Dansk NemID-konkurrent vil nakke 'manden i midten'

Med den patenterede Pixlogin-løsning til blandt andet netbank-login prøver det danske sikkerhedsfirma Pamci at erobre verdensmarkedet. Løsningen har flere innovative trick i ærmet til at gøre livet surt for man-in-the-middle-angribere.

Som det nok vil være flere af Version2's læsere bekendt, så er sikkerhed en tricky størrelse. Ikke mindst når det gælder sikkerheden i netbanken.

Læs også: Pærelet at narre NemID fra dig med klonede hjemmesider

Men nu mener den danske virksomhed Pamci Networks Denmark at have begået en løsning, der både giver sikkerheden og brugervenligheden i forbindelse med online login et ordentligt nøk i den rigtige retning.

Løsningen har fået navnet Pixlogin med henvisning til, at billeder er en væsentlig del af loginproceduren.

Forløbet er som følger: Brugeren navigerer hen til en hjemmeside - eksempelvis en netbank - og indtaster et brugernavn. Herefter bliver brugeren præsenteret for en skærm med billeder med numre under sig.

Illustration: Pamci

Brugeren har enten på forhånd fået tildelt to billeder, eller også har han eller hun selv udvalgt billederne - lidt afhængigt af den konkrete implementering. Billederne kan eksempelvis være af henholdsvis et operahus og en skildpadde.

Nu finder brugeren frem til sine to billeder på skærmbilledet (der indeholder flere billeder) og tager notits af numrene. Eksempelvis skildpadde: 03 og operahus: 10

En lille lommeregner

På en lille lommeregnerlignende enhed indtaster brugeren nu en på forhånd kendt firecifret pinkode efterfulgt at 03 og 10 fra billederne. Lommeregneren spytter så et tal ud, som brugeren indtaster som kodeord i netbankens login-boks.

Ved at bruge billeder i forbindelse med loginproceduren er det tanken, dels at gøre det lettere for brugeren at huske et langt kodeord, sikre dynamikken og gøre det svært for en hacker at lave en kopi af hjemmesiden, fortæller adm. direktør i Pamci Networks Morten Djernæs, som er medstifter af Pamci.

»Det gør det ikke umuligt at lave et man-in-the-middle-angreb, men det gør det mere kompliceret,« siger Morten Djernæs. Han fortæller, at hackeren skal skrabe dynamiske informationer fra skærmen i realtid i forbindelse med et man-in-the-middle-angreb.

Morten Djernæs påpeger dog, at billedlogin-løsningen ikke i sig selv gør det umuligt at gennemføre et man-in-the-middle-angreb. Således vil en hacker eksempelvis stadig kunne lokke en bruger ind på en falsk netbankside, og derefter logge sig selv ind på brugerens rigtige netbank via de oplysninger, den intetanende bruger sender til den falske side.

Man-in-the-middle

Men en anden del af sikkerheden i Pixlogin gør det derimod noget sværere for lave et man-in-the-middle-angreb. Lommeregneren fra før gør det nemlig muligt at kryptere et kontonummer sammen med pinkoden og ud fra disse oplysninger skabe en unik nøgle, som bankens server kan verificere op imod i forbindelse med en pengeoverførsel.

Som eksempel nævner Morten Djernæs en situation, hvor en bruger ønsker at overføre 500 kr. til en konto, som brugeren ikke tidligere har overført penge til. Her kunne et popup-vindue i netbanken dukke frem og bede brugeren indtaste modtagerkontonummeret i lommeregneren og pinkoden. Herefter vil lommeregneren beregne en nøgle på baggrund af de to indtastede værdier.

Nøglen skal brugeren så indtaste i et felt i netbanken, hvorefter bankens server kan lave samme beregning med kontonummeret, som hackeren har fremsendt. Serveren kan med det sammen regne sig frem til, hvorvidt den person, der forsøger at overføre penge til en given konto også er en legitim bruger, da det forudsætter, at personen har den rigtige kode fra lommeregnerenheden.

Det betyder, at en hacker ikke vil kunne overføre penge til en konto, selv med adgang til brugerens netbank, fordi hackeren ikke også har adgang til lommeregneren, som kan forsyne banken med den rigtige kode baseret på kontonummer, forklarer Morten Djernæs.

Han tilføjer, at selvom hackeren opfanger den unikke nøgle, som lommeregneren beregner, så vil den ikke kunne benyttes, da hackeren viden om det statiske og dynamiske SALT samt pinkoden, som brugeren selv har indtastet i lommeregneren.

»Hvis der er tale om et kontonummer, som brugeren plejer at overføre til, så behøver man måske ikke have et helt så grundigt tjek« siger Morten Djernæs.

En standardenhed

Selve lommeregneren, der altså indgår som en del af Pixlogin-løsningen, adskiller sig ifølge Morten Djernæs fra flere eksisterende og lignende teknologier, som også baserer sig på, at brugeren har en adskilt, fysisk enhed, og som dermed skulle være med til at øge sikkerheden.

Pixlogin-lommeregneren er nemlig en standardenhed, der ikke baserer sig på, at køre tidssynkront med de koder, der bliver genereret på en server, som det kan være tilfældet med lignende løsninger, fortæller Morten Djernæs.

»Det kan være ganske krævende af serveren at finde frem til de rigtige nøgler, hvis det kører på tid. Enhederne kan ikke undgå at blive assynkrone, jo længere tid der går, mellem brugeren anvender løsningen, hvilket svækker sikkerheden« siger Morten Djernæs.

Pixlogin-lommeregneren genererer i stedet koder på baggrund af en unik nøgle, som brugeren skal indtaste den første gang, lommeregneren benyttes. Herefter passer de koder, som lommeregneren genererer, med de koder der bliver generet på Pixlogin-serveren, da sidstnævnte er blevet seedet - som det kaldes - med samme nøgle, som brugerens lommeregner.

Løbende vil den grundliggende kode blive ændret i form af et dynamisk SALT, som sikrer en elektronisk ændring af engangsnøglerne. Det kan sammenlignes med udsendelse af et nyt nøglekort, fortæller Morten Djernæs.

»Det vil sige, at man kan anvende standardenheder, som i produktionen ikke skal tilpasses den enkelte bruger. Den del klarer brugeren selv, når den første kode bliver indtastet, og det er med til at gøre vores løsning langt billigere end tilsvarende løsninger,« siger han.

Pamci Networks Denmark har patenteret Pixlogin-løsningen, og Morten Djernæs fortæller, at virksomheden er i dialog med flere virksomheder på verdensmarkedet, som har vist interesse i den danske sikkerhedsløsning. Også DanID, der står bag NemID, arbejder Pamci Networks på at komme i dialog med, fortæller Morten Djernæs.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (52)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Flemming Jønsson

Det lyder umiddelbart ret meget som Danske Banks ActivCard. Nu er det efterhånden 3-4 år siden jeg sidst havde en, men der mener jeg også jeg havde en statisk kode efterfulgt af en pin som netbanken bad mig indtaste.

Eneste forskel er at en del af pinkoden skifter mellem loginforsøg fordi billederne får nye cifre hver gang de vises. Men den del af sikkerheden i løsningen er vel rimelig nem som hacker at bryde. Vil han ikke kunne finde frem til hvilke der er de rigtige billeder ved blot at loade siden et vist antal gange og se hvilke billeder der altid går igen?

Den reelle sikkerhed er vel at brugeren ligesom de allerede kendte VPN-login metoder vha. token eller Danske Banks ActivCard har en fysisk nøglegenerator på sig.

Det med billederne til at danne pinkoden, virker lidt som en gimmick.

  • 7
  • 0
#2 Filip Larsen

Så vidt jeg lige kan lure med et halvt øje, så bidrager den beskrevne løsning, i forhold til andre løsninger, ikke specielt til at fjerne muligheden for Man-in-the-Middle angreb som vi ser dem anvendt i dag. Indtil almindelige mennesker har en nærmest "idiotsikker" måde at se, om et popup-vindue rent faktisk er fra banken eller ej, så vil alle løsninger der benytter "popup vinduer" eller lignende til at autentificere en transaktion stadig være åbne for MitM angreb, uanset hvor mange lommeregnere man lader brugeren taste på. Det synes langt mere effektivt at autentificere via en eller flere uafhængig kanaler (såsom SMS), selvom det efterhånden bliver svært at finde en udbredt kanal der ikke på en eller anden måde er syltet ind i "nettet" og dermed ikke særlig uafhængig alligevel.

  • 10
  • 0
#4 Peter Makholm Blogger

Helt enig, jeg kan ikke se at den beskrevne løsning ud fra en teknisk betragtning adskiller sig fra at NemID viser mig 4 vilkårligt udseende cifre som jeg så konverterer til en 6 cifret kode ved hjælp af papkortet.

Anvendelsen af billeder er et validt trick til at gøre det lettere at huske kodeord uden hjælp af at man husker bevægelsen mere end den egentlige kode. Dermed kan man mindske muligheden for at man kan bryde kodeordet ved at det er det samme sted på ens keyboard der hele tide bliver slidt.

  • 2
  • 0
#6 Dan Villiom Podlaski Christiansen

Endnu et forsøg på udsætte det uundgåelige; brugerens private nøgle gemmes som et X.509 certifikat på en fysisk enhed. Denne enhed bruges som klientcertifikat til at opsætte en sikker forbindelse til banken. Hvis man tror “besværliggørelse” af MITM har nogen som helst værdi, undervurderer man angriberne…

  • 2
  • 1
#7 Jakob Møllerhøj Editor

Hmm måske det blev lidt knudret forklaret, men løsningen kan jo sættes op til, at brugeren indtaster det kontonummer, som der skal overføres penge til, på lommeregneren - eventuelt kun, når der der tale om et ikke-tidligere-benyttet kontonummer.

Herefter beregner lommeregneren en kode på baggrund af blandt andet det indtastede kontonummer. Koden sendes til bankens server og bliver her brugt til at verificere, om det kontonummer, en transaktion er på vej hen til, også er et kontonummer, brugeren har godkendt/indtastet i lommeregneren. Så brugeren skal altså selv have indtastet modtagerkontonummeret i lommeregneren, før transaktionen bliver godkendt.

  • 6
  • 0
#8 Deleted User

Hvis lommeregneren er en hardware løsning, så er sikkerheden god. Men, hvis den er på brugerens computer, er den ligeså usikker, som bankens løsning. Banken, har nogle unikke koder, på brugerens PC, der virker på samme måde som lommeregneren, og hackeren kan ikke lave man-in-the middle angreb, uden adgang til disse koder. Sådan, var det ihvertfald med den gamle bankløsning. Problemet er, at det er muligt, at få adgang til softwaren - og koderne - som lommeregneren anvender, på brugerens PC. På præcis samme måde, som i de gamle bankløsninger.

Der kræves en fysisk adskildt lommeregner, der kan spytte koden ud, udfra oplysninger som kontonummer, og beløb, som indtastes.

En mulighed, er at indskyde en lille microcontroller, der hverken behøver tastatur eller display, imellem keyboardet, og computerens USB, eller PS/2 indgang. Dette tastatur, kan funktionsmæssigt virke lidt som lommeregneren, og når kontonummer og beløb indtastes, eller andet på tastaturet, så vil en checkkode kunne udregnes, der sendes med. En sådan løsning, giver også mulighed for, at hvis passworded er tilstrækkeligt langt, og tilfældigt, at det så kan blokeres, når f.eks. de første 6 cifre er indtastet. Dette umuliggør, at kunden på nogen måde, kan overføre sit password til PC'en, hvis "donglen" er sat ind, og derfor også forhindrer, at en bruger kan snydes til, eller ved en fejl, få overført passworded til computeren. Passworded kan aldrigt fysisk nå computeren, da et udsnit af passworded, altid vil medføre, at resten blokeres.

Tyskerne har lavet et sikkert system, der fungerer ved, at man har en hardware enhed, med display på. For at gøre det nemt, så overføres indformationer fra computeren, til hardwaren, ved hjælp af et blinkende gif felt, der er lavet som en animation. En lille fotocelle i donglen, gør at data overføres, når den holdes op til skærmen.

