Was ist transitives Vertrauen?

Sie haben vielleicht schon einmal von "transitivem Vertrauen" gehört, wenn es um Sicherheit geht. In seinem traditionellen Sinne bezieht es sich auf Vertrauen, das zwischen Domänen oder Unternehmen besteht. Lassen Sie uns hier beginnen, nur um die Grundlagen zu behandeln.

• Einseitiges Vertrauen
• A vertraut B/B. vertraut A nicht.
  ‍
• Wechselseitiges Vertrauen
• Ein Vertrauen B//B vertraut A.
  ‍
• Nichttransitives Vertrauen
• A vertraut B, erlaubt aber nicht, dass dieses Vertrauen verlängert wird. Es endet bei B.
  ‍
• Transitives Vertrauen
• A vertraut B, B vertraut C, auch vertraut A auch C und C vertraut auch A.

‍

‍

Wie wäre es nun im Zusammenhang mit der Authentifizierung? AuthN von IDEE verwendet diese Grundprinzipien als Bausteine für eine sichere Authentifizierungsarchitektur und den gesamten Identifikationszyklus (Registrierung, Authentifizierung, Hinzufügen eines Geräts, Kontowiederherstellung und Offboarding). Dies ist wichtig. Dies ist wichtig, da der gesamte Identitätslebenszyklus berücksichtigt werden muss, um eine wirklich phishingsichere MFA-Lösung (Multi Factor Authentication) zu entwickeln, und nicht nur auf phishingfähige Faktoren außerhalb der Authentifizierung selbst zurückgreifen darf.

Lassen Sie uns einen Blick darauf werfen.

Transitives Vertrauen besteht aus vier Schlüsselelementen

Im Fall von AuthN von IDEE sprechen wir, wenn wir über transitives Vertrauen sprechen, über diese vier Elemente.

1. Vertrauenswürdiger Service - Die Integrität des Dienstes, auf den der Nutzer zugreift, muss überprüft werden, um sicherzustellen, dass es sich nicht um einen gefälschten Dienst handelt, der sich als der echte Dienst ausgibt.
2. Vertrauenswürdiges Gerät - Die Zuverlässigkeit des Geräts, von dem aus eine Transaktion ausgeführt wird, muss bekannt sein und seine Integrität muss überprüft werden.
3. Vertrauenswürdiger Benutzer - Die Identität des Benutzers, der die Transaktion durchgeführt hat, muss sicher authentifiziert und verifiziert werden. Der Benutzer muss die vollständige Kontrolle über das vertrauenswürdige Gerät haben, um eine Transaktion zu genehmigen, die über einen vertrauenswürdigen Dienst ausgeführt wird. Dabei werden Authentifizierungsfaktoren verwendet, die von einem Angreifer nicht mit Phishing, Diebstahl und/oder Umgehung versehen werden können.
4. Vertrauenswürdige Anmeldeinformationen - ein Ausweis, der nicht mit Phishing, Diebstahl und/oder Umgehung versehen werden kann.

Die Anwendung aller vier Attribute bedeutet, dass eine Transaktion nur auf einem "vertrauenswürdigen Service" von einem "vertrauenswürdigen Gerät" an einen "vertrauenswürdigen Benutzer" gekoppelt werden kann und autorisiert unter der "Die totale Kontrolle des Benutzers".

‍Wiein der Einleitung erwähnt, muss transitives Vertrauen in den gesamten Identitätslebenszyklus von der Kontoregistrierung bis zur Kündigung integriert werden. Im Folgenden wird genauer untersucht, wie das aussieht.

MFA-Registrierung bei Transitivem Vertrauen

Bei der ersten Einrichtung von AuthN durch IDEE bildet der Registrierungsprozess die Grundlage für transitives Vertrauen. Sie müssen sich zuerst bei einem vertrauenswürdigen Dienst (wie Microsoft 365) registrieren. Es ist ein schneller und müheloser Prozess. Hier ist, was während des Registrierungsprozesses im Hintergrund vor sich geht und wie alles funktioniert:

1. Um sich für einen Dienst zu registrieren, wird die Benutzeridentität validiert und verifiziert, indem entweder der Besitz und die Kontrolle über die angenommene Identität nachgewiesen wird oder durch einen Administrator, der für die Echtheit der Identität des Benutzers bürgen kann.
2. Sobald die Identität des Benutzers überprüft wurde, werden Authentifizierungsfaktoren für den Benutzer für diesen bestimmten Dienst festgelegt, der an das Benutzergerät gebunden ist.
3. Die Authentifizierungsfaktoren basieren auf Kryptografie und Inhärenz und/oder Wissen mit öffentlichen Schlüsseln (im Fall von AuthN by IDEE bitten wir die Benutzer beispielsweise, ihr Gerät gemäß ihrer bevorzugten Konfiguration, PIN, Face ID, Fingerabdruck) zu entsperren.
4. Die Anmeldeinformationen (kryptografischer privater Schlüssel) werden sicher auf dem Gerät des vertrauenswürdigen Benutzers bereitgestellt. Es wird in einer sicheren Enklave und/oder TPM (Trusted Platform Module) so gespeichert, dass es unmöglich ist, es vom Gerät zu entfernen oder von einem Cyberkriminellen gestohlen zu werden.
5. Der registrierte kryptografische Schlüssel ist kryptografisch an den vertrauenswürdigen Dienst und das Gerät gebunden, sodass der Schlüssel nur unter Autorisierung des Benutzers von diesem vertrauenswürdigen Gerät aus für diesen Dienst verwendet werden kann.

‍

‍

MFA-Authentifizierung mit Transitivem Vertrauen  

Das bei der Registrierung etablierte Vertrauen wird explizit an den Authentifizierungsprozess übertragen. So funktioniert das:

1. Der Benutzer muss den Zugriff auf den vertrauenswürdigen Dienst vom vertrauenswürdigen Gerät des Benutzers aus initiieren.
2. Die Anmeldeinformationen des Benutzers (privater Schlüssel) müssen vom Benutzer explizit autorisiert werden, indem entweder der Inhärenz- oder der Wissensfaktor lokal auf dem vertrauenswürdigen Gerät verwendet wird, um eine Antwort auf die Authentifizierungsanfrage des vertrauenswürdigen Dienstes zu generieren. Wie bei der Registrierung bedeutet dies, dass der Benutzer sein Gerät entsperrt.
3. Nach der Autorisierung des Benutzers signiert der private Schlüssel einen überprüfbaren Nachweis des Besitzes und der Kontrolle nicht nur des Schlüssels, sondern auch des vertrauenswürdigen Geräts zu diesem Zeitpunkt.
4. Der überprüfbare Nachweis wird vom vertrauenswürdigen Dienst unabhängig überprüft, um die Integrität, Authentizität und Herkunft nicht nur der Benutzeridentität, sondern auch des Geräts sicherzustellen, auf dem der Benutzer die Transaktion autorisiert hat, um dem Benutzer Zugriff auf den angeforderten Dienst zu gewähren.

‍

‍

Ein anderes Gerät zu einem vertrauenswürdigen Authenticator-Gerät mit Transitive Trust machen: 

Um dem Benutzerkonto ein zusätzliches vertrauenswürdiges Gerät zur Verfügung zu stellen, muss der Benutzer das zusätzliche Gerät explizit autorisieren, dessen Sicherheitsstärke der der Authentifizierung entspricht.

1. Der Benutzer muss den Vorgang des Hinzufügens eines neuen Geräts zum vertrauenswürdigen Dienst von dem bereits vertrauenswürdigen Gerät des Benutzers aus einleiten.
2. Nach der Autorisierung des Benutzers signiert der private Schlüssel des Benutzers einen überprüfbaren Nachweis des Besitzes und der Kontrolle nicht nur des Autorisierungsschlüssels, sondern auch des vorhandenen vertrauenswürdigen Geräts zu diesem Zeitpunkt.
3. Der überprüfbare Nachweis wird unabhängig überprüft, um die Integrität, Echtheit, Unwiderlegbarkeit und Herkunft nicht nur der Zulassung des neuen Geräts, sondern auch des Geräts, auf dem der Benutzer das neue Gerät autorisiert hat, sicherzustellen.
4. Wenn die Transitivität zufriedenstellend ist, wird das neue autorisierte Gerät zu einem vertrauenswürdigen Gerät, mit dem der Benutzer nachfolgende Transaktionen autorisieren kann.

‍

Kontowiederherstellung mit Transitive Device: 

Wenn das bestehende transitive Vertrauen nicht mehr nachgewiesen werden kann (z. B. hat der Benutzer das vertrauenswürdige Gerät verloren), muss der Benutzer wie im Registrierungsprozess einer Identitätsprüfung unterzogen werden, um seine Identität und sein Vertrauen auf einem neuen Gerät, das mit dem vertrauenswürdigen Dienst verbunden ist, festzustellen und zu verifizieren.

In jedem Schritt des Lebenszyklus der Benutzeridentität stellt transitives Vertrauen sicher, dass eine Transaktion auf einem "vertrauenswürdigen Service" von einem "vertrauenswürdigen Gerät" an "vertrauenswürdigen Benutzer" gekoppelt und autorisiert unter der "Die totale Kontrolle des Benutzers". Dadurch ist die Architektur der AuthN by IDEE MFA-Lösung immun gegen Anmeldeinformations-Phishing und alle passwortbasierten Angriffe, einschließlich AITM (Adversary in The Middle).