Seit der Erfindung des Computers sind mehr und mehr Lebens- und Geschäftsbereiche mit der Datenverarbeitung eng verwoben, wenn nicht gar gänzlich durch Bits und Bytes "realisiert". Die Datenbestände und -systeme umfassen sensible Bereiche der Wirtschaft und auch des täglichen Lebens, nicht zuletzt das Projekt der elektronischen Gesundheitsakte (eGA) und die Kritik daran zeigt die Gefahren der Digitalisierung höchstpersönlicher Vorgänge auf.

Unabhängig von der Sensibilität der Daten ergeben sich allgemein in der Informationssicherheit Kategorien von Schutzzielen. Im vorliegenden Modell sind es die Authentizität eines Objekts oder Subjekts, Datenintegrität, Informationsvertraulichkeit, Verfügbarkeit sowie Verbindlichkeit. Ein wesentlicher und gemeinsamer Aspekt zur Einhaltung all dieser Schutzziele ist, dass nur autorisierte Objekte oder Subjekte (u.a. andere Rechnersysteme und/oder Personen) gemäß den definierten Berechtigungen auf die Daten allgemein zugreifen können und dürfen. Wie genau das gelingen kann und mit welchen Methoden, darin gibt diese Arbeit einen Einblick.

Leseprobe

Inhaltsverzeichnis

1 Theorieteil: Problemstellung und Ausgangslage

1.1 Authentisieren durch Passwörter

1.2 Aktualisierung der Passwortregeln

1.3 Passwort-Speicher

1.4 Zwei-Faktor-Authentifizierung

2 Theorieteil: FIDO2

2.1 Idee und Historie FIDO

2.2 Clientseitige Voraussetzung zur Nutzung FIDO2

2.3 Serverseitige Voraussetzungen

2.4 Funktionsweise FIDO2

2.4.1 Schlüsselgenerierung

2.4.2 Public-Key-Verfahren

2.4.3 Skizzierung der Registrierung und Anmeldung

2.5 WebAuthn

2.5.1 Aufgaben der API im Detail

2.5.1.1 Ablauf der Registrierung

2.5.1.2 Ablauf eines Logins mit Authenticator

2.6 CTAP2

2.6.1 Authenticator API

2.6.2 Message Encoding

2.6.3 Transportspezifische Kommunikation

2.7 Bindung des Authenticators und Ersatz-Login-Möglichkeiten

3 Praxisteil: Passwortloser Login

3.1 Technisches Setup

3.2 Demoplattformen

3.3 Mobilgerät

3.4 Desktop

3.5 Ablaufplan (skizziert)

4 Zusammenfassung

Zielsetzung & Themen

Die Arbeit untersucht das FIDO2-Protokoll als Lösungsansatz für die Sicherheitsrisiken herkömmlicher passwortbasierter Authentifizierungsmethoden. Das primäre Ziel ist es, die Funktionsweise von WebAuthn und CTAP2 zu erläutern und deren praktische Anwendung für einen passwortlosen Login-Prozess aufzuzeigen.

Sicherheitsdefizite klassischer Passwort-Authentifizierung
Grundlagen und Architektur von FIDO2, WebAuthn und CTAP2
Technische Anforderungen für die client- und serverseitige Implementierung
Praktische Demonstration des Registrierungs- und Authentifizierungsablaufs

Auszug aus dem Buch

2.5.1 Aufgaben der API im Detail

Schritt 0: Initiiert wird die erstmalige Registrierung oder erneute Registrierung bei einem Wechsel des Authenticators, aber auch bei Verwendung eines zusätzlichen Geräts, durch den Nutzer. Dies geschieht mittels Angabe eines gewünschten User-Namens auf der Weboberfläche des Diensteanbieters und Bestätigung über die zugehörige Schaltfläche.

Schritt 1: Im ersten eigentlichen Step übermittelt der Relying Party Server (RPS) die sog. „PublicKeyCreationOptions“, die zunächst einmal aus einer kryptografischen Challenge enthalten. Es handelt sich hierbei um einen min. 16 Bytes langen Zufallswert, der zwingend auf der geschützten Hardware der Relying Party mit ausreichender Entropie generiert werden muss.

Als Vorsichtsmaßnahme dient die Vorgabe hinsichtlich der Challenge-Art und -Herkunft der Verhinderung von sog. „Reply-Attacken“, bei denen unter Berücksichtigung der verwendeten Hardware und des gleichen Timings versucht wird, generierte „Pseudo-Zufallszahlen“ zu rekonstruieren und somit die Ausstellung von quasi identischen Schlüsselpaaren zu wiederholen, um Klone dieser zu erhalten. Damit wäre das Geheimnis nicht mehr sicher.

Des Weiteren enthalten die PublicKeyCreationOptions u.a. noch Informationen über den gewählten Usernamen und dem zugeordneten Unique Identifier (UID), der hier UserID heißt. Der RPS übermittelt auch Daten über ihn selbst, insbesondere den Domainnamen, der stets mit „https:“ beginnen muss. Verbindungen ohne Transportverschlüsselung sind nicht vorgesehen.

Übermittelt werden diese Daten in Form von Objekten über die RP JavaScript Applikation zur Interpretation an den Client-Browser weitergeleitet.

Die WebAuthnAPI der hier behandelten Spezifikation sorgt für den reibungslosen Ablauf beim Austausch der Daten-Objekte zwischen dem RP und dem Client-Browser, im weiteren Verlauf auch auf dem Rückkanal.

Zusammenfassung der Kapitel

1 Theorieteil: Problemstellung und Ausgangslage: Analyse der Sicherheitsrisiken von Passwörtern und der Notwendigkeit einer sichereren Authentifizierungsmethode.

2 Theorieteil: FIDO2: Detaillierte technische Beschreibung der FIDO2-Spezifikationen, einschließlich WebAuthn-API und CTAP2-Protokoll.

3 Praxisteil: Passwortloser Login: Dokumentation der praktischen Umsetzung und Testung von passwortlosen Logins auf verschiedenen Plattformen.

4 Zusammenfassung: Abschließende Bewertung des FIDO2-Projekts und dessen Potenzial für die Zukunft der IT-Sicherheit.

Schlüsselwörter

FIDO2, WebAuthn, CTAP2, Authentifizierung, Passwortloser Login, Sicherheit, Public-Key-Verfahren, Relying Party, Kryptografie, Identitätsschutz, Zwei-Faktor-Authentifizierung, 2FA, Hardware-Token, API, Webstandard.

Häufig gestellte Fragen

Worum geht es in der Arbeit grundlegend?

Die Arbeit behandelt die Sicherheitsrisiken klassischer Passwort-Verfahren und stellt FIDO2 als modernen, sicheren Lösungsansatz vor.

Welche zentralen Themenfelder werden abgedeckt?

Die Schwerpunkte liegen auf der Theorie von WebAuthn und CTAP2 sowie der praktischen Implementierung eines passwortlosen Anmeldeprozesses.

Was ist das primäre Ziel der Untersuchung?

Das Ziel ist es, die Funktionsweise der FIDO2-Technologie zu erläutern und ihre Eignung als Ersatz für Passwörter durch eine praktische Erprobung zu belegen.

Welche wissenschaftliche Methode kommt zum Einsatz?

Es handelt sich um eine Kombination aus einer theoretischen Aufarbeitung des Stands der Technik und einem experimentellen Praxisteil mit verschiedenen Endgeräten.

Was wird im Hauptteil der Arbeit behandelt?

Der Hauptteil gliedert sich in eine ausführliche Theorie zu FIDO2-Protokollen und eine praxisnahe Darstellung der Registrierungs- und Anmeldeprozesse.

Was charakterisiert die Arbeit inhaltlich?

Die Arbeit zeichnet sich durch die Verknüpfung von theoretischem Wissen über kryptografische Standards mit einer praktischen Implementierung und Fehleranalyse aus.

Welche Rolle spielt die Relying Party in FIDO2?

Der Relying Party Server (RPS) dient als Dienstleister, der die WebAuthn-Anfragen initiiert und die korrekte Authentifizierung des Nutzers mittels Public-Key-Verfahren validiert.

Wie unterscheidet sich der Registrierungsprozess bei Mobilgeräten zu Desktop-PCs?

Der prinzipielle Ablauf ist ähnlich, jedoch unterscheiden sich die Benutzerschnittstellen des Betriebssystems bei der Aufforderung zur Identitätsprüfung (z.B. Fingerabdruck vs. USB-Hardware-Token).

Ende der Leseprobe aus 35 Seiten - nach oben

Details

Titel: FIDO2, WebAuthn und CTAP. Wie gelingt Authentisieren ohne Passwörter?
Hochschule: Hochschule Albstadt-Sigmaringen; Albstadt (Fakultät Informatik)
Veranstaltung: Internet Grundlagen
Note: 1,3
Autor: Marc Kasberger (Autor:in)
Erscheinungsjahr: 2019
Seiten: 35
Katalognummer: V583678
ISBN (eBook): 9783346217967
ISBN (Buch): 9783346217974
Sprache: Deutsch
Schlagworte: fido passwörter sicherheit authentisieren ctap webauthn fido2 ctap2 u2f
Produktsicherheit: GRIN Publishing GmbH

Arbeit zitieren: Marc Kasberger (Autor:in), 2019, FIDO2, WebAuthn und CTAP. Wie gelingt Authentisieren ohne Passwörter?, München, GRIN Verlag, https://www.grin.com/document/583678

FIDO2, WebAuthn und CTAP. Wie gelingt Authentisieren ohne Passwörter?