MENU

FIDO: Prüfungen nach den FIDO-Sicherheitsstandards

    1. Leistungen
    2. Hardware & Software Evaluierung
    3. FIDO

Authenticator sollen die Authentifizierung für User im Internet sicherer, schneller und einfacher machen – vorausgesetzt diese erfüllen selbst gewisse Sicherheitsstandards. Die FIDO-Allianz hat speziell für diese Authentifizierungslösungen offene Standards entwickelt, mit denen Hersteller die Sicherheit ihrer Produkte objektiv belegen können. Als von der FIDO-Allianz akkreditiertes Sicherheitslabor ist TÜViT dazu berechtigt, entsprechende Prüfungen durchzuführen.

    

Unterschiedliche Sicherheits-Level der Zertifizierung

Im Rahmen der Zertifizierung wird bewertet, ob der Authenticator und seine Funktionalität mit den vorgegebenen FIDO-Spezifikationen übereinstimmt. Hier bieten wir Unternehmen Prüfdienstleistungen im Hinblick auf unterschiedliche Sicherheits-Level an:
   

  • Hardware- und Software-Anforderungen: Gerät muss eine eingeschränkte Betriebsumgebung (ROE), wie beispielsweise eine Trusted Execution Environment (TEE), unterstützen oder an sich eine eingeschränkte Betriebsumgebung sein, beispielsweise ein USB-Token oder eine Smart Card
  • Bewertung des Authenticators im Hinblick auf den Schutz vor Störungen des Geräte-Betriebssystems und gegen größere Angriffe
  • Leistungen: Designprüfung 
        
  • Beispiele: Apps in Kombination mit der Nutzung eines nach FIDO Level 2 zertifizierten Handys; USB-, BLE- oder NFC-Token

    

  • Hardware- und Software-Anforderungen: Gerät muss eine eingeschränkte Betriebsumgebung (ROE), wie beispielsweise eine Trusted Execution Environment (TEE), unterstützen oder an sich eine eingeschränkte Betriebsumgebung sein, beispielsweise ein USB-Token oder eine Smart Card
  • Bewertung des Authenticators im Hinblick auf den Schutz vor Störungen des Geräte-Betriebssystems und gegen größere Angriffe
  • Leistungen: Durchführung von Penetrationstests, Berechnung des Angriffspotentials
  • Beispiele: Apps in Kombination mit der Nutzung eines nach FIDO Level 2 zertifizierten Handys; USB-, BLE- oder NFC-Token

   

  • Hardware- und Software-Anforderungen: Verguss der Platine, Programmpakete liegen auf dem Speichermodul, Verschlüsselter Arbeitsspeicher (RAM)…
  • Bewertung des Authenticators im Hinblick auf den Schutz vor erweiterten Software- und Hardwareangriffen
  • Schutz erfasster Geräte vor Angriffen auf die Platine
  • Leistungen: Designprüfung, Durchführung von Penetrationstests, Berechnung des Angriffspotentials 
  • Beispiele: USB-, BLE- oder NFC-Sicherheits-Token, die entsprechende Sicherheitselemente oder andere Mittel zur Abwehr von Hardware-Angriffen nutzen

    

  • Hardware- und Software-Anforderungen: Schutz gegen Fehlerinjektion (Chip) und invasive Angriffe 

  • Bewertung des Authenticators im Hinblick auf den Schutz vor erweiterten Software- und Hardwareangriffen
  • Verteidigung erfasster Geräte vor Angriffen auf Chipebene
  • Leistungen: Designprüfung, Durchführung von Penetrationstests, Berechnung des Angriffspotentials 
  • Beispiele: USB-, BLE- oder NFC-Sicherheits-Token, die entsprechende Sicherheitselemente oder andere Mittel zur Abwehr von Hardware-Angriffen nutzen

Erfolgreich zertifizierte Produkte können mit dem Logo "FIDO certified" gekennzeichnet werden.

Sie haben in Sachen FIDO Beratungsbedarf? Wir bieten Ihnen unabhängig von unseren Prüfungen auch diverse Beratungsleistungen an.

Über FIDO

Die 2013 gegründete FIDO-Allianz hat es sich zum Ziel gesetzt, die Online-Sicherheit durch einfachere und sicherere Verfahren der Authentifizierung maßgeblich zu verbessern. Hierfür wurden in Form von Standards Mechanismen definiert, die die Abhängigkeit von Passwörtern reduzieren und eine stärkere Authentifizierung gewährleisten sollen.

Der (Sicherheits-)Schlüssel zum Erfolg: Ein Authenticator, der vom User lokal entsperrt werden muss, beispielsweise durch einen Fingerabdruck-Scan oder das physische Betätigen eines Security-Tokens. Erst dann öffnet der auf dem Authenticator sicher gespeicherte private Schlüssel in Übereinstimmung mit dem dazugehörigen, auf einem Server gespeicherten, öffentlichen Schlüssel die Online-Tür zu einer Website oder App. Auf diese Weise werden Logins, die vorher nur auf Passwörtern basierten, durch eine Zwei-Faktor-Authentisierung (U2F) ersetzt.

Ihre Vorteile auf einen Blick

  • Minimierung von Sicherheitsrisiken
  • Objektiver Nachweis über die Sicherheit des Authenticators durch die Kennzeichnung „FIDO certified"
  • Verbesserte Marktpositionierung durch die Abhebung vom Wettbewerb

Christoph Bayer

Evaluation & Validation

+49 201 8999 557
Fax: +49 201 8999-666

c.bayer@tuvit.de

Weitere Leistungen

Prüfstelle für IT-Sicherheit

Prüfstelle für IT-Sicherheit

Hard- und Software - geprüfte Sicherheit aus einer Hand: TÜViT gehört weltweit mit seiner Prüfstelle für IT-Sicherheit zu den führenden Prüfdienstleistern für IT-Produkte und -Systeme. Die Prüfstelle ist seit 1991 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannt und von der Deutschen Akkreditierungsstelle (DAkkS) nach der DIN EN ISO/IEC 17025 akkreditiert.
Weiterlesen
Common Criteria

Common Criteria

Weltweit anerkannte Sicherheitsprüfungen für IT-Produkte, -Komponenten und -Systemen: TÜViT ist mit mehr als 50 lizenzierten Prüfern und weit mehr als 600 erfolgreich durchgeführten Evaluationen eine der weltweit größten und erfahrensten Prüfstellen für Common Criteria.
Weiterlesen
Hardware Evaluierung

Hardware

Hardware-Tests für mehr Sicherheit: Zum Schutz von sensiblen Daten werden Hardware-Sicherheitsmodule und Produkte basierend auf Chipkarten-Technologie eingesetzt. TÜViT prüft diese IT-Produkte gemäß anerkannten internationalen Sicherheitsstandards und führt im eigenen Hardware-Testlabor die erforderlichen Penetrationstests durch.
Weiterlesen
Software Evaluierung

Software

Prüfung der IT-Sicherheit von Software: TÜViT evaluiert bereits im Erstellungsproezss und über den gesamten Lebenszyklus hinweg IT-Sicherheitseigenschaften von Softwareprodukten nach den Common Criteria.
Weiterlesen
Site Certification

Site Certification

Standortabnahmen für Produktions- und Entwicklungsumgebungen: Bei der Zertifizierung von IT-Produkten nach Common Criteria oder EMVCo, sind Audits von Entwicklungs- und Produktionsumgebungen ein fester Bestandteil des Evaluierungsprozesses. TÜViT führt wir die Audits durch, die als Grundlage für die Zertifizierung dienen.
Weiterlesen
Technische Richtlinien des BSI

Technische Richtlinien des BSI

Sicherheit für hoheitliche Anwendungen und Gesundheitsdaten: TÜViT ist als Prüfstelle für Technische Richtlinien (TR) vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannt.
Weiterlesen
FIPS 140-2

FIPS 140-2

Testen von Kryptomodulen und Kryptoalgorithmen: Das Testlabor von TÜViT ist das einzige in Deutschland, das vom National Institute of Standards and Technology (NIST, USA) für die Prüfung und Validierung gemäß FIPS PUB 140-2 zugelassen ist.
Weiterlesen
Elektronischer Zahlungsverkehr

Zahlungsverkehr EMVCo

Komponenten, die im elektronischen Zahlungsverkehr eingesetzt werden, müssen spezielle Sicherheitsstandards erfüllen und benötigen entsprechende Zulassungen. Für diese Aufgabe steht TÜViT als akkreditierter Sicherheitsgutachter zur Verfügung.
Weiterlesen
Cookies-Einstellungen
Wir möchten die Informationen auf dieser Webseite und auch unsere Leistungsangebote auf Ihre Bedürfnisse anpassen. Zu diesem Zweck setzen wir sog. Cookies ein. Entscheiden Sie bitte selbst, welche Arten von Cookies bei der Nutzung unserer Website gesetzt werden sollen. Die Arten von Cookies, die wir einsetzen, werden unter „Details“ beschrieben. Weitere Informationen erhalten Sie in unserer Datenschutzerklärung.
Details anzeigen