Autentizační prvky a metody pod drobnohledem II.

Autentizační prvky a metody pod drobnohledem II.
Přečtěte si dokončení článku o metodách autentizace a zabezpečování proti zneužití komunikace třetí osobou. Dnes o kalkulátorech, mobilním klíči, biometrice a také o tom, zda budoucnost patří spíše čipovým kartám, nebo tokenům.

Ve včerejším článku jsme téma nakousli a rozebrali metody jméno a heslo, autentizace po telefonu a certifikát na nechráněném médiu. Dnes je první na řadě... 

Levná biometrika

Tato metoda nabízí nízkou úroveň zabezpečení, neboť ji lze velmi snadno oklamat. Nejběžnějším způsobem ochrany je v této kategorii otisk prstu, který ovšem sám o sobě nepatří k příliš bezpečným prvkům. Hlavní problém spočívá v tom, že je velmi jednoduché oklamat tyto levné čtečky, které se integrují například do myši. Stačí, aby uživatel odešel z práce domů a není nic jednoduššího, než udělat odlitek otisku prstu, který je následně použit pro autentizaci. Tento velmi triviální postup lze snadno použít, protože zmíněné levné čtečky kontrolují pouze otisk prstu a nikoli další vlastnosti, jako například vodivost. Zhotovit odlitek otisku přitom není nijak složité, protože internet se jen hemží návody "jak na to" a navíc je zdrojový otisk k dispozici přímo na zmíněné myši. Největší problém tohoto typu zabezpečení vidím v tom, že uživateli "dává křidélka", tedy že navozuje falešný pocit bezpečí.

Kalkulátory bez PINu

 

U kalkulátorů, kde se nezadává PIN, představuje největší riziko jejich ztráta, odcizení či to, že je někdo zapomene na  pracovišti. Útočník pak může bez problémů kompletně předstírat identitu oprávněného uživatele, protože zde neexistuje žádný další ochranný prvek.



Mobilní klíč

Mobilní klíč rozhodně není typickou autentizační metodou, i když v bankovnictví v ČR zaznamenává tato metoda velký boom. Princip je velmi podobný jako u níže uvedených kalkulátorů používajících PIN. Zatímco kalkulátory jsou původně k autorizaci určeny, tak o SIMkartách se to říci nedá. Existuje sice standard pro ukládání informací na SIMkartu, ale tento standard ani jiná certifikace neumožňují ukládání šifrovacích klíčů na SIMkartu s garancí, že tento klíč SIMkartu nikdy neopustí. Těmito certifikacemi běžně disponují tokeny a čipové karty. Na druhé straně je nutné říci, že tato metoda poskytuje vyšší úroveň zabezpečení, než autentizace jménem a heslem či často používaným certifikátem na nechráněném médiu (viz první díl článku).


Kalkulátory chráněné PINem

 

Slabiny tohoto systému autentizace vycházejí ze známého faktu, že skutečná bezpečnost není založena na tom, co útočník nezná, tedy že nezná nějaký algoritmus, který výrobce systému používá. Skutečná bezpečnost je totiž založena na známých a prověřených standardech a algoritmech. V tomto případě je navíc použit princip sdíleného tajemství, které je uloženo kromě kalkulátoru také na nějakém serveru na "druhé straně" a nikdo kromě provozovatele neví, v jaké formě je tam uloženo a jak je zabezpečeno.
Stejně jako u předchozí varianty kalkulátorů je i v tomto případě nevýhodou, že je nelze "připoutat k tělu", i když se nejedná o tak velké nebezpečí jako u metody předchozí. Zapomene-li uživatel kalkulátor třeba ve své kanceláři, útočník kromě samotného kalkulátoru potřebuje ještě PIN.
Poslední nevýhodou této možnosti autentizace je skutečnost, že nepoužívá standardy a navíc je jednoúčelová. Není ji tedy jednoduše možné zaintegrovat do stávající PKI infrastruktury a není možné tyto kalkulátory použít pro více aplikací (certifikát pro poštovního klienta, PGP, klíče k šifrování disku, standard 802.1x atd.)

Čipové karty a tokeny

 

Tyto autentizační předměty jsou chráněny PINem a v některých případech mají i tzv. PUK. Jedná se o kód, který  uživatel musí zadat, pokud chce se systémem pracovat. Důležitou vlastností je snadná implementace těchto autentizačních předmětů do stávající PKI infrastruktury. Dále je velmi významnou skutečností, že jsou u této metody zabezpečení  používány obecně uznávané standardy, jako je např PKCS#11 a také  obecně známé šifrovací algoritmy,  jako  například AES. Nezanedbatelný není ani fakt, že veškeré šifrovací operace probíhají "uvnitř" tokenu či čipové karty, což prakticky znemožňuje dostat se k šifrovacímu klíči, pomocí nějakého červa či trojského koně v operačním systému. U kvalitních tokenů a čipových karet výrobce garantuje, že tajný klíč nikdy neopustí token.

