Dateisystemanalyse

Ein wichtiger Bestandteil jedes Betriebssystems ist das Dateisystem. Dieses dient als Schnittstel-le zwischen dem Betriebssystem und den verbundenen Datentr¨agern. Das Dateisystem legt fest, wie Dateien benannt, gespeichert, organisiert und verwaltet werden. Es ist hierarchisch aufgebaut und speichert die einzelnen Dateien in einem Verzeichnisbaum. In der Regel sind die Dateisys-teme unabh¨angig von Hardware oder Betriebssystem, es kann jedoch auf Grund der fehlenden Standardisierung bzw. Offenlegung der Dateisystemstruktur (insbesondere bei Microsoft Datei-systemen) zu Unterschieden bis hin zu Inkompatibilit¨aten kommen, wenn von unterschiedlichen Betriebssystemen auf ein Dateisystem zugegriffen wird.

Auf Datentr¨agerebene haben wir bereits den Begriff Sektor als kleinste adressierbare Einheit des Datentr¨agers kennengelernt. Auf Dateisystemebene heißt die kleinste adressierbare Einheit Cluster oderDateisystemblock. Die Clustergr¨oße h¨angt von dem Dateisystem ab und bei manchen Dateisystemen auch von der Gr¨oße der Dateisystempartition. Eine g¨angige Gr¨oße eines Clusters ist 4096 Byte, in jedem Fall ist sie ein ganzzahliges Vielfaches der Sektorgr¨oße. Da Dateien eine ganze Zahl an Clustern belegen, bleibt wie bei Sektoren im ’hintersten’ Cluster ein Teil des Speichers ungenutzt. Dieser ungenutzte Bereich heißt File Slack. File Slack ist aus IT-forensischer Sicht interessant, weil dort noch Reste von vorhergehenden Dateien oder sogar Datenstrukturen aus dem Hauptspeicher liegen k¨onnen.

6.4. ABSTRAKTIONSEBENEN DER IT-FORENSIK UND TOOLS 107 Wir gehen kurz auf wichtige Dateisysteme sowie ihr Einsatzgebiet ein. Ein IT-Forensiker d¨urfte mit all diesen Dateisystemen in Kontakt kommen. In der Linuxwelt ist die Familie der Extended Fi-lesystems (extX-Dateisystemen) etabliert. Die aktuelle Version istext4. Es ist mittlerweile auch das Standarddateisystem unter Android. Unter Microsoft-Betriebssystemen findet man typischerweise dasNew Technology File System (NTFS). Es hat das fr¨uher bereits unter MS-DOS gebr¨auchliche Microsoft Dateisystem FAT abgel¨ost. FAT verdankt seinen Namen der File Allocation Table, die in einem FAT Dateisystem unter Anderem den Belegtstatus der Cluster angibt. Je nach L¨ange der Clusteradresse (in Bits) unterscheidet man FAT12 (d.h. die Clusteradresse wird durch einen 12-Bit-Integer dargestellt), FAT16 sowie FAT32. Auch wenn FAT ein sehr altes Dateisystem ist, so kommt es heute oft noch auf Wechseldatentr¨agern wie USB-Sticks oder SD-Karten vor, weil alle Betriebssysteme sehr gut mit FAT umgehen k¨onnen. Auf Apple-Ger¨aten kommt das Hierarchical File System (HFS) oder dessen Weiterentwicklung HFS+ zum Einsatz.

Brian Carrier schl¨agt die Suche nach analysef¨ahigen Strukturen auf Dateisystemebene in 5 Kategorien vor. Im folgenden stellen wir die drei Kategorien Dateisystemdaten, Metadaten und Dateinamen kurz vor.

1. Dateisystemdaten: zu dieser Kategorie geh¨oren grundlegende Informationen ¨uber das Dateisystem, z.B. Angaben ¨uber die Clustergr¨oße, die Gr¨oße des Dateisystems, welche Clus-ter alloziert sind oder wo man weiClus-tere Informationen ¨uber das Dateisystem findet. Typischer-weise findet man einen wesentlichen Teil der Dateisystemdaten am ’Anfang’ des Dateisys-tems, d.h. im ersten Cluster bzw. dem ersten Sektor der vom Dateisystem belegten Partition.