Det er ikke umiddelbart muligt, at lave et sikkert system, baseret alene på software. Hardware, er dog også så billigt, at det ikke kan begrundes, at ikke bruge det. En microcontroler, der er i stand til, at sættes ind mellem tastatur og computer, koster således ca. en dollar. Og man vil sikkert kunne lave en dongle, for 20-30 kr. En kredit-kort lommeregner, med display og tastatur, kan normalt laves for ca. 100 kr. Men den er ikke så fleksibel, da det f.eks. ikke er muligt, at signere data der kommer fra tastaturet direkte. Så den kan ikke bruges til andet end bankoverførsler, hvorimod en dongle mellem tastatur og PC, også kan kodes, så den kan signere de data, der sendes fra tastaturet, og muliggøre at de kan verificeres hos modtageren, og dermed, at det ikke er muligt, at sende et falsk brev, med vedkommendes digitale signatur. Her, er præcis samme problematik, da der kræves en hardware enhed, for at kunne signere et digitalt brev. Det er altid muligt, at agere "tastatur" for en hacker, og sende et brev, ved at hacke sig ind på computeren, f.eks. blandt malware. Men, hvis der kræves en dongle, som lægger en digital kode på, der gør at det er muligt at verificere tastatursekvensen hos modtageren, så kan modtageren genskabe det indtastede, og derved se, og sikre sig, at indholdet er korrekt.

Jeg begriber ikke, at der udvikles så mange "dårlige" løsninger, når en hardwarebaseret løsning, kun koster 10 - 30 kr. Microcontrollere, er ikke blevet væsentligt billigere, i de sidste 10-20 år, så det er ikke nyt, at det kan laves til den pris. Idag koster en microcontroler, er kan bruges til formålet, ca 2 kr. For 20 år siden, kostede den 5 kr. Idag, bruges USB, hvilket måske fordyrer microcontrollerens pris lidt, men det kan stadigt gøres for 5 kr. som for 20 år siden.

  • 1
  • 1
#9 Michael Kjeldsen

Endnu et forsøg på udsætte det uundgåelige; brugerens private nøgle gemmes som et X.509 certifikat på en fysisk enhed. Denne enhed bruges som klientcertifikat til at opsætte en sikker forbindelse til banken.

Men det løser bare stadig ikke problemet som vi almindelige mennesker har, der ikke ønsker flere dimser og "fysiske enheder" i lommerne. NemID's papkort kan i det mindste pakkes sammen og lægges i pungen eller gemmes som billede på mobilen.

Så med mindre denne "fysiske enhed" kan parres trådløst og uden begrænsninger med den pågældende computer, og indbygges i min mobiltelefon, så takker jeg pænt nej...

  • 2
  • 3
#10 Morten Djernæs

Et ActivCard, en Token og et nøglekort på papir har det til fælles, at de aflevere en kode. Pixlogin kan også kryptere et kontonummer, hvis serveren har behov for en validering fra brugeren.

Ved en Token og et ActivCard beregnes koden udfra tiden. Men da den lille device taber tid i forhold til serveren, så er det nødvendigt at åbne for flere positive koder. I Pixlogin er der altid kun e´n positiv kode. Hvilket gør systemet mere sikkert.

Billederne sikrer dynamik - altså at koden skifter hver gang.

  • 1
  • 2
#11 Jakob Møllerhøj Editor

Hvis lommeregneren er en hardware løsning, så er sikkerheden god. Men, hvis den er på brugerens computer, er den ligeså usikker, som bankens løsning.

Det er en hardwareløsning:

"Selve lommeregneren, der altså indgår som en del af Pixlogin-løsningen, adskiller sig ifølge Morten Djernæs fra flere eksisterende og lignende teknologier, som også baserer sig på, at brugeren har en adskilt, fysisk enhed, og som dermed skulle være med til at øge sikkerheden."

  • 0
  • 0
#12 Peter Makholm Blogger

Hmm måske det blev lidt knudret forklaret, men løsningen kan jo sættes op til, at brugeren indtaster det kontonummer, som der skal overføres penge til, på lommeregneren

Ahhh.

Nej, forklaringen er skam god nok. Det er netop den indlysende detalje jeg tidligere har efterlyst ved et ordentligt netbank-system. Som en del af 'challenge' bør der indgå oplysninger der tydeligt identificerer den godkendte transaktion.

Den del burde bare komme først inden de fleste kompetente læsere faldt i søvn over at læse om eye-candy.

  • 5
  • 0
#13 Deleted User

Nogle tyske banker, har en intelligent kreditkort baseret løsning, med en indbygget fotocelle, så du bare skal holde kreditkortet op til et felt på skærmen, og checke de oplysninger, der står på kreditkortets display, samt indtaste koden. Den fylder ikke mere end Nem-ID's papir løsning.

Prismæssigt, er den sandsynligvis dyere, end en dongle, til at sætte imellem PC'ens stik, og computeren, da en dongle ikke behøver hverken tastatur, eller display, og den forsynes via PC'ens USB eller PS/2 forbindelse. Det er muligt, at lave en dongle, der både kan bruges på USB og PS/2, efter samme standard, som almn. tastaturer, der kan bruges på både USB og PS/2 bruger med en konverter.

  • 2
  • 0
#14 Henning Wangerin

Men det løser bare stadig ikke problemet som vi almindelige mennesker har, der ikke ønsker flere dimser og "fysiske enheder" i lommerne. NemID's papkort kan i det mindste pakkes sammen og lægges i pungen eller gemmes som billede på mobilen.

Jeg bruger selv et crypto-card til en del af mine ssh-forbindelser. Den fylder ikke det store, men kræver selvfølgelig en kortlæser i maskinen.

Flere af de maskiner jeg normalt omgåes har (fået) en kortlæser, så det er bare at proppe kortet i maskinen, og mit certifikat er til rådighed.

Hvordan får man mon pc/keyboard-producenterne til at lave grej med indbygget kortlæser? Det ville i mine øjne gøre udbredelsen af smartcards meget lettere.

  • 0
  • 0
#15 Morten Djernæs

Pixlogin kan kryptere et kontonummer, og det kan hverken Token, nøglekort eller et ActivCard. Med hensyn til SMS, så er der ikke leveringssikkerhed, den er dyr i drift og kan ikke benyttes på en mobil-platform. Hvis en SMS afvikles på den samme platform som applikationen, så er der ikke længere tale om en 2-faktor løsning. Altså er sikkerheden markant forringet.

  • 1
  • 0
#17 Michael Nielsen

Image recognition er ved at være ganske langt, at gennemskue billeder tager ikke forfærdenlig lang tid, det gør det bare lidt sværere..

Nej den rigtige løsning er at privat nøglen bor hos brugeren i en tamper proof enhed, om det er chiptan lign. Eller en usb crypto terminal er lige gyldigt.

Du får bare ikke sikkerhed ved at skjule dig, "Security by obscurity" virker bare ikke - hvor er det en skam dem der burde vide det, ikke fatter det.

