-
Wie
beispielsweise [2] belegt, besteht die Gefahr, dass zum Zwecke des
Ausspähens
von Informationen Datenverarbeitungsgeräte und hierbei insbesondere
persönliche
drahtungebundene Geräte wie
z. B. Mobiltelefone oder tragbare Rechner unbemerkt ganz oder teilweise
gegen manipulierte Geräte ausgetauscht
werden. Dies ist z. B. deshalb möglich, weil
die marktbeherrschenden Betriebssysteme dieser Endgeräte (Windows
CE, Palm OS und EPOC) laut [3] bei weitem nicht die Authentifikationseigenschaften
aufweisen, die sie zur Abwehr der genannten Sicherheitsbedrohung
benötigen
würden.
Oft ist sogar keinerlei Authentifikation zur Benutzung solcher Geräte erforderlich
und wenn doch, so authentifizieren sich nur die Anwender, nicht
aber die Geräte. Da
diese drahtungebundenen Geräte
in Zukunft verstärkt
dazu verwendet werden sollen, andere Geräte und Hausinstallationen (z.
B. Türen,
Garagentore oder Alarmanlagen) fernzusteuern (siehe [1]), sind wirksame
mehrseitige Authentifikationen unerlässlich.
-
Diese
Probleme lassen sich dadurch lösen, dass
eine Einrichtung verwendet wird, die eine zwingende, aber komfortable,
sichere und mehrseitige, alle Gerätekomponenten und Einsteckmodule
umfassende Authentifikation vorsieht.
-
Bei
dieser sicheren mehrseitigen Authentifikation für persönliche drahtungebundene Geräte handelt
es sich, makroskopisch betrachtet, um eine zweiseitige Authentifikation.
Dies bedeutet, dass sich der Benutzer gegenüber einem Gerät z. B.
mittels biometrischer Merkmale und u. U. durch spezifisches Wissen
authentifiziert. Eine mögliche
technische Realisierung der benutzerseitigen Authentifikation gegenüber einem
solchen Gerät
stellt die Auswertung von Fingerabdrücken und ggf. zusätzlicher
Passwörter
dar. Das Gerät
antwortet, sofern die Authentifikation von Seiten des Benutzers
erfolgreich war und es sich im korrekten, zuvor durch den Benutzer
im Installationsmodus definierten, Zustand befindet, mit einer nur
dem Benutzer bekannten persönlichen
Gerätekennung.
Mikroskopisch betrachtet finden wesentlich mehr Authentifikationen
statt, da alle Komponenten und Module, wie beispielsweise Daten-
oder Energiespeicher, authentifiziert werden. 1 illustriert
die Abläufe
zum besseren Verständnis.
-
Dafür ist Folgendes
nötig:
- a) Jede Gerätekomponente
und jedes Einsteckmodul verfügt über eine
eindeutige und unveränderbare
gerätetechnische
Kennung.
- b) Es gibt einen Installationsmodus mit entsprechend sicherer
Authentifikation. Technisch lässt sich
diese besonders gesicherte Authentifikation durch mehrere, nicht
notwendigerweise nur von einer Person stammende unverwechselbare
biometrische Merkmale und durch zusätzliche Passworteingaben realisieren,
d. h. der Installationsmodus kann z. B. nach dem Vieraugenprinzip
verwirklicht werden. In diesem Installationsmodus legen Benutzer
alle zugelassenen Betriebsmittel durch deren gerätetechnische Kennungen fest und
vergeben persönliche
Gerätekennungen
für Geräte mit allen
ihren in den jeweiligen Konfigurationen gültigen Betriebsmitteln (siehe 2).
Dies
hat u. a. den Vorteil, dass ein Benutzer sich nur eine einzige,
persönliche
und frei wählbare Kennung
merken muss und nicht alle gerätetechnischen
Kennungen aller Komponenten und leicht austauschbaren Module seines
persönlichen drahtungebundenen
Gerätes,
um feststellen zu können,
ob es sich um sein Gerät
handelt und dass es nicht manipuliert wurde.
- c) Zur Speicherung der im Installationsmodus angegebenen Daten
ist ein Speicherbaustein mit Prüffunktionalität gemäß 3 vorzusehen,
der im Anwendungsmodus weder ausgelesen noch beschrieben werden
kann. Bei berechtigter Authentifikation durch einen Benutzer werden
alle gerätetechnischen
Kennungen an diesen Baustein gesandt. Er prüft, ob alle zugelassenen Betriebsmittel
vorhanden sind und ob keine nicht zugelassenen Betriebsmittel angeschlossen
wurden, um gegebenenfalls die persönliche Gerätekennung auszugeben.
