Was ist transitives Vertrauen?

Sie haben vielleicht schon von "transitivem Vertrauen" gehört, wenn es um Sicherheit geht, und im traditionellen Sinne bezieht es sich auf Vertrauen, das zwischen Domänen oder Unternehmen besteht. Beginnen wir hier, um die Grundlagen zu schaffen.

• Einseitiges Vertrauen
• A vertraut B/ B. traut A nicht.
  ‍
• Gegenseitiges Vertrauen
• A vertraut B / B vertraut A.
  ‍
• Nicht-transitives Vertrauen
• A vertraut B, lässt aber nicht zu, dass dieses Vertrauen erweitert wird. Es endet bei B.
  ‍
• Transitives Vertrauen
•  A vertraut B, B vertraut C, also vertraut A auch C und C vertraut auch A.

‍

‍

Wie sieht es nun im Kontext der Authentifizierung aus? AuthN von IDEE verwendet diese Grundprinzipien als Bausteine für eine sichere Authentifizierungsarchitektur und den gesamten Identifizierungslebenszyklus (Registrierung, Authentifizierung, Hinzufügen eines Geräts, Wiederherstellung des Kontos und Abmeldung). Dies ist wichtig. Es ist wichtig, weil der gesamte Identitätslebenszyklus berücksichtigt werden muss, um eine echt phish-proof MFA (Multi-Faktor-Authentifizierungs)-Lösung zu schaffen, und nicht nur auf phishable Faktoren außerhalb des Authentifizierungsvorgangs selbst zurückgreifen darf.

Werfen wir einen Blick darauf. 

Transitives Vertrauen setzt sich aus vier Schlüsselelementen zusammen

Wenn wir im Fall von AuthN by IDEE von transitivem Vertrauen sprechen, dann meinen wir damit diese vier Elemente.

1. Vertrauenswürdiger Dienst - die Integrität des Dienstes, auf den der Benutzer zugreift, muss festgestellt werden, um sicherzustellen, dass es sich nicht um einen gefälschten Dienst handelt, der sich als der echte Dienst ausgibt. 
2. Vertrauenswürdiges Gerät - die Zuverlässigkeit des Geräts, von dem aus eine Transaktion durchgeführt wird, muss bekannt sein und seine Integrität muss überprüft werden. 
3. Vertrauenswürdiger Benutzer - die Identität des Benutzers, der die Transaktion durchgeführt hat, muss sicher authentifiziert und überprüft werden. Der Nutzer muss die volle Kontrolle über das vertrauenswürdige Gerät haben, um eine Transaktion zu genehmigen, die über einen vertrauenswürdigen Dienst unter Verwendung von Authentifizierungsfaktoren durchgeführt wurde, die von einem Angreifer nicht gefälscht, gestohlen und/oder umgangen werden können. 
4. Vertrauenswürdiger Berechtigungsnachweis - ein Berechtigungsnachweis, der nicht gefälscht, gestohlen und/oder umgangen werden kann. 

Die Anwendung aller vier Attribute bedeutet, dass eine Transaktion nur über einen "vertrauenswürdigen Dienst" von einem "vertrauenswürdigen Gerät" durchgeführt werden kann, das an einen "vertrauenswürdigen Benutzer" gekoppelt und unter der "vollständigen Kontrolle des Benutzers"autorisiert ist.

Wiein der Einleitung erwähnt, muss transitives Vertrauen in den gesamten Identitätslebenszyklus von der Kontoregistrierung bis zur Kündigung integriert werden. Hier eine genauere Betrachtung, wie das aussehen kann. 

 MFA-Registrierung mit transitivem Vertrauen

Bei der Ersteinrichtung von AuthN by IDEE bildet der Registrierungsprozess die Grundlage für das transitive Vertrauen. Sie müssen sich zunächst bei einem vertrauenswürdigen Dienst (wie z.B. Microsoft 365) registrieren. Dies ist ein schneller und müheloser Prozess. Hier sehen Sie, was während des Registrierungsprozesses im Hintergrund abläuft und wie das Ganze funktioniert:

1. Um sich bei einem Dienst anzumelden, wird die Identität des Nutzers entweder durch den Nachweis des Besitzes und der Kontrolle über die angenommene Identität oder durch einen Administrator, der sich für die Echtheit der Identität des Nutzers verbürgen kann, validiert und überprüft. 
2. Sobald die Identität des Benutzers verifiziert wurde, werden Authentifizierungsfaktoren für den Benutzer für diesen speziellen Dienst, der mit dem Benutzergerät verbunden ist, eingerichtet.
3. Die Authentifizierungsfaktoren basieren auf Public-Key-Kryptographie und Inhärenz und/oder Wissen (im Falle von AuthN by IDEE bitten wir die Nutzer beispielsweise, ihr Gerät entsprechend ihrer bevorzugten Konfiguration, PIN, Face ID, Daumenabdruck zu entsperren).  
4. Der Berechtigungsnachweis (kryptografischer privater Schlüssel) wird sicher auf dem Gerät des vertrauenswürdigen Benutzers bereitgestellt. Er wird in einer sicheren Enklave und/oder einem TPM (Trusted Platform Module) so gespeichert, dass er nicht vom Gerät entfernt oder von einem Cyberkriminellen gestohlen werden kann.  
5. Der registrierte kryptografische Schlüssel ist kryptografisch an den vertrauenswürdigen Dienst und das Gerät gebunden, so dass der Schlüssel nur von diesem vertrauenswürdigen Gerät aus mit der Genehmigung des Benutzers für diesen Dienst verwendet werden kann. 

‍

‍

MFA-Authentifizierung mit transitivem Vertrauen  

Das bei der Registrierung geschaffene Vertrauen wird ausdrücklich auf den Authentifizierungsprozess übertragen. Und so funktioniert es:

1. Der Benutzer muss den Zugriff auf den vertrauenswürdigen Dienst vom vertrauenswürdigen Gerät des Benutzers aus initiieren. 
2. Der Anmeldedaten (private Schlüssel) des Nutzers muss vom Nutzer explizit autorisiert werden, indem er entweder die Inhärenz oder den Wissensfaktor lokal auf dem vertrauenswürdigen Gerät verwendet, um eine Antwort auf die Authentifizierungsanfrage des vertrauenswürdigen Dienstes zu generieren. Wie bei der Registrierung bedeutet dies, dass der Benutzer sein Gerät entsperrt. 
3. Nach der Autorisierung durch den Benutzer signiert der private Schlüssel einen überprüfbaren Beweis für den Besitz und die Kontrolle nicht nur des Schlüssels, sondern auch des vertrauenswürdigen Geräts zu diesem Zeitpunkt. 
4. Der überprüfbare Nachweis wird vom vertrauenswürdigen Dienst unabhängig verifiziert, um die Integrität, Authentizität und Herkunft nicht nur der Benutzeridentität, sondern auch des Geräts zu gewährleisten, auf dem der Benutzer die Transaktion autorisiert hat, um dem Benutzer Zugang zu dem angeforderten Dienst zu gewähren.

‍

‍

Ein anderes Gerät zu einem vertrauenswürdigen Authentifizierungsgerät mit transitivem Vertrauen machen: 

Um ein zusätzliches vertrauenswürdiges Gerät für das Benutzerkonto bereitzustellen, muss der Benutzer das zusätzliche Gerät ausdrücklich mit einer Sicherheitsstärke autorisieren, die der der Authentifizierung entspricht. 

1. Der Benutzer muss den Prozess des Hinzufügens eines neuen Geräts zum vertrauenswürdigen Dienst von seinem bereits vertrauenswürdigen Gerät aus initiieren. 
2. Nach der Autorisierung durch den Benutzer wird mit dem privaten Schlüssel des Benutzers ein überprüfbarer Nachweis über den Besitz und die Kontrolle nicht nur des Autorisierungsschlüssels, sondern auch des vorhandenen vertrauenswürdigen Geräts zu diesem Zeitpunkt unterzeichnet. 
3. Der überprüfbare Nachweis wird unabhängig verifiziert, um die Integrität, Authentizität, Unabstreitbarkeit und Herkunft nicht nur der Autorisierung des neuen Geräts, sondern auch des Geräts, auf dem der Nutzer das neue Gerät autorisiert hat, sicherzustellen.  
4. Wenn die Transitivität zufriedenstellend ist, wird das neue autorisierte Gerät zu einem vertrauenswürdigen Gerät, das der Benutzer zur Autorisierung nachfolgender Transaktionen verwenden kann. 

‍

Kontowiederherstellung mit Transitivem Gerät: 

Wenn das bestehende transitive Vertrauen nicht mehr nachgewiesen werden kann (z. B. weil der Nutzer das vertrauenswürdige Gerät verloren hat), muss der Nutzer eine Identitätsüberprüfung wie im Registrierungsprozess durchführen, um seine Identität und sein Vertrauen auf einem neuen Gerät, das mit dem vertrauenswürdigen Dienst verbunden ist, zu bestätigen und zu überprüfen. 

Bei jedem Schritt des Lebenszyklus der Benutzeridentität stellt transitives Vertrauen sicher, dass eine Transaktion auf einem "vertrauenswürdigen Dienst" von einem "vertrauenswürdigen Gerät" durchgeführt wurde, das mit einem "vertrauenswürdigen Benutzer" verbunden ist und unter der "vollständigen Kontrolle des Benutzers" autorisiert wurde . Dies macht die Architektur der AuthN by IDEE MFA-Lösung immun gegen Credential Phishing und alle passwortbasierten Angriffe einschließlich AiTM (Adversary in The Middle).