Security-Token

USB-Token zum sicheren Verwahren eines geheimen Schlüssels

Matrix-Token, verschiedene Baugrößen

Ein Security-Token (einfach: Token) ist eine Hardwarekomponente zur Identifizierung und Authentifizierung von Benutzern.

Der unmittelbare Besitz des Tokens ist hierbei zwingend erforderlich, um sich als berechtigter Nutzer auszuweisen.

Mit den Begriffen elektronischer Schlüssel oder Chipschlüssel wird ein Token ebenfalls bezeichnet.

Gegebenenfalls sind gegen Missbrauch weitere Merkmale zur Authentifizierung heranzuziehen, möglich sind u. a. die Kenntnis eines Passworts bzw. einer PIN oder biometrische Merkmale des Benutzers. Security-Token können personalisiert sein, sie sind dann eindeutig einem bestimmten Benutzer zugeordnet.

Bauformen und Technologien

Der technische Überbegriff Token bezeichnet alle eingesetzten Technologien gleichermaßen und hängt nicht von einer bestimmten Erscheinungsform der Hardware ab. Dazu gehören alle Gegenstände, die Informationen zum Zweck der Identifikation und Authentifikation speichern und übertragen können.

passive Medien

Bei Smartcards handelt es sich ebenfalls um Token. USB-Token, welche an einem USB-Port angeschlossen werden, weisen die Vorteile einer Smartcard auf, ohne dabei ein Kartenlesegerät zu benötigen.

Es kommen auch kontaktlose Token zum Einsatz, siehe RFID. Diese sogenannten Transponder können in Schlüsselanhänger, Chipkarten und jedes andere Produkt integriert sein, solange dessen Eigenschaften die Funktion nicht stören. Somit wird das jeweilige Produkt selbst zum Token. Die Gegenstation muss das Token aktivieren und auch lesen können.

Übliche Verwendungen:

• Fahrzeug- und Gebäudeschlüssel
• Kleidung, Armbanduhren und Schmuck
• Implantate in Tieren (Chipping)

SecurID-Token von RSA Security als Schlüsselanhänger

Es gibt auch Token mit oder ohne Kontakte, welche eine stetig wechselnde und zeitlich begrenzt gültige Zahlenkombination für das Einmal-Passwort-Verfahren (One-Time Password-(OTP-)Generator) anzeigen. Token und Server errechnen diese pseudozufällige Zahl gleichzeitig. Somit ist eine eindeutige Authentifizierung möglich. Diese Zahl wird gegebenenfalls auch mit einer Smartcard in einem tragbaren Lesegerät erzeugt. Als zusätzliche Sicherheitsmerkmale muss häufig eine PIN und/oder ein Anforderungscode in das Gerät eingegeben werden. Beispiel hierfür ist das Sm@rt-TAN-Verfahren.

Trusted Platform Modules (TPM) sind Chips, die ähnlich einer Smartcard, geheime Schlüssel speichern. Der Chip ist in diesem Fall aber fest in ein Gerät eingebaut, z. B. auf ein Computermainboard aufgelötet. Das ganze Gerät wird zum Token. Es besteht nun die Möglichkeit, einem Benutzer ein über das TPM eindeutig identifizierbares Gerät zuzuordnen. Das TPM bietet gleichzeitig die Möglichkeit der Zugangssicherung zum Gerät (Pre-Boot Authentication). Somit kann (indirekt) eine Authentifikation des Benutzers vorgenommen werden.

aktive Medien

Es gibt auch handelsübliche Geräte, welche als Token arbeiten und einen Authentifikationsfaktor übertragen. Dazu muss die Kommunikation zwischen dem Gerät und dem Prüfgerät oder Arbeitsplatz möglich sein. Weiter muss für eine sichere Authentisierung beispielsweise eine bidirektionale Übertragung möglich sein.

Bekannte Beispiele sind

• Mobiltelefone oder Smartphones etc. mit Pin-Card nach 3GPP-Standards
• Mobiltelefone oder Smartphones etc. mit Bluetooth-Interface IEEE 802.15.1 (Funktion Bluetooth V4.0 Standard Protokolle 2,45 GHz mit verschiedenen Standard-Profilen)
• spezielle Bluetooth-Token (Funktion Bluetooth V4.0 Protokoll Stapel Low Energy 2,45 GHz)
• aktive UHF Transponder (RFID UHF aktiv 868 MHz, alle proprietär, kein internationaler Standard) oder (RFID UHF aktiv 433 MHz ISO/IEC 18000-7 oder proprietär, RFID Mikrowelle aktiv 2,45 GHz ISO/IEC 18000-4 oder proprietär)
• aktive LF Transponder (RFID LF aktiv 128 kHz, 134 kHz, alle proprietär, kein internationaler Standard)
• aktive HF Transponder (RFID HF aktiv 13,56 MHz, alle proprietär, kein internationaler Standard)
• galvanisch gekoppelte Token (1-Wire, Chips werden für Neuentwicklungen nicht mehr empfohlen)
• herkömmliche Chip-Karten nach ISO-Standards ISO/IEC 10536, ISO/IEC 14443 (proximity card), ISO/IEC 15693 (vicinity card),
• RFID NFC (Near Field Communication nach ISO 18092, ISO 21481 etc.)

