Zentrum für sichere Informationstechnologie – Austria

HTTPS Analyse von GV.AT Domänen

Kategorie: eGovernment, IT-Sicherheit

In diesem Projekt wurden die Eigenschaften von österreichischen gv.at Domänen analysiert. Der Fokus wurde dabei auf die Unterstützung von TLS (Anbieten der Dienste über HTTPS) gelegt. Im Rahmen dieses Projekts wurde das Rahmenwerk für die automatische Analyse geschaffen und die ersten Ergebnisse im Rahmen einer Kurzsstudie präsentiert. Weiter lesen…

Cloud-basierte Signaturlösungen: eine Studie

Kategorie: Elektronische Signatur

Cloud-basierte Signaturelösungen fordern ihre Papier-basierte Konkurrenz heraus. Geschäftsprozesse lernen den Geschwindigkeitsvorteil digitaler Unterschrift immer mehr zu schätzen und legen die klassische Unterschrift ad acta. In dieser Studie beleuchten wir 7 representative Cloud-Signatur-Vertreter und evaluieren sie nach den verwendeten kryptographischen Methoden, den angebotenen Interfaces, den Authentifizierungsmethoden und der Schlüsselspeicherlösung. Die Studie zeigt, dass Mehrfaktor-Authentifizierung und Hardware-unterstützes Speichern von Schlüsseln weit verbreitet sind. Verschiedene Interfaces, von APIs über Web Userinterfaces hin zu proprietären Programmen, stehen im Rennen. Dennoch konnten wir einige Schwachstellen in Flexibilität und Sicherheit finden.

Weiter lesen…

Erstellung und Dekodierung von CMS-Containern in Javascript

Kategorie: eGovernment

 

Web-Applikationen ersetzen zunehmend traditionelle Desktop-Applikationen. Dahingehend findet oftmals auch eine Verarbeitung sensibler Daten im Browser statt. Applikationen, die sicherheitskritische Daten verarbeiten, fehlen jedoch wichtige kryptographische Komponenten. Basiskomponenten wie RSA oder AES Verschlüsselung sind zwar mittlerweile ausreichend durch Javascript-Bibliotheken abgedeckt, jedoch werden keine darauf aufbauenden Bibliotheken beispielsweise zur Unterstützung von Cryptographic Message Syntax Containern angeboten. Im Zuge dieses Projektes wurde eine Basiskomponente entwickelt, die basierend auf bestehenden Kryptographie Bibliotheken eine Verschlüsselung und Entschlüsselung von Daten in CMS-Containern ermöglicht.

Weiter lesen…

Alternative Zweifaktorauthentifizierung

Kategorie: IT-Sicherheit

Zweifaktorauthentifizierung ist ein essentieller Mechanismus, der den sicheren Zugriff auf entfernte Dienste ermöglicht. Die österreichische Bürgerkarte ist nur eines von vielen Beispielen, das auf dem Grundkonzept der Zweifaktorauthentifizierung beruht. Die meisten Methoden der Zweifaktorauthentifizierung wurden für klassische Endnutzergeräte wie Desktop-PCs oder Laptops entwickelt. Chipkartenbasierte Ansätze oder auch das SMS-TAN-Verfahren sind Beispiele dafür. In den letzten Jahren konnten jedoch mobile Endnutzergeräte entscheidend an Bedeutung gewinnen. Da sich diese Geräte in Handhabung, Sicherheitsmerkmalen und Funktionalität mitunter signifikant von klassischen Endnutzergeräten unterscheiden, können etablierte Methoden der Zweifaktorauthentifizierung auf diesen Geräten nicht oder nur bedingt eingesetzt werden.

Um sich dem Thema Zweifaktorauthentifizierung unter diesem Gesichtspunkt zu nähern und mögliche Varianten der sicheren Remote-Authentifizierung unter Verwendung mobiler Endnutzergeräte zu analysieren, wurde von A-SIT eine Studie erstellt. Dazu wurden im Wesentlichen folgende Tätigkeiten durchgeführt, die sich im Inhalt der Studie widerspiegeln.

  • Es wurde zunächst ein allgemeiner Überblick über die grundlegenden Konzepte hinter dem Konzept der Zweifaktorauthentifizierung erarbeitet.
  • Danach wurden anhand eines abstrakten Modells generische Anforderungen an Methoden der Zweifaktorauthentifizierung auf mobilen Geräten definiert.
  • Mit Hilfe der definierten Anforderungen wurden bestehende Ansätze systematisch evaluiert.
  • Aus den erhaltenen Ergebnissen der Evaluierung wurde eine geeignete Lösung erarbeitet.
  • Die prinzipielle Anwendbarkeit dieser Lösung wurde evaluiert, indem diese auf den konkreten Anwendungsfall serverbasierter Signaturlösungen angewendet wurde.
  • Die praktische Umsetzbarkeit der Lösung wurde schließlich anhand einer prototypischen Implementierung nachgewiesen.

