SecurID

Klassisches Modell der RSA SecurID als Schlüsselanhänger.

Neuere Variante des Tokens in der Form eines Schlüssels.

Neuere Variante des Tokens mit USB-Anschluss.

Die SecurID ist ein Sicherheitssystem der Firma RSA Security zur Authentifizierung, also zur Überprüfung der Identität von Benutzern („Authentication Manager“). Dazu wird ein Authentifikator benutzt, eine Hardware, „SecurID Token“ genannt.

Die Authentifizierung ist eine Zweifaktor-Authentifizierung, durch die eine hohe Sicherheit gewährleistet werden soll: Der Benutzer muss ein Passwort kennen („Etwas, das man weiß“) und in Besitz seines Tokens sein („Etwas, das man hat“), um sich dem Rechner, Netzwerkdienst etc. gegenüber ausweisen zu können. Der Token generiert jede Minute eine neue Zahl, die nur durch den Server vorhersagbar ist.

Verschiedene Zugangslösungen wie VPN-Server, Firewalls oder OpenSSH bieten die Möglichkeit, SecurID zu nutzen.

Token

Der Key-Token, erhältlich als Schlüsselanhänger mit den Maßen 5,5 cm × 2,7 cm max. oder im Kreditkarten-Format, zeigt eine alle 60 Sekunden wechselnde 6- bis 8-stellige Zahl (One-Time-Password, OTP) an. Dieser OTP wird im Key-Token generiert und ist das Produkt eines AES-Algorithmus, der sich aus einem Zeitindex und einem geheimen Schlüssel (Länge: 128 bit) des jeweiligen Key-Tokens berechnet. Der Schlüssel wird bei der Fertigung des Tokens mit einem echten Zufallszahlengenerator erzeugt und in dieses eingebettet. Er ist nur dem Authentication Manager bekannt, niemandem sonst. Die 6- bis 8-stellige Zahl, der „SecurID-Code“, wird nach einer normalen Anmeldung (Identifikation mit Name, Passwort, Schlüsselkarte etc.) an einem Terminal abgefragt und dann mit dem im Server für diesen speziellen Benutzer nach gleichen Kriterien erzeugten Code verglichen. Stimmen die Codes überein, wird der Zugang bzw. Zugriff gewährt. Neuere Varianten ermöglichen zusätzlich die sichere Speicherung von Zertifikaten über eine Smartcard-Funktionalität via USB^[1].

Zeitabgleich mit dem Server

Die Systemzeit der Server ist typischerweise NTP-gesteuert und weicht damit i. d. R. nur im Millisekundenbereich von der UTC ab. Da die Quarzuhren in den Hardware-Token im Laufe der Jahre einen bestimmten Fehler aufweisen, speichert der Server einen Zeit-Offset pro Token bei jeder erfolgreichen Authentifizierung ab.

Lebensdauer

Die Key-Token haben je nach Bedarf eine unterschiedliche Laufzeit von ein bis fünf Jahren und müssen danach ausgetauscht werden. Das Gerät schaltet sich dann zu einem festgelegtem Zeitpunkt ab, das Datum ist auf der Rückseite eingraviert.

Aufbau

Die Batterie ist auf die gesamte Lebenszeit des Key-Tokens ausgelegt. Der Token selbst kann nicht geöffnet werden, ohne dadurch auch physisch zerstört zu werden. In seinem Inneren befindet sich ein auf ca. 1 Megahertz getakteter Mikroprozessor mit einem ROM-Baustein und einem Uhrenbaustein. Grundsätzlich beinhaltet das SecurID-System selbst keinerlei Verschlüsselung, da es größtenteils nur für Authentifizierungsvorgänge vorgesehen ist. Ausnahme ist das Modell SID800, das über einen integrierten Smart Chip mit USB-Anschluss verfügt, aber nicht etwa wie ein USB-Stick zum Speichern von Daten benutzt werden kann.

Einsatzgebiete

Das SecurID-System bietet einen sehr hohen Schutz im Vergleich zu herkömmlichen, etwa rein kennwortbasierten, Authentifizierungssystemen, da der einzugebende Code sich alle 60 Sekunden ändert, bereits eingegebene Codes ungültig werden, kein Key-Token gleiche SecurID-Codes wie ein anderer produziert und sich die Codes nur selten wiederholen. Außerdem kann das System flexibel eingesetzt werden, sowohl von festen Zugangsterminals (zum Beispiel an Eingangstüren) wie auch von Computern (beispielsweise zur Anmeldung) aus. Entsprechend setzen Organisationen das System dort ein, wo hohe Sicherheit gefragt ist.

Aufgrund der erhöhten Risiken im Bereich Online-Banking werden nun auch Multifunktionsgeräte angeboten, die mit einer Signaturfunktion ausgestattet sind, um geschäftliche Transaktionen effizient zu schützen.

Preis

Der Preis für ein Key-Token liegt bei ca. 40 US-Dollar, der Preis für die Server-Software bei einigen tausend US-Dollar (je nach Lizenzgröße, Laufzeit der Token etc.).