An jeden einzelnen Arbeitsplatz muss dazu ein spezielles Prüfgerät (RFID- Norm oder proprietäre Lösung) oder ein Interface (1-Wire) angeschlossen sein.

Hingegen ist bei Verwendung von Bluetooth V4.0 die erforderliche Infrastruktur in allen modernen PCs, PDAs und Smartphones enthalten (voraussichtlich ab 2011Q2). Das Smartphone arbeitet dann als smart agent einen autonomen Prüfprozess ab, der für die einfache Authentifizierung keine Bedienhandlung erfordert.

Einsatzzwecke

Security-Token kommen meist als (Benutzer-)Ausweise zur Absicherung von Transaktionen zum Einsatz:

• zur Anmeldung an Arbeitsplatzrechner, (Firmen- oder Behörden-)Netzwerke, z. B. eine Windows Domäne
• zur Nutzung von Internetdiensten, insbesondere als HBCI-Karte beim Onlinebanking
• als Schlüsselcontainer für Daten- und E-Mail-Verschlüsselung sowie digitale Signaturen
• als Zugangsberechtigung und Ausweis (z. B. Firmenausweis, E-Pass, Autoschlüssel)
• zur Personalzeiterfassung
• als SIM-Karte in Mobiltelefonen
• als Zahlungsmittel und/oder Kundenkarte an Automaten und Kundenterminals (z. B. Telefonzelle)
• als Zugangskarte zu Pay-TV Angeboten
• als Bankkarte, meist in Einheit mit der Geldkarte, zur Nutzung von Geldautomaten und Bezahlterminals
• als Krankenversicherungskarte; auch die (zukünftige) Elektronische Gesundheitskarte wird als Token für den Zugang zu einem Datennetz eingesetzt
• als Fahrkarten und Eintrittskarten
• als Sicherheitsmodul zur eindeutigen Identifikation z. B. Trusted Platform Module
• beim Digital Rights Management; hier wird das Nutzungsrecht an Daten (Software, Musik, E-Books, …) eventuell an die Hardware gebunden, siehe auch Kopierschutz, Dongle

Allgemein werden dezentrale Systeme, in denen Daten auf dem Token selbst gespeichert waren, immer häufiger durch vernetzte Systeme ersetzt, in denen der Token nur noch als Ausweis dient.

Durch die Herausgeber der Token werden bevorzugt mehrere Funktionen in einen Token integriert um einen „Mehrwert“ durch die Benutzung des Tokens zu erreichen und umfassende Nutzungs- und Bewegungsprofile zu erstellen.

Authentifizierungsprozess (schematisch)

1. Der Nutzer leitet den Datenaustausch zwischen Token und Prüfsystem ein, indem er z. B. den Token vor ein Lesegerät hält.
2. Das Lesegerät identifiziert das Token über dessen eindeutige Identifikationsnummer(n), wie dessen Typennummer, eine Medien-Seriennummer, eine Träger-Registriernummer und/oder eine Benutzer-Klassennummer.
3. Der von dem Token gelesene Datensatz wird vom Prüfsystem mit entsprechenden lokalen Referenzdaten nach einem wohl definierten Prüfverfahren verglichen: Die Authentifizierung des Tokens erfolgt mittels Challenge-Response-Authentifizierung, eventuell werden hierfür weitere Prüfdaten als zusätzliche Sicherheitsmerkmale, etwa eine PIN vom Träger des Token abgefragt.
4. Zur Sicherheit werden die lokalen Referenzdaten mit weiteren Referenzdaten aus einer Datenbank von einem entfernten Server(z. B. über eine Standleitung oder eine geschützte Wählleitung) verglichen.
5. Bei ungültigem Token oder ungültigen weiteren Referenzdaten weist das Prüfsystem weitere Zugriffe ab.
6. Zur Rückverfolgung der Authentifizierung werden Ereignisdaten des Prüfvorgangs an den Server zurück übermittelt.
7. Das Prüfsystem gibt die für den Träger des Token zulässige Benutzung, wie Funktionen und/oder Daten frei.

