|
Kapitel 7: Authentifizierung im ISDN
7Authentifizierung im ISDN7.1EinleitungMit der Verschlüsselung einer Nachricht stellt man sicher, daß sie nicht abgehört werden kann. Bei der Authentifizierung muß ein Kommunikationspartner dem anderen seine Identität beweisen. Kommunikationspartner können dabei sowohl Personen als auch Computer, Telefone, sonstige Endgeräte, Vermittlungsstellen oder Netzknoten sein. In diesem Kapitel werden zunächst bekannte Authentifizierungsverfahren vorgestellt. Anschließend werden die Authentifizierungsmöglichkeiten an den verschiedenen Stellen im ISDN systematisch untersucht. Daraus ergeben sich besondere Anforderungen des ISDN an die Authentifizierung, die Anpassungen nötig machen. Beides steht am Ende des Kapitels. 7.2Bekannte AuthentifizierungsverfahrenZum Identitätsbeweis verwendet man ein Geheimnis, das beide Kommunikationspartner kennen (secret-key-Authentifizierung) oder eines, das nur einer der Kommunikationspartner kennt. Der andere muß dann eine Möglichkeit haben, es nachzuprüfen, ohne daß es verraten werden muß (public-key-Authentifizierung, zero-knowledge-proof). Die wohl bekannteste Art, seine Identität gegenüber einer elektronischen Anlage zu beweisen, stellt das Paßwort dar. Es kann zusammen mit der Benutzerkennung eingegeben werden wie bei Rechnern oder zusammen mit einer Chip- oder Magnetkarte verwendet werden wie zum Beispiel die PIN bei Scheckkarten. Beide Formen sind secret-key-Authentifizierung. Viele Authentifizierungsverfahren sind auch geeignet, gleichzeitig einen Sitzungsschlüssel zur Verschlüsselung der anschließenden Kommunikation zu vereinbaren.1 7.2.1Secret-key-AuthentifizierungBei dieser Form kennen beide Seiten ein gemeinsames Geheimnis. Um die Echtheit zu beweisen, übermittelt die eine Seite der anderen das Geheimnis. Das setzt einen abhörsicheren Kanal voraus. Ein Anwendungsbeispiel ist das Anmelden per Benutzername und Paßwort an einem Computer. Dieser verfügt über eine Datei mit allen Benutzername/Paßwort-Kombinationen der registrierten Benutzer. Das macht ihn zur zentralen Schwachstelle des Systems. Wer die Liste in seine Gewalt bringt, kann unbemerkt die Identität aller darin gespeicherter Benutzer annehmen. Deshalb wird nicht das Paßwort selbst sondern ein Hashwert des Paßworts gespeichert. Wenn ein Benutzer sich anmeldet, wird das eingegebene Paßwort gehasht und dieser Hashwert mit dem gespeicherten verglichen. Jetzt könnte man meinen, auch das Problem des sicheren Kanals lösen zu können, indem man das Paßwort vor der Übertragung bereits hasht. Das funktioniert aber nicht. Wenn bereits der Hashwert des Paßworts übertragen wird, hat man ein Verfahren, das dem Übertragen des Paßworts im Klartext gleichkommt: Wer die Liste der Hashwerte hat, kann betrügen. Ein weiteres Problem bei der secret-key-Authentifizierung ist die Gefahr des sogenannten Wörterbuchangriffs: Ein Angreifer besorgt sich die Datei mit den Benutzernamen und den gehashten Paßwörtern. Das verwendete Hashverfahren ist in der Regel öffentlich bekannt. Anschließend hasht er alle Wörter eines Wörterbuches und vergleicht die Ergebnisse mit jedem Hashwert in der Datei. Stimmen zwei überein, kennt er das Paßwort des zugehörigen Benutzers. Dieses Verfahren ist sehr erfolgversprechend. Es gibt einige Erweiterungen, um die Sicherheit etwas zu erhöhen.2 7.2.2Public-key-AuthentifizierungSicherer ist die Authentifizierung mit einem public-key-Verfahren. Hier muß das Geheimnis weder übertragen werden noch muß es (oder sein Hashwert) zentral gespeichert werden. Ein