KNOW HOW-SERIE25. März 2018

Wie funktioniert digitale Identität? Teil 3: Authentifi­zierung mit FIDO – Fast IDentity Online, der Standard

digitalista/bigstock.com

Im vorhergehenden Artikel wurde beschrieben, wie die digitale Identität mithilfe einer geschlossenen PKI-Lösung abgebildet wird. Der Ansatz, den Nutzer für die Identifikation mit personalisierter Hardware auszustatten, hat sich in über 20 Jahren nicht durchgesetzt. Für eine Alternative wird vor allem eine sichere Authentifizierung benötigt, damit die digitale Identität auf einem soliden Fundament steht. Wie das bewerkstelligt werden kann, behandelt dieser Artikel. Die Lösung heißt FIDO und wird von allen Branchengrößen unterstützt.

von Rudolf Linsenbarth

Passwörter und sichere Authentifizierung – das ist ein Widerspruch!

An einer Reduzierung der Abhängigkeit von Passwörtern arbeitet die FIDO Alliance (Website). Gegründet wurde die Non-Profit-Organisation 2012 von den Unternehmen Agnitio, Infineon, Lenovo, Nok Nok Labs, PayPal und Validity Sensors. Ziel ist die Entwicklung offener und lizenzfreier Industriestandards für die weltweite Authentifizierung im Internet.

fido alliance Logo

FIDO steht für Fast IDentity Online. Bisher wurden die beiden folgenden Standards veröffentlicht:

U2F U2F (Universal Second Factor)
spezifiziert Hard- und Software für die Zwei-Faktor-Authentifizierung
UAF UAF (Universal Authentication Framework)
spezifiziert ein Netzwerkprotokoll zur kennwortlosen Authentifizierung

Die für die FIDO Standards zertifizierten Produkte können von den Anbietern mit dem markenrechtlich geschützten Logo FIDO Certified gekennzeichnet werden.

Zwei fido alliance Zertifizierungen
FIDO Alliance
Genau wie bei der PKI-Lösung kommen bei FIDO Public/Private-Schlüsselpaare zum Einsatz. Allerdings werden diese nicht von einer Zentralinstanz erstellt und dann dem Nutzer in einem sicheren Container (z. B. Smartcard) übermittelt.

Der FIDO-Ansatz sieht vor, dass die Schlüsselpaare in einer besonders gesicherten Umgebung des Kunden, im folgenden FIDO-Authenticator genannt, vor Ort erzeugt und gelagert werden.”

Der FIDO-Authenticator kann verschiedene Methoden zur Benutzerverifikation unterstützen.  Die Benutzerverifikation wird vor jeder Verwendung des Schlüssels durchgeführt.

Autor Rudolf Linsenbarth
Rudolf Linsenbarth beschäftigt sich mit Mobile Payment, NFC, Kundenbindung und digitaler Identität. Er ist seit über 15 Jahren in den Bereichen Banken, Consulting, IT und Handel tätig. Linsenbarth ist profilierter Blogger der Finanzszene und kommentiert bei Twitter unter @holimuk die aktuellen Entwicklungen. Alle Beiträge schreibt Rudolf Linsenbarth im eigenen Namen.

Reichlich Schnittstellen und Möglichkeiten

FIDO-Authenticatoren umfassen dabei eine breite Palette an Möglichkeiten. Nahezu alle Betriebssystem-Hersteller bieten dazu Schnittstellen. Ab der Version Android M und dem iPhone 5s ist es möglich, die Schlüsselpaare in einem besonders gesicherten Bereich der Smartphone-Hardware, dem TEE (Trusted Execution Environment), zu verwalten. Windows Hello, das neue Authentifizierungskonzept von Microsoft, setzt ebenfalls auf FIDO-Technologie.

Auch das W3C-Konsortium hat mit Web Authentication einen Authentifizierungsstandard für Webbrowser mit FIDO-Anschluss standardisiert. Unterstützt wird dieser u.a. von Microsoft Edge, Google Chrome und Mozilla Firefox. Am 20.03.2018 wurde dazu ein wichtiger Meilenstein erreicht: Web Authentication Specification wurde als sogenannte Candidate Recommendation veröffentlicht, was typischerweise der Startschuss zur Implementierung in den verschiedenen Browsern bedeutet.

