Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

11.02.2000 - 

Sicherheit im Netz/Single Sign-on bislang unerreichtes Ziel

Chipkarten und biometrische Verfahren lösen künftig Token ab

Ist der Benutzer wirklich der, der er vorgibt zu sein? Jörg Ladwein* leistet Hilfestellung bei der Entscheidung für verschiedene Lösungen und erläutert die zugrunde liegenden Begriffe. Wünschenswert wäre Single Sign-on, doch dieses Ziel ist noch lange nicht erreicht.

Es hat sich in der IT-Branche in den vergangenen Jahren herumgesprochen: Authentisierung - die Überprüfung, dass ein User wirklich auch die Person ist, die er/sie vorgibt zu sein - ist für die Erlaubnis, auf einen Rechner oder die Ressourcen eines Netzwerkes zugreifen zu dürfen, von essenzieller Bedeutung. An den drei grundlegenden Möglichkeiten, dieses auf Systemseite zu bewerkstelligen, hat sich nichts geändert: Entweder teilt der Anwender mit dem Anmeldesystem ein Geheimnis (Wissen), oder er verfügt über einen Gegenstand (Besitz), der dem System ein Datum liefert, das nur mit diesem Gegenstand erzeugt werden konnte. Dritte Möglichkeit: Das Anmeldesystem hat Informationen über körperliche Eigenschaften des Anwenders (Biometrie). In der Regel sollten mindestens zwei dieser Varianten gewählt werden, um sich gegenseitig abzudecken und zu ergänzen.

Die wesentlichen Probleme liegen eher auf der praktischen Seite. Wird die Methode, die zum Einsatz kommen soll, von den Anwendern angenommen? Ist sie für den mobilen Einsatz geeignet? Kann man viele oder sogar alle in Betracht kommenden Anmeldevorgänge eines heterogenen Netzes mit dem gleichen Authentisierungsverfahren abwickeln? Anwenderfreundlicher, mobiler Single Sign-on (SSO) ist gefragt.

In den vergangenen Jahren haben sich verschiedene Token-Authentisierungsverfahren etabliert. Die Vorteile dieser Methode liegen auf der Hand: Die Anwender müssen im Besitz eines Gegenstandes (Token) sein, der in bestimmten Zeitabständen oder jeweils bei Benutzung einen für dieses Token - und damit für diesen Anwender - eindeutigen und nur einmal verwendbaren Zugangscode erzeugt. Dieses geschieht nur nach Eingabe einer PIN (ähnlich wie beim Geldautomaten) in das Token oder als Zusatz zum Einmalcode.

Um einen Umstand kommt man allerdings bei keinem Verfahren herum: Die Anwender und die Eigenartigkeit der ihnen zugeordneten Token müssen systemseitig verwaltet werden. Hier wird - wie in der gesamten IT - der Ruf nach zentraler Administration immer lauter. In jüngster Zeit werden Token mehr und mehr durch Chipkarten ersetzt. Diese bieten möglichst gleich mehrere Authentisierungsverfahren an. Als Folge des Preisverfalls bei den Chipkartenlesern, die mittlerweile in Tastaturen eingebaut sein können, und die Einigung auf den Schnittstellenstandard PC/SC wird es in ein, zwei Jahren nur noch PCs mit Chipcard-Reader geben.

Biometrische Verfahren werden mittlerweile immer zuverlässiger. Von den in Science-Fiction-Filmen oft zu sehenden Augenabtastern sieht man zur Zeit eher ab, da sie auf wenig Akzeptanz bei den Anwendern stoßen und die Mobilität nicht gewährleistet werden kann. Fingerabdrucksensoren sind allerdings auf dem Vormarsch. So sind mittlerweile Tastaturen und Mäuse mit Fingersensoren erhältlich, die recht zuverlässig mehrere Parameter erfassen. So sollten alle Fingerprintsysteme sicherstellen, dass auch der dazugehörige Mensch noch am erfassten Objekt hängt (siehe Filmszene aus The Demolition Man). Hauttemperatur und Pulsschlag sind also ebenfalls zu prüfen.

Stimmmustererkennung liegt aufgrund der zunehmenden Ausrüstung vieler PCs mit Soundkarten und bereits in den Monitor eingebauten Mikrofonen ebenfalls im Trend. Die Möglichkeiten des Voice-over-IP liefern hierfür die nötige Remotefähigkeit. Inwieweit biometrische Verfahren den Anwender von seiner Gedächtnisübung, sich eine PIN merken zu müssen, in Zukunft befreien, bleibt abzuwarten.

