"Wer bin ich?" Ihre digitale Identität und die strenge Authentisierung Walter Jekat ICON Systems GmbH 1. Februar 2002

Agenda Die Herausforderung Was ist "starke Authentisierung"? Lösungsansätze: –Einmalpasswörter: S/Key –Tokens: RSA SecurID –Device Authentisierung: Phoenix First Authority –Digitale Zertifikate/Managed PKI: Verisign/D-Trust –Einige Gedanken zur Biometrie

e-Security für e-Business Wissen Sie mit wem Sie Geschäfte machen...? Wissen Sie wer Zugang zu was hat...? Wissen Sie ob Ihre Informationen privat sind…? Wissen Sie ob der Inhalt Ihrer Info verändert ist..? Wissen Sie ob eine Transaktion rechtsbindend ist..? Wissen Sie ob Sie Ihrem e-Business Umfeld trauen können...?

Das Unternehmensnetz im Wandel Firmen Daten Public Web Site IBM Systems NT/Win2K Directory Services Domino Secure Extranet Unix Systems Mitarbeiter Lieferant Kunde Partner Freie MA Mitarbeiter Interesssent Public Web Site NT/Win2K Directory Services Messaging Workflow CRM Secure Extranet Unix Systeme Grossrechner

Trügerische Passwort Security User: –Passwörter stehen auf Post-It Notes und liegen unter Tastaturen –Einfache Passwörter –Passwort Crackers & Sniffers –Replay Angriffe –Social Engineering Administratoren: –Ausgeliehene IDs und Passwörter –Ehemalige Mitarbeiter hinterlassen Sicherheitslöcher MAINFRAME User: Peter ID: Password: XXXXXXX NETWARE User: Peter ID: harrison Password: XXXXXXX NT User: Peter ID: harrisp Password: XXXXXXX ORACLE User: Peter ID: ph04311 Password: XXXXXXX NOTES User: Peter ID: peha65 Password: XXXXXXX NETSCAPE User: Peter ID: pharrison Password: XXXXXXX SAP User: Peter ID: peterh Password: XXXXXXX User: Peter ID: peteh Password: XXXXXXX

Lokales Netz (LAN) Firmennetz (Intranet) Geschäfts- Partner (Extranet) Das Internet KUNDENPROBLEM: Entfernung vom Administrator Grad des Sicherheits-risikos Entfernung von der Administration Die Sicherheitsrisiken steigen mit der Entfernung vom Administrator

Einbruchserkennung Monitoring Permanentes Monitoring Userbezogene Sicherheitsstufen Zugangskontrolle, Ausweissystem,Türen Identitätsregistrierung, Überprüfungsmethoden Privilegien, Profile, Rollen, "Policy Enforcement" Verschlüsselung, Integrität Einrichten, Verwalten, Kosten, Durchsetzung, Zentralisierung Risikoabschätzung Internes/Externes Risiko Existenzgefährdung Exponiertheit Wertebeurteilung Datenbestände Ressourcen Dienste Firmeninternes Sicherheitskonzept +

Starke Authentisierung?

Es gibt genau drei Methoden der Anwender- Authentisierung "SuperUser, 4529","hugo"4529","hugo" Etwas, das man weiß –Passwort, PIN, Mutters Mädchenname.... Etwas, das man besitzt –Magnetstreifenkarte, Schlüssel, Gegenstand,.... Etwas, das man ist –Fingerabdruck, Stimme, Augenhintergrund,....