 

Některé tokeny mají také certifikace "na obal". Tato certifikace zajišťuje, že v případě, kdy by se útočník pokusil token rozebrat, veškeré na něm uložené informace budou automaticky zničeny a obal se roztříští na malé kousky.
Řekněme si také něco o rozdílech mezi tokenem a čipovou kartou. Po hardwarové stránce je jejich "vnitřek" stejný. První rozdíl, který hovoří ve prospěch čipových karet, je jejich větší rozšířenost. Na straně druhé je třeba brát v úvahu současné trendy, a ty směřují spíše k používání tokenů. Čipové karty v současné době například běžně umožňují použití v docházkovém systému, kdy spolupracují s bezkontaktními čtečkami, jimiž  se dnes vybavují téměř všechny nové kancelářské budovy. Je však nutno poznamenat, že tokeny dohánějí i tento handicap, například tokeny iKey či eToken mají již stejné funkce. Ve prospěch tokenů dále mluví to, že jsou malé a jsou konstruovány tak, že je lze "připoutat k tělu". Tokeny lze navíc přenášet samostatně, bez čtečky, a to je samozřejmě uživatelsky příjemnější. Právě nutnost nosit čtečku uživatele často odrazuje od používání čipových karet. Lze tedy předpokládat, že ačkoliv jsou čipové karty dnes sice mnohem rozšířenější metodou zabezpečení, budoucnost patří spíše tokenům.


Kvalitní biometrika

 

Skutečně kvalitní biometrika je asi nejbezpečnější ze všech uvedených metod, protože nezkoumá ani znalost, ani vlastnictví, ale  nezaměnitelnou vlastnost uživatele, jakou je například oční sítnice. V tomto případě je nezbytné,  aby taková čtečka nesnímala pouze samotnou sítnici, ale také lesk oka, jeho reakce a pohyby, a ověřila tak, že se skutečně  jedná o živý objekt. Tento způsob autentizace je ovšem velmi drahý, což představuje podstatnou nevýhodu pro běžného uživatele, a  použití těchto zařízení se tak omezuje zpravidla pouze na použití ve firemních prostorách s nejvyšší mírou vnitřního zabezpečení.





Zpět k tokenům

1. Odolnost předmětů vůči vnějším vlivům
Předmět budeme neustále nosit při sobě. Je tedy důležité, aby byl token do určité míry odolný proti nárazům, lidskému potu, statické elektřině, elektromagnetickým polím, vodě a dalším "živlům", se kterými se člověk každodenně potkává. Důležité jsou i provozní a skladovací teploty, maximální vlhkost vzduchu, popřípadě zda se k předmětu prodávají nějaké obaly, pouzdra. Příkladem normy, která se tímto zabývá, je ISO 7816-1. Norma definuje například fyzické rozměry čipových karet, jejich odolnost proti statické elektřině a fyzickou odolnost při ohýbání karty. V této oblasti mají USB tokeny výhodu, neboť čip je chráněn plastovou skořápkou. Pouzdro u USB tokenu může být i vodotěsné. Zatímco USB tokeny standard ISO 7816-1 nepotřebují, u čipových karet je to nutnost, stejně jako splnění dalších částí této normy. Výrobci většinou uvádějí ISO 7816-1 až 4 (méně známé části jsou 5 až 10). Pozn.: normy 7816-2 a vyšší se již nezabývají odolností, ale jinými vlastnostmi čipových karet.

2. Odolnost konektorů a čtecího zařízení
Je dobré zjistit, jaká životnost je výrobcem garantována. Čipové karty, stejně tak čtečky, vydrží jen určitý počet zasunutí (čipová karta například až 10 000 zasunutí/vysunutí). Tato hodnota je většinou dostatečně vysoká, a proto je dobré se soustředit hlavně na hodnotu vlastní čtečky, než na hodnotu čipové karty. Obzvláště využívá-li počítač více uživatelů.
Čtecím zařízením u USB tokenů je vlastní port USB ve vašem notebooku či počítači. Při opotřebení by výměna nebyla dvakrát jednoduchá. Řešením je USB prodlužovací kabel, který stojí jen pár korun. Zároveň tím lze docílit stejného pohodlí, jako u čtečky čipových karet položené na stole (většina dnešních PC zatím nemá konektor USB vyveden na přední straně). Životnost vlastního konektoru na USB tokenu je dána normou USB, ale u některých tokenů výrobci garantují až 50 000 cyklů vysunutí a zasunutí. S tím, že první chyby se začínají objevovat někde okolo 100 000 cyklů.

