FIDO – Fast Identity Online - Prof. Dr. Norbert
Pohlmann
FIDO – Fast Identity Online
Inhaltsverzeichnis
Was ist FIDO – Fast Identity Online?
FIDO besteht aus einer Reihe von Sicherheitsspezifikationen für starke Authentifizierung. FIDO wird von der FIDO Alliance entwickelt, einer Non-Profit-Organisation, die die Authentifizierung auf Client- und Protokollebene standardisieren möchte. Die FIDO Alliance besteht aus Mitgliedern wie Google, Microsoft, Lenovo, PayPal, Visa, MasterCard, NXP, Nok Nok Lab, Bundesdruckerei usw.
FIDO-Spezifikationen unterstützen Multifaktor-Authentifizierung (MFA) und Kryptografie auf der Basis von Public Key-Verfahren. Im Gegensatz zu Passwortdatenbanken werden im FIDO-Konzept personenbezogene Daten, wie zum Beispiel biometrische Referenzdaten, lokal auf dem Endgerät des Nutzers gespeichert. Die lokale Speicherung biometrischer Referenzdaten und anderer personenbezogener Daten durch das FIDO-Konzept soll die Bedenken der Nutzer hinsichtlich der auf einem externen Server in der Cloud gespeicherten personenbezogenen Daten erleichtern. Durch das Abstrahieren der Protokollimplementierung mit Anwendungsprogrammierschnittstellen (APIs) reduziert FIDO auch die Arbeit, die für Entwickler erforderlich ist, um sichere Anmeldungen für mobile Clients zu erstellen, die unterschiedliche Betriebssysteme auf verschiedenen Arten von Hardware ausführen.
Ziele der FIDO Alliance
Die Bereitstellung einer starken Multifaktor Authentifikation berücksichtigt die Fähigkeiten des jeweiligen Endgeräts, das die Authentifikation durchführen soll:
Wahlmöglichkeiten zwischen verschiedenen Authentifikationsmechanismen
Vereinfachung der Integration neuer Authentifikationsmechanismen
Erweiterbarkeit
Verwendung offener Standards (wenn möglich)
Entwicklung neuer offener Standards (wenn notwendig)
Datenschutz
Nutzerkomfort
Zur Erreichung der Ziele stellt die FIDO Alliance zwei Spezifikationen bereit:
Universal Authentication Framework (UAF)
Universal 2nd Factor (U2F)
Universal Authentication Framework (UAF) Ziel von Universal Authentication Framework (UAF) ist die Bereitstellung passwortloser und Multifaktor Authentifikation für Online-Dienste. Der Nutzer kann einen auf seinem Endgerät vorhandenen Authentifikationsmechanismus wählen und mit einem Online-Dienst registrieren, zum Beispiel Gesichtserkennung, Stimme, PIN oder Fingerabdruck. Nach der Registrierung kann der entsprechende Authentifikationsmechanismus für die Anmeldung beim Dienst verwendet werden. UAF erlaubt die Auswahl der verwendbaren Authentifikationsmechanismen durch den Online-Dienst (Vertrauen in bestimmte Authentifikationsmechanismen).
Universal 2nd Factor (U2F) Das Ziel von Universal 2nd Factor (U2F) ist die Verbesserung der Cyber-Sicherheit eines Online-Dienstes durch zusätzliche Zwei-Faktor-Authentifikation. Der Nutzer kann sich normal mit seinem gewohnten Authentifikationsmechanismus, wie Nutzername/Passwort, einloggen. Der Online-Dienst kann zu jeder Zeit einen zweiten Faktor (zum Beispiel NFC oder USB Hardware-Sicherheitsmodul) für eine weitere Authentifikation vom Nutzer verlangen. Der 2nd Faktor muss dementsprechend registriert werden.
FIDO Client Der Client realisiert auf der Client-Seite die Protokolle auf dem Endgerät des Nutzers. Er interagiert mit der Komponente „Authenticator“ und „User-Agent“ auf dem Endgerät. Er empfängt UAF-Protokoll-Nachrichten vom Server.