  • 2
  • 0
#18 Michael Nielsen

Et ordenligt designet sikkerhedsystem, kan snildt erstatte, både nøgler, kreditkort, m.v., således at man ender med kun EN dims i lommen som man bruger til alt.

Jeg har lavet en beskrivelse om en løsning baseret på USB teknologi. Man laver en nøgle der ligner en alm. bilnøgle, men er bare et USB stik, du kan bruge den til at starte din bil, låse dit hus op, gå ind på banken, ved at den har specifikke nøgler til specifikke funtioner.

Feks har den en low-security nøgle man bruger til feks bilen.. ønsker man at højne sikkerheden har man bare associeret et password/pinkode med denne nøgle.

Der er ingen krav om at en sådan crypto token kun har en nøgle i sig, og kan havde en for hver bank, hver offentlig myndighed, m.v. Hver bil du bruger..

Du kan endda låne din bil ud til naboen, ved at naboen kommer med sin nøgle og får et 'låner certifikat" udlevere at dig til hans nøgle som din bil vil forstå er en tilladelse til at køre i bilen... Det samme med husnøgler m.v.

Ved et rigtig godt design, kan man samle alle nøgle funktioner i bare EN enhed..

  • 0
  • 0
#19 Martin Nyhjem

Mod de seneste netbankangreb jeg har læst om, vil denne løsning være lige så værdiløs som resten af de løsninger der er på markedet i dag.. Så længere brugeren til sidst indtaster de korrekte oplysninger på computeren, så vil brugeren være sårbar mod angrebene.

"De kriminelle har gjort brug af en såkaldt 'side by side' metode, hvor de i realtid sidder og følger med i netbankkundernes login og derved kan se, hvilke koder. de taster ind.

Det kræver, at netbankkundens pc i forvejen er blevet inficeret af en virus. Men er det tilfældet, og sidder der en kriminel og følger med, når brugeren udfylder sit NemID bruger-id og adgangskode samt engangskoden fra nøglekortet, kan den it-kriminelle ’fiske’ engangskoden og har dermed mulighed for selv at logge på brugerens netbank." Kilde: http://politiken.dk/tjek/digitalt/internet/ECE1614266/danid-advarer-ny-b...

Denne metode kræver selvfølgelig at folks maskine er inficeret med virus, men nemid beskytter allerede folk, der ikke har virus relativt godt. Det er derfor de kriminelle nu er gået videre til denne realtids metode, og mod denne virker ingen nøglekort, eller smarte billeder, der skal fortolkes af en hardware lommeregner...

En bedre løsning ville i min optik være at uddanne vores kære medmennesker i hvordan man bruger en computer på en ordenlig måde, så de ikke er så såbare..

  • 1
  • 2
#20 Peter Makholm Blogger

Samtidig giver det også hackeren mere arbejde - Det er lettere at lave en kopi af brugnavn og password end de 30 billeder som er forbundet med dynamik.

Det tror jeg ikke. I et automatiseret real time-angreb hvor angriberen blindt kopierer hele login-vinduet vil billederne ikke være en speciel udfordring.

Det er DanID-argumentationen om igen.

Der hvor I adskiller jer er netop at jeres challenge kan indeholde oplysninger der er bundet til den konkrete transaktion. Dette giver en væsentlig forbedring af sikkerheden da det sætter nogle begrænsninger på mængden af mulige transaktioner angriberen kan få gennemført.

Dog binder det jer også til en noget mere specialiseret funktion med autorisering af transaktioner og ikke generel adgangs-kotrol. Dermed anser jeg jer ikke for en egentlig konkurrent til de mere triste dele af NemID.

  • 4
  • 0
#21 Morten Djernæs

Til Martin Nyhjem Ved et man-in-the-middle angreb, vil hackeren ændre kontonummeret som sendes til serveren. Altså vil pengeoverførslen ske til en anden person. Med Pixlogin kan serveren udvælge en overførsel, og bede brugeren indtaste en del af det brugte kontonummer + pinkode i lommeregneren, for derefter at kryptere det. Dette krypterede tal indtastes derefter på skærmen, hvilket hackeren naturligvis kan se. Men der skal sendes en kode, og hackeren kender ikke beregnings-grundlagt, og sender den videre til serveren. Hvis de to koder ikke stemmer over ens, vil overførslen ikke finde sted. Ovenstående kan slet ikke lade sig gøre med en Token eller et nøglekort.

  • 1
  • 0
#22 Morten Djernæs

Sikkerhed handler om at gøre det besværligt for en hacker. Den applet som NemID benytter er ens for alle. Billederne er ikke nødvendigvis ens for de enkelte brugere, og vil derfor kræve individuel tilpasning ved et angreb. Men selvfølgelig kan det sætte op automatisk.

Vores løsning har det hele samlet. Altså adgangs-kontrol og verficering af et kontonummer eller anden kontrol. Sikkerheden er altså højere end både en Token eller et nøglekort, som kun kan afgive en kode. Med hensyn til en Token, så åbner den flere positive koder ved brug, for at sikre en synkronisering af tiden.

Med hensyn til hardware, så er vores device ikke individuel produceret. Det giver en stor besparelse ved produktion. Distributionen forenkles, da den dynamisk og statisk SALT bliver indtastet ude hos brugeren (aktivering).

  • 1
  • 0
#23 Filip Larsen

Hmm måske det blev lidt knudret forklaret, men løsningen kan jo sættes op til, at brugeren indtaster det kontonummer, som der skal overføres penge til, på lommeregneren - eventuelt kun, når der der tale om et ikke-tidligere-benyttet kontonummer.

I det omfang man kan udbrede sådan en "lommeregnerunderskrift" så alle ved hvordan den virker og ikke kommer til at "underskrive" ting de ikke burde, så ligner det da en forbedring, altså indtil de kriminelle finder et andet smuthul uden om teknikken. Hvad forhindrer fx manden-i-midten i at præsentere brugeren for noget andet der skal "underskrives" end det rigtige? Hvordan ved hr og fru Jensen hvad der er ægte og forkert i samtlige netbanker, e-butikker og statslige selvservicesteder de måtte vælge (eller i digitaliseringens hellige navn være tvunget) til at besøge?

Så længe der er folk der ukritisk klikker på links i ubehjælpsomt skrevne emails så længe vil der stadig være folk der med det beskrevne produkt ukritisk vil "underskrive" næsten vilkårlige ting med deres lommeregner.

