Mobile Smart Card-Anwendungen und biometrische Fingerprint- Authentifikation Jens Albrecht CEO und Security Engineer insinova ag jens.albrecht@insinova.ch 2
Warum starke Authentifikation? Benutzername und Kennwort reichen nicht mehr aus, denn: Kennwörter können einfach gestohlen werden (Key Logger, Sniffer, Ausprobieren, Fake-Applikation ) Die Identifikation der Benutzer ist nicht eindeutig. Starke Authentifikation wird durch WISSEN und HABEN erreicht : Der Benutzer WEISS sein Passwort und HAT ein Token (z.b. Smart Card, Einmal-Passwort-Generator) Man müsste dem Benutzer auch das Token stehlen höchst unwahrscheinlich darum sehr hohe Sicherheit. 3 Was ist eine Smart Card? 00392 +5V GND CLK RST I/O CPU RAM ROM E 2 PROM Cryptoprocessor private 4
Was ist eine Smart Card? Hochsicheres Behältnis für den Private Key (X.509 Zertifikat). Mit dem Private Key wird signiert und entschlüsselt. Verschlüsselt wird mit dem Public Key. RSA 1024/2048 und 3DES 168 wird verwendet. Zugriff auf die Smart Card wird durch eine PIN geschützt. Typischerweise 3 Anmeldeversuch, danach ist die Smart Card gesperrt. Entsperrung nur über PUK möglich. 1. Softwareinstallation notwendig: Der CSP (Cryptographic Service Provider) muss auf dem Computer installiert werden. Dies ist der Treiber für den Smart Card Chip. 2. Softwareinstallation notwendig: Der Treiber für den Smart Card Leser muss auf dem Computer installiert werden. 5 Herausforderung Smart Card Technologie 1. Software Installationen notwendig 2. Benutzer sind mit Konfiguration überfordert 3. Benutzer haben manchmal keine Admin-Rechte 4. Unterschiedliche Plattformen (Win 2000 / XP / Vista / Linux) 5. Unterschiedliche Sprachen für Client-SW-Paket 6. Der Smart Card Leser ist unpraktisch für den Transport Die Mobilität ist eingeschränkt und hohe Sicherheit ist somit nicht überall (z.b. im Ferienhaus) gewährleistet. 6
Mobile Smart Card Technologie Die Lösung ist KOBIL midentity: CD-ROM, Flash-Speicher und Smart Card Leser in einem Gerät. Die zuvor genannten negativen Punkte entfallen. Praktische USB-Lösung mit div. Software on board. Zero Footprints auf dem Computer. Im CD-ROM Bereich ist z.b. der Firefox Browser mit PKCS#11 PlugIn gespeichert. Ermöglicht eindeutige Benutzer-Authentifikation mittels X.509 Zertifikaten und persönlicher PIN. 7 Mobile Smart Card Technologie Anwendungen: ebanking Client (z.b. Migros Bank) Keine Chance für Pishing-Attacken! TAN- und Streichlisten entfallen. SSL-VPN-Zugriff in die Firma von überall her Z.B. an Citrix Access Gateway, SonicWALL Aventail, F5 Hochsicherer USB-Datensafe (z.b. UBS AG) Alle Dateien sind im Flash verschlüsselt abgelegt. 8
SSL 128 bit https://login.bank.ch 9 SSL 128 bit https://vpn.firma.ch insinova powered by SonicWALL Aventail SSL-VPN Appliance 10
Hat 3 Versuche, danach ist die Smart Card gesperrt. 11 Warum Fingerprint Authentifikation? Wir testen seit Jahren Produkte dieser Technologie und sind nun zum Schluss gekommen, dass die Zeit für Bio-IT reif ist. Mit gutem Gewissen, können wir Ihnen die heute vorgestellte Lösung von DigitalPersona empfehlen. Die Lösungen, die wir bis anhin kannten, waren nicht einsetzbar. 12
Fingerprint Authentifikation Das bekannte Passwort-Dilemma ist: Gute Passworte sind schwerer zu merken und müssten regelmässig geändert werden z.b. $omm r08, H@u$001. Benutzer müssen sich eine Vielzahl von unterschiedlichen Passworten merken (Windows, Web- und Client-Server- Anwendungen). Viele Anrufe wegen vergessenen oder gesperrten Passworten beschäftigen den Support und beeinträchtigen die Produktivität der Mitarbeiter. Passworte werden aufgeschrieben und weitergegeben. Nur Passworte sind nach ISO 27001 zu vermeiden, sofern es sich um wichtige Zugänge handelt. DSG zu schützenswerten Informationen: Müssen dem Stand der Technik entsprechend geschützt werden. 