solches Verfahren arbeitet ähnlich wie asymmetrische Verschlüsselung: Jeder Benutzer hat einen geheimen Schlüssel. Damit unterschreibt er digital eine Nachricht (beispielsweise eine Zufallszahl, einen Zeitstempel oder ähnliches). Der Empfänger der Nachricht kann in einem öffentlichen Verzeichnis den öffentlichen Schlüssel des Absenders nachsehen und mit seiner Hilfe überprüfen, daß sie mit dem dazugehörigen geheimen Schlüssel erzeugt wurde. Das Verfahren basiert also wie die symmetrische Authentifizierung darauf, ein Geheimnis zu kennen. Es hat aber die Vorteile, daß das Geheimnis nie übertragen werden muß und daß die Menge der benötigten Schlüssel überschaubar bleibt und trotzdem jeder mit jedem kommunizieren kann. Man kann es also auch dann einsetzen, wenn kein sicherer Kanal zur Verfügung steht. Es hat den Nachteil, daß es eine zentrale Instanz benötigt, der alle Kommunikationspartner vertrauen müssen: Den Server mit den öffentlichen Schlüsseln aller Benutzer. Er ist die zentrale Schwachstelle des Systems und muß besonders gegen Angriffe gesichert werden. 7.2.3Authentifizierung mit EinmalpaßwörternMit Hilfe einer Einwegfunktion kann man eine Liste von Paßwörtern vorausberechnen: Man nimmt einen beliebigen Startwert und wendet die Einwegfunktion darauf an. Das Ergebnis speichert man ab und wendet darauf wieder die Einwegfunktion an. Damit lassen sich beliebig viele Paßwörter im Voraus generieren. In dem System, demgegenüber man sich authentifizieren soll, wird der letzte so bestimmte Wert als Anfangswert gespeichert. Bei der Authentifizierung gibt der Benutzer den vorletzten berechneten Wert ein. Das System wendet darauf die Einwegfunktion an und vergleicht das Ergebnis mit dem gespeicherten Wert. Stimmen beide überein, ist der Benutzer authentifiziert. Der gerade eingegebene Wert wird als neuer Vergleichswert gespeichert. Bei jeder Runde gibt der Benutzer das höchste noch nicht verwendete Paßwort ein. Jedes Paßwort wird so nur einmal verwendet. Der Nachteil dieses Verfahrens liegt darin, daß die Liste generiert und der letzte Wert unverfälscht an das System übermittelt werden muß, das die Überprüfung durchführen soll. Wenn alle Paßwörter aufgebraucht sind, muß eine neue Liste generiert werden. Es eignet sich deshalb nicht für häufige und kurzlebige Authentifizierung. 7.2.4Einseitige und gegenseitige AuthentifizierungIn den meisten heutigen Authentifizierungsverfahren muß eine Seite der anderen ihre Echtheit beweisen. Der umgekehrte Beweis ist nicht vorgesehen. Beispielsweise gibt ein Bankkunde beim Abheben am Geldautomaten zusammen mit seiner Karte seine PIN preis. Aber woher weiß er, daß der Geldautomat nicht manipuliert wurde und heimlich die Daten seiner Karte zusammen mit der PIN abspeichert? Er kann es nicht wissen, er muß dem Automaten vertrauen. Hier dient die Authentifizierung nur dazu, unechte Kunden (mit gestohlenen oder gefälschten Karten) festzustellen. Damit beide Seiten sicher sein können, müssen sie sich gegenseitig ihre Echtheit beweisen: Beim Einsatz von Prozessorchipkarten statt Magnetkarten kann auch der Geldautomat der Karte seine Echtheit beweisen, bevor diese ihr Geheimnis preisgibt. Es gibt spezielle Verfahren, die gleichzeitig beide Kommunikationspartner authentifizieren.3 7.3Authentifizierungsmöglichkeiten im ISDNIm ISDN kann die Authentifizierung an verschiedenen Stellen eingesetzt werden. Benutzer können sich gegenüber Endgeräten, Vermittlungsstellen oder anderen Benutzern authentifizieren; Netzeinrichtungen können dies gegenüber Endgeräten oder anderen Netzeinrichtungen tun. Diese Einsatzgebiete werden jetzt der Reihe nach beschrieben. 