OpenPGP Hardware-Token im mobilen und Zero-Trust Bereich

Bachelor Studiengang IT Security

Ing. Marcus Kramar, BSc, BSc

Betreuer: Dipl.-Ing. Peter Kieseberg

Ausgangslage

Eine wirklich sichere E-Mail Kommunikation ist zurzeit nur auf eigener Computerhardware in Kombination eines Hardware-Tokens möglich. Der private Schlüssel ist sicher verwahrt und wird nur beim Entschlüsseln oder Signieren der E-Mail Nachricht am Hardware-Token verwendet. Dieses Best-Case Szenario ist in Zero-Trust Umgebungen, beispielsweise in öffentlichen Einrichtungen, nicht möglich. Leider ist es auf diesen Fremdgeräten nicht erlaubt eine Zusatzsoftware (GnuPG) zu installieren. Auf den meisten Endgeräten ist ein Webbrowser vorinstalliert.

Somit ist es einfach die eigenen E-Mails via eines Webmail-Dienstes zu verfassen oder zu lesen. Es gibt genügend Webmail-Anbieter sowie Browsererweiterungen, die nach dem Hochladen des Schlüsselmaterials, E-Mail Nachrichten verschlüsseln, entschlüsseln und signieren können. Das Hochladen des eigenen Schlüsselmaterials ist ein Problem und täuscht eine scheinbare Sicherheit vor. Ab diesem Zeitpunkt muss man dem Anbieter des Webmail-Dienstes vertrauen und hoffen, dass das Schlüsselmaterial nicht gestohlen und missbraucht wird. Durch den Einsatz eines Hardware-Tokens würde dies verhindert werden.

Ziel

Das Ziel dieser Arbeit ist, festzustellen, ob OpenPGP Hardware-Token im mobilen und Zero-Trust Bereich uneingeschränkt verwendet werden können. Dazu müsste der Treiber sowie der OpenPGP Client ins Web ausgelagert werden (WebUSB). Damit der Hardware-Token plattformunabhängig eingesetzt werden kann, wird ein Proof-of-Concept für iOS Endgeräte entwickelt. Schlussendlich werden alle vorhandenen Tools, welche einen Hardware-Token unterstützen, sowie Alternativen im mobilen Bereich, analysiert und verglichen.

Ergebnis

Klassisches OpenPGP ohne Hardware-Token ist nur auf eigener Computerhardware sicher. Die Verwendung eines Hardware-Tokens zur sicheren Schlüsselaufbewahrung ist in Zero-Trust Umgebungen notwendig.

Der direkte Zugriff via WebUSB ist zurzeit nicht mehr möglich. Somit kann der Treiber nicht in die Web-Applikation ausgelagert werden und es wird für jedes Betriebssystem eine extra Software benötigt.

Da es zu diesem Zeitpunkt keine plattformübergreifende Lösung gab, um Ende-zu-Ende verschlüsselte E-Mail Nachrichten auf allen Betriebssystemen, mit einem Hardware-Token zu sichern, wurde ein Proof-of-Concept für iOS Endgeräte entwickelt. Dieses ermöglicht die Kommunikation mit dem OpenPGP Applet auf dem Hardware-Token.