SecurID, jetzt bekannt als RSA SecurID, ist ein Mechanismus, der durch die Sicherheit Dynamik (später RSA Sicherheit und jetzt RSA, Die Sicherheit Abteilung von EMC) entwickelt ist, um Zwei-Faktoren-Beglaubigung für einen Benutzer zu einer Netzquelle durchzuführen.

Beschreibung

Der RSA Beglaubigungsmechanismus von SecurID besteht aus einem "Jeton" — jeder Hardware (z.B ein USB-Kopierschutzstecker) oder Software (ein weicher Jeton) — der einem Computerbenutzer zugeteilt wird, und der einen Beglaubigungscode an festen Zwischenräumen (gewöhnlich 60 Sekunden) das Verwenden einer eingebauten Uhr und des fabrikverschlüsselten zufälligen Schlüssels der Karte erzeugt (bekannt als der "Samen". Der Samen ist für jeden Jeton verschieden, und wird in den entsprechenden RSA Server von SecurID geladen (RSA Beglaubigungsbetriebsleiter, früher ASS/SERVER), weil die Jetons gekauft werden.

Die Scheinhardware wird entworfen, um gegen den Stampfer widerstandsfähig zu sein, um Rücktechnik abzuschrecken. Als Softwaredurchführungen desselben Algorithmus ("Softwarejetons") auf dem Markt erschienen sind, ist öffentlicher Code von der Sicherheitsgemeinschaft entwickelt worden, die einem Benutzer erlaubt, mit RSA SecurID in der Software wettzueifern, aber nur wenn sie Zugang zu einem aktuellen RSA Code von SecurID und die ursprüngliche RSA in den Server eingeführte Samen-Datei von SecurID haben. Im RSA Beglaubigungsschema von SecurID ist die Samen-Aufzeichnung der heimliche Schlüssel, der verwendet ist, um ehemalige Kennwörter zu erzeugen.

Neuere Versionen zeigen auch einen USB-Stecker, der dem Jeton erlaubt, als ein kluges einer Karte ähnliches Gerät verwendet zu werden, um Zertifikate sicher zu versorgen.

Ein Benutzer, der zu einer Netzquelle beglaubigt — sagt, ein Zifferblatt - im Server oder einer Brandmauer — muss sowohl in eine persönliche Kennnummer als auch in die Zahl eingehen, die in diesem Moment auf ihrem RSA Jeton von SecurID wird zeigt. Einige Systeme mit RSA ignorieren SecurID Durchführung der persönlichen Geheimzahl zusammen, und verlassen sich auf password/RSA Codekombinationen von SecurID. Der Server, der auch eine Realzeituhr und eine Datenbank von gültigen Karten mit den verbundenen Samen-Aufzeichnungen hat, schätzt das, welche Zahl der Jeton zu jenem Zeitpunkt, Kontrollen er dagegen zeigen soll, worin der Benutzer eingegangen ist, und die Entscheidung trifft, Zugang zu erlauben oder zu bestreiten.

Auf Systemen, die persönliche Geheimzahlen durchführen, kann eine "persönliche Zwang-Geheimzahl" — ein abwechselnder Code verwendet werden, der einen Sicherheitsereignis-Klotz schafft zeigend, dass ein Benutzer gezwungen wurde, in ihre persönliche Geheimzahl einzugehen, während er noch durchsichtige Beglaubigung zur Verfügung gestellt hat.

Während das RSA System von SecurID eine starke Schicht der Sicherheit zu einem Netz hinzufügt, kann Schwierigkeit vorkommen, wenn die Beglaubigungsserver-Uhr asynchron mit der Uhr wird, die in zu den Beglaubigungsjetons gebaut ist. Jedoch normalerweise korrigiert der RSA Beglaubigungsbetriebsleiter automatisch dafür, ohne den Benutzer zu betreffen. Es ist auch möglich, einen Jeton manuell im RSA Beglaubigungsbetriebsleiter wiederzusynchronisieren. Die Versorgung von Beglaubigungsjetons zu jedem, der eventuell auf eine Quelle zugreifen müsste, kann (ungefähr 15 $ pro Jahr + lizenzierende Kosten) besonders teuer sein, da Jetons programmiert werden, um in einer festen Zeit, gewöhnlich drei Jahren "abzulaufen", Kauf eines neuen Jetons verlangend.

