von Redaktion IT-A…
Lesezeit
2 Minuten
Sicherer Netzwerkzugang durch TPM-Chips
Die Authentifizierung der im Netzwerk betriebenen Endgeräte bietet einen wirksamen Schutz vor externen Angriffen. Gängige Verfahren sind die Identifikation über die MAC-Adresse oder der Einsatz von Zertifikaten. Diese Methoden versprechen einen guten Grundschutz, sind allerdings nicht völlig fälschungssicher. Lesen Sie in unserem Fachartikel, wie Sie mit einem Trusted Platform Module für eine zuverlässige Authentifizierung im Netzwerk sorgen und was beim Management des TPM-Chips zu beachten ist.
Die Quote der Angriffe durch Cyberkriminelle auf die Unternehmensnetzwerke und der Datendiebstahl haben sich in den letzten Jahren enorm erhöht. Ein wirksamer Schutz vor solchen Angriffen bietet eine Authentifizierung der im Netzwerk betriebenen Endgeräte mittels MAC-Adresse, Protokoll- (Footprints) oder Geräte-Profilen (Fingerprint). Beim Einsatz des Standards 802.1X kommen zudem auch Anmeldeinformationen oder Zertifikate in Frage. Alle diese Verfahren beruhen jedoch auf fälschbaren oder kopierbaren Informationen und können auf dem Gerät eines Angreifers überwunden werden.
Fälschungssicherer TPM Chip
Eine fälschungssichere Methode, um ein Netzwerk zu schützen, ist die Nutzung des TPM-Chips. Das "Trusted Platform Module" (TPM) bildet die Basis der Sicherheitskonzepte der Trusted Computing Group, eine Non-Profit-Organisation von Firmen, die offene, herstellerneutrale Industriestandards für das Trusted Computing entwickelt. TPM-Chips werden bereits von allen namhaften PC-und Notebook-Herstellern in den Produktreihen für professionelle Anwender eingebaut. Es handelt sich dabei um eine fest mit dem Motherboard verbundene, auch gegen Hardwareangriffe geschützte Signierungsinstanz. Der TPM-Chip enthält einen eindeutigen kryptografischen Schlüssel, womit die sichere Identifizierung eines Rechners, die sogenannte "Platform Authentication", ermöglicht wird. Darüber hinaus unterstützt der TPM-Chip ein über Prüfsummen erzeugtes Protokoll um bereits beim Ladevorgang des Betriebssystems die Integrität der Betriebssoftware zu validieren (Integrity Measurement).
Eindeutige und zuverlässige Authentifizierung im Netzwerk
Die Funktionen des TPM-Chips können zum einen für die Initialisierung und zum anderen für die Endgeräte-Authentifizierung durch Signierung von Zufallswerten genutzt werden. Diverse Hersteller machen sich dies zu Nutzen. So bietet etwa Infineon als Hersteller der Chips eine Software zu dessen Verwaltung an. Auch die Firma Wave Systems stellt umfassende Client- und Serversoftware bereit, die auf allen TPM-Chips läuft. Am bekanntesten dürfte jedoch die seit Windows Vista und Server 2008 von Microsoft ins Betriebssystem integrierte Verschlüsselungstool BitLocker sein. Eine weitere Lösung ist macmon TP von mikado soft, das sowohl die Verwaltung der öffentlichen Schlüssel als auch die Validierung automatisiert übernehmen kann.
Damit das TPM beliebige Daten signieren kann, erzeugt etwa macmon TP einen non-migratable Signing Key (2048-Bit RSA). Dieses asymmetrische Schlüsselpaar – vom Hersteller macmon Key (MM-Key) genannt – kommt zum Signieren von Prüfpaketen zum Einsatz. Non-Migratable bedeutet in diesem Fall, dass sich der so erzeugte Schlüssel nur in Verbindung mit diesem TPM-Chip nutzen lässt. So wird sichergestellt, dass nur ein TPM Zugriff auf den privaten Schlüsselteil erhält. Der öffentliche Schlüsselteil kann normal exportiert werden. Damit nicht jede Applikation Daten signieren kann, besteht die Möglichkeit, den Schlüssel zusätzlich mit einem Passwort zu schützen.
Um ein Gerät eindeutig zu identifizieren, muss die Software den öffentlichen MM-Key kennen, mit dem die Signatur angefertigt wird. Die Software speichert aus diesem Grund für alle Geräte, die sich fälschungssicher im Netz identifizieren sollen, den Public MM-Key in einer Datenbank. Es wird keine Public Key Infrastructure (PKI) benötigt. Die Anforderungen an die Sicherheit des Servers sind in keiner Weise mit den extrem hohen Sicherheitsanforderungen an die Zertifizierungsstelle einer CA (Certification Authority) vergleichbar. Der Diebstahl der MM-Keys durch einen Angreifer ist folgenlos, da das Verfahren nur in Verbindung mit den richtigen Endgeräten funktioniert. Der MM-Key wird beim ersten Kontakt mit dem Server erzeugt und in der Datenbank gespeichert.
