dom/Ausarbeitung_Informationssicherheit_II
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

fix: improve clarity and formatting in Web Authentication and Trusted Platform Module sections

Browse Source
This commit is contained in:
Dominik
2025-07-17 10:59:54 +02:00
parent b38aad023c
commit 99e4922449
1 changed files with 18 additions and 3 deletions
Download Patch File Download Diff File Expand all files Collapse all files

21
content/4 FIDO2/content.tex
View File

@@ -13,10 +13,10 @@ Das Client-to-Authenticator Protocol kurz CTAP, ist ein Protokoll, welches die K
\subsubsection{Web Authentication}\label{subsubsec:web-authentication} \subsubsection{Web Authentication}\label{subsubsec:web-authentication}
In Zusammenarbeit der FIDO-Alliance und dem WWW-Consortium wurde die Web Authentication (WebAuthn) entwickelt. Sie hatten das Ziel einen Standard zu schaffen, welcher Phishing-Angriffe verhindert. WebAuthn wurde im März 2019 als offizieller Webstandard anerkannt und wird von den meisten Browsern, zur Anmeldung bei webbasierten Diensten, unterstützt. Der Unterschied zwischen dem FIDO2-Standard und WebAuthn liegt darin, dass WebAuthn zustäzlich zum privaten Schlüssel, auch die korrekte Domain des Dienstes im Endgerät speichert und miteinander verknüpft. Dies schränkt die Nutzung des Schlüssel auf die konkrete Domain ein, wodurch Man-in-the-Middle-Angriffe ausgehebelt werden. (vgl.\:\cite{kebschull2023}, S.\,150\:f.) In Zusammenarbeit der FIDO-Alliance und dem WWW-Consortium wurde die Web Authentication (WebAuthn) entwickelt. Sie hatten das Ziel einen Standard zu schaffen, welcher Phishing-Angriffe verhindert. WebAuthn wurde im März 2019 als offizieller Webstandard anerkannt und wird von den meisten Browsern, zur Anmeldung bei webbasierten Diensten, unterstützt. Der Unterschied zwischen dem FIDO2-Standard und WebAuthn liegt darin, dass WebAuthn zusätzlich zum privaten Schlüssel, auch die korrekte Domain des Dienstes im Endgerät speichert und miteinander verknüpft. Dies schränkt die Nutzung des Schlüssels auf die konkrete Domain ein, wodurch Man-in-the-Middle-Angriffe ausgehebelt werden. (vgl.\:\cite{kebschull2023}, S.\,150\:f.)
%(vgl.\:\cite{kebschull2023}, S.\,150--152) %(vgl.\:\cite{kebschull2023}, S.\,150--152)
Beim WebAuthn ist genauso wie beim FIDO2-Standard in Registrierungs- und Anmeldeprozess zu unterscheiden. In \autoref{fig:webauthn-registrierung} ist der Registrierungsprozess dargestellt.
\begin{figure}[H] \begin{figure}[H]
\centering \centering
@@ -25,6 +25,9 @@ In Zusammenarbeit der FIDO-Alliance und dem WWW-Consortium wurde die Web Authent
\label{fig:webauthn-registrierung} \label{fig:webauthn-registrierung}
\end{figure} \end{figure}
Im ersten Schritt der Registrierung wird die Webseite des Webdienstes aufgerufen (1). Voraussetzung für die Nutzung von WebAuthn ist, dass der Webdienst diesen auch als Authentifizierungsmethode anbietet. Nach der Auswahl der WebAuthn-Authentifizierungsmethode, wird das zu verschlüsselnde Datenwort (Challenge) mit dem Benutzernamen an den Client zurückgesendet (2). Die erhaltenden Daten werden mit der Domain des Webdienstes an den Authentifikator geben (3). Dieser erstellte eine dazugehörige ID, den privaten und öffentlichen Schlüssel und speichert diese auf dem Gerät. Im Anschluss wird die Challenge mit dem privaten Schlüssel verschlüsselt. Die verschlüsselte Challenge wird zusammen mit der ID und dem öffentlichen Schlüssel zurückgesendet (4). Der Client leitet die Daten an den Webdienst weiter (5) und schließt damit die Registrierung ab.
Der Anmeldeprozess ist in der folgenden \autoref{fig:webauthn-anmeldung} dargestellt.
\begin{figure}[H] \begin{figure}[H]
\centering \centering
@@ -33,13 +36,25 @@ In Zusammenarbeit der FIDO-Alliance und dem WWW-Consortium wurde die Web Authent
\label{fig:webauthn-anmeldung} \label{fig:webauthn-anmeldung}
\end{figure} \end{figure}
Für die Anmeldung muss der Benutzer sich mit dem gleichen Sicherheitsverfahren gegenüber dem Browser authentifizieren. Darauf folgend wird über das FIDO2-Protokoll die passwortlose Anmeldung zwischen dem Browser und dem Dienst durchgeführt.
Die Vorteile der Nutzung von Webauthn sind:
\begin{itemize}
\item Erhöhung der Sicherheit und des Komforts, da zu keinem Zeitpunkt Passwörter übertragen werden müssen
\item Es ist nicht mehr notwendig, Passwörter zu merken oder zu verwalten
\item Jeder Webdienst erhält einen spezifischen Zugang und dieser kann somit nicht über verschiedene Dienste hinweg zugeordnet werden
\item Ist ein wirksames Mittel gegen Man-in-the-Middle-Angriffe
\item Die Sicherheit von WebAuthn kann durch die zusätzliche Verwendung eines USB-Tokens erhöht werden
\end{itemize}
(vgl.\:\cite{kebschull2023}, S.\,151)
\subsubsection{Trusted Platform Module}\label{subsubsec:trusted-platform-module} \subsubsection{Trusted Platform Module}\label{subsubsec:trusted-platform-module}
Auf dem Mainboard moderner Computers ist häufig das sogenannte Trusted Platform Module (TPM) verbaut. Es dient zur Sicherung der Hardware mit integrierten kryptografischen Schlüsseln und hilft zusätzlich dabei die Identität eines Benutzers nachzuweisen und das Gerät zu authentifizieren. Außerdem trägt es zur Sicherheit vor Bedrohungen wie Firmware- und Ransomware-Angriffen bei und bietet die Funktion Passwörter, Zertifikate und Verschlüsselungsschlüssel zu speichern. Alle gängigen Betriebssysteme unterstützen TPM\@. Eine Kombination mit weiteren Sicherheitstechnologien kann die Funktionalität von TPM verbessern. Technologien wie Firewalls, Antivirus-Software, Smartcards und biometrische Überprüfung sind Beispiele dafür. Auf dem Mainboard moderner Computers ist häufig das sogenannte Trusted Platform Module (TPM) verbaut. Es dient zur Sicherung der Hardware mit integrierten kryptografischen Schlüsseln und hilft zusätzlich dabei die Identität eines Benutzers nachzuweisen und das Gerät zu authentifizieren. Außerdem trägt es zur Sicherheit vor Bedrohungen wie Firmware- und Ransomware-Angriffen bei und bietet die Funktion Passwörter, Zertifikate und Verschlüsselungsschlüssel zu speichern. Alle gängigen Betriebssysteme unterstützen TPM\@. Eine Kombination mit weiteren Sicherheitstechnologien kann die Funktionalität von TPM verbessern. Technologien wie Firewalls, Antivirus-Software, Smartcards und biometrische Überprüfung sind Beispiele dafür.
In jedem TPM-Chip ist ein RSA-Schlüsselpaar gespeichert, mit der Bezeichnung Endorsement Key (EK). Das Schlüsselpaar wird ausschließlich innerhalb des TPM-Chips verwaltet und kann von keiner Software aufgerufen werden. Übernimmt ein Administrator oder ein Benutzer den Besitz eines Systems, so wird auf der Basis des EK und das Passwort vom Eigentümer der Storage Root Key generiert. In jedem TPM-Chip ist ein RSA-Schlüsselpaar gespeichert, mit der Bezeichnung Endorsement Key (EK). Das Schlüsselpaar wird ausschließlich innerhalb des TPM-Chips verwaltet und kann von keiner Software aufgerufen werden. Übernimmt ein Administrator oder ein Benutzer den Besitz eines Systems, so wird auf der Basis des EK und das Passwort vom Eigentümer der Storage Root Key generiert.
Ein weiterer Schlüssel, der im TPM-Chip gespeichert ist, ist der Attestation Identity Key(AIK). Dieser ist zum Schutz des Gerätes vor nicht autorisierter Firmware- und Softwareänderungen. Zur überprüfung werden vor der Ausführung der Software oder Firmware kritische Abschnitte gehasht. Baut das System dann eine Netzwerkverbindung auf, so wird der Hashwert an einen Server gesendet. Werden bei der Überprüfung der Hashwerte Abweichungen an den geänderten Komponenten festgestellt, so erhält das System keinen Zugriff auf das Netzwerk. Ein weiterer Schlüssel, der im TPM-Chip gespeichert ist, ist der Attestation Identity Key (AIK). Dieser ist zum Schutz des Gerätes vor nicht autorisierter Firmware- und Softwareänderungen. Zur überprüfung werden vor der Ausführung der Software oder Firmware kritische Abschnitte gehasht. Baut das System dann eine Netzwerkverbindung auf, so wird der Hashwert an einen Server gesendet. Werden bei der Überprüfung der Hashwerte Abweichungen an den geänderten Komponenten festgestellt, so erhält das System keinen Zugriff auf das Netzwerk.
TPM kann auf fünf verschiedenen Arten implementiert werden. Die verschiedenen Arten sind: TPM kann auf fünf verschiedenen Arten implementiert werden. Die verschiedenen Arten sind:
\begin{itemize} \begin{itemize}