-
Um
diese Aufgabe erfüllen
zu können,
besitzt der Baustein eine Einheit, welche die Authentifikationsdaten
der Benutzer prüft
und entscheidet, ob sich das Gerät
im Installations- oder Benutzermodus befindet. Zur Durchführung der
Prüfung
wird auf den internen, z. B. mittels EEPROM realisierten, Datenspeicher
zugegriffen.
-
Nur
im Installationsmodus kann von außen auf diesen Speicher lesend
oder schreibend zugegriffen werden.
-
Im
Anwendungsmodus ist jeglicher Speicherzugriff von außen zwecklos.
Dieser Modus dient nicht zur Initialisierung und Konfiguration des
Geräts und
damit zur Beschreibung des Speichers, sondern zur Prüfung der
im Installationsmodus festgelegten Eigenschaften. Um dies zu erreichen,
besitzt der Baustein eine Einheit, die die Authentifikationsdaten der
Betriebsmittel bereit stellt, d. h. die Betriebsmittel werden entsprechend
der spezifizierten Parameter (siehe Erweiterung) nach ihren gerätetechnischen Kennungen
gefragt und die Antworten der Betriebsmittel entgegengenommen. Die
Authentifikationsdaten der Betriebsmittel werden in einer separaten
Einheit ausgewertet, welche für
die Prüfung
der gerätetechnischen
Kennungen der Betriebsmittel zuständig ist und zu diesem Zweck
auch auf den internen Datenspeicher zugreift. Eine weitere Aufgabe
dieser Einheit ist die Ausgabe der persönlichen Gerätekennung, anhand derer der
berechtigte Benutzer den Zustand seines Geräts zweifelsfrei beurteilen
kann.
-
Bei
mehrmaliger unberechtigter Benutzerauthentifikation sperrt der Baustein
das Gerät
für den
Anwendungsmodus, signalisiert dem Benutzer diesen Status und erzwingt
damit eine besonders gesicherte Authentifikation für den Installationsmodus. Wird
auch in diesem Zustand eine vorgegebene Anzahl erlaubter Fehlversuche überschritten,
so zerstört
sich der Baustein selbstständig
und macht damit das vermutlich entwendete Gerät unbrauchbar. Die Ausführungen,
die weiter unten unter „Erweiterung” für die Betriebsmittel
bezüglich
der Selbstzerstörung und
der Anzahl der Fehlversuche gemacht werden, gelten für diesen
Baustein entsprechend mit dem Unterschied, dass nach jedem Fehlversuch
eine sich extrem erhöhende
Zeitspanne gewartet werden muss, bis eine erneute Benutzerauthentifikation
von Seiten des Bausteins akzeptiert wird. Dadurch wird verhindert,
dass beispielsweise spielende Kinder ein Gerät unbrauchbar machen, da die
Zeit vom ersten Fehlversuch bis zur letztendlichen Selbstzerstörung u.
U. Tage dauern kann. Daher ist der Authentifikations- und Speicherbaustein
mit einem Uhrenbaustein zu koppeln. Dies hat den weiteren Vorteil,
dass nach einer gewissen Zeit der Nichtbenutzung des Gerätes sich
dieses selbsttätig
sperren kann und vor einer erneuten Benutzung erst wieder eine Authentifikation verlangt.
-
Vorteile
dieser Lösung
bestehen in
- • sicherer Authentifikation
durch unverwechselbare biometrische Merkmale,
- • komfortabler
Authentifikation, da Passwörter
im Anwendungsmodus nur optional eingegeben werden,
- • Unmöglichkeit
unbemerkten Austauschens eines kompletten Gerätes oder einzelner Komponenten
wie Speicherkarten auf Grund der mehrseitigen Authentifikation und
- • sicherem
Schutz vor unberechtigtem Gebrauch durch einen zusätzlich gesicherten
Installationsmodus, in welchem u. a. auch die Authentifikationsmerkmale
für den
Anwendungsmodus definiert werden.
-
Erweiterung:
-
Die
Sicherheit dieser Lösung
kann noch dadurch erhöht
werden, dass ein Betriebsmittel seine unveränderbare gerätetechnische
Kennung nur dann preisgibt, wenn es von einem Gerät mit seinem
korrekten Betriebsmittelpasswort angesprochen wird. Dadurch wird
verhindert, dass die gerätetechnische Kennung
eines vorübergehend
entwendeten Betriebsmittels zum Zwecke der Herstellung eines manipulierten
Betriebsmittels mit identischer Kennung ausgelesen werden kann.
-
Dies
bedeutet, dass zwischen Gerät
und Betriebsmittel ebenfalls eine zweiseitige Authentifikation erforderlich
ist. Ein Gerät
muss sich also zuerst authentifizieren, bevor ein Betriebsmittel
seine gerätetechnische
Kennung überträgt.
-
Die
Anzahl der Fehlversuche mit falschen Betriebsmittelpasswörtern wird
von Betriebsmitteln von den letzten korrekten Authentifikationen
ab gezählt.
Im Falle der Überschreitung
gegebener Grenzwerte machen sich Betriebsmittel selbst unbrauchbar,
wodurch ihr unberechtigter Gebrauch gerätetechnisch unterbunden wird.
-
Zu
diesem Zweck nimmt ein Betriebsmittel vor jeder Authentifikation
genügend
viel Energie auf und speichert diese beispielsweise in einem internen Kondensator,
um seine Selbstzerstörung
ohne äußere Hilfsmittel
autonom durchführen
zu können.
-
Auf
die Eingabe falscher Betriebsmittelpasswörter antworten Betriebsmittel
mit der Ausgabe falscher gerätetechnischer
Kennungen.
-
Dies
hat folgende Vorteile:
- • Ein externer Beobachter kann
nicht erkennen, ob eine ausgegebene Kennung korrekt ist.
- • Vor
der kontrollierten Selbstzerstörung,
beispielsweise realisiert durch Durchbrennen interner Sicherungen
oder Löschen
von Daten, wird keine Warnung gegeben. Diese ist auch nicht aufzuhalten,
da keine externe Energie benötigt
wird und somit z. B. eine Strommessung oder -begrenzung von Seiten
eines Datenverarbeitungsgerätes
zwecklos ist. (Anmerkung zum Energiebedarf: Die zum Durchbrennen
von Sicherungen auf Halbleiterbasis erforderliche Energie ist sehr
gering, weshalb sich dieses Verfahren durchaus für den drahtungebundenen Einsatz
eignet.)
- • Dies
bedeutet, dass sich entwendete Betriebsmittel bei unauthorisierter
Benutzung selbst zerstören,
ohne ihre Daten preiszugeben und so ohne für einen unauthorisierten Benutzer
von Nutzen zu sein.
-
Da
ein in einem Datenverarbeitungsgerät gespeichertes Betriebsmittelpasswort
erst nach zweifelsfreier Authentifikation des Benutzers übertragen wird,
scheitern an dieser Stelle auch Versuche, Daten auszuspähen. 4 stellt
den zeitlichen Ablauf einer korrekten Betriebsmittelauthentifikation
zur Verdeutlichung grafisch dar.
-
Mit
dieser Erweiterung wird erreicht, dass Daten eines derart geschützten Gerätes noch
sicherer vor Ausspähung
und Manipulation sind und dass selbst in den Fällen, in denen Unberechtigte
mehrfach physischen Zugriff auf Datenverarbeitungsgeräte haben
und über
die technischen Möglichkeiten
zur Herstellung manipulierter Betriebsmittel mit gefälschten
gerätetechnischen
Kennungen verfügen,
jede Sicherheitsbedrohung durch Komponentenaustausch sicher erkannt
wird und deren negative Auswirkungen unterbunden werden.
-
Als
nächstliegenden
Stand der Technik können
die Druckschriften [4] bis [6] angesehen werden. Aus keiner einzelnen
dieser Veröffentlichungen
können
die Merkmale des Anspruchs 1 entnommen werden. Die in Druckschrift
[4] beschriebene Erfindung dient lediglich dazu, Software-Hersteller
vor Raubkopierern zu schützen,
und toleriert daher Hardware-Modifikationen, wenn sie nicht von
substanziellem Charakter sind, wodurch zum Ausdruck kommt, dass
ein Programm nicht unberechtigter Weise auf einem anderen System
benutzt werden soll. Der Schutz des Systems und damit der Benutzer
vor dem entsprechenden Programm oder unautorisierter Hardware-Modifikation,
wie in vorliegender Erfindung, ist damit nicht erreichbar und auch
gar nicht beabsichtigt. Zweifellos können bei dem Verfahren nach
Druckschrift [4] auch mehrere Authentifikationen stattfinden, wenn
die Benutzer sich ebenfalls authentifizieren. Allerdings richtet
sich die Authentifikation des Geräts primär auf die auszuführende Software,
nicht aber auf Geräte- oder andere Software-Komponenten,
die beispielsweise dem Ausspähen
von Daten dienen können.
