Starke Authentisierung in modernen Unternehmen 25. Februar 2005 Peter Schill Aladdin Knowledge Systems (Deutschland)
Agenda Aladdin – Eckdaten Authentisierung Was ist eToken Übersicht der eToken Lösungen eToken SSO Token Management System Zusammenfassung
Firmenübersicht Gegründet: 1985 (in IL als Aladdin Ltd.) (in DE als FAST Security AG) Merger: 1996 mit Aladdin Mitarbeiter: 369 (DE 64) Umsatz (2004): 69,1 Mio. US $ NASDAQ: ALDN seit Oktober 1993 Standort DE: Germering bei München
Aladdin around the Globe Kunden in 100 Ländern Neun Niederlassungen weltweit Distributoren in 50 Ländern auf fünf Kontinenten
Starke Authentisierung Produktportfolio Content Security Software Schutz & Lizenzierungstechnologie Starke Authentisierung
Referenzliste eToken Deutscher Ring UBS AG
Authentisierung This solution with the eToken itself provides an ideal solution for corporate network security.
- Zunehmende Mobilität der Mitarbeiter Authentisierung - Situation Öffnung des Unternehmensnetzwerks durch: Intern - Zunehmende Mobilität der Mitarbeiter - Verschlankung von Unternehmensprozessen (mehr Mitarbeiter erhalten Zugriff auf zuvor geschützte Ressourcen) Extern - Kurze Kommunikationswege mit Partnern, Lieferanten und/oder Kunden - Nutzung vernetzter Informationsressourcen
Authentisierung - Bedürfnisse Sichere Benutzerauthentisierung Schutz gegen Angriffe von außen und innen Eindeutige Identifizierung berechtigter Personen Beweisfähigkeit von Transaktionen Simple/Simplified Sign-On (SSO) Reduzieren von Support- und Helpdesk-Kosten Sicherheitsrisiken minimieren durch die Ablösung von Username/Passwort Benutzerfreundlichkeit, Flexibilität und Portabilität Datensicherheit Wahrung der Datenintegrität Sichere Datenübertragung und -verschlüsselung Unleugbarkeit von Transaktionen
Authentisierungsmethoden Passwort Passwörter 2. Token ohne Lesegeräte 3. Token/Smartcards mit Lesegeräten 3b. (Transpondertechnologie – RFID) 4. Biometrie
Authentisierungsmethoden Authentisierungsdienste sind entscheidend für die Autorisierung und das Auditing. Unabhängig von der Qualität des Sicherheitsmanagements hängt alles an der tatsächlichen Identität der Benutzer. Ohne zuverlässig identifizierte Idividuen bleiben Auditpfade unzuverlässig. Quelle: Gartner – „Assess Authentication Methods for Strong System Security“, August 2004 Erfolgreiche Unternehmen gehen zunehmend dazu über, bestehende User IDs und Passwortsysteme durch kohärente und starke Authentisierungslösungen abzulösen. Die Verwendung von Multifactor Authentisierungslösungen wie Smartcards, Einmalpasswort Token, Biometrie, Public Key Infrastructure (PKI) und USB Token ist stark ansteigend. Quelle: IDC – „Identity Management in a Virtual World“, Juni 2003.
Zertifikate Authentisierungsmethoden Authentisierungs-Token stellen die beste Investition im Jahr 2005 dar. Hardware Token, wie USB Token, Smart Cards und OTP Token, die mit einer User PIN oder einem Passwort kombiniert werden, vereinen eine einfache, eindeutige und starke Zugriffkontrolle auf Netzwerke mit einer transportablen und benutzerfreundlichen Form. Biometrische Verfahren sind noch nicht ausgereift und leiden unter mangelnder Genauigkeit und Zuverlässigkeit. Fingerabdrucksensoren sind angreifbar und können mit „Faksimileattacken“ leicht übertölpelt werden. Über Biometrie kann nur der Benutzer authentifiziert werden, sie kann nicht benutzt werden, um Informationen zu verifizieren. Quelle: Gartner – „Assess Authentication Methods for Strong System Security“, August 2004 Zertifikate
Arten von Zertifikatsträgern Lokal am Rechner Smartcards 3. USB Token
Authentisierung - Stand der Dinge Quelle: Gartner, “The Security Scenario: The Future of Information Security”, September 2004
Was ist eToken? This solution with the eToken itself provides an ideal solution for corporate network security.
eToken Produkte - Architektur
eToken Produktfamilie [ eToken R2 ] Chip Infineon SLE66CX Chipfamilie Common Criteria EAL 5+ CX322P & CX642P, CardOS 4.20 (ITSEC LE4: 320P CardOS M4.01) EEPROM On-Board kryptografische Funktion RSA (1024bit) 2048bit 3DES SHA-1, (MD5) 120bit DESX Zertifizierung FIPS 140-1 Level 2&3 x.509v3, SSLv3, IPSec/IKE, WHQL, OPSEC, AVVID, Entrust Ready, casmart, RSA Keon/ACE/SecurID Ready SAP Integration Auf Anfrage Tamper evident (vs. tamper proof) Water resistant container eToken PRO is ITSEC level 4 high certified – highiest security certification –
eToken Produktfamilie [ eToken R2 ] Speichergrösse 32Kb und 64Kb Zusätzliche Sicherheits- Mechanismen Retrycounter Zeitverzögerung Eindeutige Seriennummer Passwortgeschützt Passwortqualitycheck Betriebsysteme Treiber Schnittstellen Windows XP, 2000, NT4, 98, SE, ME Linux, MAC (Beta), 16bit MS CAPI, PKCS#11, PC/SC, CTAPI, APDU, OATH
eToken – next steps
eToken NG-OTP - Hardware eToken + OneTimePassword (OTP) Echter Hybrid Token Volle Smartcard Funktionalität + OTP auf Knopfdruck Keine symmetrischen Uhren für die Authentifizierung (=> nicht kompatibel zu RSA ACE-Strukturen/Backend) Funktionen RSA 1024bit (2048bit optional), 3DES, SHA-1 160bit symmetrische Schlüssel für OTP Standard PKI Support (MS CAPI, PKCS#11) Radius OTP Support Smartcard Chip wird für PKI und OTP verwendet
eToken OTP – Authentication Modul OneTimePassword (OTP) basierte Authentisierung TMS OTP Management Connector eToken OTP Radius Authentication Server - MS IAS Unterstützt Radius basierte Authentisierung für VPN Web Access (SSL VPN) 3rd-Party Applikationen
eToken - hybrid
eToken + Transponderchips Liste von Standard-Transponderchips, die ab Lager geliefert werden können * Mifare Legic Weitere Philips Mifare 1k (MF1ICS50) Infineon Mifare 1k (SLE44R35S) Philips Mifare 4k (MF1ICS70) Philips Mifare DESFire (MF3ICD40) Legic MIM256 Legic MIM1024 HID 1346-301-01 Hitag1 Synel / EM Microlelectronique Marin EM 4100/4102 * Abweichende Chips möglich nach Vorabtest und unter Berücksichtigung längerer Lieferfristen sowie ggf. einem Aufpreis
eToken Lösungen This solution with the eToken itself provides an ideal solution for corporate network security.
eToken Lösungen - Kategorien Sicherer VPN & Netzwerkzugriff PC- & Datenschutz Sicherheit und Mobilität digitaler Identitäten Verbessertes Passwort Management - VPN Authentisierung - Webzugriff -Netzwerk-anmeldung mit Zertifikaten - Betriebssystem-anmeldung mit Passwort Bootschutz - Verschlüsselung von Daten - eMail – Verschlüsseln und Signieren - Sicheres Generieren von Schlüsseln - Mobile Identitäten - Sicheres Speichern von Passwort-Profilen - Vereinfachte Anmeldung an Backend-Appli-kationen (SSO) - Vereinfachte Anmeldung an webbasierten Applikationen (WebSSO) - Starke Benutzer-authentifizierung Eine Lösung für alle Authentisierungsfragen und das Ende jeglicher Passwortprobleme
eToken Lösungen - Übersicht
eToken Lösungen - Aladdin eToken für Network Logon: Windows Domain Server, (NT4, 2000, XP) Novell NDS Samba Server eToken Web Sign-On Token Management System eToken Simple Sign-On eToken PKI-Client für VPN, PKI, SC-Logon, Secure eMail, Secure Webaccess etc. NT does not support USB – Aladdin had written an application and drivers that enables this support. WebSignOn – plug in Internet Explorer eToken WSO stores all necessary logon information including passwords, PIN numbers, account numbers, credit card details, URLs and expiration dates. eToken WSO gives you instant access to all Internet web accounts by recognizing the saved page and automatically filling it out upon presentation of the user’s simple eToken password. eToken also enables a variety of other web authentication technologies including SSL v3 PKI authentication and strong challenge response symmetric keys authentication.
eToken Lösungen - Partner File und Folder Encryption Disk Encryption Boot Protection (PC or Laptop) SAP Single Sign-On/My SAP Signieren persönlicher Documente www.ealaddin.com/partners/findpartner.asp
eToken Simple Sign On Passwort Management für Desktop-Applikationen
S(i)SO – the Aladdin approach „Klassisches“ SSO eToken SiSO meistens zentraler Authentisierungs-Server Differenzierte Anmelde Policies häufig nur mit erheblichem administrativem Aufwand realisierbar Schwierige Integration in firmeneigene Individualsoftware kosten- und wartungsintensiv App-A App-B App-C
eToken SSO – schlank und kostengünstig Kein Serverbackend dank Client-basiertem Ansatz Zwei Software Komponenten: SSO Client und SSO Template Manager (Admin) SSO Template Manager zum Erstellen und Steuern der Anmelde-Templates Gruppen- oder Nutzerbezogenes Ausrollen der Templates möglich, je nach Bedürfnis Anmeldeprofile lokal auf dem eToken Verschlüsseltes Backup der Profile möglich
Token Management System (TMS) Zentrale Verwaltung und Deployment von digitalen Identitäten und ihren Trägern This solution with the eToken itself provides an ideal solution for corporate network security.
Was ist das Aladdin Token Management System (TMS)? Ein System für die komplette Verwaltungsarchitektur Zuweisung Implementierung Personalisierung => von Token, Smartcards und Mitarbeiter- ausweisen
Grundlage für das TMS Basierend auf Microsoft Active Directory Kann im Stand Alone Modus eingesetzt werden (Shadow Domain, ADAM)
TMS Funktionen Inventar: Deployment: Helpdesk Token Lifecycle Management Token & User Identity Management Deployment: Token Enrollment & Verwaltung (Lokal oder übers Web) Software Deployment Anbindung von verschiedenen Lösungen über Connectoren Helpdesk Verlorene oder vergessene Token, vergessene PIN
TMS Framework View
Zusammenfassung This solution with the eToken itself provides an ideal solution for corporate network security.
Authentisierung - Bedürfnisse der Unternehmen Sicherheit und Mobilität Kostengünstige Lösung Hybrides All-in-One Device Benutzerfreundlichkeit Schlankes Management Zukunftsfähige Lösung breite Integrationsmöglichkeiten in bestehende und künftige Lösungen
Alle Zugriffsdaten in einem Gerät Die Lösung….. eToken - Alle Zugriffsdaten in einem Gerät Kontaktlose Logons Zutritt Zeit Cash Sekundäre Logons Web Unix Citrix Main Frame Beliebiger Logon VPN MF Logon Laptop/PC Verschlüsselung Netzwerk Secure eMail Web SSO- Single Sign On Caching der Authentisierungsdaten PKI- & Zertifikat- Authentisierung Passwort- Authentisierung Zentrales Token Management
Vielen Dank für Ihre Aufmerksamkeit