,

privacyIDEA 2.20.1 Enterprise Edition veröffentlicht

Heute wurde die stabile Version 2.20.1 der privacyIDEA Enterprise Edition veröffentlicht.

Die Enterprise Edition erscheint in der Version 2.X.1 einige Wochen nach den jeweiligen öffentlichen Releases und enthält notwendige Bugfixes. Über die Version 2.20 berichteten wir bereits.

Die Version 2.20.1 behebt folgende Fehler:

  • Beim Einsatz von PostgreSQL-Datenbanken kann der Administrator nun wie erwartet nach dem Datum suchen.
  • Während des Enrollments eines Tokens wird im UI der default Realm vorbelegt.
  • Fehler bei PassOnNoUser und PassOnNoToken wurden behoben.
  • Die genkey-Funktionalität beim Ausrollen von Token wurde konsolidiert.

Die Enterprise Edition des Mehr-Faktor-Authentifizierungssystems privacyIDEA richtet sich an Unternehmen und Organisationen, die einen zuverlässigen Update-Prozess benötigen. Sie steht für Ubuntu 14.04LTS, Ubuntu 16.04LTS, CentOS7/RHEL7 und Univention Coroprate Server zur Verfügung.

Open Source Business Award wird erneut Projekte ehren

Der Open Source Business Award wird von der Open Source Business Alliance ausgerufen und zeichnet Open Source-Projekte aus. Dies werden nach ihrem Innovationsgrad und Reifegrad bewertet. Ebenso fließt der Nutzen für den geschäftlichen Einsatz in die Bewertung mit ein.

Der Open Source Business Award beruft jedes Jahr eine unabhängige Jury, die die eingereichten Projekte bewertet. In diesem Jahr setzt sich die Jury aus Jutta Kreyss (IT-Architektin, Stadt München), Konstantin von Notz (MdB, Stellvertretender Fraktionsvorsitzender, Bündnis 90/Die Grünen), Lenz Grimmer (Team Lead SUSE Enterprise Storage Management, SUSE LINUX GmbH), Lydia Pintscher (Präsidentin, KDE e.V.) und
Nicolas Christener (CEO | CTO, VR Adfinis SyGroup, Vorstand CH Open) zusammen.

Projekte können noch bis zum 31.10.2017 eingereicht werden.

In 2016 konnten wir den OSBAR mit unserem Open Source Mehr-Faktor-Authentifizierungs-System privacyIDEA für uns entscheiden. Die Teilnahme an einem solchem Wettbewerb liefert wertvolles Feedback und zusätzliche Sichtbarkeit für jedes Open Source-Projekt. Die Teilnahme lohnt sich!

Ich wünsche allen Teilnehmern viel Erfolg.

,

privacyIDEA 2.20 ermöglicht verteilte Authentifizierung

Heute wurde privacyIDEA 2.20 veröffentlicht. Pakete sind in den öffentlichen Launchpad-Repositories für Ubuntu 14.04LTS und 16.04LTS verfügbar. Über den Python Package Index kann privacyIDEA auf beliebigen Distributionen installiert werden.

Neue Funktionen in privacyIDEA

Federation-Handler

Der neue Federation-Handler erlaubt es, Authentifizierungsanfragen an untergeordnete privacyIDEA-Instanzen weiterzuleiten.

So lassen sich beliebige Berechtigungsstrukturen abbilden, in denen zum Beispiel die Authentifizierungs-Anfrage einer zentralen privcayIDEA-Instanz zu dedizierten, untergeordneten Instanzen in verschiedenen Abteilungen weitergeleitet werden.

Geschäftsbereiche, Subunternehmer oder Abteilungen können somit die Token der eigenen Mitarbeiter unter eigener Kontrolle verwalten. Dennoch gibt es einen zentralen Einstiegspunkt für Authentifizierungsanfragen.

Diese Funktion eröffnet auch im Providerumfeld neue Möglichkeiten.

Neuer Tokentyp OCRA und DisplayTAN

In Version 2.20 wurde der allgemeine Tokentyp OCRA und damit die spezielle Ausprägung DisplayTAN eingeführt. Die DisplayTAN-Karte ist eine Hardware-Karte, die über Bluetooth-LE OCRA-Challenge-Daten entgegennehmen kann. Der Benutzer kann dieser auf dem eingebauten eInk-Display verifizieren und erhält auf Basis dieser Challenge-Daten einen OTP-Wert angezeigt.

OCRA ist in RFC 6287 spezifiziert. Ein üblicher Anwendungsfall ist das Signieren von Bank-Transaktions-Daten und die Erzeugung der TAN. Mit dem DisplayTAN Token kann dies sicher auf einer dedizierten Hardware geschehen. privacyIDEA ist nun das ideale System, um diese Geräte für Bank-Anwendungen zu verwalten. In einem früheren Blog-Post berichteten wir bereits.

Login mit mehreren Loginnamen

Der LDAP Resolver gestattet es nun, mehrere LDAP Attribute zu definieren, die als Login-Name verwendet werden können. So kann der Administrator konfigurieren, dass sich Benutzer mit ihrem sAMAccountName, der Email-Adresse oder bspw. der Telefonnummer anmelden können.

Authentifizierungs-Cache

Weiterhin kann der Administrator nun definieren, ob in bestimmten Fällen für bestimmte Benutzer für eine gewissen Zeit die Authentifizierungsanfrage gecacht werden soll. Somit ist für einen gewissen Zeitraum die erneute Anmeldung mit dem gleichen OTP-Wert möglich. Zwar führt dies den Sinn von 2FA mittels OTP ad absurdum, wenige ungünstig implementierte Applikationen können jedoch davon profitieren. Ein kleiner Vorteil ist, dass sich dieses Verhalten über eine Zeit- und Client-IP-abhängige Richtlinie steuern lässt.

Weitere Funktionen

Viele Richtlinien erlauben nun auch die Nutzung von Resolvern. So lässt sich noch feiner granuliert das Verhalten für unterschiedliche Benutzergruppen anpassen.

Während des Rollout-Prozesses einer Smartphone-App kann der Benutzer, wenn er glaubt, dass ein Angreifer den angezeigten QR-Code abgegriffen hat, diesen neu generieren.

Die Ereignisse im Eventhandler-Framework können nun in einer selbst definierten Reihenfolge sortiert werden. Damit lassen sich die Reaktionen von privacyIDEA noch genauer festlegen.

Die Eventhandler können nun Zeiten und Zeitdifferenzen in den Bedingungen nutzen.

Mit einem Challenge Response-Token lässt sich ebenfalls die UI entsperren.

Während der Installation der Ubuntu-Pakete wird automatisch PGP-Schlüssel erzeugt, mit dem später die Import-Dateien der Token-Seeds verschlüsselt werden können.

Ein komplettes Changelog finden Sie bei Github.

Enterprise Edition und Beratung

Die NetKnights bieten Ihnen Beratung und Support im Rahmen der privacyIDEA Enterprise Edition. Damit haben Sie den Investitionsschutz von Open Source und die Betriebssicherheit durch einen professionellen SLA. Stabile Enterprise-Pakete runden das Angebot ab.

Sie wollen auf dem Laufenden bleiben? Dann abonnieren Sie unseren Newsletter!

Sie wollen mehr wissen? Rufen Sie uns an!

Willkommens-Dialog und privacyIDEA Subskriptionen

privacyIDEA ist eine Enterprise-Software. Viele Authentifizierungs-Geräte für viele Benutzer zu verwalten ist ganz klar eine zentrale Aufgabe im Unternehmensnetzwerk.

privacyIDEA steht unter einer Open Source Lizenz. Diese stellt sicher, dass ein Unternehmen, das eine Open Source Software wie privacyIDEA einsetzt, diese uneingeschränkt ein Leben lang einsetzen und weiterverwenden kann. Anders als bei proprietären Software oder Software-as-a-Service kann privacyIDEA dem Unternehmen nicht wieder weggenommen werden, End-Of-Life gesetzt oder Funktionen und Kosten bedingungslos abgeändert werden (wie bspw. bei SaaS).

Die Open Source Lizenz bedeutet nicht, dass einem Unternehmen keine Kosten für die Zwei-Faktor-Authentifizierung entstehen. Immerhin muss das Unternehmen wenigstens das Gehalt eines Administrator bezahlen.

Die Open Source Lizenz bedeutet aber auf jeden Fall, dass die Software ohne jegliche Gewährleistung kommt. Ein Unternehmen, das privacyIDEA einsetzt, muss sich dessen bewusst sein.

Die Software privacyIDEA steht unter der AGPLv3 und kommt daher per se ohne jegliche Gewährleistung.

Daher haben wir uns in der Version 2.20 entschieden, in einem prominenten Willkommens-Dialog erneut darauf hinzuweisen und zu unterstreichen, wie wichtig es für den Unternehmenseinsatz ist, ein Service-Level-Agreement (privacyIDEA Enterprise Edition) abzuschließen. Erst hierdurch können Sie sicherstellen, dass die Software wie erwartet funktioniert.