Was ist starke Authentisierung? Da mehr und mehr Computer miteinander verbunden werden und mehr und mehr Geschäfte über diese getätigt werden wird die Frage nach "Mit WEM mache ich diese Geschäfte?" von lebendsnotwendiger, geschäftlicher Wichtigkeit. Das ist unser Geschäft ! Beweis, daß Sie die Person sind, die Sie vorgeben zu sein. 3 Möglichkeiten Starke Authentisierung = mindestens zwei der Verfahren

Lösungsansatz Einmalpasswörter: S/Key Ursprünglich entwickelt von Bell Communications Laboratories (Bellcore) Als Open Source verfügbar, gebündelt mit den meisten UNIX Systemen und FireWall-1/VPN-1, RFC-1760 Aus Anwendersicht ähnliche Erfahrung wie bei Homebanking mit TAN Listen Anwender wählt geheimes Passwort S/Key verarbeitet das geheime Passwort mit einem Hash Algorithmus (Einbahnstrasse!) und generiert ein Einmalpasswort bestehend aus sechs maximal vierstelligen Worten z.B. SHIM WEAL LEW FUM CORC COCA Dieses Einmalpasswort wird n mal durch S/Key geschickt User erhält Zettel mit n Einmalpasswörtern User arbeitet Liste mit Einmalpasswörtern sequentiell ab Recht wirksam, unterbindet Replay Angriffe kostenlos Administrationsaufwand Keine echte Zweifaktor Authentisierung Handhabbarkeit?

Lösungsansatz Tokens: RSA SecurID

RSA SecurID Zwei-Faktor Benutzer Autentifizierung BENUTZERID: wjekat PASSCODE: PINTOKENCODE Der Tokencode: Jede Minute ein neues Passwort! Einzigartige 64-bit Startzahl Algorithmus Quartzuhr synchronisiert auf GMT/UCT PASSCODE=+PINTOKENCODE

RSA SecurID ACE/Server Grundlagen SeedZeit Algorithmus Seed Zeit Algorithmus Gleiche Seed Gleiche Zeit

Intranet Mainframe Enterprise Unix Web Server Applikationen& Ressourcen Ressourcen RSA Security Starke Authentifizierung Übersicht der unterstützten Systeme RAS RSA Agent Remote Access RSA ACE/Server Internet RSA Agent Internet Access VPN und Firewall E-Business Enterprise Access

RSA SecurID Zwei-Faktor User-Authentifizierung De-facto Standard für Authentifizierung im Remote Access Umfeld –8 Millionen aktive Nutzer –260+ RSA SecurID-Ready Produkte von ca. 130 Partnern Zero Footprint –KEINE –KEINE zusätzliche SW/HW am PC nötig –Schnelle Implementierung Umfangreiche Auswahl –Hardware Token –Software Token –Schlüsselanhänger –Palm Pilot –Wireless Geräte

Lösungsansatz Device Authentisierung: Phoenix First Authority Kerngedanke: nutze die PC Hardware zur Authentisierung (quasi: der PC ist der Token) Drei Komponenten: –Client PC: StrongROM im BIOS oder StrongClient in SW –Registrierung/Freischaltung durch trusted third Party: Regional Device Authority (in Deutschland D-Trust) –Authentisierungsserver im Enterprise Netz: Radius-basierter DeviceConnect Server mit Schnittstellen zu VPN-1, NT-Domäne, Exchange

Phoenix StrongROM eingebettete Technologie Im ROM Chip des Client PCs: –Kryptographische Engine –3 Security Keys Sind auf allen Maschinen identisch. 128-bit RC6 Krypto Key 1024-bit public keys für Kommunikation und Integritats Überprüfung RSA Krypto engine Aufnahme durch die bedeutenden PC Lieferanten –Einfachere Ausgabe von Clients –Immense Abdeckung durch die Phoenix Bios Vorherrschaft

First Authority Authentisierung Eine vom Phoenix StrongROM/StrongCLIENT freigegebene VPN Applikation, würde z.B. nur erkannten und authorisierten Geräten (PCs und Laptops) erlauben, sich in ein Netzwerk einzuwählen und anzumelden. Dieses Sicherheitsmerkmal kann zu allen anderen bekannten Sicherheitsvorkehrungen hinzugefügt werden, ähnlich wie das bekannte verschlüsseln von Username/Passwort. Roadmap: NT (2000, XP) Logon Authentifikation NT (2000, XP) RAS Authentifikation Sicheres Logon mit (Outlook, ccMail, Eudora) StrongCLIENT authentifiziert und verschlüsselt