  • 2
  • 0
#24 Jesper Nielsen

Man kan sætte tyve forskellige låse på sin dør, stålrammekam og ståldør med deadbolts for at forhindre en tyv i at komme ind. Men den dag du kommer blæsende hjem fra busstoppestedet og virkeligt bare skal skide og det er nu! Så fortryder du din paranoia.

Jeg har to store anker ved NemID, 1. At man skal rende rundt med et latterligt papkort, hvor teksten er for lille til, at det er nemt at læse den med alderstegnede øjne. 2. Den tid og det besvær, det tager at logge ind. Det må da for h@*£&§? sq da være muligt at konstruere et system, der er sikkert nok og samtidigt nogenlunde brugervenligt. Det værste er at NemID spreder sig som ringe i vandet, hvad der kompromitterer sikkerheden, fordi det kommer i anvendelse på hjemmesider, hvor sikkerheden ellers ikke er i højsædet. Man kan jo snart ikke bestille en ristet hotdog uden at skulle logge ind via NemID. Det var måske klogt at lagdele der her sikkerhed, så lidt mindre vigtige ting, men hvor man godt vil vide, om det er den rigtige person, der sidder bag skærmen f.eks bruger det hendengangen Digital signatur, mens de vigtige ting med personfølsomme data og penge benyttede sig af NemID eller forhåbentligt en bedre løsning.

Det ville faktisk forbedre sikkerheden for NemID, fordi der var bedre kontrol med de hjemmesider, der benytter NemID. Og vi blev sparet for at skulle bruge det møgsystem de fleste gange.

  • 1
  • 0
#25 Michael Nielsen

Det netop nemt at lave et system der er nem for brugerne at bruge, men man ønsker det ikke, af en eller anden grund.

Konceptet med at bruge en nøgle (usb krypto token, chiptan eller lign) er ikke ukendt for mennesker, det er lidt lige som at bruge en bil..

Disse tokens kan bruge dit fingeraftryk til at "starte" transaktionen - derved kan ikke bruges af en virus, og med en lille skærm - som med chiptan, kan brugeren bekræfte at det er den rigtige transkation de underskriver..

Brugs scenarie..

  1. Gå in i din netbank, log på med password - give kun læse adgang (men kan også gøres mere sikkert).
  2. lav din transaktion som du altid gør.
  3. Tryk send...
  4. Sæt din enhed ind..
  5. læs hvad der står på den - eller få den til at læse det højt for dig.
  6. tryk godkend/afvis - på enheden... ved brug af biometri behøver du ingen gang password/pin.

Nemmere bliver det ikke.

  • 0
  • 0
#26 Morten Djernæs

Til Filip Larsen Når serveren ønsker en verficering, så sendes der ingen informationer, blot et indtastningsfelt. Du har jo kontonummeret stående på et stykke papir, og derfra indtaster du tallene i key generatoren + en pinkode. Der dannes en krypterede kode, som indtastes på skærmen. Hackeren kender altså ikke indholdet af nøglen.

  • 0
  • 0
#28 Morten Djernæs

Til Michael Nielsen Den bedste sikkerhed dannes udfra dynamik og ikke ud fra teknologi. En SMS løsning er for eksempel ikke en 2-faktor ved brug på mobilen. Det er jo også der koden kommer! Finger scanning er også teknologi, men mangler dynamik. Et fingeraftryk er jo ens hver gang. I Afrika hvor flere banker benytter fingerscanning, har de problemer, for de døde stadig lever videre i form af en finger. Dit fingeraftryk sidder over alt, også på dine kreditkort, glas, computer mv.

  • 0
  • 0
#29 Henrik Biering Blogger

Nu går de fleste af os ikke lige rundt og husker kontonumrene på alle dem vi regelmæssigt sender penge til.

Så de fleste pixlogin brugere vil jo gladeligt indtaste det kontonummer som MITM er så flink at vise ham på skærmen ud for det kendte modtagernavn istedetfor modtagerens rigtige kontonummer.

Så hvis der ikke er lidt flere krøller på løsningen end beskrevet her på siden, virker løsningen ikke phishing sikker.

  • 3
  • 0
#30 Filip Larsen

Når serveren ønsker en verficering, så sendes der ingen informationer, blot et indtastningsfelt. Du har jo kontonummeret stående på et stykke papir, og derfra indtaster du tallene i key generatoren + en pinkode. Der dannes en krypterede kode, som indtastes på skærmen. Hackeren kender altså ikke indholdet af nøglen.

Det er jeg med på og er jeg er endda enig i, som selve teksten i artiklen også udlægger det, at det generelt er en forbedring i forhold til ikke at have nogen verificering, som du kalder det. På protokolniveau har disse teknikker jo været kendt i årtier, så det er ikke nødvendigvis selve teknikken der er noget galt med. Det er fint, at der bliver udviklet sikkerhedsprodukter der rent faktisk er bedre i en eller anden sammenhæng, uagtet at lægmand så måske ikke altid lige ved hvilke forhold der så er relevante for sikkerheden i de enkelte sammenhænge.

Min anke går mest på, at artiklens overskrift er lidt for bastant i sin udmelding i og med man med simple metoder, der fx udnytter menneskets natur, næsten altid kan omgå en eller flere af de kritiske antagelser en bestemt mekanismes sikkerhed bygger på. Når jeg læser sådanne bastante udmedlinger kan jeg ikke undgå at komme til at tænke på http://xkcd.com/538/

  • 0
  • 0
#31 Morten Djernæs

Til Dan Villiom Podlaski Christiansen Grundlaget for en beregning er 30 cifre. Hvis en hacker laver et replay angreb, så flyttes talene, således at en kode aldrig bliver ens. Det gør sig både gældende ved kontrol af kontonumre og ved autentifikation. Samtidig har løsningen både statisk og dynamisk SALT. Sidstnævnte sikre at key generatoren får friske engangsnøgler - lige som nøglekortet på papir.

  • 0
  • 0
#32 Morten Djernæs

Til Henrik Biering Phishing er lige med snyd/dumhed, hvilket vi ikke kan gøre så meget ved. Men dette handler ikke om at huske kontonummre. Du skriver et kontonummer og et beløb til overførsel inde i banken. Hackeren ændre det uden din viden til en mulvarp. Serveren undre sig, og beder derefter bruger om at kryptere en del af kontonummeret + pinkoden i key generatoreren. Du vil jo ikke benytte det kontonummer som hackeren har skrevet, for det kunder du ikke. Når key generatoren har krypteret nøglen, så indtastes den i feltet på skærmen. Hackeren kan ikke lave denne beregning med sit eget kontonummer, fordi han mangler 30 cifre + pinkode for dette.

