Rechneranmeldung mit Smartcard oder USB-Token

Rechneranmeldung mit Smartcard oder USB-Token Verfahren zur Authentifizierung am Rechnersystem und angebotenen Diensten, SS2005 1

Inhalt: 1. Systemanmeldung 2. Grundlagen 3. Technik (letzte Woche) 4. Standards & Protokolle 5. Funktion, Ablauf & Risiken 6. Quellenangabe & Fragen 2

Systemanmeldung: Wo ist die Anmeldung nötig? - Rechner - Mailserver - Welche Verfahren werden genutzt? - Gar keine Authentifizierung - Passwort - Biometrisch Wieso Token oder Smartcard? - Sicherheit - Kosten 3

Systemanmeldung 2: So genanntes Mehrfaktorensystem - Wissen und Besitz Vergleichbar mit Dongle 4

Basis: Hardware: - Smartcards - USB-Tokens Technik - Letzte Woche behandelt - Zusatz: USB Token mit Fingerabdruck-Scanner USB Token mit Einweg- PIN Eigene CPU für Verschlüsselungsverfahren 5

Smartcard Besserer Schutz des Speichers Lesegerät nötig Kompakter Geldkarte und Krankenkassenkarte verwendbar Token Teilweise mechanisch manipulierbar => auslesen Nur USB-Port nötig Standardbauteile Zusätzlicher Speicher u.a. für Profilinformationen Erweiterte Funktionen 6

Software - Standalone oder Authentifizierungsserver - Als Pre-Boot oder auf Betriebssystemebene - Verschiedene Protokolle und Standards RADIUS AES RSA X.509 - Zusatzfunktionen: Single Sign On Verschlüsselung Signatur 7

Standards: Zertifikat: - X.509: Gehört zu X.500 Standardisiert die sichere Übertragung zwischen Client (Rechner) und Server (Karte) Ursprünglich Authentizitätsfeststellung in Netzwerken Hierarchische Zertifizierungsstruktur Public-Key Infrastructure 8

* Zertifikat o Version o Seriennummer o Algorithmen ID o Aussteller o Gültigkeit + von + bis o Subject o Subject Public Key Info + Public Key Algorithmus + Subject Public Key o Eindeutige ID des Ausstellers (optional) o Eindeutige ID des Inhabers (optional) o Erweiterungen +... * Zertifikat Signaturalgorithmus 9

Kommunikationsprotokoll: - SSL: Secure Socket Layer Version 3 Netzwerke Challenge / Handshake - Verfahren 10

Verschlüsselung: - 3DES/AES: Data Encryption Standard / Advanced Encryption Standard Symmetrisches Verfahren Nachfolger von DES Verschlüsselung durch 3-fach (56bit) Anwendung (3DES) 128bit u. optimiert für Smartcards (AES) - RSA: Rivest Shamir Adleman Asymmetrisch Sinnvolle Schlüssellänge 2048bit 11

Zentrale Speicherung: - RADIUS: Remote Authentication Dial-In User Service Netzwerke Speicherung des öffentlichen Schlüssels auf RADIUS-Server 12

Anwendung: Anmeldung aus Anwendersicht: - 1. Karte oder USB-Token anschließen - 2. PIN-/Passworteingabe oder Fingerabdruck - 3. System verfügbar 13

Technischer Ablauf: - Challenge Handshake Verfahren 14

15

16

Risiken: Auslesen (USB- Token) Andere OS / Wiederherstellungskonsole Handling Token- Entfernung Verschleiß 17

Quellen TESIS - http://www.tesis.de/de/archive.php?page=343&id=308&company=4 Heise Online - http://www.heise.de/newsticker/meldung/8268 CE-Infosys - http://www.ce-infosys.com/pdf/products_compusec_ger.pdf Aladdin Knowledge Systems - http://www.aladdin.de Wikipedia - http://de.wikipedia.org Siemens - http://networks.siemens.de/solutionprovider/_online_lexikon/5/f016495.htm Computerwoche (17.06.2002) - USB-Token schließt den Rechner ab Cyprotect - http://www.cyprotect.com/rainbow/ikey3000/ikey3000datasheetgerman.pdf 18