Sicherheit durch und Sicherheit bei SmartCards

Transkript

1 Sicherheit durch und Sicherheit bei SmartCards CeBIT 2010, Hannover ix CeBIT Forum, Software & Systems Sebastian Feld Markus Hertlein [feld internet-sicherheit. de Institut für Internet-Sicherheit Fachhochschule Gelsenkirchen

2 Agenda Sicherheit durch und Sicherheit bei SmartCards Institut für Internet-Sicherheit Aktuelle Sicherheitslage im Internet SmartCards Sicherheit durch SmartCards Sicherheit bei SmartCards Fazit und Ausblick 2

3 Institut für Internet-Sicherheit Kurzinfo vom Institut Wer wir sind Eine innovative, unabhängige und wissenschaftliche Einrichtung der Fachhochschule Gelsenkirchen Unsere Aufgaben Forschung, Entwicklung und anwendungsbezogene Lehre auf dem Gebiet der Internet-Sicherheit Unser Team Ca. 50 wissenschaftliche Mitarbeiter, Diplomanden und Studenten Unser Ziel Mehrwert an Vertrauenswürdigkeit und Sicherheit im Internet herstellen 3

4 Institut für Internet-Sicherheit Forschungsschwerpunkte und aktuelle Projekte Trusted Computing Sichere Betriebssysteme Network Access Control Internet-Frühwarnsysteme Internet-Analyse Strukturelle Analyse des Internets -Sicherheit Anti-Spam -Verlässlichkeit Identity Management Neuer, elektronischer Personalausweis Studie IdMS-Konzept Sonstige Mobile Security, VoIP, Web Services Security, Branchenbuch IT-Sicherheit, Awareness 4

5 Aktuelle Sicherheitslage im Internet Grundsätzliche Problematik Schwierige, grundlegende Konstellation Steigender Wert von Informationen Mangelndes Unrechtsbewusstsein in der elektronischen Welt Das Internet hat keine Grenzen Technische, gesellschaftliche und politische Herausforderungen Schwierige Entwicklungen und Trends Soziale Netzwerke, Blogs, Profilbildung, Tracking, Anonymität im Internet vs. Digitale Identität 5

6 Aktuelle Sicherheitslage im Internet (Neue) Gefahren auf dem Vormarsch Botnetze Spam-Kampagnen Verteilte Denial-of-Service-Angriffe Identity-Theft und sonstiger Datenklau Infektion anderer Rechner mit Malware Social Hacking Vortäuschen einer vertrauenswürdigen Identität Phishing, Pharming,... Malware (Malicious Software) Viren, Würmer, Trojaner,... Notwendigkeit von IT-Sicherheitsmaßnahmen 6

7 Aktuelle Sicherheitslage im Internet Exkurs: Malware auf PCs in Deutschland 2008: 40 Mio. Haushalte in Deutschland (StatBAmt) 2007: 60% der Haushalte haben einen Internetanschluss (StatBAmt) 2008/2009: 2.3 Mio. Windows PCs von Malware gereinigt (Microsoft Security Intelligence Report 2008/2009) Anteil an infizierten PCs in Deutschland (untere Abschätzung): 1 Mio. infizierte PCs 40 Mio. Haushalte * 60% mit Internet Etwa 4% aller PCs sind infiziert 7

8 Aktuelle Sicherheitslage im Internet Zu berücksichtigender Schutzbedarf Gewährleistung der Vertraulichkeit Gegen das unautorisierte Lesen von Daten Gewährleistung der Authentikation Kenntnis des Kommunikations- oder Transaktionspartners Gewährleistung der Integrität Überprüfung des Originalzustands von Daten Gewährleistung der Verbindlichkeit Elektronische Prozesse und verbundene Aktionen sind verbindlich Gewährleistung der Verfügbarkeit Daten und Dienste stehen zur Verfügung Aus dem Persönlichkeitsrecht: Informationelle Selbstbestimmung Grundrecht über Preisgabe und Verwendung persönlicher Daten 8

