Grundlagen der Authentisierung

Die Authentifizierung ist der Vorgang eine Identität zu einem bestimmten Sicherheitsniveau zu beweisen. Um den Beweis einer Identität zu erbringen gibt es 3 Ansätze, den "etwas tragen"- Ansatz, wo der Besitz einer Sache die Identität beweist, der "etwas wissen" Ansatz und der "etwas sein" Ansatz, wo genau genommen körperliche Merkmale die Identität beweisen.

Eine völlig fremde Person kann nur mithilfe einer dritten Partei authentifiziert werden. Ebenso lässt sich die gesicherte Bindung von Daten zu einer Identität am einfachsten über Dritte erreichen.

Gibt es einen Bedeutungsunterschied: authentisieren versus authentifizieren?

=

Besitz einer Sache

Dieser Ansatz ist weit verbreitet und alltäglich, aber durch Diebstahl oder Fälschung unterminierbar. Deshalb besitzen diese Gegenstände, z.B. Ausweise, Mechanismen der nachfolgenden Ansätze durch die Sie mit dem rechtmäßigen Eigentümer verknüpft werden können. Oftmals sind diese Gegenstände von (hoffentlich vertrauenswürdigen) Dritten ausgestellt um sich damit gegenüber fremden authentisieren ("ausweisen") zu können.

Bei elektronischer Authentifizierung, z.B. bei One-Time-Pass-Systemen , ist diese Form durch Besitz eines bestimmten Gerätes, dem "Authentication Token" realisiert. Die Funktionen dieser vertrauenswürdigen, weil manipulationssicherer, Hardware-Tokens gibt es aber auch als Software-Implementierung, diese Soft-Token werden mitunter auch als "pseudo-something you have" bezeichnet.

=

Wissen um ein Geheimnis

Hier führt richtig vorgebrachtes Wissen zur Authentifizierung, das entweder faktisch, etwa ein Passwort oder prozedural, durch bestimmte Reaktionen oder Handlungen sein. Prozedurale Geheimnisse kennt man wohl primär aus Agentenfilmen, doch ist das Prinzip des Portknockings ebenfalls in diese Kategorie zu stellen.

Ein Geheimnis ist ein, zwischen Authentifizierendem und Authentisierten, geteiltes Wissen, das anderen grundsätzlich nicht zur Verfügung steht. Bei der Authentifizierung mit einem Geheimnis an einem System wird 

- anhand des Geheimnisses selbst
- anhand einer, vom Geheimnis abgeleiteten, Sache
- über bestimmte Beweiswege der Besitz des Geheimnisses

geprüft. Problem bei diesem Ansatz ist, dass dieses Wissen bewusst oder unbewusst weitergegeben werden kann - ebenso, dass alle Möglichkeiten systematisch getestet werden können, sofern dies nicht erkannt wird.

=

Passwortverfahren

Hier wird durch Eingabe eines Passwortes oder Codes der Beweis der Identität erbracht und man wird so für das Gewünschte (Zugang zu Informationen oder Funktionen) autorisiert. Zumeist ist dann von der "PIN" (Personal Identification Number) die Rede. Um die weiter oben genannten Probleme zu verringern, kann einerseits die Verwendungshäufigkeit verringert werden, man spricht dann von Einmalpasswörtern oder auch TANs (Transaktionsnummern), bzw. Fehlversuche einschränken, siehe Passwortschutz und Passwortqualität.

=

Challenge Response

Bei diesem Verfahren muss der Benutzer mithilfe des Geheimnisses die richtige "Response" auf eine gestellte "Challenge" finden. 

=

Zero Knowledge Verfahren

 Mit Hilfe eines ZKPS (Zero Knowledge Proof System) beweist eine Person die Kenntnis eines Geheimnisses, ohne dass das Geheimnis selbst offen gelegt werden muss. Im Grunde stellt der Prüfende dem zu Prüfenden eine Aufgabe, die dieser nur mit der Kenntnis des Geheimnisses lösen kann. Sie basieren auf asymmetrischen Verschlüsselungssystemen bzw. den zugrunde liegenden mathematischen Problemen.

=

biometrische Merkmale

Diese Form der Authentifizierung ist weiter verbreitet als man glaubt, da man ist sich der Authentifizierung per Augenschein kaum bewusst wird. Interessant dazu ist die Diskussion um die "Aufnahme von biometrischen Daten" in den Reisepass, da diese durch das Passfoto doch schon längst vorhanden sind. Die in Betracht gezogenen Maßnahmen sind denn auch mehr einer zusätzlichen Fälschungssicherheit zuzuordnen.

Die herangezogenen Merkmale können physiologischer oder verhaltensbasierter Natur sein. Kriterien für Merkmale sind 

- die eindeutige Zuordenbarkeit zu einer Person
- einfache Messbarkeit- schwere Fälschbarkeit
- Änderungen im Zeitablauf dürfen nicht zu groß ausfallen

Für Anwendungen muss zu Beginn eine Merkmalsmessung vorgenommen werden, deren Ergebnis sodann einen Referenzwert darstellt, gegen den zukünftig verglichen wird. Zu beachten ist dabei der Speicherort des Referenzwertes, da beim Einsatz solcher Verfahren das informationelle Selbstbestimmungsrecht tangiert wird. 

=

"multi-factor authentication"

zumeist wird eine Kombination dieser Ansätze verwendet, um die effektive Sicherheit zu erhöhen, man spricht von "two-factor-authentication" oder "three-factor-authentication" 

"etwas tragen" + "etwas wissen"

Bankkarte mit Pin
Signaturkarte mit Pin

=

"etwas tragen" + "etwas sein"

klassischer Ausweis mit Foto
Passwort-Token mit zusätzlichem persönlichen Code
Chipkarte mit biometrischer Prüfung

=

"etwas sein" + "etwas wissen"

Zugangssysteme mit Pin-Eingabe und biometrischer Prüfung 

=

"etwas tragen" + "etwas sein" + "etwas wissen"

Zugangssystem, mit PIN und biometrischer Prüfung wobei das biometrische Template auf einem Secure Token des sich Authentisierenden liegt.

=