Virtuelle Identitaet Authentifizierung und biometrische Verfahren

thomas.hinterreiter.uni-linz, 4. Dezember 2012, 10:40

 

Digitale Signatur und biometrische Verfahren

In einigen Fällen ist es wünschenswert, die reale Person die sich hinter einer virtuellen Identität verbirgt eindeutig identifizieren zu können. Daher beschäftige ich mich in meinem Beitrag mit der digitalen Signatur und gebe einige Beispiele für biometrische Anwendungen, um den technischen Hintergrund der Authentifizierung darzustellen. Der Artikel Practical Security Aspects of Digital Signature Systems von Nentwich et al. (2006) gab mir dabei einen ersten Überblick. Darauf aufbauend konnte ich weitere Informationsquellen finden, die am Ende dieses Beitrags unter Quellen zu finden sind.

 

Authentifizierung – digitale Signatur

Neben den drei anderen Grundbedrohungen eines IT-Systems, Verfügbarkeit, Integrität und Vertraulichkeit, besitzt auch die Authentifizierung einen hohen Stellenwert. Authentifizierung ist der Nachweis einer Entität (z.B. einer menschlichen Person), dass es die Eigenschaft besitzt, die es behauptet zu haben. Eine Eigenschaft kann demnach, wie in unserem Fall, die Identität einer Person darstellen. Um die Identität einer Person oder eines Dokumentes sicherzustellen, gibt es verschiedene Möglichkeiten. Die einfachste davon ist die Authentifizierung mittels Name und Passwort. Diese Methode ist jedoch nicht sehr sicher- deshalb kommt die digitale Signatur bzw. biometrische Verfahren zum Einsatz, wenn mehr Sicherheit benötigt wird. Auf die biometrischen Verfahren wird im gleichgenannten Kapitel eingegangen. Im folgenden wird auf die digitale Signatur eingegangen.

Die elektronische Signatur wird im österreichischen Signaturgesetzt in §2Z1 wie folgt definiert:

 

„"elektronische Daten, die anderen elektronischen Daten beigefügt oder mit diesen logisch verknüpft werden und die der Authentifizierung dienen;"

 

Die Signatur (Unterschrift) dient dazu, ein Dokument dem Signator (Unterzeichner) zuzuordnen. Die digitale Signatur hat des Weiteren nichts mit einer gescannten eigenhändigen Unterschrift zu tun. [1]

 

Funktionsweise

Die Grundlage der digitalen Signatur basiert auf der Public- Key Verschlüsselung. Will die Person A ein Dokument m digital signieren, braucht es einen privaten, geheimen Schlüssel d und einen öffentlichen Schlüssel e. Der private Schlüssel d ist sicher gespeichert, z.B. einer Chipkarte (im Nachfolgenden wird auf die österreichische Bürgerkarte eingegangen). Der öffentlichen Schlüssel ist, wie der Name schon sagt, öffentlich zugänglich. Wenn die Person A nun ein Dokument signieren will, berechnet sie aus dem Dokument und ihrem privaten Schlüssel die digitale Signatur s(d,m). Unter Verwendung des öffentlichen Schlüssels kann jeder verifizieren, dass die Signatur korrekt ist. Das am häufigsten verwendete Signaturverfahren ist das RSA-Verfahren welches durch deas oben dargestellte Verschlüsselungsverfahren repräsentiert wird. [2] In Österreich dürfen, nach der Signaturverordnung von 2008, nur folgende Verfahren für qualifizierte Signaturen verwendet werden (der Unterschied zwischen qualifizierten und einfacher Signaturen wird im nächsten Teil des Beitrags aufgegriffen):

  • das bereits erwähnte RSA Verfahren

  • bestimmte kryptographische Hashverfahren (der private Schlüssel wird nicht auf das Dokument selbst sondern auf deren Hashwert angewendet, welcher durch eine Hashfunktion errechnet wird)

  • und verschiedenen DSA Verfahren.

[3]

 

Zertifikate und Signaturarten

Ein Zertifikat, ist eine elektronische Bescheinigung, die die Identitätsdaten einer bestimmten Person mit einem öffentlichen Schlüssel verbindet. Neben zusätzlichen informationellen Inhalten unterscheiden sich Zertifikate vor allem durch ihre rechtlichen Anforderungen und der Garantie des Sicherheitsniveaus durch den Aussteller. Man unterscheidet deshalb zwischen einfachen und qualifizierten Zertifikaten. Einfache Zertifikate stellen eine einfache Bescheinigung dar, qualifizierte Zertifikate müssen von einem qualifizierten Zertifizierungsdienstanbieter erstellt werden. Darüber hinaus hat ein qualifiziertes Zertifikat nur eine eingeschränkte Gültigkeitsdauer. In Österreich bietet nur A-Trust qualifizierte Zertifikate an.

Daraus resultierend unterscheidet man in Österreich zwischen zwei Arten von Signaturen: den Einfachen und den Qualifizierten. Die einfache digitale Signatur muss gemäß §3 Abs. 2 SigG als Beweismittel zugelassen werden. Qualifizierte Signaturen werden als fortgeschrittenere elektronische Signaturen angesehen die auf einem qualifizierten Zertifikat beruhen und von einer sicheren Signaturerstellungseinheit erstellt werden und bestimmten Anforderungen nach dem Signaturgesetz genügen müssen. In Österreich kann die Bürgerkarte eine Authentifizierung mit der genannten qualifizierten Signatur gewährleisten. Diese wird im nächsten Absatz näher beschrieben. [1]

 

Bürgerkarte

Die eindeutige Identifikation einer Person mittels der Bürgerkarte wird durch die sogenannte Personenbindung bewirkt. Durch Kombination eines qualifizierten Zertifikats und eines eindeutigen Identitätsmerkmals (Stammzahl aus dem zentralen Melderegister) ist jede Person eindeutig identifizierbar.

