Cursus informatiebeveiliging Eric Laermans – Tom Dhaene Biometrie – Tokens Cursus informatiebeveiliging Eric Laermans – Tom Dhaene
Werkwijzen voor authenticatie Biometrie Werkwijzen voor authenticatie iets wat gebruiker weet: wachtwoord, PIN-code, iets wat gebruiker bezit: geheime sleutel, vertrouwelijke sleutel, iets wat gebruiker is: biometrie Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
Biometrie: soorten Twee categorieën fysische eigenschappen: vingerafdruk irisscan handvorm … gedragseigenschappen stemherkenning beweging bij handtekening Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
Biometrie: vingerafdruk uniek voor elk individu (ook voor eeneiige tweeling) oudste systeem muis met ingebouwde vingerafdrukscanner bron: Siemens bron: http://www.prosection.com/ Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
Biometrie: iris Iris rond pupil bevat grillig patroon, uniek voor elk individu wijzigt niet met de tijd bron: CNN 2002-03-27 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
bron: http://www.eyesearch.com/ Biometrie: netvlies Retina of netvlies patroon van bloedvaten uniek wel beïnvloedbaar door bepaalde oogaandoeningen bron: http://www.eyesearch.com/ Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
Biometrie: voordelen Voordelen sterke authenticatie van de identiteit van de gebruiker niet overdraagbaar en dus ook niet steelbaar (?) snel en gemakkelijk te gebruiken dit is althans de bedoeling Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
Biometrie: nadelen Nadelen nauwkeurigheid sociale aanvaarding privacy te laks: beveiligingsrisico te streng: verminderd gebruiksgemak sociale aanvaarding OK voor systemen met vingerafdrukherkenning minder OK voor systemen met iris- of retinaherkenning privacy hard gebonden aan identiteit geschiktheid voor mensen met bepaalde handicap? Biometrische karakteristieken zoals een vingerafdruk worden nooit tweemaal na elkaar op exact dezelfde manier gemeten (oriëntatie van een vinger kan verschillen,). Dit betekent dat er een zekere fouttolerantie moet zijn op de herkenningsfunctie. Is de fouttolerantie te groot, dan zullen gebruikers ten onrechte toegelaten worden (wat een beveiligingsrisico inhoudt). Is de fouttolerantie te klein, dan kunnen legitieme gebruikers ten onrechte geweigerd worden, wat tot behoorlijk wat irritatie kan leiden als dit te vaak gebeurt. Deze nauwkeurigheidsproblemen zijn vaak sterk afhankelijk van methode tot methode: irisherkenning heeft hier veel minder last van dan herkenning op basis van vingerafdrukken. Hoe groter het aantal legitieme gebruikers, hoe groter ook het risico voor het ten onrechte herkennen van een niet-legitieme gebruiker. Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
Biometrie: nadelen Nadelen “kat in een zak” niet vervangbaar niet altijd erg open systemen tegen principe van Kerckhoff in niet alle systemen even goed beveiligd tegen misbruik biometrische gegevens zijn niet geheim probleem van protectie van te herkennen data niet vervangbaar Biometrische systemen zijn vaak ook een stuk minder onkraakbaar dan de fabrikanten beweren (vingerafdruk kan nagebootst worden). De gewone vervanging van het login/wachtwoord-systeem is niet evident. Een normaal wachtwoord wordt geëncodeerd opgeslagen op het systeem en bij inloggen wordt het ingegeven wachtwoord op zijn beurt geëncodeerd en vergeleken met het opgeslagen versleutelde wachtwoord. Wegens de foutmarge die we moeten toelaten op biometrische gegevens is een vergelijkbare aanpak niet mogelijk. Dit maakt dat we een speciale beveiliging nodig hebben van de opgeslagen biometrische gegevens. Een fysische bescherming van de invoerapparatuur is nodig, zodat de herkenning op de invoerapparatuur kan gebeuren (en niet op de PC zelf). Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
Beveiligde sleutelopslag Softwarematig versleutelde opslag op harde schijf (cf. PGP) of op andere (passieve) informatiedrager (CD-R(om), USB-sleutel, geheugenkaart,…) beschermd door wachtwoord/wachtzin voordeel: gemak: geen extra hardware nodig nadelen: beveiliging afhankelijk van kwaliteit wachtwoord/wachtzin niet permanent versleuteld mogelijk kwetsbaar voor bepaalde soorten malware Er zijn inderdaad tijdstippen waarop de geheime of vertrouwelijke sleutel beschikbaar moet zijn: tijdens het symmetrische encryptie- of decryptieproces, tijdens het asymmetrisch decryptieproces, bij het aanbrengen van een digitale handtekening, bij het berekenen van een berichtauthenticatiecode,… Op deze tijdstippen zal de ongeëncrypteerde sleutel in het geheugen van het eindsysteem aanwezig zijn. Goed ontworpen beveiligingsprogramma’s zorgen er dan voor dat dit onderdeel van het geheugen niet naar de schijf kan “geswapt” worden door het besturingssysteem (“locken” in het geheugen) en dat het gebruikte geheugen eerst gewist wordt vooraleer het weer vrijgegeven wordt, zodat een ander programma de inhoud van het geheugen daarna niet kan misbruiken om vertrouwelijke informatie te recupereren. Voldoende intelligente malware kan deze beveiligingsmaatregelen echter nog altijd omzeilen, bv. door het ingetypte wachtwoord te registreren. Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
Beveiligde sleutelopslag “Security tokens” opslag van geheime/vertrouwelijke sleutels buiten eindsysteem twee types met fysische connectie met eindsysteem zoals Security SmartCards, USB Security Tokens,… zonder fysische connectie met eindsysteem zoals Digipass,… Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
Typisch dubbele authenticatie Security tokens Typisch dubbele authenticatie PIN-code voor toegang tot token waarbij toegang geblokkeerd wordt bij te groot aantal opeenvolgende mislukte pogingen authenticatie door token beperkt risico bij verlies/diefstal als fysisch object gemakkelijker te beschermen dan wachtwoord/wachtzin + PIN-code nodig voor toegang Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
Minder afhankelijk van beveiliging eindsysteem Security tokens Minder afhankelijk van beveiliging eindsysteem berekeningen met geheime/vertrouwelijke sleutels gebeuren op token zelf, niet op eindsysteem ongeëncrypteerde sleutels nooit aanwezig op eindsysteem normaal niet toegankelijk voor malware Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
Met fysische connectie met eindsysteem Security tokens Met fysische connectie met eindsysteem token voert gewenste cryptografische berekeningen uit op bericht dat het van het eindsysteem ontvangt encryptie/decryptie stuurt geëncrypteerd/gedecrypteerd bericht terug digitale handtekening stuurt digitale handtekening van bericht terug … wel (beperkt) kwetsbaar voor kwaadaardig eindsysteem genereren van ongewenste digitale handtekeningen,… Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
Zonder fysische connectie met eindsysteem Security tokens Zonder fysische connectie met eindsysteem meestal veel beperktere in- en uitvoer cijfers (via beperkt toetsenbord en scherm) voorbeeld: bron: http://www.vasco.com Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
Zonder fysische connectie met eindsysteem Security tokens Zonder fysische connectie met eindsysteem (mogelijke) werking: generatie van tijdsafhankelijke wachtwoorden om in te loggen in combinatie met identificatie van gebruiker gegenereerd wachtwoord op basis van tijdsstempel getekend door vertrouwelijke sleutel van gebruiker (beperkt geldig, bv. orde 1 minuut) Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
Zonder fysische connectie met eindsysteem Security tokens Zonder fysische connectie met eindsysteem (mogelijke) werking: “tekenen” van berichten via “challenge - response” applicatie genereert getal ter bevestiging van transactie (challenge) gebruiker geeft challenge in op token token genereert nieuw getal afgeleid uit gebruikers “digitale handtekening” van challenge (response) gebruiker antwoordt met verkregen response Merk op dat als de challenge goed gekozen wordt, replay-aanvallen onwaarschijnlijk zijn. Het enige risico is dat de “responses” van uw token op alle mogelijke “challenges” gekend zijn door de aanvaller. Als het aantal “challenges” beperkt is (bv. 106), is dit strikt genomen niet 100% uit te sluiten. Dit kan verbeterd worden door meer dan 1 “challenge” te moeten ingeven (ten koste natuurlijk van een zeker gebruiksgemak). Een alternatief is de “response” tijdsafhankelijk te maken. Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
Zonder fysische connectie met eindsysteem Security tokens Zonder fysische connectie met eindsysteem ongeveer onkwetsbaar voor malware op eindsysteem eindgebruiker moet actief handelen om token te gebruiken geen spoor van verrichte handelingen voor eindgebruiker geen encryptiecapaciteit vereist meer interactie van eindgebruiker Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
Security tokens Beperkingen verloren/gestolen token is vaak niet onkraakbaar fysische toegang tot opgeslagen sleutels en/of PIN-code soms mogelijk kraken van sleutel soms mogelijk via onverwachte aanvalshoeken (analyse van rekentijd, analyse van vermogenverbruik, foutinjectie,…) goede PIN-code dan toch kritisch “tamper-proof” nuttige eigenschap… …maar moeilijk te realiseren Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans