Stand: 27. Januar 2016 ZIMT HG WLAN-Zugang über eduroam mit Android • Leider lief/läuft bei der Android-Programmierung offenbar nicht alles ‚glatt‘, die Zertifikatsverwaltung ist …. Das äußert sich wie folgt in Abhängigkeit von der Version. 1 Gute Beispiele sind I- und Windows-Phones: Diese konfigurieren sich im eduroam-Netz selbst und sicher und behalten diese Einstellung selbstverständlich bei... • Sie MÜSSEN mit einem Sperrbildschirm arbeiten. Falls Sie den abschalten, werden automatisch von Ihnen installierte Zertifikate gelöscht (das könnte bei gutem Willen noch als Sicherheits-Feature durchgehen…) • Nach jedem WLAN-Ab- und erneutem Anschalten sind die Zertifikate weg und müssen neu gewählt und gespeichert werden (Samsung mit Android Version 4.4). 1. Empfehlung: Nach Nutzung der APP eduroamCAT (nicht für alle Versionen vorhanden…) müssen Sie dort ggf. Ihr Passwort neu eingeben und ‚Install‘ drücken. 2. Nach manueller Einrichtung (Zertifikat über E-Mail transportiert) sind diese unter ‚Downloads‘ zu finden, jedoch ist dies aufwendiger als 1) Leider ist auch zu beobachten, dass wichtige Sicherheitseinstellungen sich nicht erfolgreich speichern lassen (Motorola mit Android Version 2.x) Achten Sie darauf, dass Sie immer mit einem Zertifikat arbeiten! Falls das nicht der Fall ist, sind Ihre Zugangsdaten (UserID und das Passwort) mit einfachen Mitteln zu entschlüsseln, nachdem Sie sich beispielsweise versehentlich mit einem ‚bösen‘ Accesspoint verbunden haben, der die Kennung ‚eduroam‘ aussendet. Wie leicht das zu machen ist, wurde in diesem Vortrag anschaulich dargestellt (Link vom 27.1.1016): https://www.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt61/2neumobileit-Einsatz_von_Android.pdf ) Auf der folgenden Seite finden Sie eine E-Mail mit weiteren Informationen. 1 (1) Darum raten wir bei Erstnutzung dies unbedingt an unserer Hochschule zu tun. Ihre Sicherheit ist nur gewährleistet, wenn die Erstnutzung an einem vertrauenswürdigen AccessPoint (WLANZugang) stattfindet. Stand: 27. Januar 2016 ZIMT HG Betreff: Datum: Von: An: Kopie: [ZKI] eduroam Konfigurationsassistent Wed, 20 Jan 2016 12:40 Plehn, Hartmut <[email protected]> [email protected] <[email protected]> [email protected] <[email protected]> Liebe Kolleginnen und Kollegen, Android-Systeme beinhalten seit mehreren Jahren und Versionen eine Sicherheitslücke, die auch bei der Verwendung von eduroam relevant sein kann. In der Android-Grundeinstellung erfolgt bei der WLANAuthentifizierung keine Zertifikatsprüfung, wenn bei der Einrichtung des WLAN-Zugangs kein Wurzelzertifikat explizit angegeben wurde. Das Telekom Root CA2 Zertifikat, das Ausgangspunkt für die Zertifizierungshierarchie von DFN-Diensten ist, ist zwar in Android enthalten, wird aber nicht verwendet, wenn es bei der Einrichtung von eduroam nicht extra angegeben wird. Ein Angreifer kann daher sehr leicht einen Access Point einrichten, der die ESSID eduroam (ohne gültiges Zertifikat) ausstrahlt, und kann Daten von sich dort registrierenden Endgeräten als man-in-the-middle abgreifen und manipulieren. Das Problem ist lange bekannt und wurde auf der DFN-Betriebstagung 2014 dargestellt (siehe https://www.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt61/2neumobileit-Einsatz_von_Android.pdf ), im DFN-Betriebsausschuss und sogar auf der DFN-Mitgliederversammlung 2014. Leider kursieren immer wieder und auch noch jüngst Berichte in der Presse, die den Eindruck erwecken, dass es sich um eine Sicherheitslücke von eduroam handelt. Diesem Eindruck sollte die DFN- und ZKI-Community entschieden entgegentreten! In Wirklichkeit ist eduroam eine der sichersten Authentifizierungsinfrastrukturen weltweit! Dies gilt natürlich nur, falls die Zertifikate sachgemäß verwendet werden. Diese Einschränkung gilt aber genauso für jede andere PKI basierte Kommunikation wie u.a. auch für https. Herr Paffrath vom DFN hat mich gebeten, in diesem Zusammenhang auf die neue Version des eduroamKonfigurationsassistenten hinzuweisen, s.u. Mit freundlichen Grüßen Hartmut Plehn