Verstehen und Auswerten virtueller Smartcards
Warnung
Windows Hello for Business und FIDO2-Sicherheitsschlüssel sind moderne zweistufige Authentifizierungsmethoden für Windows. Kunden, die virtuelle Smartcards verwenden, werden empfohlen, zu Windows Hello for Business oder FIDO2 zu wechseln. Für neue Windows-Installationen empfehlen wir Windows Hello for Business oder FIDO2-Sicherheitsschlüssel.
In diesem Artikel wird die Virtuelle Smart Karte-Technologie beschrieben, und es wird beschrieben, wie sie in Ihren Authentifizierungsentwurf passt.
Die Technologie für virtuelle intelligente Karte verwendet kryptografische Schlüssel, die auf Computern gespeichert sind, auf denen das Trusted Platform Module (TPM) installiert ist. Virtuelle Smartcards bieten durch die Zwei-Faktor-Authentifizierung vergleichbare Sicherheitsvorteile wie herkömmliche Smartcards. Die Technologie bietet auch mehr Komfort für Benutzer und hat geringere Kosten für die Bereitstellung. Durch die Verwendung von TPM-Geräten, die die gleichen kryptografischen Funktionen wie herkömmliche Smartcards bereitstellen, erreichen virtuelle Smartcards die drei wichtigsten Eigenschaften, die für Smartcards gewünscht werden: Nichtexportierbarkeit, isolierte Kryptografie und Antihämmern.
Virtuelle Smartcards sind funktional ähnlich wie physische Smartcards. Sie werden als immer eingefügte Smartcards angezeigt und können für die Authentifizierung bei externen Ressourcen, den Schutz von Daten durch sichere Verschlüsselung und die Integrität durch zuverlässiges Signieren verwendet werden. Da TPM-fähige Hardware sofort verfügbar ist und virtuelle Smartcards mit vorhandenen Zertifikatregistrierungsmethoden bereitgestellt werden können, können virtuelle Smartcards zu einem Ersatz für andere Methoden der starken Authentifizierung in einer Unternehmensumgebung jeder Größenordnung werden.
Dieses Thema enthält die folgenden Abschnitte:
- Vergleich virtueller Smartcards mit physischen Smartcards: Vergleicht Eigenschaften, funktionale Aspekte, Sicherheit und Kosten.
- Authentifizierungsentwurfsoptionen: Beschreibt, wie Kennwörter, Smartcards und virtuelle Smartcards verwendet werden können, um Authentifizierungsziele in Ihrem organization zu erreichen.
Vergleich virtueller Smartcards mit physischen Smartcards
Virtuelle Smartcards funktionieren ähnlich wie physische Smartcards, unterscheiden sich aber darin, dass sie private Schlüssel schützen, indem sie das TPM des Computers anstelle von smarten Karte Medien verwenden.
Ein virtueller smarter Karte erscheint Anwendungen als konventioneller smarter Karte. Private Schlüssel in der virtuellen intelligenten Karte werden nicht durch die Isolation des physischen Speichers, sondern durch die kryptografischen Funktionen des TPM geschützt. Alle vertraulichen Informationen werden mithilfe des TPM verschlüsselt und dann in verschlüsselter Form auf der Festplatte gespeichert.
Alle kryptografischen Vorgänge erfolgen in der sicheren, isolierten Umgebung des TPM, und die unverschlüsselten privaten Schlüssel werden nie außerhalb dieser Umgebung verwendet. So bleiben virtuelle Smartcards wie physische Smartcards vor Schadsoftware auf dem Host sicher. Wenn die Festplatte in irgendeiner Weise kompromittiert wird, kann ein böswilliger Benutzer außerdem nicht auf Schlüssel zugreifen, die in der virtuellen intelligenten Karte gespeichert sind, da sie mithilfe des TPM sicher verschlüsselt sind. Schlüssel können auch durch die BitLocker-Laufwerkverschlüsselung geschützt werden.
Virtuelle Smartcards behalten die drei wichtigsten Eigenschaften physischer Smartcards bei:
- Nicht-Exportierbarkeit: Da alle privaten Informationen auf dem virtuellen intelligenten Karte mithilfe des TPM auf dem Hostcomputer verschlüsselt werden, können sie nicht auf einem anderen Computer mit einem anderen TPM verwendet werden. Darüber hinaus sind TPMs so konzipiert, dass sie manipulationssicher und nicht exportierbar sind, sodass ein böswilliger Benutzer kein Reverse Engineering für ein identisches TPM oder dasselbe TPM auf einem anderen Computer installieren kann. Weitere Informationen finden Sie unter Auswerten der Sicherheit virtueller Smartcards.
- Isolierte Kryptografie: TPMs bieten die gleichen Eigenschaften der isolierten Kryptografie wie physische Smartcards, und dies wird von virtuellen Smartcards verwendet. Unverschlüsselte Kopien privater Schlüssel werden nur innerhalb des TPM und niemals in den Arbeitsspeicher geladen, auf den das Betriebssystem zugreifen kann. Alle kryptografischen Vorgänge mit diesen privaten Schlüsseln erfolgen innerhalb des TPM.
- Anti-Hammering: Wenn ein Benutzer eine PIN falsch eingibt, reagiert der virtuelle intelligente Karte mit der Anti-Hammering-Logik des TPM, die weitere Versuche für einen bestimmten Zeitraum ablehnt, anstatt die Karte zu blockieren. Dies wird auch als Sperrung bezeichnet. Weitere Informationen finden Sie unter Auswerten der Sicherheit virtueller Smartcards.
In den folgenden Unterabschnitten werden Die Funktionalität, Sicherheit und Kosten virtueller Smartcards und physischer Smartcards verglichen.
Funktion
Das virtuelle intelligente Karte System, das von Microsoft entwickelt wurde, imitiert die Funktionalität herkömmlicher Smartcards genau. Der auffälligste Unterschied zum Endbenutzer ist, dass die virtuelle intelligente Karte im Wesentlichen eine intelligente Karte ist, die immer in den Computer eingefügt wird. Es gibt keine Methode zum Exportieren der virtuellen intelligenten Karte des Benutzers für die Verwendung auf anderen Computern, was die Sicherheit virtueller Smartcards erhöht. Wenn ein Benutzer Zugriff auf Netzwerkressourcen auf mehreren Computern benötigt, können mehrere virtuelle Smartcards für diesen Benutzer ausgestellt werden. Darüber hinaus kann ein Computer, der von mehreren Benutzern gemeinsam genutzt wird, mehrere virtuelle Smartcards für verschiedene Benutzer hosten.
Die grundlegende Benutzeroberfläche für eine virtuelle intelligente Karte ist so einfach wie die Verwendung eines Kennworts für den Zugriff auf ein Netzwerk. Da die intelligente Karte standardmäßig geladen wird, muss der Benutzer die PIN eingeben, die an den Karte gebunden ist, um Zugriff zu erhalten. Benutzer müssen keine Karten und Leser mehr tragen oder physische Maßnahmen ergreifen, um die Karte zu verwenden.
Darüber hinaus ist die Antihämmerungsfunktion des virtuellen intelligenten Karte genauso sicher wie die eines physischen intelligenten Karte, virtuelle intelligente Karte Benutzer müssen sich niemals an einen Administrator wenden, um die Blockierung des Karte aufzuheben. Stattdessen warten sie einen Zeitraum (abhängig von den TPM-Spezifikationen), bevor sie die PIN erneut eingeben. Alternativ kann der Administrator die Sperre zurücksetzen, indem er Besitzerauthentifizierungsdaten für das TPM auf dem Hostcomputer bereitstellt.
Sicherheit
Physische Smartcards und virtuelle Smartcards bieten ein vergleichbares Maß an Sicherheit. Beide implementieren die zweistufige Authentifizierung für die Verwendung von Netzwerkressourcen. Sie unterscheiden sich jedoch in bestimmten Aspekten, einschließlich der physischen Sicherheit und der Praktikabilität eines Angriffs. Aufgrund ihres kompakten und tragbaren Designs werden herkömmliche Smartcards am häufigsten in der Nähe des vorgesehenen Benutzers gehalten. Sie bieten wenig Gelegenheit für die Übernahme durch einen potenziellen Angreifer, so dass jede Art von Interaktion mit dem Karte schwierig ist, ohne eine Vielzahl von Diebstahl zu begehen.
Virtuelle TPM-Smartcards befinden sich jedoch auf dem Computer eines Benutzers, der häufig unbeaufsichtigt bleiben kann, was böswilligen Benutzern die Möglichkeit bietet, das TPM zu hämmern. Obwohl virtuelle Smartcards vollständig vor Hämmern geschützt sind (wie physische Smartcards), vereinfacht diese Barrierefreiheit die Logistik eines Angriffs. Darüber hinaus unterscheidet sich das Anti-Hammering-Verhalten eines intelligenten TPM-Karte darin, dass es nur eine Zeitverzögerung als Reaktion auf wiederholte PIN-Fehler darstellt, anstatt den Benutzer vollständig zu blockieren.
Virtuelle Smartcards bieten jedoch mehrere Vorteile, um diese geringfügigen Sicherheitsdefizite zu verringern. Am wichtigsten ist, dass eine virtuelle intelligente Karte viel weniger wahrscheinlich verloren geht. Virtuelle Smartcards sind in Computer und Geräte integriert, die der Benutzer bereits für andere Zwecke besitzt und einen Anreiz zur Sicherheit hat. Wenn der Computer oder das Gerät, das die virtuelle intelligente Karte hostet, verloren geht oder gestohlen wird, bemerkt ein Benutzer seinen Verlust schneller als den Verlust eines physischen intelligenten Karte. Wenn ein Computer oder Gerät als verloren identifiziert wird, kann der Benutzer den Administrator des Systems benachrichtigen, der das Zertifikat widerrufen kann, das der virtuellen intelligenten Karte auf diesem Gerät zugeordnet ist. Dies schließt einen zukünftigen nicht autorisierten Zugriff auf diesen Computer oder dieses Gerät aus, wenn die PIN für die virtuelle intelligente Karte kompromittiert ist.
Kosten
Wenn ein Unternehmen physische Smartcards bereitstellen möchte, muss es Smartcards und Smart Karte-Leser für alle Mitarbeiter erwerben. Obwohl relativ kostengünstige Optionen gefunden werden können, sind Optionen, die sicherstellen, dass die drei wichtigsten Eigenschaften der intelligenten Karte Sicherheit (insbesondere die Nichtexportierbarkeit) teurer sind. Wenn Mitarbeiter über Computer mit integriertem TPM verfügen, können virtuelle Smartcards ohne zusätzliche Materialkosten bereitgestellt werden. Diese Computer und Geräte sind auf dem Markt relativ häufig.
Die Wartungskosten virtueller Smartcards sind geringer als bei physischen Smartcards, die leicht verloren gehen, gestohlen oder durch normalen Verschleiß beschädigt werden. Virtuelle TPM-Smartcards gehen nur verloren oder beschädigt, wenn der Hostcomputer oder das Hostgerät verloren geht oder beschädigt wird, was in den meisten Fällen viel seltener vor sich geht.
Vergleichszusammenfassung
| Physische Smartcards | Virtuelle TPM-Smartcards |
|---|---|
| Schützt private Schlüssel mithilfe der integrierten kryptografischen Funktionalität des Karte. | Schützt private Schlüssel mithilfe der kryptografischen Funktionalität des TPM. |
| Speichert private Schlüssel im isolierten, nicht flüchtigen Speicher auf dem Karte. Dies bedeutet, dass der Zugriff auf private Schlüssel nur über den Karte erfolgt und der Zugriff auf das Betriebssystem nie zulässig ist. | Speichert verschlüsselte private Schlüssel auf der Festplatte. Die Verschlüsselung stellt sicher, dass diese Schlüssel nur im TPM entschlüsselt und verwendet werden können, nicht im zugänglichen Arbeitsspeicher des Betriebssystems. |
| Garantiert die Nichtexportierbarkeit durch den Karte Hersteller, einschließlich der Isolierung privater Informationen vom Zugriff auf das Betriebssystem. | Garantiert die Nichtexportierbarkeit durch den TPM-Hersteller, was auch die Unfähigkeit eines Angreifers einschließt, das TPM zu replizieren oder zu entfernen. |
| Führt kryptografische Vorgänge innerhalb der integrierten Funktionen des Karte aus und isoliert sie. | Führt kryptografische Vorgänge im TPM des Computers oder Geräts des Benutzers aus und isoliert diese. |
| Bietet Antihämmern durch die Karte. Nach einigen fehlgeschlagenen PIN-Eingabeversuchen blockiert die Karte den weiteren Zugriff, bis eine administrative Aktion ausgeführt wird. | Bietet Antihämmern über das TPM. Aufeinanderfolgende fehlgeschlagene Versuche erhöhen die Gerätesperrzeit (die Zeit, die der Benutzer warten muss, bevor er es erneut versucht). Dies kann von einem Administrator zurückgesetzt werden. |
| Erfordert, dass Benutzer ihre intelligente Karte und ihren Intelligenten Karte-Leser mit sich führen, um auf Netzwerkressourcen zuzugreifen. | Ermöglicht Benutzern den Zugriff auf ihre TPM-fähigen Computer oder Geräte und möglicherweise den Zugriff auf das Netzwerk, ohne andere Geräte. |
| Ermöglicht die Portabilität von Anmeldeinformationen, indem die intelligente Karte in smarte Karte-Leser eingefügt wird, die an andere Computer angefügt sind. | Verhindert das Exportieren von Anmeldeinformationen von einem bestimmten Computer oder Gerät. Virtuelle Smartcards können jedoch mit zusätzlichen Zertifikaten auf mehreren Computern oder Geräten für denselben Benutzer ausgestellt werden. |
| Ermöglicht mehreren Benutzern den Zugriff auf Netzwerkressourcen über denselben Computer, indem sie ihre persönlichen Smartcards einfügen. | Ermöglicht mehreren Benutzern den Zugriff auf Netzwerkressourcen über denselben Computer oder Dasselbe Gerät, indem sie für jeden Benutzer auf diesem Computer oder Gerät eine virtuelle intelligente Karte ausstellen. |
| Erfordert, dass der Benutzer die Karte trägt, wodurch es für einen Angreifer schwieriger wird, auf das Gerät zuzugreifen und einen Hämmerversuch zu starten. | Speichert virtuelle intelligente Karte auf dem Computer des Benutzers, die möglicherweise unbeaufsichtigt bleiben und ein größeres Risikofenster für Hämmerversuche ermöglichen. |
| Stellt im Allgemeinen ein Einzweckgerät bereit, das explizit für die Authentifizierung verwendet wird. Die intelligente Karte kann leicht verfehlt oder vergessen werden. | Installiert die virtuelle intelligente Karte auf einem Gerät, das andere Zwecke für den Benutzer hat, sodass der Benutzer einen größeren Anreiz hat, für den Computer oder das Gerät verantwortlich zu sein. |
| Warnt Benutzer, dass ihre Karte verloren gehen oder gestohlen werden, nur wenn sie sich anmelden müssen und feststellen, dass sie fehlen. | Installiert die virtuelle intelligente Karte auf einem Gerät, das der Benutzer wahrscheinlich für andere Zwecke benötigt, sodass Benutzer den Verlust viel schneller bemerken. Dadurch wird das zugehörige Risikofenster reduziert. |
| Unternehmen müssen in Smartcards und smarte Karte Leser für alle Mitarbeiter investieren. | Erfordert, dass Unternehmen sicherstellen, dass alle Mitarbeiter über TPM-fähige Computer verfügen, die relativ häufig vorkommen. |
| Ermöglicht die Verwendung einer Richtlinie zum Entfernen von intelligenten Karte, um das Systemverhalten zu beeinflussen, wenn die intelligente Karte entfernt wird. Die Richtlinie kann beispielsweise festlegen, ob die Anmeldesitzung des Benutzers gesperrt oder beendet wird, wenn der Benutzer die Karte entfernt. | Entfällt die Notwendigkeit einer Intelligenten Karte Entfernungsrichtlinie, da ein virtuelles TPM-Karte immer vorhanden ist und nicht vom Computer entfernt werden kann. |
Authentifizierungsentwurfsoptionen
Im folgenden Abschnitt werden mehrere häufig verwendete Optionen und ihre jeweiligen Stärken und Schwächen vorgestellt, die Organisationen für die Authentifizierung in Betracht ziehen können.
Kennwörter
Ein Kennwort ist eine geheime Zeichenzeichenfolge, die an die Anmeldeinformationen für die Identifizierung eines Benutzerkontos gebunden ist. Dadurch wird die Identität des Benutzers festgelegt. Obwohl Kennwörter die am häufigsten verwendete Form der Authentifizierung sind, sind sie auch die schwächste. In einem System, in dem Kennwörter als einzige Methode der Benutzerauthentifizierung verwendet werden, gelten nur Personen, die ihre Kennwörter kennen, als gültige Benutzer.
Die Kennwortauthentifizierung trägt eine große Verantwortung für den Benutzer. Kennwörter müssen so komplex sein, dass sie nicht leicht erraten werden können, aber sie müssen einfach genug sein, um in den Arbeitsspeicher committet und nicht an einem physischen Ort gespeichert zu werden. Selbst wenn dieses Gleichgewicht erfolgreich erreicht wird, gibt es eine Vielzahl von Angriffen (z. B. Brute-Force-Angriffe, Lauschangriffe und Social-Engineering-Taktiken), bei denen ein böswilliger Benutzer das Kennwort eines Benutzers abrufen und die Identität dieser Person annehmen kann. Ein Benutzer erkennt oft nicht, dass das Kennwort kompromittiert ist, sodass es für böswillige Benutzer einfach ist, den Zugriff auf ein System aufrechtzuerhalten, wenn ein gültiges Kennwort abgerufen wurde.
Einmalkennwörter
Ein Einmalkennwort (One-Time Password, OTP) ähnelt einem herkömmlichen Kennwort, ist jedoch sicherer, da es nur einmal zur Authentifizierung eines Benutzers verwendet werden kann. Die Methode zum Bestimmen jedes neuen Kennworts variiert je nach Implementierung. Unter der Annahme einer sicheren Bereitstellung jedes neuen Kennworts haben OTPs mehrere Vorteile gegenüber dem klassischen Kennwortmodell der Authentifizierung. Wenn ein bestimmtes OTP-Token bei der Übertragung zwischen dem Benutzer und dem System abgefangen wird, kann der Interceptor es nicht für zukünftige Transaktionen verwenden. Wenn ein böswilliger Benutzer das OTP eines gültigen Benutzers abruft, hat der Interceptor eingeschränkten Zugriff auf das System (nur eine Sitzung).
Smartcards
Smartcards sind physische Authentifizierungsgeräte, die das Konzept eines Kennworts verbessern, indem sie verlangen, dass Benutzer tatsächlich ihr intelligentes Karte Gerät für den Zugriff auf das System haben, zusätzlich zur Kenntnis der PIN, die Zugriff auf die intelligente Karte bietet. Smartcards verfügen über drei wichtige Eigenschaften, die zur Aufrechterhaltung ihrer Sicherheit beitragen:
- Nicht-Exportierbarkeit: Auf dem Karte gespeicherte Informationen, z. B. die privaten Schlüssel des Benutzers, können nicht von einem Gerät extrahiert und auf einem anderen Medium verwendet werden.
- Isolierte Kryptografie: Alle kryptografischen Vorgänge im Zusammenhang mit dem Karte (z. B. sichere Ver- und Entschlüsselung von Daten) erfolgen in einem Kryptografieprozessor auf dem Karte, sodass schadhafte Software auf dem Hostcomputer die Transaktionen nicht beobachten kann.
- Anti-Hammering: Um den Zugriff auf die Karte durch einen Brute-Force-Angriff zu verhindern, blockiert eine festgelegte Anzahl von aufeinanderfolgenden erfolglosen PIN-Eingabeversuchen die Karte, bis administrative Maßnahmen ausgeführt werden.
Smartcards bieten eine deutlich höhere Sicherheit gegenüber Kennwörtern, da es für böswillige Benutzer viel schwieriger ist, Zugriff auf ein System zu erhalten und zu verwalten. Vor allem erfordert der Zugriff auf ein intelligentes Karte-System, dass Benutzer über eine gültige Karte verfügen und die PIN kennen, die Zugriff auf diese Karte ermöglicht. Es ist für einen Dieb schwierig, die Karte und die PIN zu erhalten.
Zusätzliche Sicherheit wird durch die singuläre Natur des Karte erreicht, da nur eine Kopie der Karte vorhanden ist, nur eine Person die Anmeldeinformationen verwenden kann, und Benutzer werden schnell feststellen, ob die Karte verloren gegangen oder gestohlen wurde. Dies reduziert das Risikofenster des Diebstahls von Anmeldeinformationen im Vergleich zur Verwendung eines Kennworts allein erheblich.
Die zusätzliche Sicherheit bringt zusätzliche Material- und Supportkosten mit sich. Herkömmliche Smartcards sind teuer in der Anschaffung (Karten und Karte Leser müssen den Mitarbeitern zur Verfügung gestellt werden), und Benutzer können sie verdrängen oder verlieren.
Virtuelle Smartcards
Virtuelle Smartcards emulieren die Funktionalität herkömmlicher Smartcards. Anstatt zusätzliche Hardware zu erwerben, nutzen virtuelle Smartcards Technologien, die Benutzer bereits besitzen und die wahrscheinlicher immer dabei sind. Theoretisch kann jedes Gerät, das die drei Schlüsseleigenschaften von Smartcards (Nichtexportierbarkeit, isolierte Kryptografie und Antihämmern) bereitstellen kann, als virtuelles smartes Karte in Betrieb genommen werden. Die virtuelle intelligente Karte Plattform ist auf die Verwendung des TPM-Chips (Trusted Platform Module) beschränkt, der auf den meisten modernen Geräten verwendet wird.
Virtuelle Smartcards, die ein TPM verwenden, bieten die drei Standard Sicherheitsprinzipien herkömmlicher Smartcards: Nichtexportierbarkeit, isolierte Kryptografie und Antihämmern. Virtuelle Smartcards sind kostengünstiger in der Implementierung und für Benutzer bequemer. Da viele Unternehmenscomputer bereits über ein integriertes TPM verfügen, fallen keine Kosten für den Kauf neuer Hardware an. Der Besitz eines Computers oder Geräts durch den Benutzer entspricht dem Besitz eines intelligenten Karte, und die Identität eines Benutzers kann von keinem anderen Computer oder Gerät ohne administrative Bereitstellung weiterer Anmeldeinformationen angenommen werden. Daher wird die zweistufige Authentifizierung erreicht, da der Benutzer über einen Computer verfügen muss, der mit einem virtuellen intelligenten Karte eingerichtet ist und die PIN kennen muss, um die virtuelle intelligente Karte verwenden zu können.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für