13 Fingerprint Authentifikation Möglicher Ausweg aus dem Passwort-Dilemma: Die Benutzerauthentifikation wird mittels Fingerabdruck durchgeführt. Der Fingerabdruck ist der Schlüssel für die hinterlegten Anmeldeinformationen verschiedenster Applikationen. Die Benutzer werden mit keinen Passworten und Passwort- Wechseldialogen konfrontiert. Das Einfüllen der Anmeldeinformationen wird im Hintergrund erledigt. Dabei können kryptische Passworte verwendet werden. Der Support kann sich um wichtigere Probleme kümmern. Compliance-Anforderungen werden erfüllt. Wer hat wann was gemacht, kann beantwortet werden. 14
Fingerprint Authentifikation Ja, aber die Geschichte mit dem abgehackten und dem Fake-Finger. Modernste 3D-Scanner scannen den Finger. Die Rillentiefe wird gemessen und der Lebendtest wird anhand des optischen Brechungsindex menschlicher Haut durchgeführt. 15 Was gespeichert wird Nicht das Bild (ca. 1MB) des Fingerabdruckes, sondern die Finger-Merkmale werden in einem Template gespeichert. Der Vergleich von 2 gescannten Bildern würde nicht zum Erfolg führen, da keine Algorithmen angewandt werden können. Aus dem Template kann das Bild des Fingerabdrucks NICHT erstellt werden. Dies sind die Muster Loop, Whorl und Arch: 16
Was gespeichert wird Und nun werden die Minutien ermittelt (= kleine Details): 17 Was gespeichert wird Schlussendlich wird die Minutia-Extraktion gespeichert: 18
Mass der Sicherheit: FAR und FRR Der Scan eines Fingerabdruckes ist nie eindeutig d.h. jeder Scan weist kleine Abweichungen auf. Das FBI besitzt 200 Mio. Fingerabdrücke und dabei ist keiner gleich. Das Mass der erlaubten Abweichungen wird mit der False Acceptance Rate und der False Rejection Rate festgelegt. FAR: Wahrscheinlichkeit, dass ein falscher Finger als richtig erkannt wird. Ca. 1/100 000 FRR: Wahrscheinlichkeit, dass ein richtiger Finger als falsch erkannt wird. Ca. 1/10 000 19 Vollständige Integration in das AD Installation auf Domain Controllern Keine zusätzlichen Server notwendig Keine Synchronisation mit Ausfallrisiko Keine zusätzlichen Hard- oder Software-Kosten Zentrale Verwaltung Lediglich Anpassung der Group Policies Wird durch Microsoft und Citrix unterstützt 20
Vorteile und Features Automatische Passwortänderung gemäss Policy Ohne Eingriff der Benutzer MS Installationstools, Fingerabdruck-Registrierung mit Wizard Schneller und problemloser Rollout Detailliert konfigurierbar Deckt verschiedenste Authentifizieruns-Bedürfnisse ab Client-Software läuft auf XP Professional und Vista und unterstützt RDP und Citrix. 21 Was benötigt wird Fingerprint Reader (USB oder integriert) Client Software DigitalPersona Pro Workstation oder Pro Kiosk Server Software DigitalPersona Pro Server for Active Directory 22
Im Betrieb Einen oder mehrere Finger registrieren 23 Im Betieb. Einfaches Anmelden an der Windows Domain 24
Im Betrieb Anmeldeinformationen speichern 25 Im Betrieb Anzeige, dass ein Anmelden mit Fingerprint möglich ist. Die Anmeldeinformationen wurden zuvor im AD User Object gespeichert. 26
Im Betrieb Persönliche Übersicht über Anmeldeinformationen 27 Zusammenfassung Wichtig für die Geschäftsleitung Die Technologien stehen zur Verfügung IT-Sicherheit liegt in der Verantwortung der GL inkl. persönliche Haftung GL muss hinter den Projekten stehen und entsprechende Aufträge an IT-Abteilung erteilen Wettbewerbsvorteil durch mobiles Arbeiten Wichtig für die IT - Abteilung Neue Technologien ausprobieren z.b. mit Testinstallationen Mit kleinen Testgruppen anfangen Schlussendlich höhere Sicherheit und tiefere Kosten Wichtig für den Benutzer Jeder ist für Sicherheit verantwortlich und hilft somit, das Unternehmen wettbewerbsfähig zu halten = Arbeitsplatzerhalt 28