Die neuen Qualitäten digitaler Kommunikation schaffen Vertrauen Lösungsansatz PKI/Digitale Zertifikate: D-Trust/Verisign

Digitale Signaturen als Grundlage für: Sicherheitsinfrastrukturen in Unternehmen, Behörden und anderen Institutionen Electronic Commerce, Entstehung elektronischer Marktplätze Zahlungsverkehr über offene Netze Verbindliche Online-Dienste Ablösung von Print durch digitale Abläufe Absicherung von Schutzrechten (Software, Wort, Bild, Musik)

Sukzessiver Einsatz der gesetzeskonformen digitalen Signatur

Das Spannungsfeld der Anforderungen

Das Digitale Zertifikate: der elektronische Ausweis Serial Number xxxxx : Validity : Nov.08, Nov.08,2002 User Organization CA - Ref.,LIAB.LTD(c)96 Organizational Unit = Digital ID Class 2 - Chelmsford Status: Public Key: ie86502hhd009dkias736ed55ewfg k98dszbcvcqm85k309nviidywtoof kkr2834kl Signed By : VeriSign, Inc.: Public Key Certificate Authority Private Key

Mitarbeiter IDPhysikalische Sicherheit Applikation Single Sign-OnGesicherte Informationen

Nutzen des digitalen Zertifikats Physical worldDigital world Authentication Digital signatures Encryption Non-repudiation Digital certificates Integrity & Confidentiality

Wichtige Anwendungen für digitale Zertifikate Quelle: Hambrecht & Quist

Asymmetrische RSA Schlüsselpaare: Der öffentliche Schlüssel des Nutzers wird vom Trustcenter zertifiziert, jeder kann ihn zur Unterschriftsprüfung abfragen. Der geheime Schlüssel dient zum Signieren und muss geschützt werden. Jeder Nutzer braucht einen öffentlichen und einen geheimen Schlüssel: RSA A

Jeder Kommunikationspartner verwendet 2 Schlüssel: einen öffentlichen und einen privaten, der immer in der Chipkarte verbleibt. Der öffentliche Schlüssel (mit Zertifikat des Trust Centers) kann vom Verzeichnisdienst abgefragt und dessen Gültigkeit überprüft werden. 1. Der Sender signiert die Prüfsumme zu einem Dokument mit seinem privaten Schlüssel und verschlüsselt dieses mit dem öffentlichen Schlüssel des Empfängers. 2. Der Empfänger entschlüsselt die Prüfsumme des Dokuments mit seinem privaten Schlüssel und prüft die Signatur mit dem öffentlichen Schlüssel des Senders. Verzeichnisdienst ? Sender Empfänger § Wie werden die Schlüssel verwendet? SS S § S S SE E EE ? = S = E

OnSite (Managed PKI) Architecture RA Control Center CA Control Center Subscriber Manager Key Manager Key Recovery Service Certificate Manager Crypto SSL S/MIME Custom IPSec Trust Gways Enterprise Registration Database Enterprise Certificate Directory Enterprise RA Admin. Enterprise CA Admin. Enterprise Servers End User Clients Enterprise VeriSign Center Key Management Certificate Processing

Einige Gedanken zur Biometrie Zumeist auf Basis Fingerabdruck, Iris Muster oder Stimme Viel Hype – wenige realisierte Projekte Anwender kann viel falsch machen Anwender muss System trainieren Oftmals Anwenderwiderstand Statisches Passwort! Deswegen Komponente der starken Authentisierung, nicht Ersatz! Sinnvolle Anwendung: SmartCard + Fingerabdruck Datenschutz! Mögliche Vernetzung mit biometrischen Kennzeichen auf Ausweisen.....

Zusammenfassung Es gibt nur eine Umgebung, die keine Benutzerauthentisierung (mehr) nötig hat...