Das integrierte Lösungsportfolio für starke Authentifikation und Datensicherheit Andreas Meyer Late Summer Talk, in Zug, CH 27. August 2004

Das Unternehmen Gründung des Unternehmens 1986 Zentrale in Worms 60 Mitarbeiter 35% der KOBIL Mitarbeiter für Forschung & Entwicklung tätig Enge Kooperation mit Wissenschaftlern aus dem Bereich Kryptografie Alle Produkte „Made in Germany“ Zertifiziertes Unternehmen gemäß DIN EN ISO 9001: 2000

Starke Authentifikation KOBIL SecOVID Starke Authentifikation KOBIL SecOVID ermöglicht eine starke Authentifikation bei VPNs, Firewalls, Intranets, Extranets, LANs oder Citrix Metaframe- und Windows-Terminalserver-Umgebungen. Durch die Verwendung von Einmalpasswörtern bietet KOBIL SecOVID eine äußerst sichere Form der Benutzer Authentifikation. Die Einmalpasswörter sind nach einmaliger Benutzung ungültig. Sollte trotzdem jemand versuchen, ein dynamisches Passwort ein zweites Mal zu verwenden, wird der Zugriff verweigert. Das Netzwerk bleibt somit sicher.

KOBIL SecOVID Authentifikationsgeräte: SecOVID Server: Token Reader mIDentity Handy PDA SecOVID Server: Authentifikation Autorisierung Accounting

KOBIL SecOVID - Token ID-Code = PIN + OTP UserID: Mustermann 81541098 ID-Code = PIN + OTP One time password Event basiert austauschbare Batterie

KOBIL SecOVID - Anwendungsgebiete

KOBIL SecOVID Vorteile: Mehr Sicherheit durch Zwei-Faktor-Authentifikation – über Wissen und Besitz Reibungslose Integration durch Unterstützung internationaler Standards wie RADIUS oder TACACS+ Austauschbare Batterien. Verhindert Kosten für Austausch und Wiedereinführung neuer Token Einfache Verwaltung von Benutzerdaten über intuitiv bedienbare Administrationstools Einfache Migration durch Interoperabilität mit Drittanbietern Kombination mit der zertifikatsbasierten Lösung KOBIL Smart Key mit nur einer Hardware SecOVID ist erweiterbar: Das einzigartige KOBIL Produktportfolio ermöglicht die Kombination des Einmalpasswort Systems KOBIL SecOVID mit der zertifikatsbasierten Lösung KOBIL Smart Key mit nur einer Hardware, bestehend aus Smart Card Terminal und Smart Card. Da der User alle Lösungskomponenten aus einer Hand erhält, ist höchste Interoperabilität bei der Implementierung gewährleistet SecOVID ist kosteneffizienter: a) Basiskosten: KOBIL SecOVID bietet ein ausgezeichnetes Preis-Leistungsverhältnis. b) Batterien austauschbar: Dies senkt erheblich die ebenszykluskosten der Tokens und Reader. Somit müssen die Geräte im Laufe nicht komplett ausgetauscht werden. c) Ist erweiterbar: KOBIL SecOVID lässt sich mit KOBIL Smart Key kombinieren. SecOVID ist weniger fehleranfällig: Da der SecOVID Server das zuletzt benutzte Passwort kennt, ist er in der Lage, die folgenden zu berechnen. Eingabefehler stellen somit kein Problem dar, trotzdem gelten die Passwörter nur eine begrenzte Zeit. Dadurch können Probleme entstehen, wenn Uhren nicht mehr zeitgleich sind. SecOVID ist komfortabler (mit Chipkarte) SecOVID bietet eine Option, dass Passwörter nicht mehr eingegeben werden müssen, sondern per Mausklick automatisch eingefügt werden. Dazu muss allerdings ein kleines Programm installiert werden, d.h. die Mobilität wird dadurch ein wenig eingeschränkt. SecOVID ist sicherer: Die zugehörige Chipkarte ist “versiegelt”, so dass keine geheimen Informationen von der Karte ausgelesen werden können. SecOVID Einmalpasswörter sind so sicher wie das allgemein anerkannte Triple-DES-Verschlüsselungsverfahren. SecOVID hat mehr Einsatzgebiete Schutz des Apache-Webservers (weltweit am häufigsten eingesetzer Webserver), SecOVID schützt UNIX-Netzwerke und Windows 2000 Netzwerke KOBIL ist der bessere Partner Die Firmenzentrale sitzt in Deutschland, d.h. sowohl die Produkt- als auch die Entscheidungskompetenz liegt vor Ort. „Made in Germany” Sicherheitssoftware aus Deutschland gilt als sicher. IT-Security Unternehmen aus den USA wird gern unterstellt, mit dem Geheimdienst zusammen zu arbeiten. Vor allem Behörden setzen daher auf deutsche Produkte. SecOVID vs. PKI-Lösungen: Mobilität: Der SecOVID Anwender ist vollkommen mobil. Bei PKI-basierten Lösungen muss der Anwender Software und Hardware (Smart Card Terminal) installieren. Aufwand: Die Inbetriebnahme des SecOVID Systems durch den Kunden (Administrator) kann viel schneller durchgeführt werden als die Inbetriebnahme von PKI-basierten Lösungen.

KOBIL Smart Key Der hochsichere Schlüssel für digitale Identität

KOBIL Smart Key KOBIL Smart Key Komponenten KOBIL Smart Card Terminals Smart Card TCOS oder CardOS (E4/hoch-evaluiert) Software KOBIL Smart Key (PKI Client Software)

Fallbeispiel ZDF Absicherung von Windows- und SAP-Logon mit KOBIL Smart Key Secure Remote Access und sicherer Zugang für das Web-Portal mit KOBIL SecOVID

ZDF: Authentifikation mit KOBIL SecOVID PIN: 5 2 7 8 3 9 Remote Access für ZDF-Mitarbeiter OTP: 45470125 Cisco VPN User Internet Netzwerk- Ressource Algorithmus + letztes Einmalpasswort + Wie also werden jetzt die Einmalpasswörter generiert, die ein Vielfaches sicherer sind als statische Passwörter? Der User benötigt jeweils zwei Faktoren, die oben links im Bild zu sehen sind: Token oder Smart Card und PIN User gibt die PIN ein und das Einmalpasswort wird generiert. Bei Lesegerät und Chipkarte 6 Ziffern und bei Token 4 Ziffern (aus Gründen der Einfachheit hier einheitlich 4 Ziffern). Wie funktioniert nun aber die sichere und für Außenstehende nicht nachvollziehbare Generierung des Einmalpasswortes? Das Einmalpasswort besteht aus: 3DES Algorithmus + letztes Passwort + 3DES Schlüssel (Geheimnis) Auf der User Seite erfolgt keine Installation, d.h. der User ist stets mobil. Die Authentifizierung erfolgt immer Serverseitig. Der User hat nun sein Einmalpasswort eingegeben und möchte sich an einem Netzwerkprodukt wie bspw. VPN Gateway, Webserver oder Firewall authentifizieren Das Netzwerkprodukt leitet diese Anfrage an den SecOVID Server weiter, der stellvertretend die Authentifikation durchführt. Die Kommunikation erfolgt verschlüsselt über Standardprotokolle wie bspw. RADIUS oder TACACS+ . Woher aber weiß der SecOVID resp. Authentifikations Server das jeweilige aktuelle Einmalpasswort des Users? Der SecOVID Server verfügt in der Datenbank über die identische Informationen, die der User im Token bzw. der Smart Card hat, nämlich 3DES Algorithmus + letztes Passwort + 3DES Schlüssel (Geheimnis). Geheimnis = 45470125 Algorithmus + letztes Einmalpasswort SecOVID Server SecOVID - Server +  Geheimnis = 45470125

ZDF: Authentifikation mit KOBIL SecOVID bei ZDF PIN: 5 2 7 8 3 9 Einspielen und Abrufen von Online Beiträgen durch Redakteure OTP: 45470125 Cisco VPN User Internet Netzwerk- Ressource Apache Web-Server Wie also werden jetzt die Einmalpasswörter generiert, die ein Vielfaches sicherer sind als statische Passwörter? Der User benötigt jeweils zwei Faktoren, die oben links im Bild zu sehen sind: Token oder Smart Card und PIN User gibt die PIN ein und das Einmalpasswort wird generiert. Bei Lesegerät und Chipkarte 6 Ziffern und bei Token 4 Ziffern (aus Gründen der Einfachheit hier einheitlich 4 Ziffern). Wie funktioniert nun aber die sichere und für Außenstehende nicht nachvollziehbare Generierung des Einmalpasswortes? Das Einmalpasswort besteht aus: 3DES Algorithmus + letztes Passwort + 3DES Schlüssel (Geheimnis) Auf der User Seite erfolgt keine Installation, d.h. der User ist stets mobil. Die Authentifizierung erfolgt immer Serverseitig. Der User hat nun sein Einmalpasswort eingegeben und möchte sich an einem Netzwerkprodukt wie bspw. VPN Gateway, Webserver oder Firewall authentifizieren Das Netzwerkprodukt leitet diese Anfrage an den SecOVID Server weiter, der stellvertretend die Authentifikation durchführt. Die Kommunikation erfolgt verschlüsselt über Standardprotokolle wie bspw. RADIUS oder TACACS+ . Woher aber weiß der SecOVID resp. Authentifikations Server das jeweilige aktuelle Einmalpasswort des Users? Der SecOVID Server verfügt in der Datenbank über die identische Informationen, die der User im Token bzw. der Smart Card hat, nämlich 3DES Algorithmus + letztes Passwort + 3DES Schlüssel (Geheimnis). SecOVID Server SecOVID Server