Daher kann diese, unter spezieller Beachtung der in vorliegendem
Fall zu sichernden Elemente und Endpunkte einer Kommunikation (Benutzer
und Gerät,
nicht nur einzelne Programme eines Gerätes) nicht als mehrseitige
(und damit zweifelsfreie) Authentifikation aller beteiligten Endpunkte,
wie sie im IT-Sicherheitsbereich
verstanden wird, angesehen werden. Insbesondere sind die in Anlehnung
an [7] allgemein anerkannten Schutzziele Vertraulichkeit, Integrität und Verbindlichkeit durch
das Verfahren in Druckschrift [4] nicht gewährleistbar, sehr wohl aber
durch vorliegende Erfindung. Hinzu kommt, dass Software relativ
leicht austausch- und manipulierbar ist und im Fall von Druckschrift
[4] dem Benutzer auch gar keine explizite Rückmeldung gibt. Unter Zuhilfenahme
von Druckschrift [5] könnte man
annehmen, eine entsprechende Anzeige vorsehen zu können. Was
bei dieser Hypothese allerdings nicht beachtet wird, Ist, dass (a)
die Authentifikationen bezüglich
Druckschrift [4] und [5] nach den vorliegender Erfindung zugrunde
liegenden Endpunkten im strengen Sinne nicht wirklich mehrseitig
sind (s. o.), d. h. eine entsprechende Anzeige unter Berücksichtigung
der genannten Druckschriften und zusätzlicher Einbeziehung allgemeiner
Lebenserfahrungen kein sicherer Indikator für die Nichtmanipuliertheit
eines Gerätes
sein würde,
und (b) bei einem entwendeten Gerät keine Selbstzerstörung aller
Komponenten vorgesehen wäre,
um obige Schutzziele auch für diesen
Fall sicherstellen zu können,
wie dies vorliegende Erfindung vorsieht (vgl. Anspruch 7). Druckschrift
[6] wiederum dient lediglich dazu, ein Mobilfunkgerät vor unerlaubter
Benutzung zu schützen, sieht
aber nicht die sichere Unterbindung unautorisierter Hardware-Modifikation z. B.
zum Zwecke des Ausspähens
von Daten oder des Belauschens von Gesprächen vor. Es ist beispielsweise
bei allen genannten Verfahren oder Vorrichtungen der Druckschriften
[4] bis [6] der Fall vorstellbar, dass ein gewöhnlicher Akkumulator gegen
einen anderen ausgetauscht wird, der sich zum unerlaubten Belauschen
von Gesprächen
eignet, ohne dass die rechtmäßigen Eigentümer eines
drahtungebundenen Geräts
diese Manipulation erkennen könnten.
-
Literatur
-
- [1] Aigner, M.: Beam me up, Bluetooth. VDI
nachrichten Nr.8, S. 33, 23. Februar 2001.
- [2] Bundesamt für
Sicherheit in der Informationstechnik: Mobiltelefone-Gefährdung & Sicherheitsmaßnahmen.
Erschienen als Online-Dokumentation unter http://www.bsi.de/literat/studien/mobiltel.htm,
Stand vom Oktober 1999.
- [3] Eckert, C.: Zur Sicherheit mobiler persönlicher Endgeräte – eine Bestandsaufnahme.
Universität Bremen,
FB3 Mathematik/Informatik, erschienen als Online-Dokumentation unter
http://www.informatik.uni-bremen.de/grp/agsec/Personen/Eckert/publiste.html,
Stand vom 24. Januar 2001.
- [4] United States Patent, Patent Nr.: US 62 43 468 B1 .
- [5] Pfitzmann, A., Pfitzmann, B., Schunter, M., Waidner, M.:
Trusting mobile user devices and security modules. IEEE Combuter,
Volume 30, Issue 2, Feb. 1997, Seiten 61–68.
- [6] Patentschrift der Bundesrepublik Deutschland, Patent Nr.: DE 42 42 151 C1 .
- [7] Rannenberg, K., Pfitzmann, A., Müller, G.: Sicherheit, insbesondere
mehrseitige IT-Sicherheit. Erschienen in Mehrseitige Sicherheit
in der Kommunikationstechnik, S. 21–29, Addison-Wessley, Bonn, 1997.