Zweistufige Authentifizierung, insbesondere in Form von Smartcards, ist der nächste logische Schritt zur Verbesserung der Computersicherheit. Eine zweistufige Authentifizierung hinkt jedoch bei den meisten Computern aufgrund der mangelnden Unterstützung durch das Betriebssystem hintenach. Windows 7 macht aber die Verwendung von Smartcards viel einfacher.
Die zweistufige Authentifizierung wird im Allgemeinen wie folgt beschrieben: „Etwas, was du hast und etwas, was du weißt.“ Für einen Zugriff auf Ressourcen muss ein Anwender Beides haben.
Die bekannteste Art zweistufiger Authentifizierungen sind die Geldautomatkarten. Wer einen Geldautomaten verwenden will, muss seine Geldautomatkarte einstecken und eine persönliche Identifizierungsnummer (PIN) eingeben, die gleichzeitig als Passwort dient. Man braucht also Beides, um eine Transaktion durchzuführen: Die Karte und die PIN.
Obwohl es Smartcards für den physischen Zugriff seit Jahren gibt und sie auch für Computer bereits ebenso lange eingesetzt werden, verhinderten ihre vielen Schattenseiten eine großflächige Implementierung als Authentifizierung für Computer.
Die größte Akzeptanzhürde bei der Installation eines Smartcardsystems auf einem Computer ist der komplizierte Prozess. Damit das System mit Smartcards umgehen kann, braucht man Middleware, mit der Smartcard-Services geliefert werden – man benötigt also irgendetwas dazu (entweder die IT-Abteilung oder den möglicherweise unglückseligen Anwender), womit die Middleware installiert und die Smartcard auf dem Computer des Anwenders aktiviert werden kann. Dieser Prozess, der auch für die Biometrie gilt, war kompliziert genug und machte die zweistufige Authentifizierung nicht gerade attraktiv, ausgenommen für Anwendungen mit hohen Sicherheitsstufen. Es war machbar, und viele Unternehmen führten es ein, aber es war mühsam.
Die wichtigste Innovation bei der zweistufigen Authentifizierung bei Windows 7 ist die Möglichkeit, Plug-and-Play-fähige Funktionen hinzuzufügen, mit denen sowohl Smartcards als auch die biometrische Authentifizierung nahtlos in die Computeranwendung integriert werden können.
Der Kuddelmuddel mit der Middleware
Hardware-Unterstützung ist nicht nur bei Smartcards ein Problem. Angefangen mit Druckern bis zu Festplatten und Bildschirmen muss schließlich alles mit dem Computer via Middleware verbunden werden. Die Geräteunterstützung für derartige Standardausrüstungen war aber längst kein so großes Problem wie bei den Smartcards oder zumindest nicht seit den Anfängen des Computers, und zwar deshalb nicht, weil die meiste Middleware für diese Peripheriegeräte bereits in das Betriebssystem integriert war. Der Anwender musste lediglich den gerätespezifischen Code kennen, um das Gerät mit den bereits im Betriebssystem vorhandenen Diensten zu verbinden.
Die zweite Innovation war Plug-and-Play. Im Betriebssystem waren alle Treiber für die herkömmlichen Geräte bereits integriert, oder die Treiber befanden sich auf der mit dem Gerät mitgelieferten CD. Das System lud dann die richtigen automatisch, wobei die Person, die die Installation durchführte, so gut wie keine Konfiguration machen musste. Diese beiden Neuerungen machten den Einsatz eines neuen Peripheriegerätes mehr oder weniger schmerzlos.
Beinahe! Es sei denn, man versuchte die Installation eines mehr ungewöhnlichen Peripheriegeräts wie eines Smartcard-Lesers.
Zeitalter des Minitreibers
Um dieses Problem in den Griff zu bekommen, führte Microsoft mit Windows Vista einen Smartcard-Minitreiber ein. Im Endeffekt lieferte Microsoft selbst die Middleware als ein Teil des Betriebssystems. Entwickler mussten nur noch den Minitreiber so programmieren, dass ihre spezielle Smartcard zusammen mit dem System funktioniert.
Minitreiber erlösten IT-Unternehmen von der Mühsal der Installation und Verwaltung der Middleware, zumal oft verschiedene Middleware-Anwendungen für alle Arten von Smartcards der Organisation erforderlich waren. Das machte die Verwendung und den Einsatz von Smartcards auf einmal viel einfacher. Trotzdem musste IT nach wie vor Smartcard-Minitreiber installieren, und Lieferanten mussten immer noch Treiber mit Kartenlesern zur Verfügung stellen.