Software Token

Ein Software-Token ist ein elektronisches Authentifizierungssystem, welches einen Hardware-Token komplett ersetzen kann. Diese verwenden dieselben Algorithmen und übernehmen anstelle des Key-Tokens die Bereitstellung des SecurID-Codes auf Computern und mobilen Geräten. Sie eignen sich für Benutzer, die keine spezielle Hardware mitführen möchten. Dabei generiert das Programm die zur Anmeldung bei einer mit RSA SecureID geschützten IT-Infrastruktur notwendigen Einmalpasswörter. Da Software-Token nicht physikalisch schützbar sind, sind diese potenziellen Angriffen ausgesetzt. Allerdings bieten sie zahlreiche Vorteile. So müssen die Besitzer kein physikalisches Gut mit sich tragen, es kann auf Batterien und Akkumulatoren verzichtet werden sowie der Verkaufspreis für die Software ist günstiger als der für die Hardware.

Kritik

Anfälligkeit für Man-in-the-Middle-Angriffe

Einmalpasswort-Token sind generell anfällig für einen Man-in-the-middle-Angriff. Allerdings sind diese Angriffe aufwändig zu erstellen. Die Token sollen weiterhin immer so aufbewahrt und getragen werden, dass sie nicht von anderen, z. B. mit einem guten Fernglas gelesen werden können. Das Tragen der Token an einem Schlüsselband soll in den Sicherheitsrichtlinien verboten sein.

Tokencode-Verfahren

Seit Februar 2003 ist das Verfahren zur Berechnung des Tokencodes standardisiert: Die Key-Token werden mit 128 bit Schlüssellänge und AES-Algorithmus ausgeliefert.

Hardwarekomplexität und Sicherheit des 128-bit-AES-Algorithmus sind gegenüber anderen Verfahren suboptimal. Im vorliegenden Anwendungsfall würden sich Stream-Cipher-Verfahren besser eignen und bei gleicher Sicherheit günstigere Token liefern können.^[2]

Die davor genutzte Technik, die noch mit SDI-Algorithmus und 64 bit Schlüssellänge arbeitete, wurde noch deutlicher kritisiert: Kritiker äußerten Bedenken, dass der Algorithmus zur Erzeugung der Token vom Hersteller RSA bisher nicht veröffentlicht wurde. Die genauen Spezifizierungen waren nur Regierungen und großen Unternehmen zugänglich, die zuvor eine Vertraulichkeitsvereinbarung (Non-Disclosure Agreement) unterzeichnet hatten. Der Standard war also nicht frei zugänglich und konnte nicht unabhängig überprüft werden.

Hackerangriff auf Server von RSA

Bei einem im März 2011 bekannt gewordenen Hackerangriff auf Server von RSA könnten Daten (Seeds und Seriennummern) gestohlen worden sein, mit denen sich beliebige OTP berechnen lassen.^[3] Aufgrund des Angriffs werden etwa 40 Millionen SecurID-Tokens weltweit ausgetauscht.^[4]

Hackerangriff auf Lockheed Martin möglicherweise unter Verwendung entwendeter Seeds

Im Mai 2011 wurden Server des Rüstungsproduzenten Lockheed Martin gehackt. Verschiedene Quellen gehen von einem Zusammenhang mit dem angenommenen Diebstahl der Seeds bei RSA aus. ^[5] Sollten die Berichte zutreffen, wäre Lockheed das erste bekannt gewordene Opfer der Kompromittierung der Sicherheit des SecureID-Systems. Der Lockheed Martin-Konzern ist unter anderem an der Produktion des Tarnkappen-Kampfflugzeugs Lockheed Martin F-35 beteiligt. ^[6]

Weblinks

• Homepage von RSA Security
  • RSA Homepage über die SecurID Authentifizierung
  • What is SecurID? (Behandlung im Text zum PKCS Standard)
• Apparent Weaknesses in the Security Dynamics Client/Server Protocol, Artikel von Adam Shostack
  • Kommentar zu obigem Link von John Braniard einem der Entwickler von SecurID
• SafeWord (vormals Aladdin) Konkurrenzprodukt von SafeNet, Inc.
• Angreifer dringen in Computer von Lockheed Martin ein

Einzelnachweise

1. ↑ RSA SecurID SID800 Hardware Authenticator
2. ↑ D. J. Bernstein: Why switch from AES to a new stream cipher?. Abgerufen am 28. März 2010.
3. ↑ RSA-Hack könnte Sicherheit von SecurID-Tokens gefährden.. Heise Online (18. März 2011). Abgerufen am 21. Mai 2011.
4. ↑ RSA tauscht nach Hack 40 Millionen SecurID-Tokens aus. Heise Online (7. Juni 2011). Abgerufen am 7. Juni 2011.
5. ↑ March RSA Hack Hits Lockheed, Remote Systems Breached. Ziff Davis, Inc (28. Mai 2011). Abgerufen am 29. Mai 2011.
6. ↑ Angreifer dringen in Computer von Lockheed Martin ein. Golem.de (28. Mai 2011). Abgerufen am 29. Mai 2011.