7.3.1Authentifizierung innerhalb einer TK-AnlageInnerhalb einer ISDN-TK-Anlage treten verschiedene Stellen miteinander in Beziehung, um eine Kommunikation intern oder extern aufzubauen. Um vor Manipulationen sicher zu sein, kann man die Stellen ihre Identität beweisen lassen. Die Berechtigungen innerhalb einer TK-Anlage sind durch die Programmierung den einzelnen Endgeräten zugewiesen. Die Endgeräte werden meistens mit Personen assoziiert, stehen aber auch jedem Anderen offen. Jeder Benutzer eines Telefons verfügt über die Rechte, die das Telefon hat. Oft wäre es aber sinnvoller, wenn Rechte personengebunden vergeben werden könnten. Dazu müßten sich die Benutzer gegenüber einem beliebigen Endgerät authentifizieren. Das kann sogar so weit gehen wie in den Mobilfunknetzen: Der Benutzer verfügt über eine an ihn gebundene Chipkarte. Nur er kennt die PIN zum aktivieren der Karte. Sobald die Karte in ein beliebiges Mobiltelefon eingelegt und die passende PIN eingegeben wird, ist diesem Telefon die personengebundene Rufnummer zugewiesen. Dazu gehören auch benutzerspezifische Einstellungen wie Anrufbeantworter und Rufumleitungen und Berechtigungen wie Fax- und Datendienst. Auch ISDN-Endgeräte könnten so arbeiten. Dazu müßten sie allerdings mit einem Chipkartenleser ausgestattet werden. Im Zuge zunehmender Mobilisierung des Festnetzes4 werden solche Karten in Zukunft eingesetzt werden. Bis dahin könnte man Benutzerkennungen und Paßwörter vergeben, mit denen sich die Benutzer an den Endgeräten anmelden können. Dazu müßte lediglich die Software der Geräte (Firmware) angepaßt werden. Auch die Endgeräte selbst können sich bei der nächst höheren Instanz, der TK-Anlage authentifizieren. Damit kann man ausschließen, daß nicht berechtigte oder gar manipulierte Endgeräte angeschlossen werden. Und wenn Endgeräte mit Chipkartenlesern zum Einsatz kommen, kann so verhindert werden, daß alte Geräte ohne diese Sicherheitseinrichtung weiterhin verwendet werden. Als zusätzliche Sicherheit können umgekehrt auch die Anlage gegenüber dem Endgerät und das Endgerät gegenüber dem Benutzer beweisen, daß sie echt sind und nicht manipuliert wurden. Zwischen Anlage und Endgerät kann man dasselbe Verfahren einsetzen wie in umgekehrter Richtung. Zwischen Endgerät und dem Benutzer selbst ist das nicht möglich. Hier kann aber der Einsatz von Chipkarten abhelfen: Das Endgerät kann der Chipkarte als Stellvertreter des Benutzers seine Echtheit beweisen. Wenn der Benutzer seine Karte ständig bei sich trägt, wird er ihr eher vertrauen als einem beliebigen Endgerät. 7.3.2Authentifizierung im D-KanalÜber den D-Kanal können sich Endgeräte und Vermittlungsstelle gegenseitig authentifizieren. Die Vermittlungsstelle weiß ohnehin, über welchen physikalischen Anschluß (port) ein Datenpaket eintrifft. Mit Hilfe der Authentifizierung kann sie aber auch sicher gehen, daß das Paket vom berechtigten Endgerät am Ende der Leitung stammt und nicht durch ein aufgeklemmtes Gerät eines Angreifers eingeschleust wurde. Das Endgerät kann dadurch umgekehrt sicher sein, mit der Vermittlungsstelle zu kommunizieren und nur ihr die Daten der B-Kanäle anzuvertrauen und nicht einem Angreifer, der sich in die Leitung geschaltet hat. Im analogen Telefonnetz gibt es bereits einen vergleichbaren Ansatz: Nachdem 1995 zahlreiche überhöhte Telefonrechnungen auftraten und die Anschlußinhaber sich weigerten zu zahlen, wurde der Ruf nach manipulationssicheren Anschlüssen