slider

FIDO – Fast Identity Online - Prof. Dr. Norbert Pohlmann

FIDO – Fast Identity Online

FIDO - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann

Was ist FIDO – Fast Identity Online?


FIDO besteht aus einer Reihe von Sicherheitsspezifikationen für starke Authentifizierung. FIDO wird von der FIDO Alliance entwickelt, einer Non-Profit-Organisation, die die Authentifizierung auf Client- und Protokollebene standardisieren möchte. Die FIDO Alliance besteht aus Mitgliedern wie Google, Microsoft, Lenovo, PayPal, Visa, MasterCard, NXP, Nok Nok Lab, Bundesdruckerei usw.

FIDO-Spezifikationen unterstützen Multifaktor-Authentifizierung (MFA) und Kryptografie auf der Basis von Public Key-Verfahren. Im Gegensatz zu Passwortdatenbanken werden im FIDO-Konzept personenbezogene Daten, wie zum Beispiel biometrische Referenzdaten, lokal auf dem Endgerät des Nutzers gespeichert. Die lokale Speicherung biometrischer Referenzdaten und anderer personenbezogener Daten durch das FIDO-Konzept soll die Bedenken der Nutzer hinsichtlich der auf einem externen Server in der Cloud gespeicherten personenbezogenen Daten erleichtern. Durch das Abstrahieren der Protokollimplementierung mit Anwendungsprogrammierschnittstellen (APIs) reduziert FIDO auch die Arbeit, die für Entwickler erforderlich ist, um sichere Anmeldungen für mobile Clients zu erstellen, die unterschiedliche Betriebssysteme auf verschiedenen Arten von Hardware ausführen.

Ziele der FIDO Alliance
Die Bereitstellung einer starken Multifaktor Authentifikation berücksichtigt die Fähigkeiten des jeweiligen Endgeräts, das die Authentifikation durchführen soll:

  • Wahlmöglichkeiten zwischen verschiedenen Authentifikationsmechanismen
  • Vereinfachung der Integration neuer Authentifikationsmechanismen
  • Erweiterbarkeit
  • Verwendung offener Standards (wenn möglich)
  • Entwicklung neuer offener Standards (wenn notwendig)
  • Datenschutz
  • Nutzerkomfort

Zur Erreichung der Ziele stellt die FIDO Alliance zwei Spezifikationen bereit:

  • Universal Authentication Framework (UAF)
  • Universal 2nd Factor (U2F)

Universal Authentication Framework (UAF)
Ziel von Universal Authentication Framework (UAF) ist die Bereitstellung passwortloser und Multifaktor Authentifikation für Online-Dienste. Der Nutzer kann einen auf seinem Endgerät vorhandenen Authentifikationsmechanismus wählen und mit einem Online-Dienst registrieren, zum Beispiel Gesichtserkennung, Stimme, PIN oder Fingerabdruck. Nach der Registrierung kann der entsprechende Authentifikationsmechanismus für die Anmeldung beim Dienst verwendet werden. UAF erlaubt die Auswahl der verwendbaren Authentifikationsmechanismen durch den Online-Dienst (Vertrauen in bestimmte Authentifikationsmechanismen).

Universal 2nd Factor (U2F)
Das Ziel von Universal 2nd Factor (U2F) ist die Verbesserung der Sicherheit eines Online-Dienstes durch zusätzliche Zwei-Faktor-Authentifikation. Der Nutzer kann sich normal mit seinem gewohnten Authentifikationsmechanismus, wie Nutzername/Passwort, einloggen. Der Online-Dienst kann zu jeder Zeit einen zweiten Faktor (zum Beispiel NFC oder USB Hardware-Sicherheitsmodul) für eine weitere Authentifikation vom Nutzer verlangen. Der 2nd Faktor muss dementsprechend registriert werden.

Die FIDO-Architektur

FIDO - Architektur - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann

FIDO Client
Der Client realisiert auf der Client-Seite die Protokolle auf dem Endgerät des Nutzers. Er interagiert mit der Komponente „Authenticator“ und „User-Agent“ auf dem Endgerät. Er empfängt UAF-Protokoll-Nachrichten vom Server.

FIDO Server
Der Server realisiert die Server-Seite des Protokolls und interagiert mit Online-Diensten. Er sendet UAF-Protokoll-Nachrichten an den Client und validiert UAF-Protokoll-Antworten. Zusätzlich verwaltet er Nutzerdaten und kennt UserID des Nutzers im Online-Dienst. Er steuert die Auswahl der „Authentikatoren“.


FIDO Authenticator
Der Authenticator ist eine sichere Entität, die auf dem Endgerät des Nutzers vorhanden oder entsprechend verbunden ist. Er führt die Authentifizierung des Nutzers auf dem Endgerät durch und kommuniziert mit der Peripherie des Endgeräts (WebCam, NFC-Reader, Fingerabdrucksensor usw.), um den Nutzer zu authentifizieren. Der Authenticator generiert das Schlüsselmaterial für den Nutzer für das Challenge-Response-Protokoll und signiert die vom Server übermittelten Challenges.

