Studie - E-Government Innovationszentrum
Studie - E-Government Innovationszentrum
Studie - E-Government Innovationszentrum
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Evaluierung mobiler Signaturlösungen auf Smartphones<br />
<strong>Studie</strong> Analyse<br />
5 Analyse<br />
Eine Analyse bestehender mobiler Signaturlösungen zeigte, dass derzeit nahezu alle in<br />
Europa eingesetzten mobilen Signaturlösungen dem ETSI Mobile Signature Services (MSS)<br />
Standard folgen. Eine Ausnahme bildet Österreich, wo zur Erstellung mobiler Signaturen<br />
eine serverbasierte Lösung mit serverseitiger sicherer Signaturerstellungseinheit zum<br />
Einsatz kommt. Diese beiden in der Praxis relevanten Ansätze zur mobilen<br />
Signaturerstellung sollen in diesem Abschnitt näher analysiert werden. Dazu werden<br />
zunächst Vor- und Nachteile der beiden Ansätze diskutiert und in weiterer Folge deren<br />
Anwendbarkeit auf Smartphone-Plattformen untersucht.<br />
5.1<br />
Vergleich vorhandener Lösungen<br />
Betrachtet man die historische Entwicklung elektronischer Signaturlösungen, so stellen MSS<br />
basierte Ansätze die logische Weiterentwicklung chipkartenbasierter Signaturlösungen dar.<br />
Statt der Chipkarte (Bankomatkarte, Sozialversicherungskarte, Signaturkarte, etc.), für deren<br />
Verwendung ein entsprechendes Kartenlesegerät nötig ist, kommt das Mobiltelefon des<br />
Benutzers bzw. die im Telefon befindliche SIM-Karte zur Anwendung. Wie auch bei<br />
chipkatenbasierten Ansätze bleibt die sichere Signaturerstellungseinheit damit stets unter<br />
der direkten physikalischen Kontrolle des Benutzers.<br />
Sicherheitsaspekte MSS basierter Lösungen wurden unter anderem in [14] näher analysiert.<br />
Die Autoren bescheinigen MSS basierten Lösungen ein ausreichendes Maß an Sicherheit,<br />
nennen jedoch folgende Punkte, die unter Umständen aus sicherheitstechnischer Sicht<br />
problematisch sein könnten.<br />
Der gemäß GSM Standard für die sichere Übertragung der Signaturdaten<br />
verwendete Algorithmus A5 kann nicht mehr uneingeschränkt als sicher betrachtet<br />
werden. Zusätzliche Secure Messaging Verfahren sollten daher unbedingt<br />
implementiert werden.<br />
Unerfahrene Benutzer können dazu gebracht werden ihre PIN über den PC-Kanal<br />
bekanntzugeben (Phishing).<br />
Über installierte Schadsoftware am PC des Benutzers können Man-in-the-Browser<br />
Attacken implementiert werden. Benutzern kann beispielsweise glaubhaft gemacht<br />
werden eine bestimmte finanzielle Transaktion mit dem Betrag X zu autorisieren,<br />
während tatsächlich eine Transaktion über den Betrag Y autorisiert wird.<br />
Schadsoftware am mobilen Gerät kann beispielsweise verwendet werden, um den<br />
Benutzer zur Eingabe seiner PIN zu veranlassen.<br />
Ein Angreifer in Person eines Mitarbeiters eines Service Providers kann lokal die<br />
Daten einer autorisierten Transaktion modifizieren.<br />
Ein Angreifer in Person eines Mitarbeiters eines Service Providers kann eine<br />
sogenannte Mafia-in-the-Middle Attacke implementieren. Bei dieser Attacke wird dem<br />
Benutzer eine bestimmte Transaktion vorgetäuscht, während die Signaturdaten<br />
unerlaubterweise für eine gänzlich andere Transaktion verwendet werden. Diese<br />
Attacken werden u.a. in [18] beschrieben.<br />
Eine formale Sicherheitsanalyse der in Estland verwendeten Mobiil-ID Lösung bzw. des von<br />
dieser Lösung verwendeten Protokolls wurde in [19] vorgestellt. Auch diese Analyse kommt<br />
zum Schluss, dass MSS basierte Signaturlösungen bzw. in diesem Fall die konkrete<br />
estnische Umsetzung prinzipiell als sicher einzustufen sind, es punktuell jedoch<br />
Verbesserungsmöglichkeiten gibt.<br />
Relevante Unterschiede zwischen MSS basierten Lösungen und der österreichischen<br />
Handy-Signatur wurden bereits in [16] näher diskutiert. Gegenüber Ansätzen, die die SIM-<br />
Karte als Signaturerstellungseinheit benutzen, hat die in Österreich verfolgte zentrale Lösung<br />
– 33 –