slider

FIDO – Fast Identity Online - Prof. Dr. Norbert Pohlmann

FIDO – Fast Identity Online

FIDO – Fast Identity Online Authentifizierung auf Client- und Protokollebene

Was ist FIDO – Fast Identity Online?


FIDO besteht aus einer Reihe von Sicherheitsspezifikationen für starke Authentifizierung . FIDO wird von der FIDO Alliance entwickelt, einer Non-Profit-Organisation, die die Authentifizierung auf Client- und Protokollebene standardisieren möchte. Die FIDO Alliance besteht aus Mitgliedern wie Google, Microsoft, Lenovo, PayPal, Visa, MasterCard, NXP, Nok Nok Lab, Bundesdruckerei usw.

FIDO-Spezifikationen unterstützen Multifaktor-Authentifizierung (MFA) und Kryptografie auf der Basis von Public Key-Verfahren . Im Gegensatz zu Passwortdatenbanken werden im FIDO-Konzept personenbezogene Daten, wie zum Beispiel biometrische Referenzdaten, lokal auf dem Endgerät des Nutzers gespeichert. Die lokale Speicherung biometrischer Referenzdaten und anderer personenbezogener Daten durch das FIDO-Konzept soll die Bedenken der Nutzer hinsichtlich der auf einem externen Server in der Cloud gespeicherten personenbezogenen Daten erleichtern. Durch das Abstrahieren der Protokollimplementierung mit Anwendungsprogrammierschnittstellen (APIs) reduziert FIDO auch die Arbeit, die für Entwickler erforderlich ist, um sichere Anmeldungen für mobile Clients zu erstellen, die unterschiedliche Betriebssysteme auf verschiedenen Arten von Hardware ausführen.

Ziele der FIDO Alliance

Die Bereitstellung einer starken Multifaktor Authentifikation berücksichtigt die Fähigkeiten des jeweiligen Endgeräts, das die Authentifikation durchführen soll:

  • Wahlmöglichkeiten zwischen verschiedenen Authentifikationsmechanismen
  • Vereinfachung der Integration neuer Authentifikationsmechanismen
  • Erweiterbarkeit
  • Verwendung offener Standards (wenn möglich)
  • Entwicklung neuer offener Standards (wenn notwendig)
  • Datenschutz
  • Nutzerkomfort

Zur Erreichung der Ziele stellt die FIDO Alliance zwei Spezifikationen bereit:

  • Universal Authentication Framework (UAF)
  • Universal 2nd Factor (U2F)

Universal Authentication Framework (UAF)
Ziel von Universal Authentication Framework (UAF) ist die Bereitstellung passwortloser und Multifaktor Authentifikation für Online-Dienste. Der Nutzer kann einen auf seinem Endgerät vorhandenen Authentifikationsmechanismus wählen und mit einem Online-Dienst registrieren, zum Beispiel Gesichtserkennung , Stimme, PIN oder Fingerabdruck. Nach der Registrierung kann der entsprechende Authentifikationsmechanismus für die Anmeldung beim Dienst verwendet werden. UAF erlaubt die Auswahl der verwendbaren Authentifikationsmechanismen durch den Online-Dienst (Vertrauen in bestimmte Authentifikationsmechanismen).

Universal 2nd Factor (U2F)
Das Ziel von Universal 2nd Factor (U2F) ist die Verbesserung der Cyber-Sicherheit eines Online-Dienstes durch zusätzliche Zwei-Faktor-Authentifikation. Der Nutzer kann sich normal mit seinem gewohnten Authentifikationsmechanismus, wie Nutzername/Passwort , einloggen. Der Online-Dienst kann zu jeder Zeit einen zweiten Faktor (zum Beispiel NFC oder USB Hardware-Sicherheitsmodul ) für eine weitere Authentifikation vom Nutzer verlangen. Der 2nd Faktor muss dementsprechend registriert werden.

Die FIDO-Architektur

FIDO – Fast Identity Online als Architekturbild
Abbildung: Architekturbild FIDO – Fast Identity Online – © Copyright-Vermerk

FIDO Client
Der Client realisiert auf der Client-Seite die Protokolle auf dem Endgerät des Nutzers. Er interagiert mit der Komponente „Authenticator“ und „User-Agent“ auf dem Endgerät. Er empfängt UAF-Protokoll-Nachrichten vom Server.

FIDO Server
Der Server realisiert die Server-Seite des Protokolls und interagiert mit Online-Diensten. Er sendet UAF-Protokoll-Nachrichten an den Client und validiert UAF-Protokoll-Antworten. Zusätzlich verwaltet er Nutzerdaten und kennt UserID des Nutzers im Online-Dienst. Er steuert die Auswahl der „Authentikatoren“.

FIDO Authenticator
Der Authenticator ist eine sichere Entität, die auf dem Endgerät des Nutzers vorhanden oder entsprechend verbunden ist. Er führt die Authentifizierung des Nutzers auf dem Endgerät durch und kommuniziert mit der Peripherie des Endgeräts (WebCam, NFC-Reader, Fingerabdrucksensor usw.), um den Nutzer zu authentifizieren. Der Authenticator generiert das Schlüsselmaterial für den Nutzer für das Challenge-Response-Protokoll und signiert die vom Server übermittelten Challenges.

