Die monatlich erscheinende Blogserie „das kleine 1×1 der sicheren digitalen Identitäten“ präsentiert Themenschwerpunkte rund um die Erzeugung, Verwaltung und den Einsatz digitaler Identitäten. Im Fokus diesen Monat: Host Card Emulation (HCE) und Trusted Execution Environment (TEE).
Host Card Emulation und Trusted Execution Environment sind im Bereich des mobilen Bezahlens bereits bekannte Begriffe. Das HCE ist eine reine Softwarelösung und ermöglich es dem Smartphone, sich einem Kassenterminal mit NFC gegenüber als Karte zu präsentieren. Das TEE ähnelt in seinem Prinzip dem Secure-Element, befindet sich aber nicht auf seinem eigenen Hardwareelement, sondern bloß in einem abgetrennten Bereich im Hauptprozessor des Geräts. Im folgenden Beitrag werden die Attribute der beiden Technologien genauer beleuchtet.
- Host Card Emulation (HCE) wurde als Alternative für mobile NFC-Zahlungen (kontaktloses bezahlen mit Hilfe des Smartphones) für Smartphones mit dem Betriebssystem Android vorgeschlagen, kann aber auch für andere Anwendungsfälle genutzt werden.
- Das HCE-Modell ermöglicht es dem Betriebssystem Android des mobilen Geräts, sich einem NFC-Terminal gegenüber als Karte zu präsentieren. Dieses nutzen z.B. Banken, um ihren Kunden mobile NFC-Dienste „over the top“ (OTT) anzubieten, d.h. ohne mit Mobilfunkbetreibern, Telefonherstellern und anderen Akteuren im Ökosystem zusammenarbeiten zu müssen. Weitere Nutzungsmöglichkeiten sind z.B. Online-Ticket- und Zutrittslösungen.
- Die Sicherheit von HCE ist softwarebasiert (beachte Punkt 14) und beruht im Wesentlichen auf der Bindung an einen Online-Service und dem „Sandboxing Modell“ des Betriebssystems Android, dessen Basis ein Linux-Kern ist.
- Beim „Sandboxing“ von Android werden auf Betriebssystemebene einzelne Apps voneinander isoliert und dadurch Apps und das System vor schädlichen Apps geschützt. Die „Anwendungssandbox“ realisiert dies durch Standard-Linux-Funktionen wie Benutzer- und Gruppen-IDs, die Apps zugewiesen werden. Standardmäßig können Apps nicht miteinander interagieren und haben nur eingeschränkten Zugriff auf das Betriebssystem
- Isolation und Sandboxing werden jedoch regelmäßig gebrochen. Zudem rooten oder „jailbreaken“ Verbraucher oft ihre Geräte (z.T. durch Schadsoftware) und verhindern dadurch eine wirksame Isolation.
- Dadurch wird der Zugriff auf die sensiblen Transaktionsdaten des Benutzers, wie z. B. Zahlungsdaten, die von der HCE-Anwendung gehalten werden, offengelegt und kann von Kriminellen für betrügerische Transaktionen verwendet werden. Es ist nur bedingt möglich diese Angriffe abzuwehren, da die Sicherheitssoftware bei vollem Zugriff ebenfalls manipuliert werden kann. Die Verifikation kann also fehlschlagen, Malware manipuliert die Antwort jedoch als gültig.
- Auch wenn HCE in seiner Grundform nicht für Anwendungen geeignet ist, die nicht NFC-basiert sind, gelten die bei der Bewertung der Finanzwelt erkannten Sicherheitsbedenken (s. Punkt 14, 35) für alle anderen rein softwarebasierten Lösungen für die Verwaltung und Nutzung digitaler Identitäten entsprechend.
- Ein Trusted Execution Environment (TEE) ist ein abgetrennter Bereich im Hauptprozessor eines Gerätes. Das TEE ist per Hardware technisch vom normalen Prozessor getrennt und hat eine eigene Firmware. Diese läuft parallel neben dem Betriebssystem des Smartphones und stellt für das Betriebssystem Sicherheitsdienste bereit.
- Ein TEE schafft eine isolierte, von anderen Applikationen und Daten abgeschottete Umgebung für die geschützte Ausführung von Anwendungen oder die Ablage schützenswerter Daten auf dem Smartphone.
- Das TEE stellt somit eine Ausführungsumgebung dar, die ein höheres Maß an Sicherheit als das pure Betriebssystem bieten kann. Die Integritätskontrollen für das TEE werden z.B. durch das Rooten / einen Jailbreak nicht deaktiviert, das TEE bleibt auch auf gerooteten Geräten vertrauenswürdig (vgl. Punkt 37).
- TEE wird von Globalplattform unterstützt und spezifiziert. Globalplattform hat für TEE hat ein Protection Profile mit der Zielsetzung EAL2 erstellt.
- Die Schutzwirkung eines TEE ist i.a. nicht so stark wie diejenige eines SE. Es werden regelmäßig Lücken und Angriffsmöglichkeiten aufgezeigt. Allerdings ist die Schutzwirkung deutlich stärker als bei einer reinen Softwarelösung für digitale Identitäten.
- Bei Android-Smartphones basiert das TEE üblicherweise auf der ARM-Hardware-Technik „TrustZone“, unter Apple heißt die entsprechende Technologie „Secure Enclave“.
Trusted Execution Environment (TEE)
Im kommenden Monat wird es um unterschiedliche Angriffszenarien und Vektoren gehen, die bei der Entwicklung und dem Einsatz von Sicherheitskomponenten, wie dem SE, TEE und HCE beachtet werden müssen.