Eine Offline-Anmeldung mit Einmalpasswörtern birgt immer das Problem, dass der symmetrische Schlüssel oder ein gewisser Vorrat an Credentials auf dem System, das offline gehen soll, verfügbar gemacht werden muss. In der Version 3.7 von privacyIDEA hat der Kasseler Security-Anbieter NetKnights den Mechanismus, mit dem das Notebook seine Offline-Credentials auffüllen kann, nun wesentlich robuster gestaltet.
Sensible Daten in privacyIDEA sind seit jeher in der Datenbank verschlüsselt abgelegt. Mit der Version 3.7 ist es nun noch einfacher geworden, den Verschlüsselungskey mit Hilfe eines Hardware-Security-Moduls sicher zu schützen.
Zuverlässige Offline-Anmeldung an Notebooks
In Verbindung mit dem bestehenden privacyIDEA Credential Provider kann der Administrator nun definieren, welcher Token eines Benutzers für die Anmeldung an einem Notebook genutzt werden kann. Somit hat der Benutzer die Möglichkeit, sich am Notebook mit dem zweiten Faktor anzumelden, auch wenn das Notebook offline ist und den privacyIDEA-Server nicht erreichen kann.
Für den Administrator ist es nun einfacher geworden, den zweiten Faktor für die Offline-Funktion für den Benutzer verfügbar zu machen. Außerdem wurde die Funktionalität, die die Offline-Credentials automatisch wieder auffüllt, so gestaltet, dass dies bei jeglicher Netzwerkverbindung möglich ist. Dies stellt einen robusteren Offline-Betrieb sicher.
Im Zusammenspiel mit dem privacyIDEA Credential Provider können Yubikeys und HOTP-Token (Hardware oder Smartphone Apps) für die Offline-Anmeldung an Notebooks genutzt werden.
Verify-Enrollment
privacyIDEA 3.7 bietet nun eine neue Möglichkeit, den Rolloutprozess von HOTP, TOTP, SMS und Email-Token zuverlässiger zu gestalten. In der Vergangenheit konnte es vorkommen, dass Benutzer beim Rollout vergaßen, den QR-Code zu scannen. Per Richtlinie kann der Administrator nun steuern, dass der Benutzer, wenn ihm der QR-Code angezeigt wird, von privacyIDEA zur Eingabe eines validen OTP-Wertes aufgefordert wird. Erst danach gilt für privacyIDEA der Token als erfolgreich ausgerollt. Hiermit kann die IT-Abteilung vermeiden, dass es zu ausgerollten, aber nicht nutzbaren Token kommt. Gerade in Installationen mit großen Benutzerzahlen konnte diese Fehlbedienung durch den Enduser zu Problemen führen. Die IT-Abteilung kann in Zukunft somit Support-Aufwände reduzieren.
Schlüsselmaterial sicher mit einem Hardware-Sicherheits-Modul schützen
privacyIDEA hat schon immer sensible Informationen in der Datenbank verschlüsselt abgespeichert. Der Administrator konnte den Verschlüsselungskey bisher auf Festplatte oder in ein Hardware-Security-Module (HSM) legen. Der Verschlüsselungskey im Verzeichnis ist einfach und schnell, aber weniger sicher. Liegt der Verschlüsselungskey im HSM, ist dies sehr sicher, aber auch aufwändig und langsamer. privacyIDEA 3.7 bietet dem Admin nun eine dritte Art, den Verschlüsselungskey zu sichern. Mit der neuen, dritten Variante wird der Verschlüsselungskey einmalig bei Systemstart im HSM entschlüsselt und danach im Speicher vorgehalten. Dies erlaubt einen vernünftigen Kompromiss aus Sicherheit und Geschwindigkeit.
Somit können Unternehmen auch mit einem limitierten Budget durch die Nutzung von einfacher Hardware wie einem YubiHSM oder Yubikey den Verschlüsselungskey mit einem HSM besser absichern und ihre Gesamtsicherheit erhöhen.
Alle weiteren Änderungen sind detailliert im Changelog auf GitHub aufgeführt. An gleicher Stelle werden alle Komponenten von privacyIDEA unter Federführung der NetKnights GmbH als quelloffene Software unter der AGPLv3 weiterentwickelt.
Verfügbarkeit
Die neue Version 3.7 von privacyIDEA ist ab sofort über den Python Package Index sowie in den Community Repositories für Ubuntu 16.04, 18.04 und 20.04 verfügbar. Zusätzlich bietet die NetKnights GmbH die Enterprise Edition mit Support für Ubuntu LTS, RHEL/CentOS und einem Appliance-Tool an und führt Auftragsentwicklungen für spezielle Anforderungen durch.