laut. Die Telekom entwickelte daraufhin eine Telefondose5 mit integriertem Authentifizierungs-Chip und passende Gegenstücke für die Vermittlungsstellen. Mit ihrer Hilfe kann bewiesen werden, daß ein Gespräch nicht nur über die Leitung eines Teilnehmers sondern sogar über seine Telefondose, also aus seinen Räumen heraus stattgefunden haben muß. Damit scheiden Angriffe auf die Leitung zwischen Vermittlungsstelle und dem Übergabepunkt aus. Dem Autor liegen aber Informationen vor, daß es sich um funktionslose Dummies gehandelt hat. Dennoch hat der Placebo-Effekt offensichtlich gewirkt. Nicht zuletzt nach Einführung der Einzelgesprächsnachweise ist es um angeblich überhöhte Rechnungen ruhig geworden. 7.3.3Authentifizierung im ZGS-7Auch die Vermittlungsstellen untereinander vertrauen sich zur Zeit blind. Dazu gehören die Teilnehmervermittlungsstellen in der Ortsebene und die Fernvermittlungsstellen des darüberliegenden Fernnetzes. Hinzu kommen die Netzübergänge zu anderen Netzen (in Deutschland zunächst einmal zum nationalen Netz)6 und die zentralen Datenbanken des intelligente Netzes (IN). Das ermöglicht einige Angriffe auf das Telekommunikationsnetz eines Betreibers, wie sie in Kapitel beschrieben sind. Auch hier kann an Sicherheit gewonnen werden, wenn sich die Vermittlungsstellen gegenseitig ausweisen müssen. Wie bei der Verschlüsselung gibt es auch eine abschnittsweise und eine Ende-zu-Ende-Authentifizierung. Die Nachrichten, die der Steuerung und insbesondere dem Routing einer Nutzkanalverbindung dienen, müssen in jedem Knoten ausgepackt und in den oberen Schichten ausgewertet werden. Die Knoten erzeugen gegebenenfalls neue Pakete, die sie an den nächsten Knoten weitersenden. Deshalb reicht es, wenn sich die Netzknoten nur gegenüber ihren unmittelbaren Nachbarn ausweisen. Wie im Kapitel über Verschlüsselung erwähnt, gibt es im ZGS-7 auch Pakete, die transparent zum Ende durchgereicht werden. Sie enthalten aber auch Routing-Informationen, die in jedem Knoten ausgewertet werden müssen. Deshalb bietet sich eine Mischform von Ende-zu-Ende und abschnittsweiser Authentifizierung an: Die Adreßinformationen werden von den Zwischenstationen neu erzeugt. Hier ist also die abschnittsweise Authentifizierung gefragt. Die eigentliche Nutzinformation hingegen wird erst vom Empfänger ausgewertet. Deshalb bietet sich dafür die Ende-zu-Ende-Authentifizierung an. 7.3.4Ende-zu-Ende-AuthentifizierungAuch eine Ende-zu-Ende Authentifizierung der Kommunikationspartner ist möglich. Dafür stehen wahlweise der B-Kanal oder der D-Kanal zur Verfügung: Der B-Kanal wird transparent von einem Kommunikationspartner zum anderen durchgeschaltet. Eine Ende-zu-Ende Authentifizierung der beiden Kommunikationspartner ist deshalb in einer hohen Protokollebene leicht zu implementieren. Dafür ist am Markt bereits Soft- und Hardware verfügbar. Die sicherheitsbedürftigen Anwender können diese Lösungen unabhängig von ihrem Netzbetreiber installieren und verwenden. Von Nachteil ist aber, daß alle Anwender, die miteinander gesichert kommunizieren wollen, dieselbe Lösung verwenden müssen. Da es hier keine Standards gibt, sind die angebotenen Produkte in der Regel nicht zueinander kompatibel. Die Authentifizierung über den D-Kanal ist da schon schwieriger aber konzeptuell sauberer. Denn alle die Verbindung steuernden Daten gehören in den D-Kanal. Da hier aber bisher keine Protokollelemente für die Authentifizierung vorgesehen sind, wäre eine Protokolländerung nötig. Für eine kleine Lösung vorab könnte man bisher