SecureID

Klassisches Modell der RSA SecurID als Schlüsselanhänger.

Neuere Variante des Tokens in der Form eines Schlüssels.

Neuere Variante des Tokens mit USB-Anschluss.

Die SecurID ist ein Sicherheitssystem der Firma RSA Security zur Authentifizierung, also zur Überprüfung der Identität von Benutzern („Authentication Manager“). Dazu wird ein Authentifikator benutzt, ein Hardware-Gerät, "SecurID Token“ genannt.

Die Authentifizierung ist eine Zweifaktor-Authentifizierung, durch die eine hohe Sicherheit gewährleistet werden soll: Der Benutzer muss ein Passwort kennen („Etwas, das man weiß“) und in Besitz seines Tokens sein („Etwas, das man hat“), um sich dem Rechner, Netzwerkdienst etc. gegenüber ausweisen zu können. Der Token generiert jede Minute eine neue Zahl, die nur durch den Server vorhersagbar ist.

Verschiedene Zugangslösungen wie VPN-Server, Firewalls oder OpenSSH bieten die Möglichkeit, SecurID zu nutzen.

Token

Der Key-Token, erhältlich als Schlüsselanhänger mit den Maßen 5,5 cm × 2,7 cm max. oder im Kreditkarten-Format, zeigt eine alle 60 Sekunden wechselnde 6- bis 8-stellige Zahl an. Diese Zahl wird im Key-Token generiert und ist das Produkt eines AES Algorithmus, der sie aus einem Zeitindex und einem geheimen Schlüssel (Länge: 128 bit) des jeweiligen Key-Tokens berechnet. Der Schlüssel wird bei der Fertigung des Tokens mit einem echten Zufallszahlengenerator erzeugt und in dieses eingebettet. Er ist nur dem Authentication Manager bekannt, niemandem sonst. Die 6- bis 8-stellige Zahl, der „SecurID-Code“, wird nach einer normalen Anmeldung (Identifikation mit Name, Passwort, Schlüsselkarte etc.) an einem Terminal abgefragt und dann mit dem im Server für diesen speziellen Benutzer nach gleichen Kriterien erzeugten Code verglichen. Stimmen die Codes überein, wird der Zugang bzw. Zugriff gewährt. Neuere Varianten ermöglichen zusätzlich die sichere Speicherung von Zertifikaten über eine Smartcard-Funktionalität via USB^[1].

Zeitabgleich mit dem Server

Die Systemzeit der Server ist typischerweise NTP-gesteuert, also sekundengenau. Da die Quarzuhren in den Hardware-Token im Laufe der Jahre einen bestimmten Fehler aufweisen, merkt sich der Server bei jedem Anmelden des Benutzers diesen Zeit-Offset. Dadurch ist es möglich, die Karten über Jahre synchron zu halten.

Der von Server und Key-Token verwendete Zeitindex ist die Anzahl der Sekunden seit 1. Januar 1986, 00:00:00 Uhr.

Lebensdauer

Die Key-Token haben je nach Bedarf eine unterschiedliche Laufzeit von ein bis fünf Jahren und müssen danach ausgetauscht werden. Das Gerät schaltet sich dann zu einem festgelegtem Zeitpunkt ab, das Datum ist auf der Rückseite eingraviert.

Aufbau

Die Batterie ist auf die gesamte Lebenszeit des Key-Tokens ausgelegt. Der Token selbst kann nicht geöffnet werden, ohne dadurch auch physisch zerstört zu werden. Im seinem Inneren befindet sich ein auf ca. 1 Megahertz getakteter Mikroprozessor mit einem ROM-Baustein und einem Uhrenbaustein. Grundsätzlich beinhaltet das SecurID-System selbst keinerlei Verschlüsselung, da es größtenteils nur für Authentifizierungsvorgänge vorgesehen ist. Ausnahme ist das Modell SID800, das über einen integrierten Smart Chip mit USB-Anschluss verfügt, aber nicht etwa wie ein USB-Stick zum Speichern von Daten benutzt werden kann.

Einsatzgebiete

Das SecurID-System bietet einen sehr hohen Schutz im Vergleich zu herkömmlichen, etwa rein Kennwort-basierten, Authentifizierungssystemen, da der einzugebende Code sich alle 60 Sekunden ändert, bereits eingegebene Codes ungültig werden, kein Key-Token gleiche SecurID-Codes wie ein anderer produziert und sich die Codes nur selten wiederholen. Außerdem kann das System flexibel eingesetzt werden, sowohl von festen Zugangsterminals (zum Beispiel an Eingangstüren) wie auch von Computern (beispielsweise zur Anmeldung) aus. Entsprechend setzen Organisationen das System dort ein, wo hohe Sicherheit gefragt ist.

Aufgrund der erhöhten Risiken im Bereich Online-Banking werden nun auch Multifunktionsgeräte angeboten, die mit einer Signaturfunktion ausgestattet sind, um geschäftliche Transaktionen effizient zu schützen.

Preis

Der Preis für ein Key-Token liegt bei ca. 40 US-Dollar, der Preis für die Server-Software bei einigen tausend US-Dollar (je nach Lizenzgröße, Laufzeit der Token etc.).

Software Token

Software-Token verwenden dieselben Algorithmen und übernehmen anstelle des Key-Tokens die Bereitstellung des SecurID-Codes in PCs und Handheld-Geräten. Sie eignen sich für Benutzer, die kein spezielles Hardwaregerät mitführen möchten. Neu im System sind SecurID Toolbar-Token für Microsoft Internet Explorer und Mozilla Firefox.

Kritik

Einmalpasswort-Token sind generell anfällig für einen Man-in-the-middle-Angriff. Allerdings sind diese Angriffe aufwändig zu erstellen. Die Token sollen weiterhin immer so aufbewahrt und getragen werden, dass sie nicht von anderen, z. B. mit einem guten Fernglas gelesen werden können. Das Tragen der Token an einem Schlüsselband soll in den Sicherheitsrichtlinien verboten sein.

Seit Februar 2003 ist das Verfahren zur Berechnung des Tokencodes standardisiert: Die Key-Token werden mit 128 bit Schlüssellänge und AES Algorithmus ausgeliefert.

Die davor genutzte Technik, die noch mit SDI Algorithmus und 64 bit Schlüssellänge arbeitete, wurde dagegen teils kritisiert. Kritiker äußerten Bedenken, das der Algorithmus zur Erzeugung der Token vom Hersteller RSA bisher nicht veröffentlicht wurde. Die genauen Spezifizierungen sind nur Regierungen und großen Unternehmen zugänglich, die zuvor eine Vertraulichkeitsvereinbarung (Non-Disclosure Agreement) unterzeichnet haben. Der Standard ist also nicht frei zugänglich und kann nicht von jedem nachvollzogen werden.

Weblinks

• Homepage von RSA Security
  • RSA Homepage über die SecurID Authentifizierung
• Apparent Weaknesses in the Security Dynamics Client/Server Protocol
  • Kommentar zu obigem Link von John Braniard einem der Entwickler von SecurID
• Konkurrenzprodukt von Secure Computing
• Glücklicher Schnappschuss

Einzelnachweise

1. ↑ RSA SecurID SID800 Hardware Authenticator