Der erste Sektor hat daher einen besonderen Namen, er heißt Bootsektor. Der Bootsektor solltenichtmit dem Master Boot Record verwechselt werden (der MBR ist der erste Sektor eines DOS-partitionierten Datentr¨agers).

2. Metadaten: unter Metadaten versteht man ’Daten ¨uber Daten’, d.h. Informationen ¨uber eine Datei ohne deren Inhaltsdaten oder Dateinamen. Wichtige Metadaten sind die Zeitstem-pel einer Datei, der Speicherort (d.h. die Clusteradressen) der Inhaltsdaten, die Dateigr¨oße oder Zugriffsrechte. In den meisten Dateisystemen gibt es wenigstens drei Zeitstempel zur Angabe des letzten schreibenden Zugriffs (lastmodified), des letzten lesenden Zugriffs (last accessed) sowie des Anlegens der Datei (created). Daher spricht man auch oft von den MAC-Zeitstempeln. Die Analyse der Zeitstempel erm¨oglicht die Angabe einer Timeline, also wie auf welche Dateien in chronologischer Zeitreihe zugegriffen wurde. Man muss aber beachten, dass Zeitstempel beliebig manipulierbar sind, ohne die Funktionalit¨at des Dateisystems zu beeintr¨achtigen. Ihre Aussagekraft kann daher eingeschr¨ankt sein.

3. Dateinamen: Carrier verwendet f¨ur den Dateinamen eine eigene Kategorie. Er ist da-bei von der Familie der Dateisysteme geleitet. Ein Verzeichniseintrag in einem extX-Dateisystem verkn¨upft den Dateinamen (also die Bezeichnung, die der Anwender nutzt) mit den Metadaten dieser Datei (sogenannte Inodes). Das ist vergleichbar mit der URL eines Webservers sowie seiner IP-Adresse: die URL nutzt der Anwender, die IP-Adresse das IT-System.

Ein gebr¨auchliches Tool zur Untersuchung eines Dateisystems ist fsstat aus dem Sleuthkit.

Dieses analysiert zun¨achst den Bootsektor des Dateisystems und gegebenenfalls weitere Datenquel-len des Dateisystems und gibt grundlegende Informationen ¨uber das zu untersuchende Dateisystem aus. Dabei orientiert sichfsstatan Brian Carriers Kategorien, indem es die Informationen grup-piert inFILE SYSTEM INFORMATION,METADATA INFORMATION,CONTENT INFORMATIONund je nach Dateisystem weitere Informationen. In Beispiel 27 analysieren wir ein FAT-Dateisystem, das als Imagepartition-fat.ddvorliegt.

Beispiel 27 (Ausgabe von fsstat f¨ur ein FAT-Dateisystem). Wir analysieren ein FAT-Dateisystem, das als partition-fat.ddvorliegt. Die Ausgabe des fsstat-Befehls sieht wie folgt aus:

$ fsstat partition-fat.dd

FILE SYSTEM INFORMATION

---File System Type: FAT16

File System Layout (in sectors) Total Range: 0 - 204799

* Reserved: 0 - 3

** Boot Sector: 0

* FAT 0: 4 - 203

* FAT 1: 204 - 403

* Data Area: 404 - 204799

** Root Directory: 404 - 435

** Cluster Area: 436 - 204799 METADATA INFORMATION

---Range: 2 - 3270342

Root Directory: 2 CONTENT INFORMATION

---Sector Size: 512

Cluster Size: 2048

Total Cluster Range: 2 - 51092 FAT CONTENTS (in sectors)