Meta-Daten
Die Meta-Daten sind Informationen über die bekannten und vertrauten Authentikatoren (IDs, Fähigkeiten usw.). IDs der Authentikatoren werden von der FIDO Alliance vergeben (nur vertraute Authentikatoren können verwendet werden). Die Meta-Daten bilden die Grundlage für die Auswahlmöglichkeiten des Nutzers. Identifikation des Nutzers während der Registrierung speichert der Authenticator nur die nutzerbezogenen Daten, die wichtig für die spätere Authentifizierung sind:

  • KeyID (vom Authenticator generiert)
  • Schlüsselmaterial des Nutzers
  • je nach Implementierung, die authentikator-spezifischer

KeyID ist in der Datenbank des Servers mit weiteren Nutzerdaten assoziiert und wird für das Auffinden des Nutzers verwendet. Nutzerdaten enthalten unter anderem die NutzerID des Nutzers im Online-Dienst. Der Server kann dem Online-Dienst das Authentifikationsergebnis für den entsprechenden Nutzer mitteilen.

Ablauf der Authentifizierung des Nutzers

FIDO – Fast Identity Online als Ablaufdiagramm
Abbildung: Ablaufdiagramm FIDO – Fast Identity Online – © Copyright-Vermerk

Der Nutzer wird zweimal authentifiziert:

  • Lokal durch den Authenticator (Biometrie, Passwort, …)
  • Über Challenge-Response-Verfahren durch Server

Beim Log-in via FIDO UAF übermittelt der Server eine Challenge an den Client. Der Nutzer authentifiziert sich lokal gegen den Authenticator. Bei erfolgreicher Authentifizierung schaltet der Authenticator das Schlüsselmaterial des jeweiligen Nutzers frei und bildet die Signatur zur übermittelten Challenge. Die generierte Signatur, die verwendete KeyID und Challenge werden an den Server übertragen. Der Server lokalisiert über die KeyID den entsprechenden Public Key, verifiziert die Signatur (valide → Auth-Erfolg) und übermittelt das Ergebnis zusammen mit der UserID des Nutzers an den Online-Dienst. Die eigentliche Authentifikation findet mithilfe eines Authenticators auf dem Endgerät statt und das Ergebnis wird mithilfe eines Challenge-Response-Protokolls dem Server mitgeteilt, der wiederum den Online-Dienst informiert.

Besonderheiten
Die Authentifizierung gegenüber dem Server und somit des Online-Dienstes ist standardisiert über ein Challenge-Response-Verfahren. Die Client-/Authenticator-Specific-Module-Funktionalität ist standardisiert. Nur in Spezialfällen ist es wirklich notwendig, spezielle Komponenten mit erweiterter Funktionalität zu implementieren. Die Authentifizierung gegenüber dem Authenticator ist vom Hersteller abhängig. Auf welche Art und Weise der Nutzer vom Authenticator authentifiziert wird, geht über die Spezifikation hinaus.

FIDO Protokolle
FIDO Protokolle dienen dem Transport der Informationen zwischen den einzelnen Beteiligten. Insgesamt gibt es vier Arten:

  • Registration (Auffinden und Registrierung von „Authentikatoren“ bei Online-Diensten)
  • Authentication (Authentifizierung des Nutzers)
  • Confirmation (neben Authentifizierung zusätzliche Bestätigung einer bestimmten Transaktion)
  • Deregistration (De-Registrierung)

FIDO – Fast Identity Online Authentifizierung auf Client- und Protokollebene
Abbildung: FIDO – Fast Identity Online – © Copyright-Vermerk



Weitere Informationen zum Begriff “FIDO – Fast Identity Online”:



Vertrauenswürdiges Chatten

Präsentationsangriffe auf biometrische Systeme

Die Digitalisierung von Wirtschaft und Gesellschaft lässt Cybersecurity zu einem Megatrend avancieren

Philosophische Aspekte der Informationssicherheit

Dreiklang der IT-Sicherheit: Menschen, Prozesse, Technologie

Intelligente und vertrauenswürdige Energiespeicher



Lehrbuch Cyber-Sicherheit

Übungsaufgaben und Ergebnisse zum Lehrbuch Cyber-Sicherheit

Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download



Vorlesungen zum Lehrbuch Cyber-Sicherheit



Cyber Security Situation

Aktuelle Angriffe – Übersicht und Handlungsmöglichkeiten

Steht der Untergang des Internets bevor?

Neue IT-Sicherheitskonzepte



Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)

Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)

Marktplatz IT-Sicherheit

Marktplatz IT-Sicherheit: IT-Notfall

Marktplatz IT-Sicherheit: IT-Sicherheitstools

Marktplatz IT-Sicherheit: Selbstlernangebot

Vertrauenswürdigkeits-Plattform


Zurück zur Übersicht




Summary
FIDO
Article Name
FIDO
Description
FIDO besteht aus einer Reihe von Sicherheitsspezifikationen für starke Authentifizierung auf Client- und Protokollebene. Die FIDO Alliance besteht aus Mitgliedern wie Google, Microsoft, Lenovo, PayPal, Visa, MasterCard, Nok Nok Lab, Bundesdruckerei usw.
Author
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
FIDO – Fast Identity Online Authentifizierung auf Client- und Protokollebene
FIDO – Fast Identity Online Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten