Swisscom Mobile ID. Die digitale Identität der Gegenwart

Transkript

1 Swisscom Mobile ID Die digitale Identität der Gegenwart Roland Odermatt, Senior Security Sales Consultant Swisscom (Schweiz) AG Grossunternehmen Bern, 31. März 2011

2 Wohin geht die Reise? Bring your own Device! 2

3 Digitale Identitäten Das sichere Fundament im Zeitalter der «Clouds» 3 Cloud-based Communication Anwendungen aus der Cloud Benutzer aus der Cloud Gegenseitige 100% Identifikation nötig Identifizierung als wachsendes Risiko Traditionelle Technik verschwindet Mobile Devices sind ortsunabhängig Mehr IP-Adressen als Einwohner Customer-centric ID ID für die Person.statt ID pro Anwendung oder ID pro Device

4 Mobile ID von Swisscom ist die digitale Identität der Gegenwart 4!? Mobile ID ICT Security Services Product Management & Innovation Sicher Einfach Transparent Vertrauenswürdig

5 Mobile ID die Digitale Identitäten Abhängig von der Akzeptanz der Benutzer 5 Benutzer bestimmt den Sicherheitslevel Benutzer haben eine Akzeptanzschwelle für unhandliche Bedienung Über dieser Schwelle finden und nutzen sie unsichere Alternativen Sichere Lösungen müssen deshalb einfach sein Eine ID um sich zu identifizieren Keine zusätzlichen Token etc Keine Installation. Rasche Antwortzeiten Ein gutes Gefühl

6 Das Handy als Token Klein, vertraut, handlich und immer dabei 6 Hohe Verbreitung Vertrautes Gerät Bekannte Bedienung und Behandlung Regelmässige Upgrades und Pflege Beschaffungsprozess ist klar Hohe Akzeptanz Mobile ID Multifunktionaler Nutzen Immer dabei Sicher. Verlust wird sofort bemerkt

7 Mobile ID die digitalen Identitäten Die SIM Karte der ideale Zertifikatsträger 7 SIM Karte mit integriertem Smart- Card Chip Hohe Sicherheit Tiefe Kosten Unabhängig vom Handy- Hersteller (OS) Applikation geht mit SIM mit Zugriff über sichere Standardroutinen im Handy ETSI / GSMA Standard

8 Mobile ID für Firmen und Organisationen Sicher, universell einsetzbar und kostengünstig 8 Gute Abdeckung der Sicherheitsbedürfnisse für immer mehr neue mobile Anwendungen Kaum Logistikkosten Logistik durch Provider Einfache und bekannte Prozesse bei Verlust Zusätzliche potentielle Applikationen Verschlüsselung Authentisierung (RAS, Webportale, ) Signatur Automatische Passwort Reset Funktion (APRS) Kostengünstig und tiefes Risiko Tiefe Investitionen Überschaubare Betriebskosten Paralleler Betrieb mit bestehenden Lösungen möglich Ersatz bestehender Lösungen Massive Kosteneinsparung

9 Anwendungsbeispiele 9

10 Sichere Authentifizierung Remote Access / VPN Der Nutzer startet seinen VPN client mit seinem Benutzernamen Der Benutzer erhält ein PopUp am Telefon und bestätigt dass er ins VPN verbinden möchte Der Nutzer authentifiziert sich mit durch Eingabe des Mobile ID PIN im Telefon Der PC des Nutzers darf sich ins Corporate Network verbinden Corporate Network

11 Secure Mobile Applications connection to secure Apps Mobile ID Login to MACS with UserID #3465? Start mobile application Confirm Authentication Authenticate, enter Mobile ID Auth PIN Application is securely connected

12 Electronic Signature confirming Transactions by signing (not qualified!) User wants to confirm his Transaction by signing it User receives a signing request and confirms User enters his Mobile ID PIN on the phone The Transaction is signed and confirmed

13 APRS Automatic Password Reset Service 13 Der Benutzer hat nach seinem Urlaub sein Passwort vergessen und wählt die Supportnummer, um sein Passwort neu zu setzen Nachdem die Rufnummer und der Passwortstatus überprüft wurden, erhält der Nutzer eine Nachricht und bestätigt dass er sein Passwort zurücksetzen will Der Benutzer autorisiert den Vorgang mit seinem persönlichen Mobile ID PIN code Der Benutzer erhält ein neues Passwort, dass er beim ersten Login ändern muss

14 Wie funktioniert MobileID? 14

15 So funktioniert MobileID 15 Zugang wird gewährt Kundeninfrastruktur Abfrage der GSM Nummer und Verschlüsselung der Z-Zahl mittels digitalemzertifikat Anfrage an VPN Server GSM# Kommunikation durch verschlüsselte SMS Swisscom ZertES-PKI Signieren der Anfrage mittels Zertifikatspin Mobile ID

16 MobileID: Go2Market Projekt (B2B) und Service (B2B2C) 16

17 MobileID: Go2Market Projekt (B2B) und Service (B2B2C) 17 Scope B2B2C Synergy with: Swisscom Orange Sunrise E-Gov E-Shopping E-Banking Internet WebAuth Mpayment IdP / ID Mgmt Scope B2B Swisscom only VPN/ RAS Mobile RAS Corp. Web Apps APRS Remote Desktop Internal Costcases RES Wlanconf RES Login Swisscom Grosskunden Swisscom (Schweiz) AG # of Users

18 Vielen Dank für Ihre Aufmerksamkeit

19 Backup 19

20 Aktivierung des Mobile ID Service Swisscom liefert eine neue SIM-Karte an den Benutzer, inklusive Aktivierungscode auf einem separatem Kanal, für die Inbetriebnahme von Mobile ID 2. Der Benutzer sendet eine SMS MobileID an die 444. Die Applikation in der SIM startet und fragt nach dem Aktivierungscode auf dem Handy. 3. Der Benutzer gibt den Aktivierungscode ein und wird aufgefordert, sich einen persönlichen Mobile-ID PIN Code zu definieren 4. Der Benutzer definiert sich seinen persönlichen Mobile ID PIN. Die Mobile ID ist damit einsatzbereit

21 UseCase 1: Registration & Aktivierung 21 Der Benutzer erhält eine neue SIM-Karte, und aktiviert Mobile ID über Eingabe des Aktivierungscode und PIN-Definition Austausch im Shop 1. Kontrolle Ausweis / Pass 2. Austausch SIM direkt 3. Aktivierung Mobile ID Eingabe Aktivierungscode Definition M-ID PIN Bestellung per Telefon / Internet 1. Brief Aktivierungscode (PoP Code) 3 Tage 2. Brief SIM-Karte Anleitung zur Aktivierung 3. Austausch SIM-Karte 4. Aktivierung Mobile ID SMS «Start MobileID» an 444 Eingabe Aktivierungscode Definition M-ID PIN Support & Customer Care ( )

22 UseCase 2: Ersatzkarte 22 Ein Benutzer mit Mobile ID erhält eine SIM-Ersatzkarte und aktiviert Mobile ID. Analog zu UseCase 1, aber mit zusätzlicher Sperre (72h) auf dem Zertifikat, um dem legitimen Benutzer zu erlauben, einen eventuellen Betrugsversuch zu bemerken und zu melden Austausch im Shop 1. Kontrolle Ausweis / Pass 2. Austausch SIM direkt 3. Aktivierung Mobile ID Eingabe Aktivierungscode Definition M-ID PIN Funktions-Sperre 72h Bestellung per Telefon / Internet 1. Brief Aktivierungscode (PoP Code) 3 Tage 2. Brief SIM-Karte Anleitung zur Aktivierung 3. Austausch SIM-Karte 4. Aktivierung Mobile ID SMS «Start MobileID» an 444 Eingabe Aktivierungscode Definition M-ID PIN Funktions-Sperre 72h Support & Customer Care ( )

23 UseCase 3: PIN vergessen 23 Nur der Benutzer kennt seinen Mobile ID PIN. Swisscom hält keinerlei PIN- oder PUK-Informationen über den Mobile ID PIN und kann diesen auch nicht setzen. Folge: Revozieren des Zertifikats und erneute Aktivierung der Mobile ID Austausch im Shop 1. Kontrolle Ausweis / Pass 3. Aktivierung Mobile ID Eingabe Aktivierungscode Definition M-ID PIN Funktions-Sperre 72h Bestellung per Telefon / Internet 1. Brief Aktivierungscode Anleitung 4. Aktivierung Mobile ID SMS «Start MobileID» an 444 Eingabe Aktivierungscode Definition M-ID PIN Funktions-Sperre 72h Support & Customer Care ( )

24 Wie funktionierts Beispiel Remote Access/ VPN 24 Funktionsweise der Mobile ID Die mobile Identität (= Mobile ID) ist eine Weiterentwicklung der digitalen Zertifikate auf das Mobiltelefon. Die SIM1-Karte dient dabei als Identitätsträger. Die Schlüsselpaare und Zertifikate werden auf der SIMKarte gespeichert. Die Funktionsweise der Mobile-ID-Authentisierung wird unten stehend anhand der Authentisierung eines Benutzers für das Remote Login über VPN2 in das Intranet seiner Firma beschrieben. 1. Der Benutzer startet seine VPN-Applikation an einem PC. 2. Der VPN-Server erkennt die Anfrage des Benutzers, einen VPN-Tunnel zu erstellen. 3. Der VPN-Server ermittelt die Mobile- Nummer des Benutzers. 4. Der VPN-Server bereitet eine Authentisierungsanfrage vor. Die Anfrage beinhaltet unter anderem eine Zufallszahl, die vom Benutzer signiert werden muss, und einen Text, der auf dem Mobile Device des Benutzers angezeigt wird. 5. Der VPN-Server sendet die Anfrage an den Mobile Provider. 6. Nachdem der Mobile Provider die Gültigkeit des Request überprüft hat, wird er an das Mobile Device des Benutzers weitergeleitet. 7. Das Mobile Device empfängt die Authentisierungsanfrage und fordert den Benutzer mit dem in der Meldung angezeigten Text auf, die PIN einzugeben. 8. Der Benutzer liest den Text und stellt fest, dass es sich um die VPN-Authentisierung handelt. 9. Der Benutzer gibt die PIN ein. 10. Die SIM-Karte signiert die Zufallszahl. 11. Danach sendet das Mobile Device eine Antwort samt signierter Zufallszahl an den Mobile Provider. 12. Der Mobile Provider leitet die Meldung an den VPN-Server weiter. 13. Der VPN-Server verifiziert die Signatur mit dem öffentlichen Schlüssel des Benutzers. 14. Falls die Signatur korrekt ist, wird der VPN-Kanal zwischen User-PC und VPNServer geöffnet.