RSA Sicherheit hat hervor eine Initiative genannt "Allgegenwärtige Beglaubigung" gestoßen, mit Gerät-Herstellern wie IronKey, SanDisk, Motorola, Freescale Halbleiter, Redcannon, Broadcom, und BlackBerry vereinigend, um die Software von SecurID in tägliche Geräte wie USB-Blitz-Laufwerke und Mobiltelefone einzubetten, um Kosten und die Zahl von Gegenständen zu reduzieren, die der Benutzer tragen muss.

Theoretische Verwundbarkeit

Die einfachste praktische Verwundbarkeit mit irgendwelchen Kennwort-Behältern verliert gerade das spezielle Schlüsselgerät oder das aktivierte kluge Telefon mit der einheitlichen Schlüsselfunktion. Solche Verwundbarkeit kann mit keinem einzelnen Scheinbehältergerät innerhalb der Voreinstellungsperiode der Aktivierung geheilt werden. Die ganze weitere Rücksicht wagt Verlust-Verhinderung, z.B durch die zusätzliche elektronische Leine oder den Körpersensor und die Warnung.

Während RSA Jetons von SecurID ein Niveau des Schutzes gegen Kennwort-Wiederholungsspiel-Angriffe anbieten, werden sie nicht entworfen, um Schutz gegen den Mann in den mittleren Typ-Angriffen anzubieten. Wenn der Angreifer schafft, den autorisierten Benutzer davon zu blockieren, bis den Server zu beglaubigen, bis der folgende Scheincode gültig sein wird, wird er im Stande sein, in zum Server zu loggen. RSA SecurID verhindert Mann im Browser (MitB) nicht, hat Angriffe gestützt.

Beglaubigungsserver von SecurID versucht, das Kennwort-Schnüffeln und die gleichzeitige Anmeldung durch das Neigen beider Beglaubigungsbitten zu verhindern, wenn zwei gültiger Ausweis innerhalb eines gegebenen Zeitrahmens präsentiert wird. Das ist in einem unnachgeprüften Posten von John G. Brainard dokumentiert worden. Wenn der Angreifer vom Benutzer die Fähigkeit entfernt, jedoch zu beglaubigen, wird der Server von SecurID annehmen, dass es der Benutzer ist, der wirklich beglaubigt und folglich die Beglaubigung des Angreifers durch erlauben wird. Unter diesem Angriffsmodell kann die Systemsicherheit mit Mechanismen der Verschlüsselung/Beglaubigung wie SSL verbessert werden.

Obwohl weiche Jetons günstiger sein können, zeigen Kritiker an, dass das gegen den Stampfer widerstandsfähige Eigentum von harten Jetons in weichen Scheindurchführungen unvergleichlich ist, die heimlichen Rekordschlüsseln des Samens potenziell erlauben konnten, kopiert zu werden, und Benutzerverkörperung, um vorzukommen.

Harte Jetons können andererseits physisch gestohlen (oder über die soziale Technik erworben werden) von Endbenutzern. Der kleine Form-Faktor macht harten Scheindiebstahl viel lebensfähiger als Abtastung des Laptops/Arbeitsfläche. Ein Benutzer wird normalerweise mehr als einen Tag vor dem Melden des Geräts als Vermisste warten, dem Angreifer viel Zeit gebend, um das ungeschützte System durchzubrechen.