unbenutzte, optionale Protokollelemente benutzen. Diese Authentifizierung funktioniert dann aber nur innerhalb eines Netzes. Bei der Integration der Authentifizierung in die genormten Protokolle kann sie als Zusatzleistung allen interessierten Anschlußinhabern angeboten werden. Inkompatibilitäten werden so von vorn herein vermieden. Wie bei der Verschlüsselung7 ergibt sich auch hier ein Problem mit Konferenzschaltungen, das eine Sonderbehandlung verlangt: Es sind mehr als zwei Kommunikationspartner beteiligt, die auch getrennt authentifiziert werden müssen. Damit nun nicht jeder jedem anderen Konferenzteilnehmer seine Echtheit beweisen muß, könnte man den Konferenzleiter zu einer Person des allgemeinen Vertrauens machen. Er authentifiziert sich gegenüber allen Teilnehmern, die er in die Konferenz aufnimmt und alle Teilnehmer gegenüber ihm. Gleichzeitig kann ein gemeinsamer Sitzungsschlüssel für alle Beteiligten vereinbart werden, mit dem die Nutzkanäle verschlüsselt werden. 7.4besondere Anforderungen des ISDN an die Authentifizierung7.4.1Allgemeine AnforderungenFür die Anwendung im ISDN kommen nur asymmetrische Authentifizierungsverfahren in Frage. Symmetrische Verfahren sind auf einen sicheren Kanal zum Austausch der Schlüssel angewiesen. Damit eignen sie sich nicht für spontane Kommunikation zwischen beliebigen Teilnehmern der weltweiten Telekommunikationsnetze. Die asymmetrischen Verfahren sind auf vertrauenswürdige zentrale Instanzen angewiesen, die die öffentlichen Schlüssel aller Teilnehmer bereitstellen. Sie müßten in den Netzen eingerichtet werden und die Daten aller ISDN-Teilnehmer weltweit bereithalten. Um die Antwortzeiten kurz zu halten müßten sie in jedem Netz mehrfach in replizierter Form existieren. Das wiederum bedingt eine sichere Kommunikation über ZGS-7-Netze zwischen den Instanzen zum Abgleich der Daten. Alle Benutzer müssen diesen Instanzen vertrauen. Sie stellen damit auch einen zentralen Angriffs- und Schwachpunkt der gesamten Sicherheit im System dar. Denn wer in einer solchen Instanz gefälschte öffentliche Schlüssel einspielt, der kann die Identität eines beliebigen anderen Teilnehmers annehmen. Außerdem müssen die in Frage kommenden Verfahren Zufallszahlen und Zeitstempel einsetzen, um gegen replay-Attacken sicher zu sein: 7.4.2Bei Ende-zu-Ende-AuthentifizierungEine Ende zu Ende Authentifizierung läßt sich entweder über den durchgehenden B-Kanal oder über die Steuerverbindung via D-Kanal und ZGS-7 implementieren: Eine Ende-zu-Ende-Authentifizierung über den D-Kanal und das Zeichengabenetz läßt sich nur als zusammengesetzte abschnittsweise Authentifizierung realisieren. Denn es gibt keinen durchgehenden Steuerkanal von einem Ende der Kommunikationsbeziehung zum anderen. Statt dessen müssen sich so der Benutzer bzw. das Endgerät und die Ortsvermittlungsstelle gegenseitig authentifizieren, dann die Ortsvermittlungsstelle und die erste Fernvermittlungsstelle und so weiter bis zur Zielvermittlungsstelle und von dort zum Zielteilnehmer. Das ist aber nicht gleichbedeutend mit einer echten Ende-zu-Ende-Authentifizierung, bei der sich die beiden Kommunikationspartner gegenseitig überprüfen. Durch die vielen zwischengeschalteten Stationen läßt sich bei diesem Verfahren auch an vielen verschiedenen Stellen betrügen. Hinzu kommt, daß das D-Kanal-Protokoll und das Zeichengabesystem 7 zur Zeit keine Protokollelemente für die Authentifizierung enthalten. Sie müßten beide erweitert werden. Zum D-Kanal-Protokoll hat R. Sailer an der Universität Stuttgart einen konkreten Vorschlag