  • 0
  • 0
#33 Dan Villiom Podlaski Christiansen

Phishing er lige med dumhed, hvilket vi ikke kan gøre så meget ved.

Well, phishing er en form for MITM. Hvis ikke I kan gøre noget ved phishing, kan I per definition ikke ‘nakke manden i midten’. I øvrigt kan man godt gøre noget for at mindske risikoen for phishing — men det er ikke nemt, og da slet ikke hvis man insisterer på at alt skal foregå via browseren.

  • 1
  • 0
#34 Henrik Biering Blogger

Phishing er lige med dumhed, hvilket vi ikke kan gøre så meget ved

Nej, det er svært. Men derfor bør man alligevel overveje hvordan man bedst kan reducere risikoen.

Det kunne f.eks. gøres ved at "lommeregneren" husker de indtastede kontonumre og laver ballade, hver gang der indtastes et nyt kontonummer. Så slipper man også for at få spærret bankkontoen, hvis man kommer til at lave en tastefejl, hvilket må forventes at blive langt den hyppigste årsag til at banken får sendt en forkert kode.

  • 1
  • 0
#35 Morten Djernæs

Til Dan Villiom Podlaski Christiansen Du stillede et spørgsmål angående replay angreb. Var mit svar godt nok?

Jeg forstår dig ikke. Syntes da netop vi gør noget ved phishing, da vi gør det væsentligt svære for hackeren end i andre løsninger. Og det hele foregår jo ikke i browseren??? - Hvordan mener du en sikkerhedsløsning skal se ud?

  • 0
  • 0
#37 Keld Asmussen

Jeg er langtfra nørd nok til at forstå alt hvad I andre mener, jeg ville sætte pris på en videodemonstration af denne nye måde at logge ind på, kunne du Morten Djernæs, ikke tage kontakt til DR og lave en aftale om at komme på landsdækkende tv med dit nye patent, så kan vi andre "almindelige mennesker" osse være med?

  • 0
  • 0
#38 Henning Wangerin

Brugs scenarie..

Gå in i din netbank, log på med password - give kun læse adgang (men kan også gøres mere sikkert). lav din transaktion som du altid gør. Tryk send... Sæt din enhed ind.. læs hvad der står på den - eller få den til at læse det højt for dig. tryk godkend/afvis - på enheden... ved brug af biometri behøver du ingen gang password/pin.

Nemmere bliver det ikke.

Modellen med at sende info til enheden bruges med den tyske ChipTAN, men den er blevet knækket.

Systemet kan nemlig kun sende EN information til enheden.

MitM gjorde det at den ændrede enkelt overførsler til en multi-overførsel indeholdende en enkelt transaktion til et andet konto-nummer, med samme total-beløb.

Hvis ikke man var opmærksom på den forskel, ville man blot sende godkendelses-koden.

Hvis den modificerede en multi-overførsel var der ingen chance for at opdage det.

Din løsning har umiddelbvart samme fejl, med mindre displayet er stort nok til rigtigt meget beskrivelse.

  • 2
  • 0
#39 Morten Djernæs

Til Keld Asmussen Tak for dit input. Jeg ved godt at dette meget hurtigt bliver teknisk, således at en almindelig bruger ikke kan følge med. Jeg har desværre ikke en video klar lige nu, og jeg ved heller ikke om DR også vil fortælle historien - men det er da et forsøg værd. Det er ikke hver dag der bliver opfundet en sikkerhedsløsning. Den Token-nøgle (nøgleviser) som NemID sælger er ca. 25 år gammel.

  • 0
  • 0
#41 Morten Andersen

Michael, hvordan forhindrer du at en virus ligger og venter til brugeren til bruge sit token legitimt - men sender en anden transaktion til token end den som brugeren ser på skærmen? Selvom brugeren skal aktivere token med fingeraftryk o.s.v., vil det ikke forhindre det forkerte i at blive underskrevet. Jovist, token kunne have et display -- men så er det ikke længere en generisk enhed til at underskrive, men derimod kun noget der kan passes ind i meget specifikke løsninger. Ofte er det der skrives under på jo i virkeligheden noget kryptografisk, f.eks. en hashværdi af dokumentet der skal signeres eller nogle værdier i en key exchange protokoller osv. Så det f.eks. en CSP modtager er sjældent noget der giver mening for mennesker. Selv hvis man kunne sende det rå dokument ned og få vist og signeret på enheden (i en proprietær løsningsimplementation), vil størrelsen være et problem. Prøv at forestil dig at læse en PDF fil eller lign. på en dongle - og du er nødt til at læse det hele for at forvisse dig om at teksten ikke er manipuleret. Der er også forskellige "løsninger" på disse problemstillinger, men de gør løsningen mindre og mindre generisk anvendelig.

  • 2
  • 1
#44 Morten Djernæs

Til Erik Jacobsen Jeg har svaret på alle de indlæg som er kommet, og jeg har også fortalt hvordan det virker. Til orientering, så har Jakob Møllerhøj har haft adgang til en demo. Angående analysen, så kan du få den af se, hvis du vil købe. Er du interesseret?

  • 0
  • 2
#48 Brian Graversen

Det virker som et meget snævert brugsscenarie der beskrives i dialogen ovenfor - hvis man skal indtaste dele af det kontonummer som man overfører penge til på "dimsen", hvordan håndteres beskyttelsen mod MITM angreb så i følgende almindelige scenarier

  1. Logon - her er der ikke noget kontonummer at indtaste.

  2. Mere end én samtidig overførsel. De fleste netbankener tilbyder at man kan indtaste en række transaktioner, og så lave en endelig afgivelse af kode på en samlet overførsel til sidst.

  3. Andre funktioner der kræver underskrift i netbanken, fx aktie- og valutahandel, afsendelse af sikker post, tinglysning, osv

  4. Offentlige løsninger, hvor der ikke er tale om kontooverførsler, men fx flytning, bestilling af pas, osv.

På de eksempler ovenfor lyder det på Morten som om MITM sidder og lytter med, og så ændrer lidt i datatrafikken. Et mere aktivt (og mere realistisk) MITM angreb foregår ved at man har narret en bruger ind på en side hvor man har fuld kontrol over hvad brugeren ser - herefter handler det om at få brugeren til at afgive en kode man kan bruge til netop den transaktion/handling som man ønsker at udføre - og så er vi tilbage til det svageste led, nemlig brugerens evne til at agere sikkert på internettet.

