"Wer bin ich?" Ihre digitale Identität und die strenge Authentisierung

Walter Jekat

ICON Systems GmbH

wje@icon.de

1. Februar 2002

Agenda

• Die Herausforderung• Was ist "starke Authentisierung"?• Lösungsansätze:

– Einmalpasswörter: S/Key

– Tokens: RSA SecurID

– Device Authentisierung: Phoenix First Authority

– Digitale Zertifikate/Managed PKI: Verisign/D-Trust

– Einige Gedanken zur Biometrie

e-Security für e-Business

• Wissen Sie mit wem Sie Geschäfte machen...?

• Wissen Sie wer Zugang zu was hat...?

• Wissen Sie ob Ihre Informationen privat sind…?

• Wissen Sie ob der Inhalt Ihrer Info verändert ist..?

• Wissen Sie ob eine Transaktion rechtsbindend ist..?

• Wissen Sie ob Sie Ihrem

e-Business Umfeld trauen können...?

Das Unternehmensnetz im Wandel

FirmenFirmenDatenDaten

Public Public Web SiteWeb Site

IBM SystemsIBM SystemsNT/Win2KNT/Win2K

DirectoryDirectoryServicesServices

DominoDomino

SecureSecureExtranetExtranet

Unix SystemsUnix Systems

Mitarbeiter

Lieferant

Kunde

Partner

Freie MA

Mitarbeiter Interesssent

Public Web Site

NT/Win2K

DirectoryServices

MessagingWorkflow

CRM

SecureExtranet

Unix Systeme

Grossrechner

Trügerische Passwort SecurityUser:

– Passwörter stehen auf Post-It Notes und liegen unter Tastaturen

– Einfache Passwörter– Passwort Crackers & Sniffers– Replay Angriffe– Social Engineering

Administratoren:– “Ausgeliehene” IDs und Passwörter – Ehemalige Mitarbeiter hinterlassen

Sicherheitslöcher

MAINFRAMEUser: PeterID: 043118Password:XXXXXXX

NETWARE

User: Peter

ID: harrison

Password:

XXXXXXX NTUser: PeterID: harrispPassword:XXXXXXX

ORACLEUser: PeterID: ph04311Password:XXXXXXX

NOTESUser: PeterID: peha65Password:XXXXXXX

NETSCAPE

User: Peter

ID: pharrison

Password:

XXXXXXX

SAPUser: PeterID: peterhPassword:XXXXXXX

EMAILUser: PeterID: peteh

Password:XXXXXXX

Lokales Netz(LAN)

Firmennetz(Intranet)

Geschäfts-Partner

(Extranet)

Das Internet

KUNDENPROBLEM: Entfernung vom Administrator

Grad desGrad desSicherheits-Sicherheits-

risikosrisikos

Entfernung von der AdministrationEntfernung von der Administration

Die Sicherheitsrisiken steigen mit der Entfernung vom AdministratorDie Sicherheitsrisiken steigen mit der Entfernung vom Administrator

Einbruchserkennung MonitoringEinbruchserkennung MonitoringPermanentes MonitoringPermanentes Monitoring

Userbezogene Sicherheitsstufen

Zugangskontrolle, Ausweissystem,Türen

Identitätsregistrierung, Überprüfungsmethoden

Privilegien, Profile, Rollen, "Policy Enforcement"

Verschlüsselung, Integrität

Einrichten, Verwalten, Kosten, Durchsetzung, Zentralisierung

Risikoabschätzung• Internes/Externes Risiko

• Existenzgefährdung

• Exponiertheit

Wertebeurteilung• Datenbestände

• Ressourcen

• Dienste

Firmeninternes Firmeninternes

SicherheitskonzeptSicherheitskonzept+

„Starke Authentisierung“?

Es gibt genau drei Methoden der Anwender-Authentisierung

""SuperUserSuperUser””,,““45294529"",,""hugohugo""

• Etwas, das man Etwas, das man weißweiß

– Passwort, PIN, “Mutters Mädchenname”....

• Etwas, das man Etwas, das man besitztbesitzt

– Magnetstreifenkarte, Schlüssel, Gegenstand, ....

• Etwas, das man Etwas, das man istist

– Fingerabdruck, Stimme, Augenhintergrund, ....

Was ist starke Authentisierung?

Da mehr und mehr Computer miteinander verbunden werden und mehr und mehr Geschäfte über diese getätigt werden wird die Frage nach

"Mit WEM mache ich diese Geschäfte?"

von lebendsnotwendiger, geschäftlicher Wichtigkeit.

Das ist unser Geschäft !

Beweis, daß Sie die Person sind, die Sie vorgeben zu sein.

