Flexible Zweifaktor-Authentifizierung mit FIDO

erschienen in #E-ID & E-Signatur, IT-Sicherheit vom 19.08.2016

FIDO Universal Second Factor (U2F) ist ein Industriestandard für eine generell verwendbare Zweifaktor-Authentifizierung. Unter Verwendung eines USB-Security-Tokens können sich BenutzerInnen gegenüber einer Vielzahl von Webdiensten authentifizieren. Ein wesentliches Merkmal des U2F-Konzepts besteht darin, dass das entsprechende Hardware-Element zum Zeitpunkt eines Anmeldeverfahrens physisch mit dem Computer verbunden ist, sodass der Web-Browser über eine geeignete Schnittstelle damit unmittelbar interagieren kann.
Der weiten Anwendbarkeit von FIDO U2F steht entgegen, dass für die Verwendung bislang zwingend ein zertifiziertes Hardware-Element benötigt wird. Dies tritt beispielsweise bei einer U2F-Anmeldung über Smartphones in den Vordergrund, mit welchen sich typischerweise keine USB-Tokens verbinden lassen. Oft ist mangels Unterstützung auch ein Zugriff über NFC keine probate Alternative.

Im Zuge dieses Projekts wurde eine Lösung gesucht, um den U2F-Anmeldeprozess auch dann zu ermöglichen, wenn software- oder hardwareseitig keine Verfügbarkeit gegeben ist. Aufbauend auf der bestehenden Architektur der zentralen, als Open-Source-Software verfügbaren,  Schlüsselspeicherlösung CrySIL wurde ein Konzept entwickelt um FIDO für beliebige Plattformen anbieten zu können. Die Tauglichkeit der propagierten Lösung konnte im Rahmen einer Implementierung untermauert werden. Konkret wurde für den Webbrowser Firefox eine Erweiterung umgesetzt, welche den Browser um die nativ nicht gegebene FIDO-Unterstützung ergänzt und die Kommunikation mit einem emulierten U2F-Token ermöglicht, welcher auf der Seite von CrySIL realisiert wurde.

Das vorgeschlagene Konzept sowie die praktische Demonstration zeigen neue Anwendungsmöglichkeiten des FIDO U2F-Standards auf. Indem die bisherige Notwendigkeit eines Hardware-Elements zur Authentifizierung entfällt und die Abwicklung des Anmeldeprozesses ein zentraler Schlüsselspeicher durchführt, ermöglicht sich ein hoher Grad an Flexibilität bei Verwendung von FIDO U2F über verschiedene Plattformen hinweg.

Link

CrySIL Source-Code

Downloads

Datei Beschreibung Dateigröße
pdf Projektbericht Version 1.1 vom 28.7.2016
 649 kB
zip Anwendung Version 1.0 vom 19.8.2016 (.zip, Firefox Plugin)
 203 kB