Wien, 2014
Mobile Signatur auf mobilen Geräten Hintergrund: Im Rahmen des AP4 wurde die Integration der Handy-Signatur in die bestehende ezustellungs-app überlegt. Use-Case: Anmeldung mittels Handy- Signatur am Zustellserver 2
Mobile Handy-Signatur (1) Ablauf: Signatur-Login in der Smartphone-App (Handy-Nummer, Signatur-Passwort) Empfang der SMS-TAN am gleichen Smartphone Eingabe / Übernahme der TAN Zentralseitig: Erstellung der Signatur und Weiterleitung an Zustellserver Problem: Nutzungsrichtlinien der Handy-Signatur (Anforderung von RTR: Empfang der SMS-TAN auf einem zweiten (unabhängigen) Kanal) 3
Mobile Handy-Signatur (2) Grund für Nutzungsrichtlinie: Falls Signatur-Login und SMS-Empfang am gleichen Gerät stattfinden, dann ist ein Schadprogramm ausreichend, um das System zu kompromittieren. --> es sind zwei (unabhängige) Kanäle erforderlich Konsequenz: Für die mobile Nutzung bräuchte man ein zweites Handy auf dem die SMS-TAN empfangen wird. 4
Mobile Handy-Signatur (3) Unabhängig davon: Auch bei 2 unabhängigen Kanälen steht die SMS-TAN in der Kritik: Angreifer haben beim Mobilfunk-Betreiber Ersatz-SIMs für fremde Rufnummern beantragt. Dadurch wurden die SMS-TANs auf die Handys der Angreifer geschickt. Die Sicherheit von Handys als zweiter unabhängiger Kanal ist daher grundsätzlich in Frage gestellt. Dies betrifft die SMS-TAN generell nicht nur bei mobiler Nutzung. 5
Mobile Handy-Signatur (4) Sicht der A-Trust: Sicherheitsbedenken zur SMS-TAN sind bekannt Bisher keine Angriffe / es wird keine akute Bedrohung gesehen Zusätzlich zur SMS-TAN soll eine DATA- TAN (über mobiles Internet) angeboten werden 6
Grundanforderungen Zwei unabhängige Kanäle (ggf. mit der Möglichkeit zur Kontrolle der Transaktionsdaten) 7
Überlegungen zu Alternativen (1) Voice-TAN 8
Überlegungen zu Alternativen (2) Voice-TAN: Statt der SMS erhält der Benutzer einen Voice-Call von der Zentrale. Es wird eine TAN vorgegeben, die der Benutzer sprechen muss. Die Zentrale prüft ob es sich um die vorgegebene TAN handelt und ob es sich um den autorisierten Benutzer handelt Was -> Stimmerkennung Wer -> Stimmauthentifizierung 9
Überlegungen zu Alternativen (3) Security-Betrachtung zur Voice-TAN: Zweiter Kanal ist der Sprachkanal Trotzdem nur ein physikalisches Gerät: Login über Mobile-App Autorisierung über Sprachkanal. Sprachkanal vs. SMS: Der Aufwand für die Kompromittierung des Sprachkanals wird höher eingeschätzt, als der Aufwand zur Kompromittierung der SMS. 10
Überlegungen zu Alternativen (4) Möglichkeiten zur Kompromittierung: Capture-Replay: Bei herkömmlichen TANs (Buchstaben, Zahlen) ist der Zeichenvorrat begrenzt. Ein Angreifer könnte über einen längeren Zeitraum Voice-TANs aufzeichnen. In der Folge könnten dann beliebige TANs "zusammengeschnitten" werden. Schlüsselwort = "Liveness Detection Lösungsansätze: TANs dürfen nicht aus Buchstaben und Ziffern bestehen sondern aus ganzen Wörtern. Der Wörtervorrat muss so groß sein, dass eine 11
Überlegungen zu Alternativen (5) Rahmenbedingungen bei der Voice-TAN: Benutzer muss im Zuge eines Enrollments eine Stimmprobe abgeben. Komplexe Infrastruktur auf Zentralseite: System für Voice-Call, das eine TAN durchgibt System das die Voice-TAN des Kunden verifiziert: (Authentifizierung und Spracherkennung) Hardware-Tausch: Smartphones werden öfters gewechselt -> unterschiedliche Mikrofone. Gradwanderung bei allen biometrischen Verfahren: Zulassungsrate Unberechtigter 12
Überlegungen zu Alternativen (1) card-tan 13
Überlegungen zu Alternativen (6) cardtan: Alternative der Banken zur SMS-TAN Besteht aus: TAN - Generator (HHD): Display, Pinpad, Karten-Slot Maestro-Karte mit CAP-Applikation Ablauf: Stecken der Maestro-Karte in den TAN- Generator Eingabe der Trx-Daten am Pinpad des TAN- Generators Auslösen der TAN-Berechnung 14
Überlegungen zu Alternativen (7) In der Praxis werden die Trx-Daten nicht eingegeben, sondern können mittels einer optischen Schnittstelle vom Web-Browser auf das HHD übernommen werden. Der Benutzer muss die Daten kontrollieren, bevor die TAN berechnet wird. 15
Überlegungen zu Alternativen (8) Security-Betrachtung zur cardtan: Zweiter Kanal ist der TAN-Generator Ein Schadprogramm am PC/Smartphone könnte die Trx-Daten verfälschen. Dies müsste dem Benutzer allerdings bei der Kontrolle am TAN-Generator auffallen. Eine Kompromittierung des TAN-Generators mittels Schadprogrammen ist unwahrscheinlich = Black-Box ohne PC-Verbindung 16
Überlegungen zu Alternativen (9) Grundsätzlich ist die cardtan auch für mobile Nutzung geeignet Nachteil: Eigenes Device (TAN-Generator) wird benötigt (inkl. Maestro-Karte) Vergleich der cardtan mit TAN- Generatoren in Form von Schlüsselanhängern: Diese berechnen TANs üblicherweise über die aktuelle Zeit. Es können kein Daten kontrolliert werden. In die TAN-Berechnung fließen keine Trx- Daten ein. 17
AP4 Next Steps TBD 18