---440-503 (64) -> 556

504-555 (52) -> EOF 556-931 (376) -> EOF 3024-7899 (4876) -> EOF

In der ersten Kategorie FILE SYSTEM INFORMATION sehen wir, dass es sich um ein FAT16-Dateisystem handelt und die Adressierung der Sektoren von 0 bis 204799 reicht – mit der Sek-torgr¨oße512 Byte=¹₂ KiB ergibt das eine Dateisystemgr¨oße von

204800· 1

2 KiB= 100·1024KiB= 100MiB.

Die weiteren Informationen in der KategorieFILE SYSTEM INFORMATIONbeschreiben die Lage der drei Bereiche eines FAT-Dateisystems, n¨amlich den reservierten Bereich, die beiden File Allocation Tables (FAT0 bzw. deren Backup FAT1) sowie den Datenbereich. Wir gehen darauf hier nicht n¨aher ein.

In der zweiten KategorieMETADATA INFORMATIONerhalten wir Informationen ¨uber den Adress-bereich der ’Inodes’ (der Begriff ’Inode’ passt unter FAT nicht wirklich, weil einfach potenzielle Verzeichniseintr¨age durchnummeriert werden). Das Wurzelverzeichnis des Dateisystems hat die Inode-Nummer2, Inodes0 oder1 gibt es unter FAT nicht.

Unter CONTENT INFORMATION erfahren wir die Sektor- und die Clustergr¨oße (bitte beachten, dass die Sektorgr¨oße vom Datentr¨ager, nicht aber vom Dateisystem festgelegt wird). Der Adressbe-reich der Cluster ist2bis51092. Auch hier gilt, dass es weder einen Cluster0 noch einen Cluster 1 gibt.

Schließlich erfahren wir in der Kategorie FAT CONTENTS Informationen ¨uber die Anzahl und Fragmentierung allozierter Dateien und Verzeichnisse. Wir sehen, dass insgesamt 3 Datei-en/Verzeichnisse alloziert sind, wobei die in Sektor 440 startende Datei fragmentiert ist. Ihre

6.4. ABSTRAKTIONSEBENEN DER IT-FORENSIK UND TOOLS 109 Inhaltsdaten liegen in den Sektoren440 bis503sowie 556bis931. Ein Eintrag EOFbedeutet, dass die Datei mit diesem FAT-Eintrag endet (End of file).

Um einen ¨Uberblick ¨uber alle allozierten sowie nicht-allozierten Dateien des Dateisystems zu erhalten, verwenden wir den Befehlflsaus dem Sleuthkit. Das vorangestelltefdieses List-Befehls soll an die Kategoriefilename erinnern.flsgeht einfach sukzessive alle m¨oglichen Verzeichnisein-tr¨age durch und gibt das Ergebnis aus. F¨ur unser Beispieldateisystem partition-fat.ddsehen wir die Ausgabe vonflsin Beispiel 28.

Beispiel 28 (Ausgabe von fls f¨ur ein FAT-Dateisystem). Wir wenden den Befehlt fls aus dem Sleuthkit auf ein FAT-Dateisystem an, um Informationen ¨uber Dateien des Dateisystems zu erhalten, insbesondere auch ¨uber gel¨oschte. Die Ausgabe vonflssieht wie folgt aus:

$ fls -ar partition-fat.dd

In der ersten Spalte zeigtr/r, dass es sich um eine regul¨are Datei handelt. Ein v/vsteht f¨ur eine virtuelle (d.h. nicht existierende) Datei, die das Sleuthkit einf¨ugt. d/dbezeichnet ein Verzeichnis, wobei das angegebene Verzeichnis$OrphanFilesnur virtuell f¨ur das Sleuthkit existiert. Die zweite Spalte gibt an, ob eine Datei oder ein Verzeichnis alloziert oder gel¨oscht ist. Im ersten Fall gibt flsdie Inode-Nummer an, im Falle eines gel¨oschten Objekts zus¨atzlich ein *. Wie bereits durch die Ausgabe von fsstat bekannt, sind in unserem Beispiel-Image drei Objekte alloziert. Durch fls erfahren wir, dass es sich um regul¨are Dateien handelt, die durch die Inodes 4, 8 sowie 12 beschrieben werden. Weiterhin sind zwei gel¨oschte Verzeichniseintr¨age vorhanden, die durch die Inodes5 sowie10beschrieben wurden. Es f¨allt auf, dass die Dateinamen beider gel¨oschter Dateien zu sehen sind.

Um nun weitere Details ¨uber eine Datei zu erfahren, verwenden wir den Befehl istat. Der Pr¨afix i zeigt an, dass wir ¨uber eine Inode-Nummer Informationen ¨uber ein Objekt des Datei-systems erfahren wollen – wir m¨ussen also diesem Befehl eine Inode-Nummer ¨ubergeben. istat greift dann auf den unter dieser Inode-Nummer gespeicherten Verzeichniseintrag zu und gibt diese Informationen aus.

F¨ur eine allozierte Datei h¨alt das Dateisystem in jedem Fall zahlreiche Informationen vor, n¨amlich die Dateigr¨oße, die MAC-Zeitstempel sowie die von der Datei belegten Dateisystemcluster oder alternativ die Datentr¨agersektoren. In Beispiel 29 analysieren wir einen Inode einer allozierten Datei.

Beispiel 29 (Ausgabe vonistat f¨ur eine allozierte Datei). Wir analysieren einen Inode eines FAT-Dateisystems, der im Image partition-fat.dd eine allozierte Datei beschreibt. Aus Bei-spiel 28 wissen wir, dass die Datei mit Inode4den Namenpubform.docbesitzt und nicht gel¨oscht ist. Die Ausgabe desistat-Befehls f¨ur diesen Inode sieht wie folgt aus:

$ istat partition-fat.dd 4 Directory Entry: 4

Allocated

File Attributes: File, Archive Size: 224768

Name: PUBFORM.DOC Directory Entry Times:

Written: Thu Apr 3 11:48:34 2014 Accessed: Thu Apr 3 00:00:00 2014 Created: Thu Apr 3 11:48:34 2014 Sectors:

440 441 442 443 444 445 446 447 [REMOVED]

496 497 498 499 500 501 502 503 556 557 558 559 560 561 562 563 [REMOVED]

924 925 926 927 928 929 930 931

Das Toolistatliefert uns eine Reihe von Metainformationen ¨uber die Dateipubform.doc: sie ist alloziert, ihre Gr¨oße ist224768Byte. Bei den Zeitstempeln, die allesamt vom 03.04.2014 datieren, f¨allt auf, dass derlast accessedZeitstempel vor dem createdZeitstempel liegt. Dieser Wider-spruch ist der Tatsache geschuldet, dass Zeitstempel unter FAT mit unterschiedlicher Genauigkeit abgespeichert werden: last accessedwird nur auf den Tag genau gespeichert (daher gibt istat einfach 0 Uhr als Zeit aus), die beiden ¨ubrigen Zeitstempel auf2Sekunden genau (daher jeweils ei-ne gerade Sekundenzahl). Schließlich sehen wir noch die von der Datei allozierten Sektoren, wobei wir sequenzielle Sektoradressen durch[REMOVED] weglassen. Wir erkennen die beiden Fragmente der Datei, das Ergebnis ist konsistent zur Ausgabe vonfsstatin Beispiel 27.

Sehen wir uns nun an, welche Ausgabenistatf¨ur eine gel¨oschte Datei ausgibt. Die im Datei-system noch vorhandenen Informationen zu einer gel¨oschten Datei h¨angen von zahlreichen Rand-bedingungen ab, z.B. Konzeption des Dateisystems sowie dessen Nutzung seit L¨oschung. In Bei-spiel 30 sehen wir uns f¨ur ein FAT-Dateisystem an, welche Informationen mittelsistat ¨uber die gel¨oschte Datei mit Inode 10 aus Beispiel 27 aus dem Dateisystem extrahierbar sind.