9 SmartCards Allgemeine Informationen SmartCard Plastikkarte mit Chip (Chipkarte) Deutsches Patent 1969 Französisches Patent 1975 Kartenlesegeräte Dient zur Ansteuerung der SmartCards Einteilung in 4 unterschiedliche Sicherheitsklassen 9

10 SmartCards Technische Details Aufbau des Chips Speicher (RAM und ROM) Betriebssystem Prozessor Zwei Ausprägungen Speicherkarten / Synchrone SmartCards Prozessorkarten / Asynchrone SmartCards Kommunikation Kontaktbehaftet Kontaktlos Der Computer im Portemonnaie 10

11 SmartCards Anwendungsfälle Authentifizierung Prüfung einer Identität Login Verschlüsselung Transformation verständlicher Daten in nicht verständliche Daten Signierung Unterschreiben von Daten Sicherstellung von Integrität und Verbindlichkeit Sicherer Speicher Nur nach erfolgreicher Authentisierung und Authentifizierung lesbar Tresor 11

12 Sicherheit durch SmartCards Vorteile und Mechanismen Multifaktor (SmartCard + PIN) Geschützer Datenspeicher Starke Authentifizierung / Identifizierung Eindeutige Signierung von Daten Ersetzung von OTP / TAN Verschlüsselung (PKI vs. Passwort) 12

13 Sicherheit durch SmartCards Beseitigte Gefahren Phishing Zertifikat-basierte Authentifizierung Ablösung der Eingabe von Passwort und TAN Beweis der Kenntnis des Geheimnis Diebstahl persönlicher oder sensibler Daten Verschlüsselung lokal gespeicherter Daten (unlesbar/unveränderbar) Persönliche Daten auf der SmartCard vor unautorisiertem Zugriff geschützt Schutz durch PIN 13

14 Sicherheit bei SmartCards Technische Maßnahmen Scrambling / Verschlüsselung Bus Speicher Überwachung Frequenz Temperatur Strahlen Irreversibles Verfahren zum Erlangen des User Mode Gleicher Spannungspegel bei unterschiedlichen Befehlssätzen 14

15 Sicherheit bei SmartCards Mögliche Angriffsvektoren Passiver Angriff Aktiver Angriff Manipulation des Kartenterminals / Software 15

16 Sicherheit bei SmartCards Mögliche Angriffsvektoren Passiver Angriff Aktiver Angriff Manipulation des Kartenterminals / Software Aufzeichnung von Spannungskennlinien Unter- / Übertaktung Änderung der Umgebungstemperatur Ziel: Manipulation von Hardware-Verhalten und Rekonstruierung von Befehlsabfolgen 16

17 Sicherheit bei SmartCards Mögliche Angriffsvektoren Passiver Angriff Aktiver Angriff Manipulation des Kartenterminals / Software Entfernen des Microcontrollers Reverse Engineering Auslesen des ROM Ziel: Auslesen oder Ändern von Daten 17

18 Sicherheit bei SmartCards Mögliche Angriffsvektoren Passiver Angriff Aktiver Angriff Manipulation des Kartenterminals / Software Man-In-the-Middle-Attack / Relay Attack Ziel: Umleitung und Nutzung von Verbindungen Ausspähen oder Speichern der PIN Ziel: Nutzung der SmartCard ohne User- Interaktion 18

19 Fazit und Ausblick Sicherheit durch und Sicherheit bei SmartCards Aktuelle Sicherheitslage im Internet: Problematisch Oder: Neue Herausforderungen SmartCard in sicherer Einsatzumgebung Sicheres Management von Identitäten und Daten Altes, durchdachtes und erprobtes Konzept Einsatz in vielen Bereichen Neuer Schub Der neue, elektronische Personalausweis 19

20 Sicherheit durch und Sicherheit bei SmartCards Vielen Dank für Ihre Aufmerksamkeit Fragen? Sebastian Feld Markus Hertlein [feld internet-sicherheit. de Institut für Internet-Sicherheit Fachhochschule Gelsenkirchen