Empfang und konkurrierende Produkte

Bezüglich 2003 RSA hat SecurID mehr als 70 % des Zwei-Faktoren-Beglaubigungsmarktes befohlen, und 25 Millionen Geräte sind bis heute erzeugt worden. Mehrere Mitbewerber, wie VASCO, machen ähnliche Sicherheitsjetons, die größtenteils auf dem offenen EID HOTP Standard gestützt sind. Eine Studie auf OTP, der von Gartner 2010 veröffentlicht ist, erwähnt EID und SecurID als die einzigen Mitbewerber.

Andere Netzbeglaubigungssysteme, wie OPIE und S/Key (manchmal mehr allgemein bekannt als OTP, weil S/Key eine Handelsmarke von Telcordia Technologies, früher Bellcore ist) versuchen, "etwas zur Verfügung zu stellen, was Sie" Niveau der Beglaubigung haben, ohne einen Hardware-Jeton zu verlangen.

Systemkompromiss im März 2011

Am 17. März 2011 hat RSA bekannt gegeben, dass sie Opfer "eines äußerst hoch entwickelten Cyber-Angriffs" gewesen waren. Sorgen wurden spezifisch in der Verweisung auf das System von SecurID ausgedrückt, sagend, dass "diese Information potenziell verwendet werden konnte, um die Wirksamkeit einer aktuellen Zwei-Faktoren-Beglaubigungsdurchführung zu reduzieren". Jedoch zeigt ihr formeller SEC 8K Vorlage an, dass sie nicht glauben, dass der Bruch ein "Material haben wird, wirken auf seine Finanzergebnisse ein". Der Bruch hat EMC, die Muttergesellschaft von RSA, $ 66.3 Millionen gekostet, die als eine Anklage gegen den zweiten Viertel-Ertrag, bedeckte Kosten genommen sind, um den Angriff zu untersuchen, seinen ES Systeme und Monitor-Transaktionen von korporativen Kunden, gemäß dem EMC Exekutivvizepräsidenten und Ersten Finanziellen Offizier David Goulden in einem Konferenzgespräch mit Analytikern zu härten.

Der Bruch ins Netz von RSA wurde von Hackern ausgeführt, die phishing E-Mails an zwei ins Visier genommene, kleine Gruppen von Angestellten von RSA gesandt haben. Beigefügt der E-Mail war eine Übertreffen Datei, die malware enthält. Als ein RSA Angestellter die Übertreffen Datei geöffnet hat, hat der malware eine Hintertür in Adobe Flash ausgenutzt. Die Großtat hat den Hackern erlaubt, Giftefeu-Fernverwaltungswerkzeug zu verwenden, um Kontrolle von Maschinen und Zugriffsservern im Netz von RSA zu gewinnen.

</p>

Es gibt einige Hinweise, dass der Bruch mit dem Diebstahl der Datenbank von RSA verbunden gewesen ist, die Scheinseriennummern zum heimlichen Jeton "Samen" kartografisch darstellt, die eingespritzt wurden, um jeden einzigartig zu machen. Berichte von RSA Managern, die Kunden sagen "sicherzustellen, dass sie die Seriennummern auf ihren Jetons schützen", leihen Vertrauenswürdigkeit zu dieser Hypothese.

In einer E-Mail am 21. März 2011 Kunden hat RSA im Wesentlichen zugegeben, dass die ihrem inneren Netz gestohlene Information einem Angreifer erlauben konnte, ein GeSecurID-schütztes System in Verlegenheit zu bringen, ohne physischen Besitz des Jetons zu haben:

Für die Sicherheit unserer Kunden veröffentlichen wir keine Zusatzinformation darüber, was genommen wurde. Es ist wichtiger, alle kritischen Bestandteile der RSA Lösung von SecurID zu verstehen.

Der Bruch ins Netz von RSA wurde von den Hackern ausgeführt, die phishing E-Mails an Angestellte von RSA senden. Beigefügt der E-Mail war eine Übertreffen Datei, die malware enthält. Als ein Angestellter die Übertreffen Datei geöffnet hat, hat der malware ein heimliches Sicherheitsloch in Adobe Flash ausgenutzt. Die Großtat hat den Hackern erlaubt, Giftefeu entferntes Zugriffswerkzeug zu verwenden, um Befehle an Servern an RSA zu ziehen und durchzuführen.

