Vorschlag für eine Produktinnovation
Version 1.3/2.1, 21.04.2006
Hauke Laging, Grazer Platz 22, 12157 Berlin, Tel.: 030/32603660, mobil: 0172/7630883, E-Mail: hauke@laging.deAusgangslage - das Problem des Kunden
Problembewusstsein
Nebenziele, positive Nebeneffekte, weitere Betroffene
Anforderungen
Realisierung
mögliche Probleme
Aufwand
Durch ein individualisiertes Knoppix, das alle relevanten persönlichen Zugangsdaten verschlüsselt enthält, soll der bequeme und vertrauenswürdige Zugang zu persönliche Daten von nicht vertrauenswürdiger Hardware aus ermöglicht werden.
Das große Problem, wenn man anderswo auf seine Daten, etwa E-Mails, zugreifen will, ist, dass man dem jeweiligen Rechner keinerlei Vertrauen entgegenbringen kann. Das fängt bei den Zertifikaten der Server, deren Dienste man regelmäßig nutzt, an, die der dortige Browser nicht kennt, die man also akzeptieren muss, wobei man typischerweise die Hashes weder auswendig weiß noch notiert hat, und endet bei gezielt manipulierten Rechnern oder Netzwerken, bei denen Datenströme oder gar Tastatureingaben mitgelesen werden.
Ganz zu schweigen vom üblichen Problem, dass Joe User von all diesen Risiken keinen Plan hat.
Ein weiteres Problem der Mobilität ist, dass man viele Zugangsdaten nicht mehr weiß - wenn man denn nicht überall dieselben hat.
Bei der Masse der User ist das Bewusstsein für solche Probleme denkbar gering. Kaum einer wird befürchten, dass Daten in Gefahr sind, wenn er doch nru durch Passworteingabe an sie herankommt...
Diese Probleme würden gelöst, wenn der User eine CD/DVD in der Art von Knoppix hätte, die - geschützt durch ein anständiges Passwort - einige persönliche Daten enthielte. Die technische Neuerung wäre eine Software, die auch den Technisch-Unbeleckten die einfache und schnelle Erstellung so einer CD ermöglicht.
Der Browser und das Mailprogramm enthielten alle Zertifikate, die der User für die fraglichen Dienste nutzt, die Zugangsdaten für E-Mail-Accounts würden eingestellt und - soweit gewünscht - die Zugangsdaten für Webseiten würden im Browser (oder einem Hilfsprogramm wie kwallet) gespeichert. Ebenso würden natürlich ggf. die Schlüssel von SSH-Servern hinterlegt. Wenn der User seine Anwendungskonfiguration irgendwo im Netz hinterlegt hätte, wäre es sogar möglich, diese als Teil des Homeverzeichnisses einzuspielen (etwa die Bookmarks).
Wenn der User einen vertrauenswürdigen Zugang ins Netz hätte (IPsec, https-Proxy), würde dieser konfiguriert.
Nach der ersten Konfiguration könnte mit wenig Aufwand eine aktualisierte Version erstellt werden, allerdings verlieren diese Daten nur selten ihre Gültigkeit.
Die User wüssten an so einer Software vermutlich in erster Linie die Bequemlichkeit zu schätzen - endlich Internet unterwegs wie zu Hause. Mit ein wenig Glück gelänge es aber auch, ihnen die Sicherheitsproblematik etwas näherzubringen.
Man könnte auch unterwegs seine verschlüsselten Mails lesen und signierte Mails verschicken.
Auf dieser Basis ist es möglich, sicheres Onlinebanking auch am eigenen PC zu betreiben, ohne das Restrisiko eines Trojaners o.Ä. (siehe Erweiterungen).
einfach
Unterstützung vieler Programme
sicher
Die Realisierung dieser Idee bestünde aus mehreren Teilen:
Konfigurationsdaten zur Verfügung stellen (vom Heim-PC einlesen und in einem einheitlichen Format speichern)
Konfigurationsdaten in die Homeverzeichnis-Schablone übernehmen
Knoppix modifizieren
Das Homeverzeichnis verschlüsseln
Die Netzwerkkonfiguration auch vom PC übernehmen können
Von einem modifizierten Homeverzeichnis "merkt" Knoppix zunächst einmal nichts, das ist unkritisch. Auch die Verschlüsselung des Homeverzeichnisses über ein loop device o.ä. ist harmlos.
Da man es mit Leuten zu tun hat, die im Zweifelsfall nicht einmal wissen, was eine IP-Adresse ist, sollte die Konfiguration der Netzwerkanbindung idiotensicher sein. Praktikabel ist dies wohl nur an Rechnern im LAN und solchen, die an einem Router (ISDN, Modem, DSL usw.) hängen. Auf der CD sollte deshalb Software "für populäre Betriebssysteme" sein, die die Art der Netzwerkanbindung prüft, dem User sagt, ob die CD auf dem Rechner benutzbar ist (ohne dass er die Zugangsdaten kennt), und auf Wunsch die Netzwerkkonfiguration des Rechners in eine Datei auf die Platte (oder eine USB-Stick oder so was) schreibt, wo das bootende Knoppix sie findet. Wäre das nicht möglich, könnte der User sich die Information ausdrucken oder als Notnagel aufschreiben. Dies wäre der Fall, wenn der Rechner eine feste IP-Adresse hat. DHCP würde ganz normal gehandhabt.
Am bequemsten wäre es, wenn die Software zur CD-Erstellung die Konfigurationsdaten von den verbreitetsten Programmen importieren könnte (Zertifikate, E-Mail-Accountdaten, Bookmarks, Cookies, SSH-Schlüssel, FTP-Zugangsdaten, Formulareingaben). Unabhängig davon müsste natürlich die Eingabe zusätzlicher Daten möglich sein, insbesondere für Formulardaten.
Die Daten sollten in einem einfachen Metaformat abgelegt werden, so dass man leicht für verschiedene Programme Exportfilter schreiben kann, so dass man nicht auf einen Browser, ein Mailprogramm usw. festgelegt wäre.
Es sollte berücksichtigt werden (soweit Knoppix das nicht von Hause aus schon macht), dass diese CDs durchaus aml am anderen Ende der Welt mit entsprechend anderen Tastaturen gebootet werden.
Da eine Menge nicht so ohne weiteres verfallender Daten auf dieser CD abgelegt wäre, handelt es sich beinahe um eine Einladung zum Missbrauch, wenn diese in falsche Hände gerät. Das Konfigurationsprogramm sollte also nur wirklich gute Passwörter zur Verschlüsselung des Homeverzeichnisses akzeptieren. Die Verwendung eines Schlüssels vom USB-Stick erscheint in diesem Fall eher kontraproduktiv, da dieser eben leicht zusammen mit der CD verloren werden kann. Wenn der User dämlich genug ist, das Passwort auf den Rohling zu schreiben, ist ihm nicht mehr zu helfen, aber man sollte das Technisch-Mögliche tun, um Unfug zu vermeiden.
Etwas ärgerlich ist, dass gesendete Mails bei POP3-Nutzern nicht gespeichert werden können. Hilfreich wäre daher die Option, sich selber diese Mails zu schicken (oder sie irgendwo im Netz abzulegen), so dass man sie zu Hause als gesendet importieren könnte, wenn jemand so nett ist, ein entsprechendes Programm zu schreiben. Dafür könnte es hilfreich sein, wenn die Konfiguration einen Symlink auf das Verzeichnis enthielte, in dem die versendeten Mails gespeichert werden - je nach Programm. Bestandteil von Knoppix sollte dann auch ein MTA sein, der die Zugangsdaten für den Mailversand von einem auszuwählenden Zugang erhält.
Alternativ könnten am Ende der Sitzung alle geänderten Daten an die eigene Adresse gemailt, per FTP o.ä. irgendwo im Netz oder auf einem Wechselmedium (z.B. USB-Stick) gespeichert werden.
Prinzipiell ist es natürlich möglich, Tastatureingaben über manipulierte Rechnerhardware oder kabellose Tastaturen mitzulesen. Das Risiko, dass so etwas passiert, ist zwar gering, aber die konkret "garantierbare" Sicherheit sollte schon erörtert werden.
Durch den Umstand, dass die Programme alle schon vorkonfiguriert sind, ist die Eingabe von Zugangsdaten ganz überwiegend unnötig. Für die unverzichtbaren Fälle sollte dem User ein Softkeyboard angeboten werden. Aus Mausbewegungen die Eingaben herauszurechnen, ist dann wirklich nicht mehr jedermanns Sache, zumal man dies für diesen speziellen Fall durch eine geegnete Ge-(bzw. Verun-)staltung des Softkeyboards noch erheblich erschweren könnte.
Was der Angreifer sich holen kann, ist das Passwort zum Entschlüsseln des Homeverzeichnisses - aber dann muss er dem User noch die CD klauen, um an dieses heranzukommen.
Die Grenze der Sicherheit liegt also - sofern im Internet verschlüsselte Verbindungen genutzt werden - bei Angriffen auf die Rechnerhardware. Damit hat man die eigene Sicherheit aber schon um etliche Größenordnungen erhöht. Wenn jemand es schafft, die Datenübertragungen von der Tastatur und vom CD-ROM mitzulesen, dann hat man natürlich verloren.
Insgesamt erscheint der technische Aufwand der Realisierung gering. Die Anpassung von Knoppix an sich wäre harmlos. Die Netzwerkkonfiguration unter Windows auszulesen, kann auch nicht so schwer sein. Der größte Aufwand läge in der Entwicklung einer Software, die die benötigten Daten aus den Konfigurationen der populären Internetprogramme extrahiert, und in der Schaffung der Lauffähigkeit der Linuxsoftware direkt unter Windows (siehe unten, Abschnitt Erweiterungen / Alternative für nicht bootbare Rechner).
Grundsätzlich besteht natürlich die Möglichkeit, dass jemand mit einer bootfähigen CD Unsinn anstellt, also den betroffenen Rechner kompromittiert, wogegen der sich natürgemäß nicht wehren kann. Diese Bedenken bekommen mehr Gewicht, wenn das Vertrauensverhältnis zum Gast geringer ist und wenn die technischen Möglichkeiten, wenn er den Rechner "normal" nutzt, eingeschränkt sind (also keine Adminrechte, Überwachungssoftware usw.).
Auf dem Standard-Windows-PC würde der Gast mit Administratorrechten arbeiten. Die Möglichkeiten, den Rechner zu kompromittieren, wenn man einen Internetzugang hat, sind dann nur geringfügig kleiner als von einer Boot-CD (vor allem eingeschränkt durch Schutzsoftware). Grundsätzlich wird hier aber von einem Vertrauensverhältnis zwischen Rechnernutzer und -besitzer ausgegangen. Die CD soll Schutz auch nicht in erster Linie gegen bewusste Angriffe des Rechnerbesitzers bieten, sondern gegen eine mögliche Kompromittierung und Attacken aus dem Netz (z.B. MITM, weil die Zertifikate nicht bekannt sind).
"Sicherheit", dass seinem Rechner nichts passiert, könnte der Rechnerbesitzer dadurch erlangen, dass dieses Knoppix so abgespeckt wird, dass es nicht zu Schreibzugriffen auf die Platte in der Lage ist (und man das auch nicht im Betrieb ändern kann). Denkbar wäre, das Einloggen als root zu verhindern (oder - falls man die CD denn unbedingt anderweitig nutzen können will - an die Eingabe des Windows-Administratorkennworts zu binden). Außerdem könnte man auf einer bekannten und daher vertrauenswürdigen Webseite eine Testmöglichkeit bereitstellen, etwa ein kleines Windowsprogramm, das die relevanten Teile der CD durchsucht und per Prüfsumme mit dem "Original" vergleicht. Die Individualisierung wäre auf das Homeverzeichnis beschränkt, das man mit nosuid, noexec und nodev mounten könnte.
Für die sichere Variante, also das Booten der eigenen CD, kommen nicht alle Rechner in Frage. Kritisch sind vor allem Rechner in größeren Firmen, die einem strengen administrativen Regiment unterworfen sind, öffentliche Rechner und solche Privatrechner, die sich direkt ins Internet einwählen. Neben organisatorischen Vorgaben mögen in Firmen die Rechner auch für Booten von CD gesperrt sein, oder man kommt nur durch Anmeldung beim Proxy ins Internet. Natürlich kann für das Netz auch die Nutzung verschlüsselter Verbindungen gesperrt sein; möglich ist fast alles. Für den Anwender stellt sich aber nicht die Frage, wie viele Rechner ungeeignet sind, sondern ob er mit vertretbarem Aufwand an mindestens einen geeigneten PC herankommt.
Weiter unten im Abschnitt Erweiterungen ist eine Lösungsmöglichkeit für Rechner skizziert, die man nicht (sinnvoll) booten kann.
Wenn der User statt nur einer CD/DVD auch noch ein geeignetes Wechselmedium dabei hat (etwa einen USB-Stick), kommt man mit einer einheitlichen CD aus, die dieses (natürlich verschlüsselte) Wechselmedium abfragt. Die Netzwerkkonfiguration könnte vorher, also unter dem "anderen" Betriebssystem auf das Medium gespeichert werden. Die geänderten Daten (v.a. versandte E-Mails) könnten sitzungsweise auf das Medium geschrieben werden.
Soweit dies praktikabel ist, könnte man auf Rechnern, die sich direkt einwählen und daher nicht für das Booten von CD geeignet sind, weil dann die Zugangsdaten nicht zur Verfügung stünden, die fragliche Software über cygwin zur Verfügung stellen. Hierbei sollte aber möglichst ein Ansatz gefunden werden, der ohne Speicherung des entschlüsselten Homeverzeichnisses auf der Festplatte auskommt. Neben cygwin gibt es zumindest noch das Projekt coLinux (http://www.colinux.org/), das dies ermöglichen könnte.
Der Sicherheitsgewinn wäre hier natürlich geringer, aber für normale Fälle immer noch ausreichend. Ein Angreifer könnte so das verschlüsselte Homeverzeichnis speichern und das Passwort von der Tastatur einlesen.
Dieser Ansatz taugt auch als Schutz eigener Onlinebankingaktivitäten am eigenen Rechner. Der kann - gerade bei technisch weniger versierten Leuten und einem suboptimal gepflegten Windows-System mit der "Standardsoftware" - durchaus mit Trojanern verseucht sein, die dann Tastatureingaben mitlesen.
Der sicherheitsbewusste Kunde bräuchte im Grunde nur ein Knoppix mit Konfigurationsmöglichkeit; so was gibt es bestimmt auch schon. Die Übernahme der Daten vom PC stellte allerdings nur ein unnötiges Risiko dar. Das System sollte entweder einen USB-Stick oder eine verschlüsselte (und signierte) Datei auf der Festplatte für seine Konfiguration nutzen, die im wesentlichen aus den Daten für den Internetzugang bestünde.
Dies wäre ohne großen Aufwand von einer Bank anzubieten. Vermutlich würden nur wenige Kunden das Angebot nutzen, aber die bloße Möglichkeit könnte einen relevanten Marketingwert darstellen. Man könnte sich als dasjenige Unternehmen in Szene setzen, das als erstes eine kostenlose, garantiert sichere Lösung anbietet.
hinzugefügt: Absatz technische Umsetzung / mögliche Probleme / Sicherheit gegen gezielte Angriffe
hinzugefügt: Absatz Erweiterungen / Homeverzeichnis auf Wechselmedium
hinzugefügt: Absatz Erweiterungen / Alternative für nicht bootbare Rechner
hinzugefügt: Absatz Einwände
hinzugefügt: Absatz technische Umsetzung / Aufwand
ergänzt: Absatz technische Umsetzung / mögliche Probleme / Sicherheit gegen gezielte Angriffe
ergänzt: Absatz technische Umsetzung / Realisierung / Knoppixanpassungen
hinzugefügt: Absatz Erweiterungen / sicheres Onlinebanking