Authentifikation in IT5D
Wie im Link "Authentifikation" beschrieben, beinhaltet die IT5D-Technologie die Echtheitsprüfung, die Beglaubigung und die Echtheitsbestätigung. Dies bezieht sich nicht nur auf Personen, Geräte sondern auch auf Daten.
Wie gezeigt, erfolgt nach einer Geräte-Person-zugeordneten Belehrungsphase die Echtheitsprüfung der Gerät-zugeordneten Person durch das Person-zugeordnete Gerät. Je nach Anwendungsfall kann das Person-zugeordnete Gerät ein Sicherheit-Stick (SSK), ein sicheres Headset (SeTec) oder ein anderes Gerät sein.
Betrachtet man eine P2P-Kommunikation, so sind mehrere Authentifikationen zwingende Notwendigkeiten zur Gewährleistung der IT-Sicherheit.
Zum einen muss jede Person auf Echtheit geprüft werden. Zum anderen muss die Echtheit der Person gegenüber bestätigt sein.
Um die beiden Echtheitsprüfungen zu unterscheiden, werden die Begriffe Authentisierung und Authentifizierung je einer Echtheitsprüfung zu geordnet.
So charakterisiert der Begriff "Authentisierung" die eigene Echtheitsprüfung durch das Person-zugeordnete Gerät.
Der Begriff "Authentifizierung" steht dann für die Echtheitsprüfung des Gegenübers von dem Gegenüber.
Echtheitsprüfung einer Person
Die Authentisierung einer Person erfolgt mit Hilfe von PIN-Eingaben und/oder biometrischen Merkmalen durch das Person-zugeordnete Gerät. Nach Kauf z. B. eines Sicherheit-Sticks (SSK) erhält der Käufer das Gerät und zusätzlich Personalisierungs-Utensilien. Das SSK dient zum einen als Personaldokument und Kontrollgerät in einem. Zum anderen kann er für den Ressourcen-Zugriff bzw. Ressourcen-Zugang sowie für die IT5D-OTP-Verschlüsselung verwendet werden.
Belehrung
In einem Belehrungsprozess wird der SSK der Person zugeordnet. Wesentliches im Belehrungsprozess sind die einfachen geführten Handlungen von SD- Karten stecken/entnehmen und PIN-Eingabe und/oder das Einlesen der biometrischen Daten.
In übertragenem Sinne werden im Belehrungsprozess die Person, die SD-Karten und das Gerät miteinander verheiratet.
Dieser Verbund ist ein Mosaikstein zur Gewährleistung von nicht manipulierbaren Authentifikationen.
Der Belehrungsprozess wird durch den eigen ausgeführten Beglaubigungsprozess, der ein Daten-Schreiben auf den SD-Karten beinhaltet, beendet.
Um Datenmanipulationen auf den SD-Karten zu verhindern, sind die Daten nach dem Verfahren zum Schutz von Datengeheimnissen in Speichern [1] als Bit-Salat gespeichert.
Die gespeicherten Daten ermöglichen den Ersatz defekter Geräte und das Management bei Verlust oder Diebstahl des Person-zugeordneten Gerätes sowie das Passwortmanagement.
Die SD-Karten sollten an einem sicheren Ort aufbewahrt werden bis das Person-zugeordnete Gerät zum Stecken mindestens einer SD-Karte auffordert. Die Aufforderung erfolgt nach zufallsbestimmtem Zeitabschnitten, die durch das Person-zugeordnete Gerät bestimmt werden. Die eingebaute Handlungsweise dient als weitere Maßnahme zur Unterbindung des Missbrauchs bei Diebstahl.
Säulen der Authentisierung
Die Authentisierung stützt sich somit auf die Säulen Besitz, Wissen und Zufall. Um sich Authentisieren zu können, muss das Person-zugeordnete Gerät und die Personalisierung-SD-Karten in seinem Besitz sein. Des Weiteren müssen das Zufalls-Wissen, die Belehrungsprozessdaten in den Geräten und auf den SD-Karten sowie die PINs oder die biometrischen Merkmale der Person vorliegen.
Echtheitsprüfung des Gegenübers
Die Authentifizierung des Gegenübers von dem Gegenüber wird nach dem Verfahren zur Authentifizierung von Personen und Einheiten [2] ausgeführt.
Grundlagen dieses Verfahrens sind die HROTP-Verschlüsselung, öffentliche und beglaubigte geheime Person-kennzeichnende und Geräte-kennzeichnende Daten.
Beglaubigung
Während des Beglaubigungsprozesses werden öffentliche Person-kennzeichnende Daten wie z. B. Geburtsdaten, Namen, Anschrift durch mindestens einem, in dem jeweiligen Schutzraum des Person-zugeordneten Gerätes, integrierten Mikrocontroller in geheime Person-kennzeichnende Daten transformiert.
Mit Abschluss des Beglaubigungsprozesses werden die geheimen Person-kennzeichnenden Daten beglaubigt und zufallsbestimmt in einem Speicher irgendwo im Schutzraum des Person-zugeordneten Gerätes gespeichert. [3]
Echtheitsprüfung des Gegenübers anhand seiner eigenen Echtheit
Bei einer P2P-Kommunikation ist beim Absender der Adressat, d. h. der Gegenüber nur über die öffentlichen Person-kennzeichnenden Daten bekannt. Der Absender ist aber durch die beglaubigten Daten im Person-zugeordneten Gerät gekennzeichnet.
In Bezug auf die unteren Hierarchie-Ebenen E0 bis E4 der separaten globalen Säule der HROTP-Verschlüsselung werden aus den öffentlichen Person-kennzeichnenden Daten des Adressaten geheime öffentliche Adressatendaten.
Durch den Bezug eines Teiles dieser geheimen öffentlichen Daten auf Teile der beglaubigten geheimen Person-kennzeichnenden Daten des Absenders und den inversen Bezug der anderen Teile zueinander ist es beim Adressaten möglich die Echtheit des Gegenübers (Absender) zu prüfen.
Dies erfolgt anhand der, im Person-zugeordneten Gerät des Adressaten gespeicherten, geheimen und beglaubigten Daten des Adressaten.
Der Absender kann durch das Verfahren der Authentisierung und Authentifizierung von Personen und Einheiten sicher sein, dass nur der wirkliche Adressat die Absender-Echtheit anhand der beglaubigten und nach außen geheimen Adressaten-Daten prüfen kann. Wenn er sich erkennt, so ist auch der Gegenüber erkannt. [2, 4, 5]
1. Prinzip der Authentifizierung
Figur "1. Prinzip der Authentifizierung" zeigt diesen Sachbezug in Form einer Metapher. Da ich als Absender es bin, bist du es als Adressat. Der Adressat prüft die Daten und erkennt sich, d. h. weil ich es bin als Adressat, bist du es als Absender.
2. Prinzip der Authentifizierung
Eine weitere Modifikation des Verfahrens zur Authentisierung und Authentifizierung zeigt Figur "2. Prinzip der Authentifikation". Dargestellt ist ein Fernzugriff auf industrielle Router durch einen Servicetechniker...weiterlesen
3. Prinzip --> G2G-Authentifizierung
Bei der Geräte-Geräte-Authentifikation der IT5D-Technologie nutzt man den Grundgedanken, dass Kommunikationen von Menschen konzipiert werden. Dies trifft auch zu, wenn intelligente Maschinen oder Programme von sich aus Daten in die Cyberwelt setzen, so wie es in den aktuellen Diskussionen zu Fake News durch Software-Roboter oder Software-Agenten der Fall ist.
IT5D setzt bei der Geräte-Geräte-Kommunikation zum einen auf Geräte-kennzeichnende Daten wie z. B. MAC-Adresse und auf Person-kennzeichnende Daten der geräteinrichtenden Person.
Die MAC-Adresse (Media-Access-Control-Adresse) ist eine weltweit einmalige Hardware-Adresse eines einzelnen Netzwerkadapters. Im Ethernet-Übertragungsprotokoll nach IEEEE 802.3 werden die MAC-Adressen des Empfangs-Netzadapters und des sendenden Netzadapter öffentlich als Ziel- und Quell-Adresse folgend auf einer Präambel übertragen. Die MACs sind somit öffentlich und werden demzufolge als öffentliche Geräte-kennzeichnende Daten verwendet.
weiterlesen...
[1] | Rozek, W., Prof. Dr.: Verfahren und Anordnung zum Schutz von Datengeheimnissen in Speicher. DE102012004780 |
[2] | Rozek, Jan; Rozek, Th.; Rozek, W., Prof. Dr.: Verfahren zur Authentisierung und Authentifizierung von Personen und Einheiten. DE102008010788B4 |
[3] | Verfahren zum IT-Schutz sicherheitsrelevanter Daten und ihrer Verarbeitung . DE102013014587 |
[4] | Rozek, W. Prof. Dr.; Rozek, Th.; Rozek, J.: Verfahren zur unmanipulierbaren, abhörsicheren und nicht hackbaren P2P-Kommunikation in Mehrteilnehmernetze. DE102008010794B3 |
[5] | Rozek, w.; Rozek, J.: IT-Security in 5D. Space + Time + Random. SHAKER Verlag, ISBN 978-3-8322-9737-4 |