FIDO Server Der Server realisiert die Server-Seite des Protokolls und interagiert mit Online-Diensten. Er sendet UAF-Protokoll-Nachrichten an den Client und validiert UAF-Protokoll-Antworten. Zusätzlich verwaltet er Nutzerdaten und kennt UserID des Nutzers im Online-Dienst. Er steuert die Auswahl der „Authentikatoren“.
FIDO Authenticator Der Authenticator ist eine sichere Entität, die auf dem Endgerät des Nutzers vorhanden oder entsprechend verbunden ist. Er führt die Authentifizierung des Nutzers auf dem Endgerät durch und kommuniziert mit der Peripherie des Endgeräts (WebCam, NFC-Reader, Fingerabdrucksensor usw.), um den Nutzer zu authentifizieren. Der Authenticator generiert das Schlüsselmaterial für den Nutzer für das Challenge-Response-Protokoll und signiert die vom Server übermittelten Challenges.
Meta-Daten Die Meta-Daten sind Informationen über die bekannten und vertrauten Authentikatoren (IDs, Fähigkeiten usw.). IDs der Authentikatoren werden von der FIDO Alliance vergeben (nur vertraute Authentikatoren können verwendet werden). Die Meta-Daten bilden die Grundlage für die Auswahlmöglichkeiten des Nutzers. Identifikation des Nutzers während der Registrierung speichert der Authenticator nur die nutzerbezogenen Daten, die wichtig für die spätere Authentifizierung sind:
KeyID (vom Authenticator generiert)
Schlüsselmaterial des Nutzers
je nach Implementierung, die authentikator-spezifischer
KeyID ist in der Datenbank des Servers mit weiteren Nutzerdaten assoziiert und wird für das Auffinden des Nutzers verwendet. Nutzerdaten enthalten unter anderem die NutzerID des Nutzers im Online-Dienst. Der Server kann dem Online-Dienst das Authentifikationsergebnis für den entsprechenden Nutzer mitteilen.
Lokal durch den Authenticator (Biometrie, Passwort, …)
Über Challenge-Response-Verfahren durch Server
Beim Log-in via FIDO UAF übermittelt der Server eine Challenge an den Client. Der Nutzer authentifiziert sich lokal gegen den Authenticator. Bei erfolgreicher Authentifizierung schaltet der Authenticator das Schlüsselmaterial des jeweiligen Nutzers frei und bildet die Signatur zur übermittelten Challenge. Die generierte Signatur, die verwendete KeyID und Challenge werden an den Server übertragen. Der Server lokalisiert über die KeyID den entsprechenden Public Key, verifiziert die Signatur (valide → Auth-Erfolg) und übermittelt das Ergebnis zusammen mit der UserID des Nutzers an den Online-Dienst. Die eigentliche Authentifikation findet mithilfe eines Authenticators auf dem Endgerät statt und das Ergebnis wird mithilfe eines Challenge-Response-Protokolls dem Server mitgeteilt, der wiederum den Online-Dienst informiert.
Besonderheiten Die Authentifizierung gegenüber dem Server und somit des Online-Dienstes ist standardisiert über ein Challenge-Response-Verfahren. Die Client-/Authenticator-Specific-Module-Funktionalität ist standardisiert. Nur in Spezialfällen ist es wirklich notwendig, spezielle Komponenten mit erweiterter Funktionalität zu implementieren. Die Authentifizierung gegenüber dem Authenticator ist vom Hersteller abhängig. Auf welche Art und Weise der Nutzer vom Authenticator authentifiziert wird, geht über die Spezifikation hinaus.
FIDO Protokolle FIDO Protokolle dienen dem Transport der Informationen zwischen den einzelnen Beteiligten. Insgesamt gibt es vier Arten:
Registration (Auffinden und Registrierung von „Authentikatoren“ bei Online-Diensten)
Authentication (Authentifizierung des Nutzers)
Confirmation (neben Authentifizierung zusätzliche Bestätigung einer bestimmten Transaktion)
FIDO besteht aus einer Reihe von Sicherheitsspezifikationen für starke Authentifizierung auf Client- und Protokollebene. Die FIDO Alliance besteht aus Mitgliedern wie Google, Microsoft, Lenovo, PayPal, Visa, MasterCard, Nok Nok Lab, Bundesdruckerei usw.
Author
Prof. Norbert Pohlmann
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
FIDO – Fast Identity Online Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten
