[sage] Two-Factor Authentication mit SMS?
Christoph Wegener
christoph.wegener at guug.de
Wed Jun 10 17:55:31 CEST 2009
Hallo Andreas,
falls Du den Vortrag von Peter Koch [1] aus dem Jahre 2006(!) meinst:
Dein Stand ist IMHO veraltet - das wurde während des Vortrags auch
erwähnt. Die neue Token-Generation (die nun aber auch schon in die Jahre
gekommen ist) hat einen anderen Algorithmus, wieder proprietär, aber
bisher nicht reverse engineered (wer andere Infos hat -> her damit! ;)),
da ist die Ableitung der TAN nicht mehr trivial (erratbar).
Und BTW: Das PAM-Modul existiert(e) für die "alte" Token-Version und
wurde eben per Reverse Engineering erstellt und deswegen auch von RSA
"verboten", für die Story dazu mal den ehemaligen Maintainer befragen
;). Zumindest ist der Code dafür AFAIK nicht mehr "offiziell" zu bekommen...
Beste Grüße
Christoph
[1]: http://smartcard-auth.de/download/Vortrag-LinuxTag-2006.pdf
Andreas Jellinghaus wrote:
> Am Mittwoch 10 Juni 2009 14:26:01 schrieb Alexander Klink:
>> IIRC kann der ACE-Server von RSA in einer aktuellen (vll. auch kommenden,
>> da bin ich nicht ganz sicher) das als Ersatz für ein physisches
>> SecurID-Token.
>
> sind die rsa tokens inzwischen mehr als schwer lesbare uhren?
>
> Mein Stand ist: der Algorithmus für die Berechnung des OTP ist weithin
> bekannt. Dabei geht nur die Uhrzeit ein, und eine Nummer. Die Nummer ist
> in den Geräten fest eingestellt und kann nicht geändert werden. Dafür
> steht die Nummer auf diversen Dokumenten wie Lieferschein drauf, und ist
> daher bedingt sicher. Zudem muß zumindest bei manchen Implementationen
> die Nummer im Klartext auf dem Server hinterlegt werden (es gibt wohl
> ein PAM modul für diese OTP).
>
> Mein Fazit: nicht sehr sicher. Auf dem Linuxtag wurde das mal schön
> demonstriert, die "geheime" OTP war in einem Vortrag vorhergesagt während
> der Token durch die Reihen ging, und natürlich kam zur vorhergesagten Zeit
> auch die vorhergesagte Nummer.
>
> Hat sich da was geändert? Kann man wenigstens die Nummer der Tokens
> verändern, oder muß man RSA, der gesamten Handelskette und allen Leuten
> mit Zugang zum Lieferschein vertrauen, das diese die Nummer geheim halten?
--
Dr. Christoph Wegener (CISA, CISM, CBP)
Vorstandsmitglied / Member of the Board
German Unix User Group (GUUG) e. V.
Postfach 250123
D-44739 Bochum
Germany
phone: +49.2332.510 340-0
fax : +49.2332.510 340-9
mailto:christoph.wegener at guug.de
GnuPG-Key: AA57 B939 02AD DBB6 88DC 2097 59A3 E7A8 6D7C FBFF
More information about the SAGE
mailing list