3 Möglichkeiten

Starke Authentisierung = mindestens zwei der Verfahren

Lösungsansatz Einmalpasswörter: S/Key

• Ursprünglich entwickelt von Bell Communications Laboratories (Bellcore)• Als Open Source verfügbar, gebündelt mit den meisten UNIX Systemen und

FireWall-1/VPN-1, RFC-1760• Aus Anwendersicht ähnliche Erfahrung wie bei Homebanking mit TAN Listen• Anwender wählt geheimes Passwort• S/Key verarbeitet das geheime Passwort mit einem Hash Algorithmus

(Einbahnstrasse!) und generiert ein Einmalpasswort bestehend aus sechs maximal vierstelligen Worten

• z.B. SHIM WEAL LEW FUM CORC COCA• Dieses Einmalpasswort wird „n“ mal durch S/Key geschickt• User erhält Zettel mit „n“ Einmalpasswörtern• User arbeitet Liste mit Einmalpasswörtern sequentiell ab

• Recht wirksam, unterbindet Replay Angriffe• „kostenlos“• Administrationsaufwand• Keine echte Zweifaktor Authentisierung• Handhabbarkeit?

Lösungsansatz Tokens: RSA SecurID

RSA SecurIDZwei-Faktor Benutzer Autentifizierung

BENUTZERID: wjekatPASSCODE: 2468234836

PIN TOKENCODE

Der Tokencode: Jede Minute ein neues Passwort!

Einzigartige 64-bit Startzahl

Algorithmus

Quartzuhr synchronisiertauf GMT/UCT

PASSCODE = +PIN TOKENCODE

RSA SecurIDACE/Server Grundlagen

SeedZeit

Algorithmus

SeedZeit

354982354982

Algorithmus

Gleiche SeedGleiche Seed

Gleiche ZeitGleiche Zeit

Intranet

Mainframe

Enterprise

Unix

Web Server

ApplikationenApplikationen&&

RessourcenRessourcen

RSA Security Starke Authentifizierung Übersicht der unterstützten Systeme

RAS

RSA Agent

Remote AccessRemote Access

RSA ACE/Server

Internet

RSA Agent

Internet Internet AccessAccess

VPN und Firewall

E-BusinessE-Business

Enterprise Enterprise AccessAccess

RSA SecurID Zwei-Faktor User-Authentifizierung

• De-facto Standard für Authentifizierung im Remote Access Umfeld

– 8 Millionen aktive Nutzer– 260+ RSA SecurID-Ready Produkte von

ca. 130 Partnern

• Zero Footprint– KEINEKEINE zusätzliche SW/HW am PC nötig

– Schnelle Implementierung• Umfangreiche Auswahl

– Hardware Token– Software Token– Schlüsselanhänger– Palm Pilot– Wireless Geräte

Lösungsansatz Device Authentisierung: Phoenix First Authority

• Kerngedanke: nutze die PC Hardware zur Authentisierung (quasi: „der PC ist der Token“)

• Drei Komponenten:– Client PC:

• StrongROM im BIOS• oder StrongClient in SW

– Registrierung/Freischaltung durch „trusted third Party“:• Regional Device Authority (in Deutschland D-Trust)

– Authentisierungsserver im Enterprise Netz:• Radius-basierter DeviceConnect Server mit

Schnittstellen zu VPN-1, NT-Domäne, Exchange

„Phoenix StrongROM“ eingebettete Technologie

• Im ROM Chip des Client PCs:– Kryptographische Engine

– 3 Security Keys• Sind auf allen Maschinen identisch.• 128-bit RC6 Krypto Key• 1024-bit public keys für Kommunikation und Integritats

Überprüfung• RSA Krypto engine

• Aufnahme durch die bedeutenden PC Lieferanten– Einfachere Ausgabe von Clients

– Immense Abdeckung durch die Phoenix Bios Vorherrschaft

First Authority Authentisierung

Eine vom Phoenix StrongROM/StrongCLIENT freigegebeneVPN Applikation, würde z.B. nur erkannten und authorisiertenGeräten (PCs und Laptops) erlauben, sich in ein Netzwerkeinzuwählen und anzumelden. Dieses Sicherheitsmerkmalkann zu allen anderen bekannten Sicherheitsvorkehrungenhinzugefügt werden, ähnlich wie das bekannte verschlüsselnvon Username/Passwort.  Roadmap:

NT (2000, XP) Logon Authentifikation NT (2000, XP) RAS Authentifikation Sicheres Logon mit eMail (Outlook, ccMail, Eudora)