YubiKey ist FIDO -Zetifiziert
YubiKey

Wer unbedingt separate Hardware will, wird ebenfalls bedient. Die sogenannten Security Keys wie z.B.  YubiKey sind ei­ne mo­der­ne Smart­card mit an­de­rem Form­fak­tor und kommen so­wohl kon­takt­be­haf­tet wie kon­takt­los oh­ne Le­se­ge­rät und se­pa­ra­ten Trei­ber aus.

Will ein Nutzer nun eine pass­wort­lo­se An­mel­dung über FI­DO ver­wen­den, muss er sich bei dem je­wei­li­gen Web­dienst an­mel­den oder, wenn er dort noch kein Kon­to hat, zu­erst re­gis­trie­ren. An­schlie­ßend wählt er die Op­ti­on Au­then­ti­fi­zie­rung mit­tels FI­DO. Der Au­then­ti­ca­tor er­zeugt jetzt ein spe­zi­fi­sches Pu­blic/Pri­va­te-Schlüs­sel­paar spe­zi­ell nur für die­sen Dienst. Der Pu­blic Key wird zum Dienst über­tra­gen, wäh­rend der Pri­va­te Key die ge­si­cher­te Um­ge­bung nie ver­lässt.

Für die Authentifizierung sendet der Webdienst eine Anfrage, mit einer Zufallszahl eine sogenannte Challenge, an das Gerät des Nutzers.  Der FIDO-Authenticator signiert die Zufallszahl sowie weitere Daten mit dem privaten Schlüssel und beantwortet mit dem so erzielten Ergebnis die Anfrage. Die zur Benutzerverifikation verwendeten Daten (z.B. Fingerabdruck, PIN, …) bleiben geschützt im Authenticator.

Webdienst-Betreiber können ihren Benutzern durch die Integration eines FIDO-Servers mit wenig Aufwand eine bequemere und sichere Möglichkeit zur Authentifizierung ermöglichen.  Bei der Nutzung eines Universal Servers werden automatisch alle Protokolle und damit die unterschiedlichen Anwendungsszenarien (externe Token, kennwortlose Authentifizierung sowie Unterstützung der Authentifizierung mittels Web Browser) unterstützt.

Zusammenfassung

“FIDO ermöglicht eine sichere Authentifizierung ganz ohne Passwörter. Für jeden Dienst, bei dem sich ein Nutzer anmeldet, befindet sich ein separates Schlüsselpaar im FIDO-Authenticator.”

Im Rahmen einer starken Authentifizierung stellt der FIDO-Authenticator den Faktor Besitz dar. Auf einem Smartphone kann das mit den Faktoren Wissen oder Inhärenz kombiniert werden. Der Authenticator kann dann nur über eine PIN bzw. einen Fingerabdrucksensor oder eine Gesichtserkennung aktiviert werden. Wenn diese Faktoren in separaten, sicheren Ausführungsumgebungen ausgeführt werden, handelt es sich um eine Strong Customer Authentication (SCA) im Sinne von PSD2/RTS (siehe RTS Artikel 9).

FIDO: Google, G&D, Mastercard, PayPal, Intel, BSI, Amazon, Gemalto, Microsoft , …

Es sind im wesentlichen Unternehmen, deren Geschäfte zu einem großen Teil im Internet stattfinden, aus den Bereichen Dienstanbieter (Amazon, eBay), Finanzbranche (MasterCard, PayPal, VISA), Hardware (HUAWEI, Intel, Lenovo, Samsung), Software (Google, Microsoft), sowie Sicherheitsanbieter (Gemalto, Giesecke & Devrient, RSA, Symantec). Der Deutsche Staat ist übrigens über das Bundesamt für Sicherheit in der Informationstechnik (BSI) dabei.

Als quelloffener Industriestandard kann FIDO einen echten Paradigmenwechsel für unser „Digitales Ich“ herbeiführen!”

FIDO bietet aber nur die Authentifizierung, also die sichere Wiedererkennung. Damit daraus eine digitale Identität wird, müssen Authentifizierung und Identität vom Identitätsanbieter zusammengeführt werden.

Wer in Deutschland heute oder vielleicht in Zukunft eine rechtssichere Identität anbietet, ist Gegenstand des nächsten Artikels in dieser Reihe.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert