SmartCards und OTP-Token

Aus RMG-Wiki
< Benutzer:Deininger Matthias‎ | Facharbeit
Version vom 21. September 2010, 17:58 Uhr von Deininger Matthias (Diskussion | Beiträge)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu: Navigation, Suche

OTP-Token und die Challenge Response-Authentifizierung


Das Challenge-Response, also Herausforderung und Antwort, - Protokoll beruht allgemein darauf, dass der Server eine Challenge, also eine Zufallszahl an Alice versendet. Diese berechnet daraus eine Antwort (Response) und sendet diese anschließend an den Server zurück.

Als OTP-Token wird spezielle Hardware bezeichnet, mit deren Hilfe man sich gegenüber einem Server authentifizieren kann, OTP steht dabei für „One-Time-Password“.

Der OTP-Token RSA-SecurID verwendet die aktuelle Zeit auf die Minute genau als Challenge (Zufallszahl). Daraus berechnet der Token auf geheime Weise jede Minute aufs neue die aktuelle Response, die dann an den Server gesendet werden muss, um sich zu authentifizieren. Um bei Verlust des Tokens Missbrauch vorzubeugen, muss der Nutzer zusätzlich noch eine 4-stellige geheime Ziffernfolge zur Authentifikation eintippen.
Der Server vergleicht die Response mit seiner, und wenn die beiden übereinstimmen, so ist die Authentifizierung erfolgreich.

Bei der Authentifikation mittels asymmetrischer Verschlüsselung, verwendet der Server Alices öffentlichen Schlüssel, um die Challenge zu verschlüsseln. Das Ergebnis sendet er an Alice, diese entschlüsselt die Challenge mit ihrem privaten Schlüssel und sendet die unverschlüsselte Challenge als Response an den Server. Der Server überprüft darauf die Korrektheit der Challenge und authentifiziert Alice im positiven Fall. Soll die Kommunikation zwischen Server und Alice verschlüsselt werden, so überträgt der Server einen geheimen Schlüssel, mit dem die Kommunikation nachfolgend symmetrisch verschlüsselt wird. Bei der Übertragung wendet der Server natürlich wieder den öffentlichen Schlüssel von Alice, also das asymmetrische RSA-Verfahren, an.

Anwendungen:

Elektronischer Personalausweis/Reisepass/Dienstausweis/Krankenversicherungskarte (auch als elektronische Gesundheitskarte bezeichnet), auf deren Speicherchips ein privater Schlüssel gespeichert werden soll. Der gespeicherte private Schlüssel soll eine Challenge-Response Authentifikation möglich machen, um die Echtheit des Dokuments nachprüfen zu können. Elektronische Ausweise sind daher sehr schwer zu fälschen oder zu manipulieren. Ein RSA-Key von 2048 Bit soll dabei die Sicherheit gewähren.

<= zurück zum Lernpfad


<= zurück zur Übersicht