  • 1
  • 0
#49 Morten Djernæs

Til Brian Graversen Pixlogin kan lave en underskrift, altså kryptere en nøgle ud fra forskellige informationer. Det betyder, at den også kan bruges til personverficering, ved aktiehandel, flytning af post mv. Der skal blot benyttes tal. Med hensyn til validering af mere end én overførsler af gangen, så vil den også kunne håndtere dette. I vores prototype er der 6 cifre, så man kan indtaste to cifre fra hvert kontonummer - altså tre overførsler af gangen.

  • 0
  • 0
#50 Michael Nielsen

@Morten Djernæs

Modellen jeg beskrev var ikke teknisk men en beskrivelse af hvad brugeren ville opleve..

Rent teknisk ville der ske en standardiseret X.509 mutualauthentication, for at etablere et forhold mellem server og krypto enhed (hvis det ikke er chiptan der bruges). Derefter ville servere sende en transaktion der skal signeres til klienten (crypto terminalen), som igen sker via en replay sikring... Denne transkation vises på en sikret skærm, feks på krypto enheden.. før du signere den.

Hver eneste kommunikation indeholde en eller flere dynamiske elementer, som umuliggører replay, og mitm angreb..

du kan slå op X.509 og Mutualauthentication på nettet hvis du ikke ved hvordan det virker..

Det er det stærkeste praktisk anvendelige system, men min pointe var at det ikke behøver at kræve viden fra brugeren om at teknologien sikre en kommunikations kanal mellem brugeren og servere...

Den eneste måde (ud over at hacke krypteringen) du kan misbruge systemet er ved at stjæle tokenet, og et fingeraftryk fra personen... Derfor er det ægte 2-faktor, og har alle sikkerhedes elementerne på plads.

Men det behøver ikke være komplekst for brugeren.

@Henning Wangerin

Jeg garantere for at den eneste måde du kan hacke det system jeg snakker om er ved at narre brugeren til at skrive til dig... Chiptan har det problem det er ganske få data der overføres, og det er ikke en ægte signatur..

Ved at bruge en ægtesignatur med en krypto enhed med skærm på, er den eneste mulighed at snyde forbrugere - det er slemt nok, men der er intet der kan beskytte en brugere der frivilligt sender penge til en anden...

Det jeg snakker om er at sørge for at teknikken garantere at det kun er banke og dig der er involveret i transaktionen... I det at den transkation du skal signere, er krypteret af banken - det kan du verificere, skal den havde været ændret på vej til banken, men indeholdet af den transaktion du vil udføre er ikke ens med det du bliver bedt om at underskrive, hvis du ikke opdager dette, er der intet der kan redde dig.

Feks, hvordan jeg ville gøre det er..

  1. Hente navne på de konti du overfører til, eller firmaet som indbetalings kortet går til.. så skrive.

"Overfør xxx.xx dkk fra konto xxxx-xxxxxxx (Motor kontoret) fra konto xxxx -xxxxx (Din lønkonto) godkend j/N"

Teksten i () er angivet af banken, ikke af din transaktion, det betyder at hvis jeg betaler et giro kort fra Motor kontoret og der står (ukendt), så kan jeg være ganske sikker på at det ikke er der jeg sender pengene.. Skal jeg sende til en vilkårlig konto, jamen så har jeg jo nummeret for an mig, og kan krydsrefere..

Det er så nemt at give brugerne værktøjer til at beskytte dig, og det er i bund og grund havd det her handler om. Man kan ikke stoppe dumhed, men man kan give folk alle de værktøjer således det kun er mod deres egen dumhed de skal beskytte sig...

@Morten Andersen

Hvordan vil jeg beskytte mod en virus misbruger mit token, ved brugen af et display på crypto tokenet... Der findes generiske krypto tokens med skærme på, jeg har fundet ikke mindre end 4 eksempler på denne type krypto tokens... Uden et display, kan brugeren aldrig beskytte sig.. Da NemID i sin tid kom ud, forslog jeg at man i stedet for at bruge milliarder på at lave noget ufornuftig lavedet et. Ca 3 måneder senere fandt jeg ud af at ikke mindre end 2 virksomheder på det tidspunkt lavede sådan en enhed. Pris per enhed, ca 1000dkk ved 1stk, sandsynligvis 100dkk ved 100 000 styk.

Nu er contexten bank transaktioner... så den vil jeg tage først.

Men hvordan beskytter man, det er ret nemt... For det første vil mit token ikke godkende en transaktion der ikke kommer fra den rigtige kilde - eg signeret af banken - har virusen fået fáet i sådan en og præsentere den til dit token vil det følgende ske.

Tokenet beeper, indikere der er noget den skal lave, du kigger på skærmen hvor den skriver "overfor 50 000dkk til konto xxxx - xxxxxx (hacker inc) fra konto xxxx-xxxx (din løn konto) j/N.

Hvis du ikke har bedt om at overføre 50 000dkk, der har du din første advarsel.. At du ikke kender "hacker inc" der har du din anden advarsel.. At du ikke kender til konto nummeret - der har du din 3. advarsel..

Trykker du alligevel godkendt, så er du altså selv uden om det... Det svarer til at du blindt giver en vildt fremmede 50 1000 kroner seddeler... Systemet har advaret dig ikke mindre end 3 gang.

Hvordan håndtere man dokumenter, jo der findes flere måder, standard måden har nogle mangler, fordi den ikke er designet til at kontra et hacker angreb.. Men basalt set..

Du sender dokumentet ned igennem tokenet... Tokenet laver en MD5Hash på dokumentet, viser dokumentet title, og hashet.. Det hash - hvis du er bekymeret kan bekræftes fra andre kilder hvis det er nødvendigt..

Men den eneste failsafe er at læse dokumentet igennem på krypto displayet - det er det eneste trusted display du har, det er trælst, og besværligt, men det er paranoia metoden.. Problemet er dog ikke mere end i normal situationen, du får noget papir, læser du det ikke før du underskriver, ander du ikke hvad du har underskrevet, da sider kan blive skiftet ud, og der kan stå detailer du ikke har læst..

Alternativet er at underskrive det og sende det et andet sted hen for verifikation, når du har underskrevet kan indholdet ikke længere ændres, uden det kan opdages... Er man bekymeret ligger man først det underskrevet på et delt drev, henter dokumentet med en anden læsere - feks din Tablet PC, og læser den underskrevne kontrakt igennem før du attacher den og sender den..