Um jede RSA Aufstellung von SecurID in Verlegenheit zu bringen, muss der Angreifer vielfache Information über den Jeton, den Kunden, die individuellen Benutzer und ihre persönlichen Geheimzahlen besitzen. Etwas von dieser Information wird durch RSA nie gehalten und wird nur vom Kunden kontrolliert. Um einen erfolgreichen Angriff zu organisieren, würde jemand Besitz dieser ganzen Information haben müssen.

Wenn er

eine tödliche Schwäche in der kryptografischen Durchführung des Scheincodegenerationsalgorithmus verriegelt (der unwahrscheinlich ist, da es die einfache und direkte Anwendung der umfassend geprüften AES-128-Block-Ziffer einschließt), ist der einzige Umstand, unter dem ein Angreifer einen erfolgreichen Angriff ohne physischen Besitz des Jetons organisieren konnte, wenn die Scheinsamen-Aufzeichnungen selbst durchgelassen worden waren. RSA hat festgestellt, dass er Details über das Ausmaß des Angriffs nicht veröffentlicht hat, um potenzielle Angreifer-Information nicht zu geben, die sie darin verwenden konnten sich zu belaufen, wie man das System angreift.

Am 6. Juni 2011 hat RSA Scheinersatz oder freie Sicherheitsmithördienstleistungen einigen seiner mehr als 30,000 Kunden von SecurID im Anschluss an einen versuchten Cyber-Bruch auf dem Verteidigungskunden Lockheed-Martin angeboten, der geschienen ist, mit der RSA gestohlenen Information von SecurID verbunden zu sein. Trotz des resultierenden Angriffs auf einen seiner Verteidigungskunden hat Firmenvorsitzender Art Coviello gesagt, dass "Wir glauben und noch glauben, dass die Kunden geschützt werden".

Resultierende Angriffe

Im April 2011 haben unbestätigte Gerüchte l-3 Kommunikationen zitiert, die als infolge des RSA-Kompromisses angreifen worden sind.

Im Mai 2011 wurde diese Information verwendet, um Systeme von Lockheed Martin anzugreifen. Jedoch behauptet Lockheed Martin, dass wegen "aggressiver Handlungen" durch die Informationssicherheitsmannschaft der Gesellschaft, "Wurden kein Kunde, Programm oder Mitarbeiterpersonalangaben" durch diesen "bedeutenden und zähen Angriff" in Verlegenheit gebracht. Die Abteilung der Heimatssicherheit und die US-Verteidigungsabteilung haben sich bereit erklärt zu helfen, das Spielraum des Angriffs zu bestimmen.

Außenverbindungen

Offizielle Website

Technische Details

• Beispielscheinemulator von SecurID mit dem Jeton Secret Import I.C.Wiener, Posten von Bugtraq.
• Offenbare Schwächen in der Sicherheit Dynamik Client-Server-Protokoll Adam Shostack, 1996.
• Usenet-Faden, neue Details von SecurID Vin McLellan besprechend, u. a. comp.security.misc.
• Inoffizielle Information von SecurID und etwas Rücktechnik versuchen Securid-Benutzer von Yahoo Groups.
• Die Analyse von möglichen Gefahren von 2011 bringt in Verlegenheit
• Das Verstehen des Einflusses des RSA Bruchs von SecurID (2011)

Veröffentlichte Angriffe gegen das Kuddelmuddel von SecurID fungieren

• Cryptanalysis der angeblichen Kuddelmuddel-Funktion von SecurID (PDF) Alex Biryukov, Joseph Lano und Bart Preneel.
• Verbesserter Cryptanalysis von SecurID (PDF) Scott Contini und Yin von Yiqun Lisa.
• Schnell softwaregestützte Angriffe auf SecurID (PDF) Scott Contini und Yin von Yiqun Lisa.