Windows 7 erweitert dieses Konzept jetzt, indem Minitreiber automatisch zum Lieferumfang gehören, damit Smartcards zusammen mit dem Computer funktionieren können. Windows 7 wird mit einigen Minitreibern ausgeliefert und lädt Treiber automatisch von Windows Update herunter, falls das Betriebssystem keinen Treiber für eine bestimmte Smartcard hat.
„Das bedeutet, dass Smartcard-Minitreiber jetzt den gleichen Status wie eine Festplatte oder ein Bildschirm erhalten“, erklärte James McLaughlin, Senior Technical Manager bei Gemalto, einem Smartcard-Lieferanten. „Sobald die Karte eingesteckt ist, wird der Treiber automatisch heruntergeladen. Für den Anwender fast ein Glückserlebnis, da er sich um keine Treiberinstallation kümmern muss. Falls der Treiber noch nicht im Gerät vorhanden ist, sucht Windows 7 danach.“
Außer zum Zugriff auf einen Computer kann die Smartcard auch für andere Funktionen verwendet werden, z. B. wenn eine Identifikation oder Authentifizierung verlangt wird. Bei Windows 7 können mithilfe von Smartcards Dokumente signiert und per E-Mail übermittelt werden. Außerdem kann man sich im Internet oder bei einem Intranet einloggen und auf Anwendungen zugreifen, die mit Cryptography Next Generation- oder CryptoAPI-Zertifikaten den Zugriff steuern. Windows 7 gestattet ein hohes Maß an Granularität, sodass verschiedenen Anwendern verschiedene Zugriffsrechte über ihre Smartcards zugewiesen werden können.
Windows 7 unterstützt auch kombinierte PIN- und Smartcard-Leser für zusätzliche Sicherheit. „Bei diesen Geräten wird die PIN nicht über die Software, die auf Windows ausgeführt wird, zur Karte gesandt“, erläutert McLaughlin. Dies macht es sicherer, weil der Leser lediglich mit JA oder NEIN reagiert, ohne die PIN- oder Karteninformationen dem Computer preiszugeben und somit auch nicht an andere Anwendungen, die auf dem PC ausgeführt werden.
Smartcards gehen weit über Computeranwendungen hinaus
Freilich werden Smartcards nicht nur zum Einloggen in Computer verwendet. Unternehmen verwenden mehr und mehr Smartcards für den Zugang zu Gebäuden und Ausrüstungen. Bisher war dafür jedoch normalerweise für jede Anwendung eine andere Smartcard notwendig. Dies ändert sich jetzt.
Im Gefolge von 9/11 führte die amerikanische Regierung eine standardisierte Identifizierungsverifizierung ein – FIPS 201. FIPS bedeutet „Federal Information Processing Standard“. Der Standard schreibt die Art und Weise vor, wie Regierungsbehörden der Exekutive der US-Bundesregierung den Zugriff auf alles – von Gebäuden bis zu Personalcomputern – authentifizieren müssen.
„Die Regierung will versuchen, dass nur eine Karte dazu nötig ist, Zutritt zu einem Gebäude zu erlangen und man sich mit derselben Karte in Maschinen einloggen kann“, sagt Michael Yatsko, Product Manager der PKI Group bei Verisign Inc., Hersteller von Smartcards und Systemen zur Verschlüsselung mit öffentlichen Schlüsseln.
FIPS 201 hat somit den Weg für eine standardisierte Zugriffskarte nicht nur für die Regierung, sondern auch für andere Unternehmen geebnet.
„Weil die Regierung dies vorschrieb, kamen Kunden zu uns und sagten ‚Wir wollen mit der US-Regierung zusammenarbeiten‘“, erläuterte Yatsko. „Bisher sind interessierte Kunden solche Leute wie Systemintegratoren und lokale und bundesstaatliche Regierungsbehörden.“ Die Vorteile einer einzigen Zugriffskarte liegen auf der Hand und deshalb verbreitet sich die Idee jetzt mit Windeseile.
Insgesamt gesehen macht Windows 7 einen wichtigen Schritt in die Zukunft mit der Integration von Smartcards in einen sicheren Alltagscomputerbetrieb und wird deshalb möglicherweise sogar mit offenen Armen aufgenommen.
„Ich denke, es wird Unternehmen leichter fallen, sich für Smartcards zu erwärmen“, sagt McLaughlin. „Ihre Rendite erhöht sich, weil sie nicht für Middleware bezahlen müssen. So steht dem Einsatz von Smartcards wenig im Weg.“