Windows Domain Controler ZDF: Authentifikation mit KOBIL Smart Key PIN: 5 2 7 8 3 9 Windows-Logon Windows Domain Controler Challenge = Zufallszahl User Response = Signatur (Challenge) Windows Domain Verifikation der Signatur; Zertifikat gültig?  KOBIL Smart Key und KOBIL Smart Token sind zertifikatsbasierte Authentifikationslösungen, die den private Key hochsicher auf der Smart Card speichern. Dabei sind alle Funktionen bzw. Anwendungen durch eine Zwei-Faktor-Authentifikation geschützt. KOBIL Smart Token ist rechts mit dem USB Token dargestellt und KOBIL Smart Key durch das Lesegerät links (Kunde hat die Wahl zwischen diversen Smart Card Terminals) Clientseitig ist eine Installation notwendig User möchte nun Zugang zu Netzwerkressourcen über ein VPN Gateway Dabei gibt das jeweilige VPN Gateway eine Challenge, die Zufallszahl, an den User User gibt seine PIN ein und gibt eine Response, d.h. die Challenge wird mit dem private Key des Users signiert, der hochsicher durch eine Zwei-Faktor-Authentifizierung auf der Smart Card geschützt ist VPN Gatway prüft die Verifikation der Signatur. Ist diese gültig, erhält der User Zugang zu den Netzwerkressourcen.

Windows Domain Controler ZDF: Authentifikation mit KOBIL Smart Key PIN: 5 2 7 8 3 9 Absicherung von SAP R/3 Windows Domain Controler Challenge = Zufallszahl User Response = Signatur (Challenge) Windows Domain Verifikation der Signatur; Zertifikat gültig?  KOBIL Smart Key und KOBIL Smart Token sind zertifikatsbasierte Authentifikationslösungen, die den private Key hochsicher auf der Smart Card speichern. Dabei sind alle Funktionen bzw. Anwendungen durch eine Zwei-Faktor-Authentifikation geschützt. KOBIL Smart Token ist rechts mit dem USB Token dargestellt und KOBIL Smart Key durch das Lesegerät links (Kunde hat die Wahl zwischen diversen Smart Card Terminals) Clientseitig ist eine Installation notwendig User möchte nun Zugang zu Netzwerkressourcen über ein VPN Gateway Dabei gibt das jeweilige VPN Gateway eine Challenge, die Zufallszahl, an den User User gibt seine PIN ein und gibt eine Response, d.h. die Challenge wird mit dem private Key des Users signiert, der hochsicher durch eine Zwei-Faktor-Authentifizierung auf der Smart Card geschützt ist VPN Gatway prüft die Verifikation der Signatur. Ist diese gültig, erhält der User Zugang zu den Netzwerkressourcen. SAP R/3

Company Card beim ZDF Sichtausweis Zutrittskontrolle Zeiterfassung Bezahlen in der Kantine Signieren und verschlüsseln von E-mails (ab 12/2004) Starke Authentifikation mobiler Benutzer (OTP) Starke Authentifikation stationärer Benutzer (Zertifikatstechnologie)

Der erste Smart Card Reader mit integriertem KOBIL mIDentity Der erste Smart Card Reader mit integriertem Flashspeicher und mobilen Unternehmenslösungen

Die KOBIL mIDentity Plattform Ihre mobile Identität Netzwerk-Authentifikation Windows Logon Single Sign On (SSO) Digitale Signatur Zutrittskontrolle und Zeiterfassung Ihr mobiler Datensafe hochsichere Verschlüsselung für mobile Daten Skalierbarer Speicher Smartcard-geschützter Passwort-Speicher Setup „onboard“ Datei-Verschlüsselung Ihr mobiles Office Outlook-Synchronisation E-Mail Verschlüsselung Sicherung und Mobilität von Benutzer-Einstellungen Daten-Backup Die Plattform für mobile Unternehmenslösungen

KOBIL mIDentity Referenzen DATEV Single Sign-On und hochsicheres Speichern der Kundendaten, möglich für stationäre sowie für mobile Arbeitsplätze) (erster step 3.000 User, dann 10.000 User) Wortmann AG Bundle von Wortmann Notebooks mit dem mIDentity und Vermarktung mit dem ISA-2004 Server DG Verlag mIDentity Bundle mit HBCI-SIM Karte und HBCI-Clientsoftware

Vielen Dank für Ihre Aufmerksamkeit! Noch Fragen?