisierung• TMS OTP Management Connector• eToken OTP Radius Authentication Server - MS IAS• Unterstützt Radius basierte Authentisierung für

– VPN– Web Access (SSL VPN)– 3rd-Party Applikationen

eToken - hybrid

eToken + Transponderchips

*

* Abweichende Chips möglich nach Vorabtest und unter Berücksichtigung längerer Lieferfristen sowie ggf. einem Aufpreis

Philips Mifare 1k (MF1ICS50) Infineon Mifare 1k (SLE44R35S)Philips Mifare 4k (MF1ICS70)Philips Mifare DESFire (MF3ICD40)

Legic MIM256 Legic MIM1024

HID 1346-301-01 Hitag1Synel / EM Microlelectronique Marin EM 4100/4102

Liste von Standard-Transponderchips, die ab Lager geliefert werden können

Mifare

Legic

Weitere

eToken Lösungen

eToken Lösungen - Kategorien

Eine Lösung für alle Authentisierungsfragenund das Ende jeglicher Passwortprobleme

Sicherer VPN & Netzwerkzugriff

PC- & Datenschutz

Sicherheit und Mobilität digitaler

Identitäten

Verbessertes Passwort

Management

- VPN Authentisierung

- Webzugriff

-Netzwerk-anmeldung mit Zertifikaten

- Betriebssystem-anmeldung mit Passwort

-Bootschutz

- Verschlüsselung von Daten

- eMail – Verschlüsselnund Signieren

- Sicheres Generieren von Schlüsseln

- Mobile Identitäten

- Sicheres Speichern von Passwort-Profilen

- Vereinfachte Anmeldung an Backend-Appli-kationen (SSO)

- Vereinfachte Anmeldung an webbasierten Applikationen (WebSSO)

- Starke Benutzer-authentifizierung

eToken Lösungen - Übersicht

eToken Lösungen - Aladdin

• eToken für Network Logon:eToken für Network Logon: Windows Domain Server, (NT4, 2000, XP)Windows Domain Server, (NT4, 2000, XP) Novell NDSNovell NDS Samba ServerSamba Server

• eToken Web Sign-On eToken Web Sign-On

• Token Management SystemToken Management System

• eToken Simple Sign-On eToken Simple Sign-On

• eToken PKI-Client für VPN, PKI, SC-Logon, eToken PKI-Client für VPN, PKI, SC-Logon, Secure eMail, Secure Webaccess etc.Secure eMail, Secure Webaccess etc.

eToken Lösungen - Partner

• File und Folder Encryption File und Folder Encryption

• Disk Encryption Disk Encryption

• Boot Protection (PC or Laptop)Boot Protection (PC or Laptop)

• SAP Single Sign-On/My SAPSAP Single Sign-On/My SAP

• Signieren persönlicher DocumenteSignieren persönlicher Documente

www.ealaddin.com/partners/findpartner.aspwww.ealaddin.com/partners/findpartner.asp

Passwort Management für Desktop-Applikationen

eToken Simple Sign On

S(i)SO – the Aladdin approach

• meistens zentraler Authentisierungs-Server

• Differenzierte Anmelde Policies häufig nur mit erheblichem administrativem Aufwand realisierbar

• Schwierige Integration in firmeneigene Individualsoftware

• kosten- und wartungsintensiv

„Klassisches“ SSO eToken SiSO

App-CApp-BApp-A

eToken SSO – schlank und kostengünstig

• Kein Serverbackend dank Client-basiertem Ansatz

• Zwei Software Komponenten: SSO Client und SSO Template Manager (Admin)

• SSO Template Manager zum Erstellen und Steuern der Anmelde-Templates

• Gruppen- oder Nutzerbezogenes Ausrollen der Templates möglich, je nach Bedürfnis

• Anmeldeprofile lokal auf dem eToken

• Verschlüsseltes Backup der Profile möglich

Token Management System (TMS)

Zentrale Verwaltung und Deployment von digitalen Identitäten und ihren Trägern

Was ist das Aladdin Token Management System (TMS)?

Ein System für die komplette Verwaltungsarchitektur

• Zuweisung• Implementierung• Personalisierung

=> von Token, Smartcards und Mitarbeiter- ausweisen

Grundlage für das TMS

• Basierend auf Microsoft Active Directory

• Kann im Stand Alone Modus eingesetzt werden (Shadow Domain, ADAM)

TMS Funktionen

• Inventar: – Token Lifecycle Management– Token & User Identity Management

• Deployment:– Token Enrollment & Verwaltung (Lokal oder übers

Web)– Software Deployment– Anbindung von verschiedenen Lösungen über

Connectoren

• Helpdesk– Verlorene oder vergessene Token, vergessene PIN

TMS Framework View

Zusammenfassung

Authentisierung - Bedürfnisse der Unternehmen

• Sicherheit und Mobilität

• Kostengünstige Lösung

• Hybrides All-in-One Device– Benutzerfreundlichkeit– Schlankes Management

• Zukunftsfähige Lösung– breite Integrationsmöglichkeiten in bestehende

und künftige Lösungen

Die Lösung…..

eToken - Alle Zugriffsdaten in einem Gerät

PKI- & Zertifikat-Authentisierung

PKI- & Zertifikat-Authentisierung

Passwort- Authentisierung

Passwort- Authentisierung

Caching der Authentisierungsdaten

SSO- Single Sign On

SSO- Single Sign On

Sekundäre Logons CitrixCitrixUnixUnix Main Frame

Main FrameWebWeb

Beliebiger Logon VPNVPN MF

LogonMF

LogonLaptop/PC

Verschlüsselung

Laptop/PC Verschlüsselung

Netzwerk Logon

Netzwerk Logon

SecureeMail

SecureeMail WebWeb

Kontaktlose Logons CashCashZeitZeitZutrittZutritt

Zentrales TokenZentrales TokenManagementManagement

Zentrales TokenZentrales TokenManagementManagement

Vielen Dank für Ihre Aufmerksamkeit