Sicherheit, Fälschung, Manipulation

Für sicherheitskritische Anwendungen muss ein Token ein einmaliger Gegenstand sein, der gegen Manipulation und Vervielfältigung bzw. Fälschung besonders gesichert ist. Zu diesem Zweck kann ein Schaltkreis in Kunststoff eingegossen werden und durch Sicherheitsmechanismen, wie sie in Smartcard-Chips eingesetzt werden, gegen Reverse Engineering geschützt werden.

Die Echtheit des Tokens muss zuverlässig maschinell geprüft werden können. Dazu kommen kryptografische Verfahren zum Einsatz, die Schlüssel werden meist auf speziellen Mikrochips gespeichert. Die kryptografischen Vorgänge laufen dann innerhalb dieser Chips ab, damit die Schlüssel nicht unberechtigt ausgelesen werden können.

Auch Technologie, die lediglich eine Identifikation aber keine Authentifikation erlaubt, wird in der Praxis für diese Zwecke eingesetzt. Ein solcher Token ist nicht fälschungssicher, da das Identifikationsmerkmal frei ausgelesen und nachgebildet werden kann. Zu diesen Technologien zählen u. a. passive RFID-Chips, die über eine Seriennummer verfügen und für den Einsatz in elektronischen Etiketten (Tags) entwickelt wurden.

Unsicher im Sinne von kopierbar sind ebenfalls reine Speicher-Chipkarten, Magnetstreifenkarten, Barcodes, Schlüsseldateien auf Datenträgern wie USB-Sticks sowie der klassische Schlüssel.

Ein Angriff kann auch auf die Kommunikation zwischen einem (ansonsten sicheren) Token und dem Lesegerät erfolgen, im einfachsten Fall über einen Replay-Angriff. Freie zugängliche (USB-)Verbindungsleitungen ermöglichen das einfache Zwischenschalten von Datenloggern. Insbesondere dann, wenn keine mechanische und/oder optische Kontrolle des Tokens durch das Lesegerät oder Bedienpersonal erfolgt, können zur Überwindung des Systems auch Geräte eingesetzt werden, die dem Original-Token in Art und Größe nicht zu ähneln brauchen. Funkübertragungen können häufig noch in großer Entfernung aufgezeichnet werden und bieten so eine große Angriffsfläche für Manipulation

Verhinderung von Manipulation

Die Bauform des Tokens und die Art der (mechanischen, elektrischen, magnetischen, optischen, …) Datenübertragung hat großen Einfluss auf die Abschirmung gegen Manipulation. Eine Chipkarte kann beispielsweise vollständig von einem Lesegerät eingezogen und abgeschirmt werden. Ebenso trägt die Ausführung eines Lesegeräts oder Kundenterminals als kompakte, gegen Diebstahl, Austausch und sonstige Manipulation geschützte Einheit erheblich zur Sicherheit bei.

Vorteile und Nachteile

Vorteile

Der Einsatz von Token bietet eine maximale Sicherheit gegen unberechtigte Nutzung unter folgenden Bedingungen:

• mindestens ein weiteres Authentifizierungsmerkmal wird eingesetzt, z. B. PIN.
• das Token ist tatsächlich einmalig und kann nicht vervielfältigt oder manipuliert werden, siehe Skimming bei EC-Karten und Kreditkarten
• das Token kann im Falle eines Diebstahls oder Verlustes im System gesperrt werden um unberechtigte Benutzung auszuschließen
• Token können mit Funkverfahren verdeckt eingesetzt werden

Nachteile

• Ein Token als alleiniges Authentifizierungsmerkmal ohne zweites unabhängiges Authentifizierungsmerkmal bietet keinen zuverlässigen Schutz gegen Manipulation, Verlust oder Attacken;
• der Einsatz von Token verursacht wie jede technische Lösung Kosten für die Herstellung, die Registrierung und/oder Personalisierung, die Verteilung und die Bereitstellung von Infrastruktur in Form von Prüf- oder Lesegeräten und Software;
• das Token kann zerstört oder verloren werden und den Benutzer dann zeitweise von wichtigen Funktionen des täglichen Lebens oder beruflicher Tätigkeit ausschließen;
• das Token, und damit dessen Nutzer, ist immer eindeutig identifizierbar: eine Freigabe von Zugriffen für anonyme Nutzer ist wegen mangelnder Sicherheit nicht vorgesehen.