Beispiel 30 (Ausgabe von istat f¨ur eine nicht-allozierte Datei). Wir analysieren einen Inode eines FAT-Dateisystems, der im Image partition-fat.dd eine gel¨oschte Datei beschreibt. Die Ausgabe des istat-Befehls sieht wie folgt aus:

$ istat partition-fat.dd 10 Directory Entry: 10

Not Allocated

File Attributes: File, Archive Size: 1070132

Name: _B-SEPA.ZIP Directory Entry Times:

Written: Thu Apr 3 11:49:42 2014 Accessed: Thu Apr 3 00:00:00 2014 Created: Thu Apr 3 11:49:42 2014 Sectors:

932 933 934 935 936 937 938 939 [REMOVED]

3012 3013 3014 3015 3016 3017 3018 3019 3020 3021 3022 0

Die Datei mit Inode10wird im Augenblick nicht genutzt. Die Datei hatte eine Gr¨oße von1070132 Byte. Der vermutliche Dateiname war _B-SEPA.ZIP, das erste Zeichen ist nicht bekannt (das ist

6.4. ABSTRAKTIONSEBENEN DER IT-FORENSIK UND TOOLS 111 immer so bei gel¨oschten Dateien im FAT-Dateisystem). F¨ur die Zeitstempel gilt das in Beispiel 29 Gesagte. Interessant ist die Ausgabe der von der Datei ehemals allozierten Sektoren. Diese In-formation liegt so nicht als Metadatum im Dateisystem vor, sondern lediglich der ehemals erste allozierte Sektor der Datei sowie die Dateigr¨oße. Aus diesen Informationen berechnet das Sleuthkit diese Sektoradressen, wobei es eine nicht-fragmentierte Datei unterstellt. Belegte der Dateianfang Sektor932, so ergibt sich aus der Dateigr¨oße, dass ^1070132₅₁₂ = 2090,1 und damit2091Sektoren von der Datei belegt waren. Daraus ergibt sich als letzter Sektor932 + 2091−1 = 3022. War die Datei fragmentiert, ist die Angabe der Sektoradressen falsch. Auff¨allig ist auch die Angabe des letzten Sektors 0, was nicht stimmen kann, da dort der Bootsektor des Dateisystems liegt.

Interessant f¨ur eine IT-forensische Untersuchung ist die Frage der Wiederherstellung gel¨oschter Dateien. Dazu gibt es unterschiedliche Ans¨atze. Auf Dateisystemebene h¨angt die Erfolgswahr-scheinlichkeit zur Wiederherstellung gel¨oschter Dateien vom verwendeten Dateisystem sowie der Fragmentierung der Datei ab. Mit Hilfe des Befehlsicataus dem Sleuthkit kann man versuchen, aus noch vorliegenden Metainformationen einer Datei deren Inhalt wiederherzustellen. Der Name icatlehnt sich an den allgemeinen Linux Befehlcatzur Anzeige von Dateiinhalten an. Wir raten dazu, den Switch -r zu verwenden, um icat in den Recovery Modus f¨ur gel¨oschte Dateien zu schalten. In Beispiel 31 versuchen wir, eine gel¨oschte Datei unter FAT wiederherzustellen.

Beispiel 31(Wiederherstellung einer gel¨oschten Datei unter FAT). Wir versuchen, im FAT-Image partition-fat.dddie gel¨oschte Datei mit Inode 10 (siehe auch Beispiel 30) wiederherzustellen.

Dazu rufen wiricatim Recovery-Modus auf und schreiben die Ausgabe dieses Befehls in die Datei file.out. Da wir vermuten, dass es sich um eine zip-Datei handelt (das suggeriert der Name aus Beispiel 30), rufen wir anschließend unzipauf.

$ icat -r partition-fat.dd 10 > file.out

$ unzip -l file.out Archive: file.out

Length Date Time Name --- --- ---

----2494976 2014-03-08 15:16 AB-SEPA.xls

---

---2494976 1 file

Die Ausgabe vonunzipzeigt, dass die Wiederherstellung funktioniert hat. Das zip-File enth¨alt nur eine Datei, vermutlich eine Tabellendatei im xls-Format.

Kontrollaufgabe 32 (File Slack). Die Clustergr¨oße eines Dateisystems ist 4 KiB. Eine Datei der Gr¨oße10.000 Byte wird gespeichert. Wie groß ist der File Slack?

Kapitel 7

Authentifikation

Dieser Studienbrief baut auf g¨angigem IT-Wissen sowie auf den kryptographischen Grundlagen auf und dient dazu, ein Verst¨andnis f¨ur allt¨aglich genutzte Authentifikationsverfahren zu erlangen.

Dabei frischen Sie wichtige Grundlagen auf und legen den Grundstein zum sicheren Einsatz dieser Verfahren. Daher sollten Sie diesen Studienbrief auf jeden Fall bearbeiten.

Grundlage f¨ur dieses Kapitel ist, sofern nicht explizit angegeben, das Buch von Claudia Eckert.

Dieses Buch k¨onnen Sie daher zur Vertiefung des Stoffes nutzen.

7.1 Grundlegende Begriffe und Authentifikationsklassen

In diesem Abschnitt lernen Sie grundlegende Begriffe im Zusammenhang mit der Authentifikation von Subjekten sowie die vier unterschiedlichen Klassen von Authentifikationsverfahren kennen.

In Kapitel 3 haben Sie zentrale Schutzziele wie Vertraulichkeit, Integrit¨at sowie Authentizit¨at kennengelernt. Dabei wurde klar, dass Authentizit¨at der Subjekte typischerweise eine Vorausset-zung f¨ur die Schutzziele Vertraulichkeit und Integrit¨at darstellt. Denken Sie z.B. an das Beispiel einer PKI: Bevor die Absenderin Alice eine vertrauliche Nachricht an den Empf¨anger Bob schickt, will sie sicher sein, dass sie wirklich mit Bob kommuniziert und nicht mit dem Angreifer Eve – andernfalls w¨urde Alice die geheime Information an Eve statt an Bob senden. In diesem Fall muss die Identit¨at des Empf¨angers Bob zuverl¨assig festgestellt werden k¨onnen. Dazu lernen Sie in diesem Kapitel die in der Praxis eingesetzten Verfahren kennen.

Bitte rufen Sie sich zwei zentrale Begriffe dieses Kapitels in Erinnerung und grenzen diese voneinander ab: Authentifikation und Authentisierung, die in Definition 1 beschrieben sind. Die Funktion der Authentifikation ist die Pr¨ufung der Korrektheit einer behaupteten Identit¨at durch den angefragten Dienst, nachdem im ersten Schritt der Authentisierung das Subjekt den Nachweis erbracht hat.

Als Beispiel soll an dieser Stelle Online-Banking dienen. Ein Nutzer m¨ochte sich am Online-Banking-Server mit Benutzerkennung und Passwort anmelden. Die Benutzerkennung ist die be-hauptete Identit¨at, das zum Server ¨ubermittelte Passwort liefert als Authentisierungsinformation den Nachweis dazu. Der Server f¨uhrt mittels dieser Information die Authentifikation durch.

Nach erfolgreicher Authentifikation ist sicher, wer der andere Kommunikationspartner ist. Die Authentifikation kann jedoch nicht nur zwischen Personen stattfinden, sondern auch zwischen Mensch und IT-System bzw. zwischen zwei IT-Systemen. Wird dabei nur einer der beiden Kom-munikationspartner authentifiziert, so wird dies alseinseitigeAuthentifikation bezeichnet. Damit ist gemeint, dass die Identit¨at der authentifizierenden Seite f¨ur den authentifizierten Partner un-gepr¨uft bleibt. Werden hingegen beide Seiten authentifiziert, so sprechen wir von zweiseitiger Authentifikation. Einseitige Authentifikation ist oft sicherheitskritisch, weil der authentisierende Kommunikationspartner einen Nachweis seiner Identit¨at erbringt, ohne zu wissen, an wen er diesen Nachweis schickt. Denken Sie daran, wenn Sie z.B. Ihr Passwort an einen Webserver ¨ubermitteln.