Der Administrator kann durch die Definition einer Richtlinie (scope=webui, action=hide_welcome) diesen Hinweis gezielt abschalten. Wird privacyIDEA allerdings mit mehr als 50 zugewiesenen Token ohne Subskription und SLA betrieben, so halten wir es für angebracht, den Administrator weiterhin auf die damit verbundenen Risiken hinzuweisen. Der Willkommensdialog wird erneut angezeigt.

Wir hoffen hierdurch den rechtlichen Status, in dem Sie sich durch den Betrieb von privacyIDEA befinden, deutlicher gemacht zu haben.

Bei Fragen können Sie uns gerne kontaktieren.

,

World Wide Web Consortium implementiert Zwei-Faktor-Authentifizierung mit privacyIDEA

Kassel, 26.09.2017. Das World Wide Web Consortium (W3C) führt privacyIDEA ein, um den Zugang zur eigenen Infrastruktur mit einem zweiten Faktor abzusichern. W3C hat sich auf Grund der Flexibilität und im Falle von Sigle Sign on wegen der einfachen Handhabung für Benutzer für privacyIDEA entschieden.

Die Dienste, die das W3C anbietet, und vor allem auch die Benutzer sind weltweit verteilt. Authentisierungsgeräte an die Benutzer zu verteilen ist nicht praktikabel. Ebenso ist es nicht sinnvoll, nur einen Typ von Authentisierungsgeräten zuzulassen. Für das W3C ist es ein großer Vorteil, dass privacyIDEA viele verschiedene Typen solcher Authentisierungsgeräte auch unterschiedlicher Hersteller verwalten kann. Dies können Smartphones mit Apps oder SMS, klassische Hardware-OTP-Token, Nitrokeys, YubiKeys, U2F-Geräte, TiQR-Token uvm. sein.
Die schlanke REST API von privacyIDEA macht es dem W3C einfach, Funktionen auch in das bereits bestehende Benutzerportal zu integrieren. privacyIDEA wird mit der bereits bestehenden Benutzerverwaltung verbunden. Die Benutzer werden auswählen können, ob sie sich selber eine Smartphone-App (wie den Google Authenticator) oder ein U2F-Gerät registrieren möchten. Abhängig von dem Typ, kann dem Benutzer dann Zugriff auf Resourcen unterschiedlicher Sicherheitstufen gewährt werden.

„Die Arbeit mit NetKnights ist sehr effektiv. Von Ihnen beziehen wir genau die richtige Beratungsleistung, um die Open Source Software privacyIDEA in unser Netzwerk und unsere Abläufe zu integrieren“ sagte Ted Guild, Head of W3C Systems. Cornelius Kölbel, Geschäftsführer der NetKnights, fügte hinzu: „W3C steht für Web-Standards. Daher freut es uns sehr, dass sich das W3C für privacyIDEA entschieden hat. Für eine offene Lösung, die offenen Entwicklungsstrategien folgt und offene Standards beherzigt und implementiert.“

Über das World Wide Web Consortium (W3C)

Das World Wide Web Consortium (W3C) ist ein internationales Konsortium, in dem Mitgliedsorganisationen, ein fest angestelltes Team und die Öffentlichkeit gemeinsam daran arbeiten, Standards für das World Wide Web zu entwickeln. Das Ziel des W3C ist es, das Potential des Web vollständig zu entfalten, indem technische Standards und Richtlinien definiert werden, so dass das Web offen, interoperabel und für alle auf der Welt nutzbar bleibt. Die W3C Standards HTML5 und CSS sind grundlegende Technologien auf denen moderne Webseiten aufbauen. Für seine Arbeit, Videos mit Titeln und Untertiteln im Web leichter nutzbar zu machen, erhielt das W3C 2016 den Emmy Award.

Die Vision „eines Webs“ bringt viele tauschend Menschen aus mehr als 400 Mitgliedsorganisationen zusammen. Die Mitglieder repräsentieren viele verschiedene Branchen. Organisatorisch wird das W3C gemeinschaftlich vom MIT Computer Science and Artificial Intelligence Laboratory (MIT CSAIL) in den U.S.A., dem European Research Consortium for Informatics and Mathematics (ERCIM) mit Hauptsitz in Frankreich, der Keio Universität in Japan und der Beihang Universität in China betrieben.

Mehr Informationen finden Sie unter www.w3.org.

Über NetKnights und privacyIDEA

Die NetKnights GmbH, Kassel, ist ein unabhängiges IT-Security-Unternehmen, das Dienstleistungen und Produkte aus den Bereichen starke Authentisierung, Identitätsmanagement sowie Verschlüsselung anbietet.