StrongCLIENT authentifiziert und verschlüsselt eMail

Die neuen Qualitäten digitaler Kommunikation

schaffen Vertrauen

Lösungsansatz PKI/Digitale Zertifikate: D-Trust/Verisign

Digitale Signaturen als Grundlage für:

Sicherheitsinfrastrukturen in Unternehmen, Behörden und anderen Institutionen

Electronic Commerce, Entstehung elektronischer Marktplätze

Zahlungsverkehr über offene Netze

Verbindliche Online-Dienste

Ablösung von Print durch digitale Abläufe

Absicherung von Schutzrechten (Software, Wort, Bild, Musik)

Sukzessiver Einsatz der gesetzeskonformen digitalen Signatur

Das Spannungsfeld der Anforderungen

Das Digitale Zertifikate: der „elektronische Ausweis“

Serial Number xxxxx:

Validity: Nov.08,2001 - Nov.08,2002

UserOrganizationCA - Ref.,LIAB.LTD(c)96Organizational Unit = Digital ID Class 2 -Chelmsford

Status:

Public Key: ie86502hhd009dkias736ed55ewfgk98dszbcvcqm85k309nviidywtoofkkr2834kl

Signed By: VeriSign, Inc.:

Public Key

Certificate Authority

Private Key

Mitarbeiter ID Physikalische Sicherheit

Applikation Single Sign-OnGesicherte Informationen

Nutzen des digitalen Zertifikats

Physical world Digital world

Authentication

Digital signatures

Encryption

Non-repudiation

Digital certificates

Integrity &Confidentiality

Wichtige Anwendungen für digitale Zertifikate

Anwendung Normen/Firmen

Virtual Private Networks IPSec Check Point, Cisco usw

E-Mail S/MIME Microsoft, Lotus, Netscape...

Sichere Web Transaktionen Apache, Netscape, Microsoft

Java und ActiveX Authentisierung

Microsoft, Sun

Online Transaktionen SET: VISA, Mastercard SSL: Netscape

Home Banking alle namhaften Banken

Smart Cards Schlumberger, Gemplus, Infineon...

Media Distribution Set-Top Boxen

Quelle: Hambrecht & Quist

Asymmetrische RSA Schlüsselpaare:

Der öffentliche Schlüssel des Nutzers wird vom Trustcenter “zertifiziert”, jeder kann ihn zur Unterschriftsprüfung abfragen.

Der geheime Schlüssel dient zum Signieren und muss geschützt werden.

Jeder Nutzer braucht einen öffentlichen und einen geheimen Schlüssel:

RSAA

Jeder Kommunikationspartner verwendet 2 Schlüssel: einen öffentlichen und einen privaten, der

immer in der Chipkarte verbleibt. Der öffentliche Schlüssel (mit Zertifikat des Trust Centers) kann

vom Verzeichnisdienst abgefragt und dessen Gültigkeit überprüft werden.

1. Der Sender signiert die Prüfsumme zu einem Dokument mit seinem privaten Schlüssel und

verschlüsselt dieses mit dem öffentlichen Schlüssel des Empfängers.

2. Der Empfänger entschlüsselt die Prüfsumme des Dokuments mit seinem privaten Schlüssel

und

prüft die Signatur mit dem öffentlichen Schlüssel des Senders .

Verzeichnisdienst?

Sender Empfänger

§§

Wie werden die Schlüssel verwendet?

S SS

§§ SSS E

EE E

?

= S = E

OnSite (Managed PKI) Architecture

RA ControlRA ControlCenterCenter

CA ControlCA ControlCenterCenter

SubscriberSubscriberManagerManager

KeyKeyManagerManager

Key RecoveryKey RecoveryServiceService

CertificateCertificateManagerManager

CryptoCrypto

SSL

S/MIME

Custom

IPSec

Trust G’ways

EnterpriseRegistration

Database

EnterpriseCertificateDirectory

EnterpriseRA Admin.

Enterprise CA Admin.

EnterpriseServers

End UserClients

Enterprise VeriSign Center

Key Management

Certificate Processing

Einige Gedanken zur Biometrie

• Zumeist auf Basis Fingerabdruck, Iris Muster oder Stimme

• Viel Hype – wenige realisierte Projekte• Anwender kann viel „falsch“ machen• Anwender muss System trainieren• Oftmals Anwenderwiderstand• „Statisches Passwort“! Deswegen Komponente der

starken Authentisierung, nicht Ersatz!• Sinnvolle Anwendung: SmartCard + Fingerabdruck• Datenschutz! Mögliche Vernetzung mit biometrischen

Kennzeichen auf Ausweisen.....

Zusammenfassung

Es gibt nur eine Umgebung, die keine Benutzerauthentisierung (mehr) nötig hat ...