Zentrum für sichere Informationstechnologie – Austria

Citizen Card Encrypted (CCE)

Kategorie: Bürgerkarte

CCE ermöglicht es Dateien und Verzeichnisse zu verschlüsseln und in Containern abzulegen. Für die Entschlüsselung der Daten können sowohl Smartcards (im Moment die verschiedenen Versionen der österreichischen Bürgerkarte) sowie Software-Schlüssel eingesetzt werden. Weiter lesen…

TPMv2 Analyse

Kategorie: IT-Sicherheit

Die Technologie „Trusted Computing“ bietet im Bereich der IT Sicherheit interessante Konzepte und Methoden an, um vernetzte Systeme für jeden einzelnen Teilnehmer insgesamt vertrauenswürdiger zu machen. Durch die Einführung neuer Komponenten in derzeit übliche Computerplattformen können diese ständig überwacht und vor unerwünschtem Verhalten, wie es beispielsweise durch Schadsoftware verursacht werden könnte, geschützt werden. Neben dem Schutz des eigenen Systems unterstützt Trusted Computing auf diese Weise auch die Möglichkeit, Informationen über den aktuellen Sicherheitszustand entfernter Systeme zu beziehen. A-SIT hat bereits im Jahr 2009 eine erste Evaluierung von Trusted Computing und der zentralen Komponente, dem Trusted Platform Module vorgenommen. Die damalige Studie beschäftigt sich mit dem auf dem Markt eingeführten TPM v1.2.

Vor kurzem wurde die Spezifikation des TPM v2 von der Trusted Computing Group vorgestellt. Diese neue Version des TPM ist noch nicht in Systeme integriert, aber bereits als Chipmuster von ersten Herstellern erhältlich. A-SIT hat einen Überblick zu TPMv2 erstellt und einen TPMv2 Emulator aus dem Spezifikationsdokumenten synthetisiert. Das Ergebnis wird derzeit aufbereitet und in Kürze hier dargestellt.

eID in der Cloud mit SCIM

Kategorie: eGovernment

System for Cross-Domain Identity Management (SCIM) steht für ein neues Protokoll, das die Verwaltung von e-Identitäten in Cloud-basierten Anwendungen und Diensten erleichtert und unterstützt. In dieser Studie wird das Thema von Identity-Provisioning in der Cloud untersucht, insbesondere im Hinblick auf eID in einer verteilten, organisationsübergreifenden Umgebung. Die Studie analysiert mehrere Cloud-Provisioning Anwendungsfälle, sowie das SCIM Protokol und vorhandene SCIM-Implementierungen. Schließlich werden in dem Bericht die potentielle Anwendung und Integration von SCIM, sowie die Herausforderungen und weitere Richtungen, dargestellt.

 

Weiter lesen…

Cloud-based Mobile Augmentation Systeme

Kategorie: Cloud Computing

Seit dem Aufkommen von mobilen Geräten wird an Verfahren gearbeitet, um diese leistungsfähiger zu machen oder über Delegation von Aufgaben leistungsfähiger erscheinen zu lassen.. Eines der ersten Verfahren wird als Cyber Foraging bezeichnet, dabei werden ressourcenintensive Aufgaben auf umgebende Geräte ausgelagert. Gebündelt mit dem immer populärer werdenden Cloud Computing ergeben sich daraus neue Möglichkeiten, um einem mobilen Gerät scheinbar unbegrenzte Ressourcen zur Verfügung zu stellen. Dieses Dokument untersucht bestehende aktuelle Auslagerungsverfahren und zeigt deren Vor- und Nachteile auf. Außerdem wird ein besonderer Fokus auf Sicherheitsaspekte dieser Verfahren speziell mit Hinblick auf Cloud Computing gelegt.

Weiter lesen…

Bürgerkarten-Plugin für KeePass

Kategorie: IT-Sicherheit

KeePass ist ein freies Programm zur Kennwortverwaltung. Der Zugriff kann mittels Passwort, Schlüsseldatei oder Bindung an den jeweiligen Windows Account abgesichert werden.