Meta-Daten
Die Meta-Daten sind Informationen über die bekannten und vertrauten Authentikatoren (IDs, Fähigkeiten usw.). IDs der Authentikatoren werden von der FIDO Alliance vergeben (nur vertraute Authentikatoren können verwendet werden). Die Meta-Daten bilden die Grundlage für die Auswahlmöglichkeiten des Nutzers. Identifikation des Nutzers während der Registrierung speichert der Authenticator nur die nutzerbezogenen Daten, die wichtig für die spätere Authentifizierung sind:

  • KeyID (vom Authenticator generiert)
  • Schlüsselmaterial des Nutzers
  • je nach Implementierung, die authentikator-spezifischer

KeyID ist in der Datenbank des Servers mit weiteren Nutzerdaten assoziiert und wird für das Auffinden des Nutzers verwendet. Nutzerdaten enthalten unter anderem die NutzerID des Nutzers im Online-Dienst. Der Server kann dem Online-Dienst das Authentifikationsergebnis für den entsprechenden Nutzer mitteilen.

Authentifizierung des Nutzers

FIDO - Ablauf - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann

Der Nutzer wird zweimal authentifiziert:

  • Lokal durch den Authenticator (Biometrie, Passwort, …)
  • Über Challenge-Response-Verfahren durch Server

Beim Log-in via FIDO UAF übermittelt der Server eine Challenge an den Client. Der Nutzer authentifiziert sich lokal gegen den Authenticator. Bei erfolgreicher Authentifizierung schaltet der Authenticator das Schlüsselmaterial des jeweiligen Nutzers frei und bildet die Signatur zur übermittelten Challenge. Die generierte Signatur, die verwendete KeyID und Challenge werden an den Server übertragen. Der Server lokalisiert über die KeyID den entsprechenden Public Key, verifiziert die Signatur (valide → Auth-Erfolg) und übermittelt das Ergebnis zusammen mit der UserID des Nutzers an den Online-Dienst. Die eigentliche Authentifikation findet mithilfe eines Authenticators auf dem Endgerät statt und das Ergebnis wird mithilfe eines Challenge-Response-Protokolls dem Server mitgeteilt, der wiederum den Online-Dienst informiert.

Besonderheiten
Die Authentifizierung gegenüber dem Server und somit des Online-Dienstes ist standardisiert über ein Challenge-Response-Verfahren. Die Client-/Authenticator-Specific-Module-Funktionalität ist standardisiert. Nur in Spezialfällen ist es wirklich notwendig, spezielle Komponenten mit erweiterter Funktionalität zu implementieren. Die Authentifizierung gegenüber dem Authenticator ist vom Hersteller abhängig. Auf welche Art und Weise der Nutzer vom Authenticator authentifiziert wird, geht über die Spezifikation hinaus.

FIDO Protokolle
FIDO Protokolle dienen dem Transport der Informationen zwischen den einzelnen Beteiligten. Insgesamt gibt es vier Arten:

  • Registration (Auffinden und Registrierung von „Authentikatoren“ bei Online-Diensten)
  • Authentication (Authentifizierung des Nutzers)
  • Confirmation (neben Authentifizierung zusätzliche Bestätigung einer bestimmten Transaktion)
  • Deregistration (De-Registrierung)

Weitere Informationen zum Begriff “FIDO – Fast Identity Online”:

Vorlesungen: „Lehrbuches Cyber-Sicherheit“

Artikel:

Risiko von unsicheren Internet-Technologien

Wertschöpfung der Digitalisierung sichern – Vier Cybersicherheitsstrategien für den erfolgreichen Wandel in der IT“

IT-Sicherheit im Lauf der Zeit

Das Manifest zur IT-Sicherheit – Erklärung von Zielen und Absichten zur Erreichung einer angemessenen Risikolage in der IT“

Strafverfolgung darf die IT-Sicherheit im Internet nicht schwächen

Wie wirtschaftlich sind IT-Sicherheitsmaßnahmen

Risikobasierte und adaptive Authentifizierung

Eine vertrauenswürdige Zusammenarbeit mit Hilfe der Blockchain-Technologie

Künstliche Intelligenz und Cybersicherheit – Unausgegoren aber notwendig“

Vertrauen – ein elementarer Aspekt der digitalen Zukunft

Eine Diskussion über Trusted Computing – Sicherheitsgewinn durch vertrauenswürdige IT-Systeme“

Ideales Internet-Frühwarnsystem

Bedrohungen und Herausforderungen des E-Mail-Dienstes – Die Sicherheitsrisiken des E-Mail-Dienstes im Internet“

Bücher:

Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung

Bücher zum kostenlosen Download

  • Sicher im Internet: Tipps und Tricks für das digitale Leben
  • Der IT-Sicherheitsleitfaden
  • Firewall-Systeme – Sicherheit für Internet und Intranet, E-Mail-Security, Virtual Private Network, Intrusion-Detection-System, Personal Firewalls

Glossar Cyber-Sicherheit: Bundesamt für Sicherheit in der Informationstechnik (BSI)

Zurück zur Übersicht
FIDO - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann
FIDO – Fast Identity Online Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten