Sicherheitskonzepte

Sicherheitselemente in Smartphones

Mobile Geräte der neueren Generation (ab 2015) verfügen über sichere Hardware-Elemente die es ermöglichen, kryptographisches Schlüsselmaterial sicher im Smartphone zu speichern. Das Schlüsselmaterial lässt sich aus dieser Hardware nicht extrahieren und ist daher an das mobile Gerät gebunden. Darüber hinaus verhindert diese Eigenschaft den Diebstahl der Schlüssel durch potentielle Angriffe und gewährleistet dadurch eine erhöhte Sicherheit. Optional kann der Zugriff auf das Schlüsselmaterial durch zusätzliche lokale Authentifizierungsmethoden (z. B. Fingerprint, Gesichtserkennung, etc.) geschützt werden, wodurch es nur autorisierten Benutzer:innen möglich ist, diese Schlüssel zu verwenden. Zudem gibt es auf Smartphones die Möglichkeit zur Erbringung eines Nachweises (Key Attestation), dass ein entsprechendes Schlüsselmaterial in einer sicheren Hardware erzeugt und gespeichert wurde. Abhängig vom Betriebssystem des mobilen Gerätes werden unterschiedliche Hardware-Elemente eingesetzt, die prinzipiell die gleiche Funktionalität bieten.

Android: Secure Elements

Secure Elements sind Chipsätze in Android Smartphones oder Teil der SIM-Karte und bieten die erforderliche Sicherheit für mobile Apps in Bereichen wie Mobile Payment oder Mobile Banking. Mobile Apps, die auf dem Smartphone ebenfalls installiert sind, haben keinen Zugriff auf das Schlüsselmaterial einer anderen App. Der Zugriff auf das Secure Element ist nur über vertrauenswürdige Apps möglich.

iOS: Secure Enclave

Secure Enclaves ist Teil des Apple A7 und neueren Chipsätzen, die speziell für den Datenschutz eingesetzt werden. Der Zweck der Secure Enclave ist ebenso die Verwaltung von kryptographischem Schlüsselmaterial und weiteren sensiblen biometrischen Informationen. Diese Chipsätze sind von anderer Hardware am mobilen Gerät isoliert.

Diese sicheren Hardware-Elemente stellen essentielle Komponenten dar, die zur sicheren Verwendung der ID Austria auf mobilen Geräten beitragen. Eingesetzt werden sie insbesondere im Rahmen der vereinfachten Weiterverwendung einer Benutzer:innenauthentifizierung, die im nachstehenden Kapitel erklärt wird.

Vereinfachte Weiterverwendung der ID Austria

Nach erfolgter Registrierung der ID Austria haben Benutzer:innen die Möglichkeit, innerhalb der App "ID Austria" eine kryptographische Bindung zum Identity Provider (IdP) des ID Austria Systems zu erstellen. Unter Verwendung dieser Bindung kann in weiterer Folge eine vereinfachte Authentifizierung am IdP erfolgen, da für diesen Authentifizierungsvorgang lediglich der Besitz des mobilen Geräts in Kombination mit einer Authentifizierung der Benutzer:innen am mobilen Gerät notwendig ist. Voraussetzung für die Erstellung dieser Bindung ist, dass Benutzer:nnen im Zuge der Registrierung die App "ID Austria" bereits kryptographisch an den VDA gebunden haben. Alternativ kann eine kryptographische Bindung zum IdP auch unter Verwendung einer eIDAS-konformen ausländischen elektronischen Identität erfolgen.

Nicht zu verwechseln ist diese kryptographische Bindung zum IdP mit jener kryptographischen Bindung, die im Zuge der oben beschriebenen Registrierungsprozesse zwischen der App "ID Austria" (bzw. konkret ihrer VDA-Komponente) und VDA etabliert wird.

Erstellung der kryptographischen Bindung

Für die Erstellung einer Bindung authentifizieren sich Benutzer:nnen über den VDA unter Verwendung der App "ID Austria". Wichtig ist, dass zur Erstellung einer Bindung zum IdP eine Authentifizierung am VDA stets über die App "ID Austria" erfolgen muss. Eine Authentifizierung via SMS-TAN wird nicht unterstützt, auch wenn der VDA diese Methode prinzipiell anbieten würde.

Alternativ kann eine kryptographische Bindung zum zentralen IdP des ID Austria Systems auch unter Verwendung einer ausländischen eIDAS-konformen elektronischen Identität erstellt werden. In diesem Fall erfolgt die Authentifizierung von Benutzer:innen im Zuge der Erstellung der Bindung über die ausländische elektronische Identität.

Die Erstellung der Bindung wird unter Verwendung der VDA-Komponente der App "ID Austria" durchgeführt. Dazu kontaktiert die ID Austria Komponente der App "ID Austria" den Bindungsservice, der die kryptographischen Informationen zur Erstellung eines Schlüsselpaares an die ID Austria Komponente retourniert. Nach der Erstellung des Schlüsselpaares in der ID Austria Komponente wird ein Certificate Signing Request (CSR) erstellt, der zum Bindungsservice geschickt und von diesem validiert wird. Die Authentifizierung der Benutzer:innen erfolgt im Anschluss über den VDA. Die Interaktion mit diesem wird durch die Auth.-Handler Komponenten im ID Austria Frontend implementiert. Nach erfolgreicher Authentifizierung der Benutzer:innen sendet das Bindungsservice den CSR an eine Public-Key-Infrastruktur (PKI), wo der CSR ein weiteres Mal validiert wird. Nach erfolgreicher Validierung wird das Bindungszertifikat ausgestellt, welches schließlich im User Store des ID Austria Systems eingetragen und zurück zur ID Austria Komponente der App "ID Austria" der Benutzer:innen retourniert wird. Abbildung 1 stellt alle involvierten Komponenten bei der Erstellung der Bindung dar.