gemacht.8 Er wird im Abschnitt 7.4.3 näher beschrieben. Die Authentifizierung über den B-Kanal kommt ohne Protokolländerungen aus. Hier ist sogar noch nicht einmal die Unterstützung durch den Netzbetreiber erforderlich. Schon heute können deshalb im B-Kanal Ende-zu-Ende-Authentifizierungsverfahren eingesetzt werden. Dazu müssen lediglich die verwendeten Endgeräte der Kommunikationspartner für eine Authentifizierung gerüstet sein. Im Fall von Rechnerkommunikation mit Hilfe einer ISDN-Karte ist das recht einfach in der Treiber- oder Anwendungssoftware zu implementieren. Telefone und andere Endgeräte werden Authentifizierung und Verschlüsselung in Zukunft auch unterstützen. 7.4.3Bei Authentifizierung zwischen Benutzer und NetzFür eine Authentifizierung zwischen den Teilnehmern beziehungsweise deren Endgeräten und dem Netz kommt nur der D-Kanal in Frage. Denn der B-Kanal wird in der Vermittlungsstelle transparent durchgeschaltet und nicht ausgewertet. R. Sailer an der Universität Stuttgart schlägt vor, das D-Kanal-Protokoll um einige Elemente zu erweitern: Beim Eintreffen der setup-Nachricht in der Vermittlungsstelle wendet diese sich an die zentrale Schlüsseldatenbank. Mit Hilfe des dort erhaltenen öffentlichen Schlüssels überprüft sie die Identität des A-Teilnehmers. Bei Erfolg wird dem B-Teilnehmer eine setup-Nachricht mit der Identität von A geschickt. Der A-Teilnehmer ist also schon mit dem ersten Klingelzeichen bei B authentifiziert. Der B-Teilnehmer führt dann seine Chipkarte in sein Endgerät ein. Daraufhin wird auch er authentifiziert. Bei Erfolg bekommt der A-Teilnehmer eine Quittung, die ihm anzeigt, daß die Authentifizierung erfolgreich war und es bei B klingelt. Sobald B das Gespräch annimmt, wird die Verbindung mit einer connect-Nachricht durchgeschaltet. Falls die Authentifizierung fehlschlägt, wird der Verbindungsaufbau abgebrochen;9 als Auslösegrund wird das neue Element authentication failed gesendet. Zur Verdeutlichung ein Ablaufschema:10 7.5Eignung/Anpassung bekannter VerfahrenAus den Ausführungen der vorangegangenen Abschnitte geht hervor, daß symmetrische Authentifizierungsverfahren für die Anwendung im ISDN nicht geeignet sind. Unter der Voraussetzung, daß zentrale vertrauenswürdige Instanzen zur Verwaltung der öffentlichen Schlüssel eingerichtet werden, lassen sich asymmetrische Verfahren sehr gut einsetzen. Um die Authentifizierung und auch die verschlüsselte Kommunikation für die Teilnehmer zu vereinfachen, bietet sich der Einsatz von Chipkarten an. In ihnen wird der geheime Schlüssel des Benutzers gespeichert. Vor einer Kommunikation wird die Chipkarte in das Endgerät gesteckt, das wiederum die Authentifizierung beim Netz durchführt. Auf diesem Wege wird auch ein Sitzungsschlüssel vereinbart, mit dem die eigentliche Kommunikation symmetrisch verschlüsselt werden kann. Der Einsatz von Chipkarten wird kommen, was aber bedingt, daß alle Endgeräte über einen Chipkartenleser verfügen. Bis dahin können Übergangslösungen nach dem gleichen Prinzip11 eingesetzt werden. 1 vgl. [sch96-1] Abschnitt 3.3 2 vgl. [sch96-1] Abschnitt 8.1 3 Ein Überblick findet sich in [sch96-1], Abschnitte 3.2 und 3.3. 4 vgl. [sai97-2] 5 TAE - Telefon-Anschluß-Einheit 6 vgl. Abschnitt 7 siehe Abschnitt 8 vgl. [sai97-2] 9 wie bei einem besetzten Anschluß oder inkompatiblen Endgeräten. 10 aus [sai97-2] 11 asymmetrische Authentifizierung mit Schlüsselvereinbarung für die spätere symmetrische Verschlüsselung der Nutzdaten |
[Contrib]
[Sicherheit im ISDN]
Kapitel 7: Authentifizierung im ISDN