Dieses A-SIT „Smartcard“ Plugin fügt Unterstützung für Österreichische Bürgerkarten (Ecard G2 & G3 Karten, ACOS Karten) zur Funktionalität von KeePass hinzu. Bei Verwendung dieses Plugins kann der Zugriff auf die Passwort-Datenbank mittels Bürgerkarte geschützt werden. Dafür wird ein zufälliger Schlüssel generiert und mittels der Bürgerkarte verschlüsselt. Bei jedem Zugriff auf die Passwort-Datenbank wird der gespeicherte verschlüsselte Schlüssel geladen und mittels Bürgerkarte entschlüsselt und an KeePass übergeben. Zusätzlich zur Bürgerkarte kann die Datenbank auch weiterhin mittels Passwort oder Bindung an den Windows Account geschützt werden um die Sicherheit weiter zu erhöhen.

Weiter lesen…

Bedrohung durch manipulierte USB-Geräte

Kategorie: IT-Sicherheit

Die Flexibilität von USB ermöglicht es eine Vielzahl unterschiedlicher Geräte über eine gemeinsame Schnittstelle ohne Authentifizierung einzubinden. Weil ein Computer im Vorhinein nicht wissen kann, welches USB-Gerät angeschlossen ist, verwendet er die Informationen, die das Gerät bereitstellt um sich zu identifizieren. Ein Benutzer wiederum erwartet von USB-Geräten die Funktionalität, für die sie konzipiert wurden. In der jüngeren Vergangenheit traten vermehrt präparierte USB-Geräte in Erscheinung, die von gegenwärtigen Schutzmaßnahmen nicht als Bedrohung erkannt werden können.

Im Rahmen einer Kurzstudie wurde erörtert, anhand welcher Methoden USB-Geräte manipuliert werden können um damit unentdeckt Computer anzugreifen. Nach einer kurzen Einleitung zum USB-Standard wurden bekannte Angriffsmöglichkeiten zusammengefasst. Ein besonderes Augenmerk wurde auf die Manipulierbarkeit der Firmware bei USB-Sticks gelegt („BadUSB“-Angriff). Praktische Fallbeispiele dienten als Unterstützung beim Aufzeigen der Problematik und Veranschaulichung der mögliche Tragweite eines Angriffs. Abschließend wurde der Einsatz möglicher Schutzmechanismen diskutiert.
Weiter lesen…

Peer-to-Peer Sichere Kommunikation

Kategorie: IT-Sicherheit

Dieses Projekt beschreibt eine flexible und modulare Herangehensweise für bestehende peer-to-peer Frameworks um sichere Kommunikation, unter Verwendung von etablierten und erprobten Protokollen und Algorithmen. Es wird eine Kompatibilitätsschicht beschrieben an die sich bestehende peer-to-peer Frameworks sowie Verfahren für Transportsicherheut nahtlos angekoppeln werden können. Außerdem werden die Komponenten von Ende-zu-Ende Sicherheit im Kontext von peer-to-peer Netzwerken und TLS analysiert. Auf diesem Framework basierend wurde eine Proof-of-Concept Applikation entwickelt die im Downloadbereich angeboten wird. Weiter lesen…

HTTPS Analyse von GV.AT Domänen

Kategorie: eGovernment, IT-Sicherheit

In diesem Projekt wurden die Eigenschaften von österreichischen gv.at Domänen analysiert. Der Fokus wurde dabei auf die Unterstützung von TLS (Anbieten der Dienste über HTTPS) gelegt. Im Rahmen dieses Projekts wurde das Rahmenwerk für die automatische Analyse geschaffen und die ersten Ergebnisse im Rahmen einer Kurzsstudie präsentiert. Weiter lesen…

Cloud-basierte Signaturlösungen: eine Studie

Kategorie: Elektronische Signatur

Cloud-basierte Signaturelösungen fordern ihre Papier-basierte Konkurrenz heraus. Geschäftsprozesse lernen den Geschwindigkeitsvorteil digitaler Unterschrift immer mehr zu schätzen und legen die klassische Unterschrift ad acta. In dieser Studie beleuchten wir 7 representative Cloud-Signatur-Vertreter und evaluieren sie nach den verwendeten kryptographischen Methoden, den angebotenen Interfaces, den Authentifizierungsmethoden und der Schlüsselspeicherlösung. Die Studie zeigt, dass Mehrfaktor-Authentifizierung und Hardware-unterstützes Speichern von Schlüsseln weit verbreitet sind. Verschiedene Interfaces, von APIs über Web Userinterfaces hin zu proprietären Programmen, stehen im Rennen. Dennoch konnten wir einige Schwachstellen in Flexibilität und Sicherheit finden.

Weiter lesen…