NFC-Smartphones als sichere Chipkartenleser
Forscher am schweizerischen IBM-Forschungszentrum haben eine Technik vorgestellt, mit der sich NFC-taugliche Smartphones als Chipkartenleser für gesicherte Zwei-Faktoren-Authentifizierungen ansprechen lassen.
Mit einer Technik des IBM-Forschungszentrums im Schweizerischen Rüschlikon sollen sich Smartphones zu Werkzeugen für sichere Authentifizierungen übers Internet mausern. Die von einem Internet-Server ausgegebenen Authentisierungs-Challenges gelangen dabei per NFC an eine passend bestückte Smartcard, damit diese nach Abfrage einer PIN -- ebenfalls per Smartphone -- auf demselben Weg einen Response an den Server zurückschicken kann.
Die IBM-Forscher haben ihr Verfahren mit Know-how des 2012 übernommenen Unternehmens Worklight entwickelt und auf Basis der gleichnamigen Entwicklungsplattform implementiert. Bislang können sie damit Mobilgeräte unter dem Betriebssystem Android 4.0 unterstützen, doch sollen sich damit nach Auskunft des zuständigen Entwicklers Diego Ortiz-Yepes leicht auch Apps für andere Betriebssysteme schreiben lassen, sofern diese die Datenübertragung per NFC beherrschen.
Die technischen Anforderungen auf Seiten des Mobilgeräts sind bescheiden, die Software muss allerdings für die anvisierten Chipkarten maßgeschneidert werden. Infrage kommen proprietäre Ausweiskarten, Kreditkarten sowie elektronische Personalausweise, und in allen Fällen erfolgt die Datenübertragung durchgehend verschlüsselt von der Karte bis zum Server. Die Verschlüsselung entspricht dem vom US-amerikanischen NIST entwickelten Advanced Encryption Standard, der bei geeigneten Schlüssellängen bislang als vergleichsweise sicher gilt. Bis jetzt sei das beschriebene Verfahren weder durch staatliche Instanzen noch durch Bankgremien wie die Kreditkarten-Allianz EMV zertifiziert, doch seien hierfür keine technischen Schwierigkeiten zu erwarten, erklärte Ortiz-Yepes gegenüber heise online. Erwartungsgemäß konnte er daher keine Angaben machen, wann das Verfahren für konkrete Anwendungsfälle zur Verfügung stehen wird.
Wenn es soweit ist, verspricht es jedoch ein ähnliches Sicherheitsniveau wie die Authentifizierung über ein Klasse-2-Chipkartenterminal und allemal mehr Kontrolle durch den Anwender als ein nur im Smartphone implementiertes Verfahren. Denn eine Malware könnte nur schwerlich Ersatz für das bewusste Koppeln von Chipkarte und Mobilgerät leisten. (hps)