3. Mobilita
Pokud chceme využít řešení minimálně na několika místech, je nutné brát ohled na to, jaký hardware a software je k tokenu zapotřebí a jak jsou tyto složky "mobilní". Ovladačům a utilitám se asi nevyhneme. U čipových karet je ale jasnou nevýhodou potřeba integrované čtečky, kterou jinak musíte nosit všude sebou. V otázce mobility tedy jasně vychází lépe USB tokeny.
S rostoucí oblibou portu USB bude náskok USB tokenů v této oblasti vůči čipovým kartám stále větší. Již dnes se ve velkém vyrábějí základní desky s portem USB 2.0, který nabízí dostatečnou přenosovou rychlost pro většinu počítačových periférií (teoreticky až 60 MB/s).

4. Čekání na masivní rozšíření
Autentizační předměty rozhodně nejsou výkřikem posledních měsíců, proto je velice zajímavé se zamyslet nad tím, proč se tak pomalu rozšiřují. Zpočátku to byla jistě vysoká cena a fakt, že nebyla nativní podpora v nejrozšířenějších operačních systémech. Tyto dva faktory již delší dobu neplatí, a přesto jsme zatím masivní rozšiřování nezaznamenali. Jedním z důvodů může být to, že většina dodavatelů ke svému řešení zcela nesmyslně dodává svou čipovou kartu či token a s dalším produktem dostane uživatel další čipovou kartu či token, což je samozřejmě neakceptovatelné. Má-li být nasazení čipových karet či ještě lépe tokenů úspěšné, musí zmíněný autentizační předmět řešit více (nejlépe všechny) oblasti. Např.  přihlášení do sítě, autentizace do VPN, uložení PGP klíčů, uložení klíčů pro šifrování částí HDD, uložení certifikátu pro MS Outlook, uložení certifikátů pro některé weby atp. (plánuje se certifikát pro technologii standard 802.1x). Uživateli je nutné nabídnout tak komplexní řešení, aby byl  ochoten nosit u sebe nějaký autentizační předmět.

Autor je konzultantem pro oblast bezpečnosti ve společnosti AskNet.

Také si myslíte, že budoucnost patří spíše tokenům než čipovým kartám?

Penzijko s finančním bonusem

Penzijko s finančním bonusem

Založte si penzijko Conseq a získejte nejen státní příspěvky a daňovou úsporu, ale i bonus pro věrné klienty.

Sdílejte článek, než ho smažem

Líbil se vám článek?

0
AnoNe
Vstoupit do diskuze
V diskuzi je celkem 7 komentářů

Diskuze

Příspěvek s nejvíce kladnými hlasy

4. 8. 2004 17:20, Petr J.

Rád bych pouze trošku opravil názor autora na Mobilní klíč někdy také označovaný jako SMS klíč. Nejedná se o certifikát uložený na SIM kartě ale o zasílání SMS s jednorázovým autorizačním kódem pro určenou bankovní transakci. I když taková textová zpráva zůstane uložena na SIM kartě po použití kódu, v žádném případě nehrozí jeho zneužití.

+31
+-
Reagovat na příspěvek
Vstoupit do diskuze
V diskuzi je celkem (7 komentářů) příspěvků.

A tohle už jste četli?

Autentizační prvky a metody pod drobnohledem

28. 7. 2004 | Miroslav Ludvík

Autentizační prvky a metody pod drobnohledem

Znáte všechny metody autentizace, které používáme například při komunikaci s bankou pomocí elektronických kanálů? Probereme jeden po druhém a vysvětlíme si, jaké jsou jejich slabiny... celý článek

Pozor na nové Maxkarty

20. 7. 2004 | Petr Šafránek

Pozor na nové Maxkarty

Poštovní spořitelna od května vydává nové Maxkarty. Jejich bezpečnost je však nižší než u předchůdkyň, soudí klienti. A co na to říkají zástupci banky?

Internetbanking: vylučuje bezpečnost pohodlí?

29. 4. 2004 | Kristýna Havligerová

Internetbanking: vylučuje bezpečnost pohodlí?

Zabezpečení internetového bankovnictví je důležité. Každá banka volí jiný systém, rozhoduje se mezi stupněm bezpečí a pohodlí. Jaké jsou přednosti a nedostatky jednotlivých variant? celý článek

Nechceš internetbanking? Zaplať!

2. 4. 2004 | Vendula Hilkovičová

Nechceš internetbanking? Zaplať!

Internetové bankovnictví je jistě pohodlným způsobem jak ovládat svůj účet. Navíc, jak se nás banky snaží přesvědčit, i finančně výhodný. U tří našich bank vás ale čeká nemilé překvapení... celý článek

Počet příznivců přímého bankovnictví roste

11. 12. 2003 | Kristýna Havligerová

Počet příznivců přímého bankovnictví roste

"Lidé jsou zvyklí chodit si pro peníze do banky, mít hotovost v ruce, ovládání účtu přes internet příliš nedůvěřují." Takové tvrzení už dávno není pravda. Potvrzuje to téměř dvojnásobný... celý článek

Partners Financial Services