Insgesamt zeigt diese Studie damit, dass moderne mobile Endnutzergeräte trotz zu berücksichtigender Limitierungen Möglichkeiten bieten, alternative Methoden der Zweifaktorauthentifizierung umzusetzen. Die Studie zeigt außerdem, dass diese Methoden auch in bestehende Applikationen integriert werden können und somit deren Sicherheit auch im Falle eines Zugriffs über mobile Endnutzergeräte gewährleistet werden kann.

Die von A-SIT erstellte Studie kann unter folgendem Link heruntergeladen werden:

Alternative Zweifaktorauthentifizierung (DE, PDF)

6

Mai

2014

Sicherheitsanalyse mobile Plattformen

Kategorie: IT-Sicherheit

Durch die Weiterentwicklungen bestehender und Einführung neuer Smartphone-Plattformen sind sowohl Betreiberinnen und Betreiber von IT-Systemen als auch Benutzerinnen und Benutzer gefordert, Überblick über die ständig wachsenden Funktionen zu behalten. Mittlerweile verfügen Smartphones über beinahe dieselben Möglichkeiten zur Datenverarbeitung wie herkömmliche Desktop-Computer und führen so zunehmend auch zur Verarbeitung kritischer Unternehmensdaten am mobilen Gerät.
Aus diesem Grund wurde gängige Smartphone-Plattformen in den letzten Jahren um viele Sicherheitsfunktionen ergänzt, die zu Beginn aufgrund der Ausrichtung für den privaten Benutzer fehlten. Die aktuellen Versionen von Android, iOS, Windows Mobile und Blackberry unterstützen eine große Anzahl von Sicherheitsfunktionen, die für den Einsatz im Unternehmen und den Umgang mit sicherheitskritischen Daten geeignet sind. Beispiele für diese Funktionen sind die Integration von Verschlüsselungssystemen, Management-Schnittstellen, die es ermöglichen Policies für die Geräte zu definieren, oder sichere Speicher für das Ablegen von Schlüsselmaterial und Passwörtern. Ziel der von A-SIT erarbeiteten Studie ist es, eine Grundlage für die Bewertung der Eignung einer Smartphone-Plattform für den Einsatz im Unternehmen zu bieten. Weiter lesen…

Cloud-Elemente Signatur

Kategorie: Elektronische Signatur

Die Vorteile des Betriebs von IT Services in der Cloud wie z.B. Kostenersparnis, bessere Skalierung etc. lassen die Verwendung von Cloud Services auch für E-Government Services attraktiv erscheinen. Da unterschiedliche PaaS-Provider beim Deployment von Services Einschränkungen auferlegen, wurde mit diesem Projekt die Cloud-Fähigkeit von Signatur-Basiselementen analysiert. Konkret wurden der Signaturprüfdienst und in weiterer Folge MOA-SPSS in einer aktuellen Cloud-Umgebung installiert. Dieses Projekt analysiert die technischen Einschränkungen eines möglichen Betriebs von Kernelement in der Cloud, die rechtlichen Rahmenbedingungen bleiben jedoch unbeachtet. Weiter lesen…

Signaturprüfservice

Kategorie: Elektronische Signatur

Das Signaturprüfservice bietet eine zentrale Möglichkeit zur Prüfung von Signaturen unterschiedlicher Dateiformate.

Zunächst wird ein Erkennungsprozess gestartet, der das zugrunde liegende Dateiformat identifiziert und dann den entsprechenden dokumentspezifischen Prüfvorgang auslöst. Zusätzlich besteht die Möglichkeit Nachrichtenfilter für bestimmte Gruppen von Dokumentformaten zu definieren, die zusätzliche Informationen im Prüfprotokoll liefern. Dies wäre für Dokumente nützlich, deren Ausprägung (XML, PDF…) nicht ausdrücklich festgelegt ist. Weiter lesen…

Open-Office-Signatur

Kategorie: Archiv

Elektronische Signaturen stellen die Basis von E-Business- bzw. E-Government-Anwendungen dar. Mittels Signaturen werden Daten authentifiziert, vor unbemerkter Manipulation geschützt sowie die Möglichkeit geschaffen, behördliche Schriftstücke, die zuvor ausschließlich auf Papier existieren, nun elektronisch anzubieten.

A-SIT hat für OpenOffice ein Plugin entwickelt, welche die Anwendung pdf-as in die Umgebung von OpenOffice integriert. Dabei wurde darauf geachtet die Konfiguration einer möglicherweise auf einer Plattform vorhandenen PDF-AS-Anwendung weiterhin zu verwenden. Weiter lesen…