Der Nachfrage nach Bündelung der vielen Anmeldevorgänge möglichst zu einer einzigen Identitätsabfrage nähern sich die aufkommenden Technologien immer mehr an. Dabei werden zwei grundsätzlich verschiedene Ansätze verfolgt. Der sogenannte Single-Sign-on-Ansatz fasst alle Anwenderprofile und Authentisierungsmerkmale auf einem zentralen Sicherheits-Server zusammen. Gegen dieses System muss sich der User authentisieren und erhält eine Art Ausweis oder, besser gesagt, Fahrschein mit begrenzter Gültigkeitsdauer (zum Beispiel für eine Sitzung oder einen Tag). Mit diesem Fahrschein werden alle folgenden Login-Aufforderungen für den Anwender unsichtbar erledigt. Die Applikationen und Systeme müssen dazu mittels eines vorgeschalteten oder eingebauten Agent-Programms in die Lage versetzt werden, solche "Ausweise" verarbeiten zu können - kein einfaches Vorhaben bei der Vielfalt an Systemen und der Menge von in heterogenen Netzen genutzten Anwendungen. Es kann anfänglich also höchstens von einem Reduced Sign-on gesprochen werden.

Ein anderer Ansatz reicht noch ein Stück weiter. Man geht davon aus, so viele unterschiedliche Anmeldeverfahren wie möglich auf dem Authentisierungsgegenstand (zum Beispiel Chipkarte) auf der Anwenderseite abzubilden. Dies betrifft natürlich auch die Hauptmethode, die bereits von zentraler Stelle aus einen Großteil der Authentisierungen abdeckt. Jedoch können hierbei sogar Altsysteme, die noch ein nostalgisches, statisches Passwort verwenden, mit unter einen Hut gebracht werden.

Im Netz geht der Trend hin zu VerzeichnisdienstenSolche Systeme bieten Challenge/ Response, Einmal-Zugangscodes, digitale Signatur und per Drag&Drop verschiebbare Passwörter als sekundäre Authentisierung. Der User muss die Karte besitzen und in den Reader seine PIN eingeben. Sollten trotz SSO noch einzelne Anmeldungen vorkommen, hat der Anwender ein simples Chipkarten-Tool zur Verfügung, in dem er die nötige Einstellung vornehmen kann.

Auf der Netzwerkseite geht der Trend hin zur Nutzung zentraler Administration unter Einsatz moderner Directory-Services mittels X400-Ansprache (LDAP). Von proprietären Access-Control-Servern wird zunehmend Abstand genommen. Integration und Zentralisierung auf Standardplattformen wie NDS stehen im Vordergrund, um die Kosten für die notwendige Sicherheit in Grenzen zu halten.

Zu den zukunftsträchtigen Verfahren, die zur Zeit zum Einsatz kommen, zählt die Public-Key-Infrastructure (PKI). Für jeden Anwender wird ein Schlüsselpaar für asymmetrische Verschlüsselung erzeugt und diesem zugeordnet. Einer der beiden Schlüssel wird über einen öffentlich frei ansprechbaren Verzeichnisdienst für jeden zugänglich gemacht. Der andere Schlüssel des Paares wird auf einer speziellen Form von Chipkarte, der Krypto-Smartcard, sicher gespeichert. Dieser Schlüssel kann diese Karte nie verlassen, sondern es lassen sich mit ihm nur Operationen auf der Smartcard ausführen. Bei einem Anmeldevorgang wird ein Datum in die Smartcard gesandt und dort mit dem privaten Schlüssel chiffriert. Das Ergebnis wird als Beweis für das Wissen der PIN dieser Karte und den Besitz der Karte (Zwei-Faktor-Authentisierung) zur Anmeldung geschickt. Mit dem im zentralen Directory abgelegten öffentlichen Schlüssel des Anwenders kann dieser Code dechiffriert und mit seinem Original verglichen werden. Da sich diese Methode mit verschiedenen Daten unterschiedlicher Herkunft nutzen lässt, wird es zur digitalen Signatur benutzt. Diese und weitere Anwendungsmöglichkeiten der PKI decken einen weit größeren Bedarf an Authentisierungen ab als die reine Zugangskontrolle zu Rechnern und Netzen.

Steht ein Unternehmen heute und in Zukunft vor der Frage, welches Authentisierungssystem eingesetzt werden soll, so sind wichtige Fragen zu beantworten:

- Ist das Authentisierungsverfahren als sicher anerkannt? Mit welchen Kompromissen kann man leben?

-Wird das Verfahren von den Anwendern leicht angenommen, oder sind Schulungen notwendig?

-Kann die eingesetzte Technologie alle oder möglichst viele der im Netz vorkommenden sowie die zukünftig geplanten (zum Beispiel E-Commerce) Anmeldungen abdecken?

-Sind die Authentisierungs- oder Ausweisdaten auf Standards basierend und damit zwischen Systemen austausch- und nutzbar?

-Kann die Anwenderverwaltung weitgehend zentralisiert gehandhabt werden, und lassen sich damit die Betriebskosten (TCO) unter Kontrolle halten?

-Ist das Authentisierungsverfahren einfach einzuführen und in die Produktion zu übernehmen (Deployment)?

Dem Wunschtraum aller Anwender und Systembetreiber, dem Single Sign-on, sind wir zwar ein gutes Stück näher gekommen, doch bleibt er vorerst unerreicht. Die Kopplung von IT-Authentisierung und Finanzdienstleistungen mittels Smartcard macht das Leben der Anwender allerdings endlich ein Stück leichter.

*Jörg Ladwein ist Leiter der Vertriebsunterstürzung der Activcard S.A. in Deutschland.