Neue Technologie zur fälschungssicheren Endgeräte-Authentifizierung auf TPM-Basis!

Berlin, 25.02.2010. Die mikado soft gmbh zeigt auf der CeBIT 2010 erstmalig einen neuen Ansatz zur fälschungssicheren Authentifizierung von Endgeräten im Netzwerk. Der Identitätsnachweis des Endgeräts erfolgt anhand des TPM-Sicherheitschips, der in der Mehrzahl der professionellen Computersysteme eingebaut ist. Im Rahmen eines aus Mitteln des Landes Berlin sowie aus EPRE-Mitteln geförderten Forschungsprojektes wurde in Kooperation mit der Fachhochschule Hannover das Netzwerkzugangssystem macmon um diese Hochsicherheitskomponente erweitert. Diese bietet auf Grundlage der Standards der Trusted Computing Group und des IEEE802.1X-Verfahren einen kostengünstigen und starken Schutz von Unternehmensnetzwerken gegen unbefugten Zugriff.

Die Authentifizierung von Endgeräten im Netzwerk erfolgt heute mit den gängigen Verfahren MAC-Adresse Überprüfung, Fingerprint, oder bei Einsatz des Standards 802.1X über ein Zertifikat basiertes System. Jeder dieser aktuellen Ansätze bietet einen guten bis sehr guten Grundschutz, allerdings sind diese Verfahren nicht fälschungssicher. Jüngste Angriffe haben gezeigt, dass die Abwehrmechanismen erweitert werden müssen, denn alle aktuellen Verfahren sind softwarebasiert und können auf dem Gerät eines Angreifers überwunden werden.

Ausgangspunkt des im Rahmen des Forschungsprojektes entwickelten Verfahrens sind die  „Trusted Platform Module“, TPM. Diese werden bereits von nahezu allen namhaften PC- und Notebook-Herstellern in den Produktreihen für professionelle Anwendungen  eingebaut. Es handelt sich hier um eine fest mit dem Motherboard verbundene, auch gegen Hardwareangriffe geschützte Signierungsinstanz. Der TPM–Chip enthält einen eindeutigen kryptografischen Schlüssel, um die sichere Identifizierung des Rechners zu ermöglichen, die sogenannte „Platform Authentication“. Er unterstützt ein über Prüfsummen erzeugtes Protokoll beim Ladevorgang des Betriebssystems, um seine Integrität zu validieren („Integrity Measurement“).

Mit der Produkt-Option macmon TP wird eine Clientkomponente angeboten, welche die Initialisierung der TPM-Chips und auch die Signierung von Zufallswerten mit dem TPM-Chip ausführt. Die Serverkomponente übernimmt sowohl die Verwaltung der öffentlichen Schlüssel als auch die Validierung.

Im nächsten Entwicklungsschritt ist das Management der Signing Keys in macmon–TP geplant. Damit kann eine Identifizierung der Geräte unabhängig vom Betriebssystem und ohne das Ausbringen von Schlüsseln erfolgen. Nach Wunsch wird die Technologie selbstverständlich in eine 802.1X-Infrastruktur voll integriert.

Mit macmon können so in einem Unternehmensnetz verschiedene Verteidigungslinien entlang differenzierter Sicherheitsanforderungen umgesetzt werden: Authentifizierung über MAC-Adressen, Zertifikate und Fingerprints bis nun auch zur hardwarebasierten Signatur.

Die mikado soft gmbh wird das Verfahren erstmals auf der CeBIT 2010 vorstellen. Sie finden uns auf der "Security Plaza" des Heise Verlags in der Halle 11, Stand D12.