Die für den Zugang zum Netz notwendigen Authentisierungsschritte können Sie Bild 1 entnehmen:
ln/Wolfgang Dürr, Geschäftsführer mikado soft GmbH
Fälschungssicherer TPM Chip
Eine fälschungssichere Methode, um ein Netzwerk zu schützen, ist die Nutzung des TPM-Chips. Das "Trusted Platform Module" (TPM) bildet die Basis der Sicherheitskonzepte der Trusted Computing Group, eine Non-Profit-Organisation von Firmen, die offene, herstellerneutrale Industriestandards für das Trusted Computing entwickelt. TPM-Chips werden bereits von allen namhaften PC-und Notebook-Herstellern in den Produktreihen für professionelle Anwender eingebaut. Es handelt sich dabei um eine fest mit dem Motherboard verbundene, auch gegen Hardwareangriffe geschützte Signierungsinstanz. Der TPM-Chip enthält einen eindeutigen kryptografischen Schlüssel, womit die sichere Identifizierung eines Rechners, die sogenannte "Platform Authentication", ermöglicht wird. Darüber hinaus unterstützt der TPM-Chip ein über Prüfsummen erzeugtes Protokoll um bereits beim Ladevorgang des Betriebssystems die Integrität der Betriebssoftware zu validieren (Integrity Measurement).
Eindeutige und zuverlässige Authentifizierung im Netzwerk
Die Funktionen des TPM-Chips können zum einen für die Initialisierung und zum anderen für die Endgeräte-Authentifizierung durch Signierung von Zufallswerten genutzt werden. Diverse Hersteller machen sich dies zu Nutzen. So bietet etwa Infineon als Hersteller der Chips eine Software zu dessen Verwaltung an. Auch die Firma Wave Systems stellt umfassende Client- und Serversoftware bereit, die auf allen TPM-Chips läuft. Am bekanntesten dürfte jedoch die seit Windows Vista und Server 2008 von Microsoft ins Betriebssystem integrierte Verschlüsselungstool BitLocker sein. Eine weitere Lösung ist macmon TP von mikado soft, das sowohl die Verwaltung der öffentlichen Schlüssel als auch die Validierung automatisiert übernehmen kann.
Damit das TPM beliebige Daten signieren kann, erzeugt etwa macmon TP einen non-migratable Signing Key (2048-Bit RSA). Dieses asymmetrische Schlüsselpaar – vom Hersteller macmon Key (MM-Key) genannt – kommt zum Signieren von Prüfpaketen zum Einsatz. Non-Migratable bedeutet in diesem Fall, dass sich der so erzeugte Schlüssel nur in Verbindung mit diesem TPM-Chip nutzen lässt. So wird sichergestellt, dass nur ein TPM Zugriff auf den privaten Schlüsselteil erhält. Der öffentliche Schlüsselteil kann normal exportiert werden. Damit nicht jede Applikation Daten signieren kann, besteht die Möglichkeit, den Schlüssel zusätzlich mit einem Passwort zu schützen.
Um ein Gerät eindeutig zu identifizieren, muss die Software den öffentlichen MM-Key kennen, mit dem die Signatur angefertigt wird. Die Software speichert aus diesem Grund für alle Geräte, die sich fälschungssicher im Netz identifizieren sollen, den Public MM-Key in einer Datenbank. Es wird keine Public Key Infrastructure (PKI) benötigt. Die Anforderungen an die Sicherheit des Servers sind in keiner Weise mit den extrem hohen Sicherheitsanforderungen an die Zertifizierungsstelle einer CA (Certification Authority) vergleichbar. Der Diebstahl der MM-Keys durch einen Angreifer ist folgenlos, da das Verfahren nur in Verbindung mit den richtigen Endgeräten funktioniert. Der MM-Key wird beim ersten Kontakt mit dem Server erzeugt und in der Datenbank gespeichert.
Die für den Zugang zum Netz notwendigen Authentisierungsschritte können Sie Bild 1 entnehmen:
- Der macmon-Server schickt den privaten MM-Key aus der Datenbank zum Agenten.
- Der macmon-Server erzeugt eine zufällige Zahl (Nonce) und sendet sie ebenfalls zum Agenten.
- Der Agent signiert die Nonce mit dem privaten MM-Key und sendet die signierte Nonce zum macmon Server zurück.
- Der macmon Server lädt den öffentlichen MM-Key aus der Datenbank.
- Die Signatur wird mit Hilfe des öffentlichen MM-Key überprüft.
Seite 1 von 2 Nächste Seite>>
ln/Wolfgang Dürr, Geschäftsführer mikado soft GmbH
