Article on other languages:
 |
del.icio.us |
 |
Digg |
 |
Furl |
 |
|
 |
Rojo |
| Add to OnlyWire |
Die SecurID ist ein Sicherheitssystem der Firma RSA Security zur Authentifizierung von Benutzern. Es besteht aus einem zentralen Server („Authentication Manager“) und einem sog. Authentifikator, schlicht „SecurID Token“ genannt. Die Authentifizierung ist eine Zweifaktor-Authentifizierung, durch die eine hohe Sicherheit gewährleistet werden soll. Der Benutzer muss ein Passwort kennen („Etwas, das man weiß“) und in Besitz seines Tokens sein („Etwas, das man hat“), um sich dem Rechner, Netzwerkdienst etc. gegenüber ausweisen zu können. Der Token generiert jede Minute eine neue Zahl, die nur durch den Server vorhersagbar ist.
Verschiedene Zugangslösungen wie VPN-Server, Firewalls oder OpenSSH bieten die Möglichkeit mit SecurID zusammenzuarbeiten.
Inhaltsverzeichnis |
Der Token
Der Key-Token, erhältlich als Schlüsselanhänger mit den Maßen 5,5 cm × 2,7 cm max. oder im Kreditkarten-Format, zeigt eine alle 60 Sekunden wechselnde 6- bis 8-stellige Zahl an. Diese Zahl wird im Key-Token generiert und ist das Produkt eines AES Algorithmus, der sie aus einem Zeitindex und einem geheimen Schlüssel (Länge: 128 bit) des jeweiligen Key-Tokens berechnet. Der Schlüssel wird bei der Fertigung des Tokens mit einem echten Zufallszahlengenerator erzeugt und in dieses eingebettet. Er ist nur dem Authentication Manager bekannt, niemandem sonst. Die 6- bis 8-stellige Zahl, der „SecurID-Code“, wird nach einer normalen Anmeldung (Identifikation mit Name, Passwort, Schlüsselkarte etc.) an einem Terminal abgefragt und dann mit dem im Server für diesen speziellen Benutzer nach gleichen Kriterien erzeugten Code verglichen. Stimmen die Codes überein, wird der Zugang bzw. Zugriff gewährt. Neuere Varianten ermöglichen zusätzlich die sichere Speicherung von Zertifikaten über eine Smartcard-Funktionalität via USB[1].
Zeitabgleich mit dem Server
Die Systemzeit der Server ist typischerweise NTP-gesteuert, also sekundengenau. Da die Quarzuhren in den Hardware-Token im Laufe der Jahre einen bestimmten Fehler aufweisen, merkt sich der Server bei jedem Anmelden des Benutzers diesen Zeit-Offset. Dadurch ist es möglich, die Karten über Jahre synchron zu halten.
Der von Server und Key-Token verwendete Zeitindex ist die Anzahl der Sekunden seit 1. Januar 1986, 00:00:00 Uhr.
Lebensdauer
Die Key-Token haben je nach Bedarf eine unterschiedliche Laufzeit von ein bis fünf Jahren und müssen danach ausgetauscht werden. Der Key-Token schaltet sich zu einem festgelegtem Zeitpunkt ab. Dieses Datum ist auf der Rückseite des Key-Token eingraviert.
Innereien
Die Batterie ist auf die gesamte Lebenszeit des Key-Tokens ausgelegt. Der Key-Token selbst kann nicht geöffnet werden, ohne dadurch auch physisch zerstört zu werden. Im Inneren des Key-Tokens befindet sich ein auf ca. 1 Megahertz getakteter Mikroprozessor mit einem ROM-Baustein und einem Uhrenbaustein. Grundsätzlich beinhaltet das SecurID-System selbst keinerlei Verschlüsselung (außer dem Modell SID800, das über einen integrierten Smart Chip mit USB-Anschluss verfügt, die SID800 kann aber nicht als USB-Stick zum Speichern von Daten benutzt werden). Das System ist größtenteils also für Authentifizierungsvorgänge vorgesehen.
Einsatzgebiete
Das SecurID-System bietet einen sehr hohen Schutz gegenüber herkömmlichen Authentifizierungssystemen, da der einzugebende Code sich alle 60 Sekunden ändert, bereits eingegebene Codes ungültig werden, kein Key-Token gleiche SecurID-Codes wie ein anderer produziert und sich die Codes nur selten wiederholen. Außerdem kann das System flexibel eingesetzt werden, sowohl von festen Zugangsterminals (zum Beispiel an Eingangstüren) wie auch von Computern (beispielsweise zur Anmeldung) aus. Entsprechend setzen Unternehmen dieses System dort ein, wo hohe und höchste Sicherheit gefragt ist.
Aufgrund der erhöhten Risiken im Bereich Online-Banking werden nun auch Multifunktionsgeräte angeboten, die mit einer Signaturfunktion ausgestattet sind, um geschäftliche Transaktionen effizient zu schützen.
Preis
Der Preis für ein Key-Token liegt bei ca. 40 US-Dollar, der Preis für die Server-Software bei einigen tausend US-Dollar (je nach Lizenzgröße, Laufzeit der Token etc.).
Software Token
Software-Token verwenden dieselben Algorithmen und übernehmen anstelle des Key-Tokens die Bereitstellung des SecurID-Codes in PCs und Handheld-Geräten. Sie eignen sich für Benutzer, die kein spezielles Hardwaregerät mitführen möchten. Neu im System sind SecurID Toolbar-Token für Microsoft Internet Explorer und Mozilla Firefox.
Kritik
Einmalpasswort-Token sind generell anfällig für einen Man-in-the-middle-Angriff. Allerdings sind diese Angriffe aufwändig zu erstellen. Die Token sollten auch immer so aufbewahrt und getragen werden, dass sie nicht von anderen, z. B. mit einem guten Fernglas gelesen werden können. Das Tragen der Token an einem Schlüsselband sollte in den Sicherheitsrichtlinien verboten sein.
Seit Februar 2003 ist das Verfahren zur Berechnung des Tokencodes standardisiert: Die Key-Token werden mit 128 bit Schlüssellänge und AES Algorithmus ausgeliefert. Die folgende Kritik bezieht sich auf Key-Token, die noch mit SDI Algorithmus und 64 bit Schlüssellänge ausgeliefert wurden.
Kritiker äußern Bedenken, da der Algorithmus zur Erzeugung der Token vom Hersteller RSA bisher nicht veröffentlicht wurde. Die genauen Spezifizierungen sind nur Regierungen und großen Unternehmen zugänglich, die zuvor eine Vertraulichkeitsvereinbarung (Non-Disclosure Agreement) unterzeichnet haben. Der Standard ist also nicht frei zugänglich und kann nicht von jedem nachvollzogen werden.
Weblinks
- Homepage von RSA Security
- Apparent Weaknesses in the Security Dynamics Client/Server Protocol
- Kommentar zu obigem Link von John Braniard einem der Entwickler von SecurID
- Konkurrenzprodukt von Secure Computing
- Glücklicher Schnappschuss