Mittels der Bürgerkarte kann man rund um die Uhr verschiedene eGovernment Anwendungen durchführen. Dies erspart oft das persönliche Erscheinen und ist mit einer gewöhnlichen Willenserklärung gleichzusetzen. Die wichtigsten Anwendungsbereiche sind

  • elektronisches Postamt

  • Online Banking

  • Amtswege (z.B: Gewerbeanmeldung, Diebstahlanzeige uvm.)

  • Email/PDF signieren

  • eTresor.

[4]

Die Bürgerkarte kann auf zwei unterschiedliche Art und Weise verwendet werden. Einerseits mit der eCard, andererseits mit dem Handy. Mit dem Handy funktioniert es mittels eines mTans. Das heißt man logt sich mit der Mobiltelefonnummer und einem Signaturpasswort ein- bekommt daraufhin eine mobilen Tan per Sms geschickt, der anschließend eingegeben werden muss. Somit kann man sich z.B. beim FinanzOnline Service einloggen. Für die Verwendung mit der eCard muss ein Kartenlesegerät vorhanden sein. Als ertes wird dann eine Karten PIN abgefragt. Anschließend muss noch eine Signatur PIN eingegeben werden die Signaturprozess abzuschließen. [5]

 

Sicherheit

In nachfolgender Tabelle werden die einzelnen Sicherheitsstufen der verschiedenen Authentifizierungsverfahren gegenübergestellt.

 

 

Sicherheit vor Diebstahl

des Zugangscodes

(z.B. Phishing)

Sicherheit vor Angriffen

über das Netz

(z.B. Man-in-the-Middle)

Sicherheit vor Angriffen

am Computer

(z.B. Virus)

Bürgerkarte hoch hoch hoch
PIN & mTan hoch mittel niedrig
PIN & TAN niedrig niedrig niedrig

Benutzername &

Passwort

 niedrig niedrig niedrig

[vgl. [6]]

 

Biometrische Verfahren

Bei biometrischen Verfahren wird die Identität einer Person durch die Prüfung biologischer Merkmale ermittelt. Es gibt verschiedene Ansatzpunkte, die sich sowohl durch ihr Sicherheitslevel als auch durch den benötigten Aufwand unterscheiden. In den meisten Fällen ist eine Kombination von Passwort und biologischer Merkmalsüberprüfung anzuraten.

Gesichterkennung: Die Gesichtserkennung ist ein sehr aufwändiges Verfahren und arbeitet mit Mustererkennung. Dabei unterschiedet man zwischen 2D und 3D Verfahren. Hardwaretechnisch benötigt man nur eine qualitative Kamera um dies Gesichtserkennung durchzuführen.

Fingerabdruck: Der Fingerabdruck gehört auch zu den aufwändigeren Methoden wird aber dafür als sehr sicher deklariert. Man benötigt dafür jedoch einen angeschlossenes Gerät um den Fingerprint aufzunehmen. Potentiale liefern jedoch Applikationen für Smartphones, da diese die Möglichkeit bieten solche Geräte zu ersetzen.

Retina: Der Retina Scan ist ein sehr aufwändiges Verfahren und extrem sicher. Es ist jedoch nicht sehr benutzerfreundlich.

Stimmerkennung: Ist ein Verfahren, das für einen guten Mix zwischen Sicherheit, Anwenderfreundlichkeit und geringen Kosten steht. Hochwertige Systeme basieren dabei auf Lebenerkennung, daher kann das Stimprofil nicht gefälscht werden. Man ist ortsunabhängig, man kann über Festnetz, Mobilfunk oder VoIP authentifizieren. Einzige Vorraussetzung ist jedoch das einmalige Trainieren des Hintergrundsystems.

Tippverhalten: Ein sehr interessanter Ansatz biete auch die Authentifizierung über das Tippverhalten, welches zum Beispiel bei der Passwortzurücksetzung angewendet werden könnte. Dafür müsste das Tippverhalten charakterisiert und abgespeichert werden. Typische Eigenschaften sind z.B. die Tippgeschwindigkeit, Tippfehler, Korrekturverhalten sowie Eigenheiten, wie zum Beispiel wenn die eine Taste noch gedrückt wird während die andere schon angeschlagen wurde. [7]

 

 

Quellen

Nentwich, F., Kirda, E., Kruegel, C.: Practical Security Aspects of Digital Signature Systems. Secure Systeme Labs, Technical University Vienna, Technical Report, June, pp.1-15, 2006.

[1] http://www.digitales.oesterreich.gv.at/site/5567/default.aspx#a5. Abgerufen am 02.12.2012.

[2] Buchmann, J. (2010) Einführung in die Kryptographie- Digitale Signaturen. S. 205-231. Berlin Heidelberg: Springer.

[3] Bundesgesetzblatt für die Republik Österreich. Verordnung des Bundeskanzlers über elektronische Signaturen, Jänner 2008. Abgerufen am 02.12.2012.

[4] http://www.buergerkarte.at/index.de.php. Abgerufen am 02.12.2012.

[5] http://www.buergerkarte.at/wie-funktioniert.de.php. Abgerufen am 02.12.2012.

[6] http://www.buergerkarte.at/sicherheit-datenschutz.de.php. Abgerufen am 02.12.2012.

[7] Reutter, R.: Identity- und Access-Management. Security Advisor ePublication. AllAboutSecurity.de. Download unter: www.all-about-security.de/.../Ident_u_Access-Management.pdf.

0 comments :: Kommentieren


To prevent spam abuse referrers and backlinks are displayed using client-side JavaScript code. Thus, you should enable the option to execute JavaScript code in your browser. Otherwise you will only see this information.