113

Innerhalb der IT-Sicherheit werden die folgenden vier Klassen von Authentifikationsverfahren unterschieden:

1. Wissens-basiert: Zur Authentisierung dient eine Information, die nur die zu authentifizieren-de Person weiß (z.B. Passwort, PIN). Plakativ wird diese Klasse auch als

”was man weiß“

bezeichnet.

2. Besitz-basiert: Zur Authentisierung dient etwas, auf das nur die zu authentifizierende Person Zugriff hat (z.B. Schl¨ussel, Reisepass, Token). Plakativ nennen wir diese Klasse auch

”was man hat“.

3. Biologische biometrische Charakteristik: Zur Authentisierung dient eine biologische Eigen-schaft der zu authentifizierenden Person (z.B. Fingerabdruck, Iris, Gesicht). Plakativ wird diese Klasse auch

”was man ist“ genannt. Oft wird diese Klasse auch alsstatische Biometrie bezeichnet.

4. Verhaltens-basierte biometrische Charakteristik: Zur Authentisierung dient eine Verhaltens-weise der zu authentifizierenden Person (z.B. Sprechererkennung, Gang). Plakativ nennen wir diese Klasse auch

”was man kann“. Diese Klasse wird auch als dynamische Biometrie bezeichnet.

Die in der Praxis wohl am meisten verbreitete Form ist die Wissens-basierte Authentifikation, wie sie bei der Anmeldung am Betriebssystem oder beim Zugriff auf einen Webshop oder einen

¨ahnlichen Dienst genutzt wird. Auch die Besitz-basierte Authentifikation ist weit verbreitet, bei-spielsweise erh¨alt eine Person Zugang zu sensiblen R¨aumlichkeiten nur dann, wenn sie im Besitz einer Schl¨usselkarte ist. Die Gesichtserkennung als biologisches biometrisches Merkmal wenden wir an, sofern ein Identit¨atsdokument wie der neue Personalausweis oder der Reisepass zur Authen-tifikation genutzt wird. Alle diese Beispiele nutzen genau ein Verfahren, weshalb diese auch als 1-Faktor Authentifizierung beschrieben werden k¨onnen.

Zur Erh¨ohung der Sicherheit werden in der Praxis h¨aufig mehrere dieser Authentifikationsme-thoden miteinander kombiniert. Hierbei wird von der sogenannten Mehrfaktor-Authentifizierung gesprochen. Um erfolgreich eine Identit¨at zu missbrauchen, muss der Angreifer alle mit-einander kombinierten Methoden ¨uberwinden. Ein allt¨agliches Beispiel f¨ur eine Zweifaktor-Authentifizierung ist die Authentifikation eines Kunden an einem Geldausgabeautomaten. Die Identit¨at wird durch den Besitz der Bankkarte und das Wissen der PIN bewiesen. Allerdings fin-det die Authentifikation in diesem Falle nur einseitig statt, d.h. nur der Nutzer authentifiziert sich gegen¨uber dem System (siehe oben). Das liefert Angriffsm¨oglichkeiten, um die Daten der Bankkarte sowie die PIN zu kopieren.

Bevor die einzelnen Methoden der Reihe nach detailliert betrachtet werden, l¨osen Sie bitte die nachstehenden Kontrollaufgaben.

Kontrollaufgabe 33(Authentifikationsklassen). Nennen Sie die vier Klassen von Authentifika-tionsverfahren. Geben Sie jeweils mindestens drei Beispiele an.

Kontrollaufgabe 34 (Mehrfaktor-Authentifikation). Was wird unter dem Begriff Mehrfaktor-Authentifikation verstanden?

Im Dokument Prof. Dr. Harald Baier Prof. Dr. Stefan Edelkamp (Seite 106-114)