Die NetKnights GmbH stellt das Core-Entwickler-Team für die modulare Authentifizierungslösung privacyIDEA, die sich auf einfache Weise in bestehende IT-Infrastrukturen integrieren lässt. privacyIDEA hat als Open-Source-Software kein herstellerbestimmtes End-of-Life und lässt sich damit auf unbegrenzte Zeit nutzen. Für den kritischen Einsatz von privacyIDEA in Unternehmen bietet die NetKnights GmbH eine Enterprise Edition mit verschiedenen Subskriptions- und Support-Stufen an.

Die NetKnights GmbH präsentiert privacyIDEA vom 10.-12. Oktober 2017 auf der it-sa in Nürnberg, Stand 10.1-208.

2FA.jetzt will für starke Authentisierung sensibilisieren

Gestern Abend ging die Webseite 2FA.jetzt online. Dahinter steckt die Initiative „Starke Authentisierung – Jetzt“ bei der sich viele Experten unterschiedlicher Branchen zusammenfinden. Da sind Bankenverbände, IT-Verbände, IT-Sicherheitsunternehmen, eine Universität.

NetKnights engagiert sich

Kerngeschäft der NetKnights GmbH sind Dienstleistungen und Produkte rund um das Thema Zwei-Faktor-Authentifizierung. Mit der Opensource Produkt privacyIDEA bieten wir eine flexible und skalierbare Lösung für Behörden, Unternehme und Organisationen jeglicher Größe. Deswegen war es uns auch ein Anliegen, uns in der Initiative 2FA.jetzt zu engagieren.

Auch die NetKnights GmbH ist dort aktiv. Ziel der Initiative ist es die Endbenutzer von Online-Dienste zu sensibilisieren, dass ein sicheres Anmeldeverfahren auch die persönlichen Daten sichert, die der Benutzer einem Online-Dienst anvertraut. Den Diensteanbietern soll gleichzeitig eine Übersicht gegeben werden, wie und mit welchen Lösungen sie eine nachhaltige Zwei-Faktor-Authentifizierung für ihre Kunden umsetzen können.

2FA etabliert sich

Inzwischen haben die meisten wahrscheinlich von Zwei-Faktor-Authentifzierung gehört und habe eine grobe Vorstellung davon. Es ist Zeit, dass aus dieser groben Vorstellung fundiertes Wissen, Überzeugung und echte Anwendungen entstehen.

Mehr zu 2FA.jetzt in der aktuellen Pressemitteilung.

,

Bank-Transaktionen mit privacyIDEA absichern

Die Absicherung von Bank-Transaktionen ist eine große Herausforderung. Wir alle sind dankbar, dass wir uns oft den Weg zum Geldinstitut mit den wohl merkwürdigsten Öffnungszeiten sparen können. Ebenso sind wir froh, dass die Zeiten der TAN-Listen, auf denen wir mit dem Stift nach und nach Zahlenkolonnen ausgestrichen haben, vorbei sind.

Aber was ist heute noch die Herausforderung bei Bank-Transaktionen?

Die Unveränderbarkeit der Transaktionsdaten

Der Bankkunde teilt der Bank über ein Webinterface mit, wieviel Geld an welches Konto geschickt werden soll. Ein Trojaner, den sich der Benutzer im Browser eingefangen hat, kann diese Daten verändern. Kurz gesagt, würde der Bankkunde 100 Euro für Konto 1234567890 eingeben und überweisen wollen und der Trojaner im Browser würde nach dem Klick auf den Button „Überweisung senden“ ungesehen daraus 10.000 Euro für Konto 666.666.XX machen. Die Bank bekommt von dem Vorfall im Browser des Benutzers nichts mit. Sie erhält die Daten 10.000 Euro für 666.666.XX und muss annehmen, dass dies das ist, was ihr Kunde will.

Geld weg.

TAN-Listen und OTP-Token

Die Transaktionsdaten können, bevor sie die Bank erreichen, verändert worden sein!

In früheren Zeiten wurden TAN-Listen verwendet. Manche Bank (die sich eher im nicht-deutschsprachigen Raum befindet), setzt auf OTP-Token. Doch TAN-Listen (obwohl bisweilen auch anderes behauptet wird) und OTP-Token können die Unveränderbarkeit der Transaktionsdaten nicht sicherstellen. Der OTP-Token kann dazu dienen, dass die Bank weiß, dass diese Transaktion von genau dem Bankkunden, der im Besitz dieses Gerätes ist, diese Transaktion angestoßen wurde, jedoch kann die Bank nicht sicher wissen, dass die Transaktionsdaten von einem Trojaner im Browser oder anderen Angriffen verändert wurden, ohne dass der Bankkunde und ohne dass die Bank dies weiß.

Es besteht keine kryptographische Verbindung zwischen den Transaktionsdaten und dem Einmal-Passwort.

OCRA: Die Verbindung zwischen Transaktion und TAN

Hier setzt z.B. der OATH Challenge Response Algorithm (kurz OCRA) an, der in RFC 6287 definiert ist. OCRA wurde genau wie HOTP und TOTP von der Initiative for Open Authentication definiert. Grob gesagt ist OCRA ein etwas erweiterter HOTP-Altgorithmus.

Beim HOTP-Algorithmus ist das einzige Eingangsdatum ein Zähler, der kontinuierlich hochgezählt wird. Zusammen mit einem geheimen Schlüssel (der in diesem Fall den Besitz repräsentiert) wird nun ein 6 oder 8-stelliges Einmalpasswort berechnet. D.h. das Einmalpasswort hängt ab vom geheimen Schlüssel und von dem Eingangsdatum „Zähler“. (Für die, die lieber Dinge wie HMAC und mod lesen, sei hier auf das RFC4226 verwiesen).

Grob gesprochen können im Falle von OCRA noch mehr Daten außer dem „Zähler“ in den Algorithmus hineingepackt werden. So zum Beispiel die Kontonummer des Empfängers und der zu überweisende Betrag. Das aus dem OCRA-Algorithmus resultierende Einmalpasswort ist nun also abhängig vom geheimen Schlüssel und den Transaktionsdaten. Andere Transaktionsdaten generieren ein anderes Einmalpasswort.

Wie kann man sich dies nun bei der Überweisung zu Nutze machen?

Die Bank händigt dem Kunden einmalig einen geheimen Schlüssel aus. Entweder in Form eines Hardware-Gerätes oder einer Smartphone-App. Die Bank kennt den geheimen Schlüssel des Kunden.

Der Kunde gibt nun auf der Banking-Website die Transaktionsdaten ein. Gleichzeitig überträgt er die Transaktionsdaten an sein Gerät (mit dem geheimen Schlüssel). Diese Übertragung könnte auch manuell erfolgen, es sind aber viele unterschiedliche Methoden mit QR-Code, Netzwerk oder Bluetooth denkbar, die die Bedienfreundlichkeit erhöhen.

Auf dem Gerät kann der Kunde nochmal überprüfen, ob dies die richtigen Transaktionsdaten sind, falls sich ein Angreifer auch in diesen Übertragungsweg eingeklinkt hätte. Nur wenn es die richtigen Daten sind, lässt er das Gerät die TAN berechnen und er fährt mit der Überweisung fort. Nun gibt er die TAN in die Banking Webseite ein und die Daten werden zur Bank geschickt.

Die Bank erhält die Transaktionsdaten und die TAN. Die TAN hängt aber genau von den Transaktionsdaten ab, die der Kunden nochmal auf dem Gerät verifiziert hat. Die Bank errechnet mit dem geheimen Schlüssel des Kunden und den erhaltenen Transaktionsdaten ebenfalls die TAN. Sollte sich ein Angreifer eingeklinkt und die Transaktionsdaten auf dem Weg zur Bank verändert haben, so erhält die Bank eine andere TAN als der Kunde geschickt hat und wird die Transaktion nicht durchführen.

In diesem Szenario ist jede einzelne Transaktion kryptographisch gesichert. Etwas provokativ gesprochen kommt es gar nicht so sehr darauf an, die Online-Zugangsdaten zu schützen, weil ohne das Gerät mit dem geheimen Schlüssel sowieso keine kryptographisch gesicherte Transaktion durchgeführt werden kann.

privacyIDEA, OCRA und DisplayTAN

privacyIDEA unterstützt schon lange den OCRA Algorithmus in Form des TiQR tokens. In Version 2.20 wurde die Anwendung des OCRA-Algorithmus derart erweitert, dass bspw. die DisplayTAN-Karte problemlos genutzt werden kann.

Banken brauchen also nicht das komplette Schlüsselmanagement in ihre Web-Applikation zu integrieren sondern können die OCRA-gesicherte TAN erzeugen über eine einzige einfache REST API an privacyIDEA auslagern.

Die DisplayTAN-Karten sind für den Bankkunden sehr attraktiv, da sie die eigentliche Bank-Karte komplett ersetzen können aber zusätzlich die Nutzung des sicheren TAN-Verfahren ermöglichen.

Sprechen Sie uns an!

, ,

NetKnights mit privacyIDEA auf der FrOSCon

Am Wochenende waren wir in Sankt Augustin an der Hochschule Bonn-Rhein-Sieg. Dort fand zum zwölften mal die „Free and Open Source Software Conference“ kurz FrOSCon statt. Die NetKnights GmbH ist dort als Sponsor aufgetreten, hatte einen Ausstellungsstand und wir haben in einem Vortrag über den privacyIDEA LDAP Proxy berichtet.

Aufbau

Am Vorabend wurde der kleine Messestand aufgebaut. Ganz in der Nähe vom heißbegehrten T-Shirt-Stand und der Treppe zum Obergeschoss kam vor allem am Samstag viel Laufkundschaft vorbei.privacyIDEA ist Mehr-Faktor-Authentifizierung, die befreit.

Die privacyIDEA Enterprise Edition ist Open Source. D.h. mit dem Einsatz von privacyIDEA können Unternehmen vermeiden, dass die Software irgendwann End-Of-Sale oder End-Of-Life geht. Gegenüber Online-2FA-Lösungen wie Duo, ist sogar klar, dass die eigenen privacyIDEA-Instanz im eigenen Unternehmen niemals eingestellt werden wird, Leistungen verändert werden, man machtlos gegen Preisanhebungen ist oder Daten nicht wegmigrieren kann.

Die unglaubliche Schnittstellenvielfalt, die Offenheit und das neue Event-Handler-Framework ermöglichen dem Administrator außerdem, viele Aufgaben zu automatisieren. Der Rollout an große Benutzerzahlen wird einfacher, Helpdesk-Funktionen erfordern weniger manuelle Schritte. Die IT-Abteilung spart wertvolle Zeit bei alltäglichen Aufgaben und gewinnt somit die Freiheit, sich mit neuen Projekten zu befassen.

Diese Flexibilität und die damit gewonnene Freiheit gefällt vielen.

Wenn Sie die FrOSCon verpasst haben, schauen Sie doch einfach dieses Jahr bei unserem Auftritt auf der Business-Messe it-sa in Nürnberg vorbei!

Freunde

Am Vorabend des Aufbaus schlenderten wir über die Ausstellung und stellten fest, dass noch nicht alle Stände aufgebaut hatte. Der Stand unserer Freunde von ownCloud war noch nicht aufgebaut. Dem konnten wir abhelfen: Vom ownCloud X Launchevent hatten wir noch ein Rollup in petto, das wir gleich dem Stand spendeten.

Sieht doch gleich viel besser aus!

Das ist Enterprise-taugliche Mehr-Faktor-Authentifizierung mit ownCloud!

So integriert sich privacyIDEA mit vielen verschiedenen Applikationen von CRM-Systemen, CMS, Ticketsystemen, VPN, Firewall, SSH und Desktop und hilft dabei sicherer, entspannter und befreiter auf die eigenen Daten zuzugreifen.

Skalierung

privacyIDEA skaliert von kleinen bis hin zu großen Installationen. Es lässt sich auf kleinen virtuellen Maschinen und in großen Clustern betreiben.

privacyIDEA skaliert von M über XL bis XXXL.

Vortrag

Am Sonntag Nachmittag hielten Friedrich Weber und Cornelius Kölbel dann den Vortrag zum neuen privacyIDEA LDAP Proxy. Der Mitschnitt ist bei Youtube verfügbar.

Abonnieren Sie den privacyIDEA Youtube Kanal oder den Newsletter der NetKnights.

About Enterprise File Encryption

This article was first published at owncloud.

Your Data is at risk. And thus is your personal life and your company’s values.
You avoid hackers, trade espionage and rogue governments getting your data by using your own cloud storage like ownCloud. Your data under your control.

But depending on where your storage is located some risks still remain. The connection to your ownCloud installation in the hosted datacenter is TLS protected. All data are encrypted on their transport to the datacenter. But within the datacenter your data is plain text.
You are using ownClouds integrated encryption? You even have the full disk encrypted using LUKS or similar methods? This is fine but only protects you from certain attacks like stealing the sole hard disk.
But if the attacker gains access to the very location where the actual encryption takes place, the encryption is useless, since this location also contains the encryption key! Thus, if the attacker has access to the datacenter or – more probably – is a rogue or bribed employee of the datacenter the attacker can get physical access to your encryption key and finally to your data.

This is why client side encrpytion is such a good idea. With client side encryption the data is encrypted on your own client. The key material is only available on your client, not on the ownCloud server. The data is sent already encrypted to the server. Not only is the transport layer encrypted using TLS but the payload itself within the TLS can not be read anymore.
The ownCloud server and the storage never sees any clear text data and never has access to the encryption key.
The tool cryptomator which was introduced in this[link] previous blog post works this way.

Requirements

But enterprise scenarios come with a longer requirements list than tools like the slick cryptomater can cover.
Even smaller companies have to comply with the requirements of the enteprrises if they are supplier for the bigger ones.
I have run several projects where supplying companies were confronted with the requirements for encrpytion and two factor authentication since they delivered to bigger enterprises, that simple defined those requirements. Let us take a look at the requirements when you run a company or bigger organization.

File Encryption

In such scenarios when encrypting data it is important to encrypt files. In contrast to full disk encryption and encrypted containers encrypted files can be moved around without breaking the encryption. Even the encrypting file system does not provide this sticky encryption. If the user moves the file to another disk or a USB stick, the file would not be encrypted anymore, since with full disc encryption and container encryption the encryption is bound to the storage and not to the data.
The data should not be decrypted when the file is moved. This is why we require to encrypt the files and keep them encrypted when moving the file to another locatoin.

Client Side Encryption

As mentioned in the beginning the files should be encrypted and decrypted on the client. This way only encrypted data is transferred via the network. The user can also move the files as in the previous requirement but most important the encryption gets independent from the storage location.
The administrator can access the file but can not read the data in the file. This way all backup mechanisms still work, but the data is persistently protected.

Groups

When working with data in a company users are usually working on projects with other colleages.
Thus several users need access to the encrypted data. The project leader or data owner might need to add other users to the group and grant them access to the encrypted data or withdraw this access again.

It is important to note, that usually not *the* administrator gives access to the data. Complying to the concept of duty of separation, the administrator may be responsible for providing the storage and taking care of the backup, but he might not be allowed, to read the data and probalby will not be allowed to decide who is allowed to read the data.

This leads us to the requirement for a bit more sophisticated key management.

Key Management

If files are encrypted with passwords then a password based key derivation function (PBKDF) is used to generate the encryption key. A badly implemented encryption would use this key to encrypt the file. This would result in the problem, that – if you change the password – the complete file needs to be decrypted with the old password and re-encrypted with the new password. This might be fine for one small file but totally fails with a complete directory, a harddisk or a huge storage.

When you look at encryption a multi-step encryption has proven to be sensible. Even in the case of a PGP encrypted Email, the email is for many reasons not encrypted with the public key of the recipient directly but with a symmetric data encryption key (DEK), which is unique to this email.
Only this DEK is encrypted with the public key of the recipient. This is called Key Encryption Key (KEK).

The other great thing when using a DEK and KEK is, that several users can have access to the same data with different passwords – or different KEKs. This way a user who has access to the data can also be allowed to grant access on the data to a new user. The software can access the DEK with the KEK of the old user and encrypt the DEK of the file with the KEK of the new user.

This way, each file has a list of KEK-encrypted DEKs attached to it. Thus an enterprise encryption software needs to allow adding users with their key encryption key to files.
Users need to have different roles like adding users to access groups or only being allowed to access the data.

(Of course you can not effectively avoid the user breach: The user who has been granted access to the data can go rogue and print the data, take a photograph or copy. If you want to tackle with this threat you need to think about implementing data leakage prevenion.)

So what the heck with the KEK?

You might use the latest and greatest symmetric unbreakable encryption algorithms for actually encrypting the data. But these are of no use, if the access to this encryption – usually the password – is week. An attacker would always target the KEK (a.k.a. Passwords) and not the DEK (The encryption itself).

Thus, another important requirement is not only to encrypt the data but also to protect the access to this encryption. A good way to do this is not to use a password based access but to use public key cryptography.
As mentioned with the PGP example, the KEK is the public key of the user. The DEK is encrypted with the public key.
The user has to provide his private key to decrypt the DEK to access the data.

Perfectly the private key is located on a smartcard, so that the private key can not (easily) be copied or stolen.
If the private key was initially created on the smartcard, you can in addition be sure that the private key was not stolen or copied.

Data Read Escalation

As we required earlier the administrator usually can not read the data and can not add users to the group of data users, who can read the encrypted data.
But in certain cases – when all users have lost their smartcard, forgotten their passwords, have quit the job – the company needs to be able to access the encrypted data without one of the originial users available.

In this case the encryption solution needs to provide a process with preferably 4 eyes principle to regain access.
4 eyes principle is important to increase the trust and allow full deniability for all participants.

Technicaly the key management can to this by adding a system-KEK or recovery-KEK to all files.

Hardware Security Modules

Besides using smartcards for the user’s KEKs, the support for hardware security modules can be a good idea. The HSM can be used to protect the system-KEK or recovery-KEK or to sign configuration data. Otherwise a user with the right to only read encrypted data could escalate his rights to „assign-new-users to the encryption group“ by flipping some bytes in the database.

Reencryption

We already said, that reencrypting the data is a bad idea and should be avoided. Nevertheless it can be necessary. E.g. if the symmetric encryption algorithm used to encrypt the files is know to have weeknesses. This is especially important if you need to upgrade the encrpytion algorithm.
In a worst case scenario the system- or backup-key could be compromized, then this keys need to be changed.
The solution should provide the possibility to reencrypt the data.

Possible Solutions

There is a quite nice long list of commercial products, which cover those requirements. Some are better and more convenient in smartcard support, some in group management and some in automation.
It is always a good idea, to identify your own needs and evaluate the right solution.
Most of the tools are products of companies located in Germany and thus comply to the (still) stirct data protection laws.

Why is there no open source?

Nevertheless there is no open source tool, which is capable of covering the requirements and competing with the commercial tools available. This might be due to the scratch-your-own-itch concept of open source development. Individuals start open source projects, which will provide a solution to their own problem. A perfect example is the tool cryptomator. It does a great job in file encryption and covers a lot of requirements but totally lacks the key management and because of this will only work for a single user, but not for project groups in a company.
Another reason might be, that the customers for such an enterprise file encryption tool in 95% of the cases runs Windows on their clients and may thus be used to install and use closed source software – so why should the software vendor bother about an open source busines model?

With the growing pressure of undemocratic survailance requests even by the German government the threat through backdoors and unpublished zero days increases dramatically. In a sensitive area like data encryption, where data obviously is to be protected from preying eyes, open source solutions can help to regain the trust in such software.
So I urge all open source companies with data storage centric products to think about enhancing their portfolio with an open source project for a trustyworthy, modern, enterprise ready file encryption solution. In my opinion this is not only a gap in the market but would also be a great help for a mature and democratic society.

privacyIDEA Appliance, LDAP-Proxy, FrOSCon und it-sa

privacyIDEA Appliance

Für unsere Enterprise Kunden ist neben dem Python Package Index, Ubuntu-Pakenten, UCS-Paketen, CentOS und RHEL-Paketen nun auch eine privacyIDEA Appliance verfügbar, die die Einrichtung von Konfigurationen wie MySQL-Master-Master-Replikation und RADIUS-Clients vereinfacht. Außerdem unterstützt sie beim Backup und Restore und bei der Wartung des anwachsenden Audit Logs.
Lesen Sie mehr dazu in unserem Blog oder schauen Sie sich einen Beitrag im Youtube Kanal an.

privacyIDEA 2.19.1 nun auch auf Univention Corporate Server 4.2

Die aktuelle Enterprise Version 2.19.1 von privacyIDEA ist nun auch auf dem Univention Corporate Server 4.2 verfügbar. Die letzte Version von privacyIDEA 2.18 war lediglich auf dem Univention Corporate Server 4.1 verfügbar. Nutzer des UCS 4.2 kommen nun auch in den Genuss, das aktuelle privacyIDEA leicht auf dem aktuellen Univention Corporate Server installieren und betreiben zu können.
Lesen Sie mehr dazu in unserem Blog.

privacyIDEA LDAP Proxy verfügbar

Der privacyIDEA LDAP Proxy ist nun als Service-Level-Agreement/Produkt verfügbar. Der LDAP Proxy erlaubt die leichte Anbindung von Applikationen, die lediglich das LDAP Protokoll beherrschen. Der LDAP Proxy steht als Broker zwischen der Applikation, dem LDAP und privacyIDEA. Damit lassen sich schnell und effizient auch proprietäre Applikationen mit einem zweiten Faktor absichern.
Lesen Sie mehr auf unserer Webseite.

Veranstaltungshinweise

Es stehen wieder weitere Veranstaltungen an.
Zum Ende des Sommers werden Friedrich Weber und Cornelius Kölbel einen Vortrag auf der FrOSCon zur Zwei-Faktor-Authentifizierung mit dem LDAP Proxy halten. Die NetKnights ist Aussteller auf der FrOSCon und steht Rede und Antwort rund um das Thema Zwei-Faktor-Authentifizierung und privacyIDEA.
Die FrOSCon findet am 19. und 20. August in St. Augustin in der Hochschule Bonn-Rhein-Sieg statt. Lehrreiche und unterhaltsame frühere Vorträge von Cornelius Kölbel auf der FrOSCon wie „Alles meins!“ und „Am Puls der Zeit“ finden Sie bei Youtube.
Im Oktober 2017 wird die NetKnights das erste mal bei der IT-Sicherheits-Messe „it-sa“ in Nürnberg mit einem Stand vertreten sein. Lesen Sie mehr dazu in unserem Blog.