Hardware-Crypto-Token gestütztes Single Sign-On für zertifikatsbasierte Authentifizierung

Abstract

Der Vorgang der Authentifizierung dient der Überprüfung einer behaupteten Identität und ist eine Voraussetzung für die Wahrung von Informationssicherheit. Häufig werden zur Authentifizierung Verfahren auf Basis von geheimen Wissen eingesetzt, deren Schwachpunkte insbesondere beim Einsatz durch unerfahrene Nutzer zum Tragen kommen. Diese Arbeit beschäftigt sich mit einer alternativen Methode der Nutzerauthentifizierung auf Basis von Public-Key-Verfahren in Verbindung mit persönlichen Zertifikaten. Zur besseren Sicherung der zugehörigen Schlüssel werden diese auf Hardware-Crypto-Token abgelegt. Diese Form der Aufbewahrung des privaten Authentisierungsmerkmals bietet einen wesentlich besseren Schutz gegen Entwendung und Missbrauch. Der zusätzliche Aufwand bei Verwendung von Hardware-Token wird durch vereinfachte Anwendung während der Authentifizierung kompensiert. Dazu wurde in der vorliegenden Arbeit ein Verfahren entwickelt, welches Single Sign-On mit Hardware-Token auf Basis der frei verfügbaren und allgemein akzeptierten PKCS#11 Crypto-API ermöglicht. Die Verwendung von PKCS#11 gewährleistet die Unabhängigkeit von speziellen Hardware-Token und Herstellern. Einfache Anwendbarkeit der entwickelten Lösung in Kombination mit dem erzielten Sicherheitsgewinn sind Gründe für den Einsatz des Verfahrens an Universitäten und anderen Einrichtungen mit heterogener Anwenderstruktur. Die praktische Nutzbarkeit wurde in einer Testimplementierung anhand einer breiten Palette aktuell verfügbarer Applikationen belegt.