Det kan gøres, men da per. definition.. din PC er un-trusted, skal du verificere på en anden maskine, helst en anden type.

  • 0
  • 0
#51 Henning Wangerin

Jeg garantere for at den eneste måde du kan hacke det system jeg snakker om er ved at narre brugeren til at skrive til dig...

Undskyld mig, men din garanti kan jeg ikke bruge til noget når først der er opstået et problem. Derfor skal hele konseptet checkes i hoved og r**

Det er selv samme grund til at jeg ikke har aktiveret OCES certifikat på min NemID. Jeg har ikke tillid til systemet.

Chiptan har det problem det er ganske få data der overføres, og det er ikke en ægte signatur..

Der er vi så enige.

Ved at bruge en ægtesignatur med en krypto enhed med skærm på, er den eneste mulighed at snyde forbrugere - det er slemt nok, men der er intet der kan beskytte en brugere der frivilligt sender penge til en anden...

Hvordan vil du overføre alle dine dine data til enheden? -og på en måde så den også kan bruges på tablet og andre enheder.

Det jeg snakker om er at sørge for at teknikken garantere at det kun er banke og dig der er involveret i transaktionen...I det at den transkation du skal signere, er krypteret af banken - det kan du verificere, skal den havde været ændret på vej til banken, men indeholdet af den transaktion du vil udføre er ikke ens med det du bliver bedt om at underskrive, hvis du ikke opdager dette, er der intet der kan redde dig.

Hvordan vil du så garantere at bankens ceritifikat er korrekt uden at være online?

Eller skal vi ind i det gode gamle helvede med faste root-certifikater? Næste problemer vil så være check af revoked certifikater - men det bliver svært uden at være online ;-)

Feks, hvordan jeg ville gøre det er..

Hente navne på de konti du overfører til, eller firmaet som indbetalings kortet går til.. så skrive.

"Overfør xxx.xx dkk fra konto xxxx-xxxxxxx (Motor kontoret) fra konto xxxx -xxxxx (Din lønkonto) godkend j/N"

Lyder fornuftigt nok, men da det ikke kun er banken som skal kunne gøre det bliver det meget mere besværligt uden et alt for stort display.

Og hvordan vil din enhed tage det hvis jeg vil signe en .odt-fil eller en .dia eller hvad det nu måtte være?

Hvis jeg kigger på mit login hos sydbank ser det ud til at jeg signer (eller i det mindste godkender) et lille tekst-dokument. Er det også din løsning på det?

Teksten i () er angivet af banken, ikke af din transaktion, det betyder at hvis jeg betaler et giro kort fra Motor kontoret og der står (ukendt), så kan jeg være ganske sikker på at det ikke er der jeg sender pengene.. Skal jeg sende til en vilkårlig konto, jamen så har jeg jo nummeret for an mig, og kan krydsrefere..

Bare det at jeg kan være 100% sikker på at dokumentet ER fra banken (via signaturerne) vil hjælpe. At banken fortæller mig hvem jeg er ved at sende penge til er kun en yderligere fordel.

Det er så nemt at give brugerne værktøjer til at beskytte dig, og det er i bund og grund havd det her handler om. Man kan ikke stoppe dumhed, men man kan give folk alle de værktøjer således det kun er mod deres egen dumhed de skal beskytte sig...

Enig

  • 0
  • 0
#52 Michael Nielsen

Henning Wangerin

Modsat DanID, vil jeg gerne lave sådan et system, og offentligøre alle algorithmer, således det hele bliver til offentlig skue (meget nemt i øverigt da det jeg forslår er en del af åbne, og etablerede standarder).

Undskyld mig, men din garanti kan jeg ikke bruge til noget når først der er opstået et problem. Derfor skal hele konseptet checkes i hoved og r**

Jeg ville for vente intet mindre, og derfor mener jeg åbenhed om hvad der sker er et must, og den lukkede NemID burde aldrig havde set dagens lys, jeg lavede en overordnet analyse, og fandt op til flere sikkerhedshuller, på bare 30 minutters arbjede...

Ved at bruger åbnestandarder, og etablerede procedurer, er der langt mindre sandsynlighed for der er huller - jo der kan være bugs, der vil altid være bugs, men sandsynligheden er væsentlig mindre end at lave et nyt system.

Hvordan vil du overføre alle dine dine data til enheden? -og på en måde så den også kan bruges på tablet og andre enheder.

Hvad er contexten ? Hvis du snakker om dokument signatur, kan det gøres på flere måder den nemmeste, er bare en stream, hvor man issuere signaturen og MD5 summen bag efter... Når du læser det in på en anden enhed kan du bekræfte at signaturere en valid (via din public nøgle), du kan så hente MD5 summen og validere at dokumentet (inden for et ufattelig sansylighed) er det samme dokument som du signerede.. Hvis en hacker har hacket din pc, skal han/hun også havde hacket alle dine andre enheder, da du kunne vælge at verificere det på din mobil, tablet, anden computer - send to a friend, eller hvad du nu ønsker... Du kan ikke gøre det umuligt at en hacker har hacket alt og alle, men sandsynligheden falder meget....

Men uagtet om det er snyd med dokument signaturere, eller digitale transaktioner, faktum at du kan se det på din enhed giver dig muligheder for at checkke hvad du underskriver, på en måde hvor en hacker ikke kan pille ved det.

Hvordan vil du så garantere at bankens ceritifikat er korrekt uden at være online?

Eller skal vi ind i det gode gamle helvede med faste root-certifikater? Næste problemer vil så være check af revoked certifikater - men det bliver svært uden at være online ;-)

Det helt gode ved digitale signaturer er at de fungere offline, så vel som online, jeg ville aldrig stole på en online certifikat, fordi en hacker kan omdirigere dig til hans server og giver dig den forkert.

Måden jeg ville gøre det på, var at når jeg oprettede bank kontoen, tager jeg min nøgle med, og banke (med min tilladelse - adgangskode), får lov til at lagre et public certifikat som "trusted", det er bankens certifikat... Nu kan jeg verificere bankens identitet på data jeg får også offline..

Men de er standard måder at gøre det på, jeg fortrækker face-to-face.. For Bank transaktioner fjernes behovet for revokation af certifikater, hvis banken skifter nøgle nægter din enhed at gennemfører transaktionen... Hvis din enhed er stjålet, og du rapportede, så har banken slettet dit certifikat, og transaktionen stoppe ved banken.

Problemet ligger i offeline kommunikation, feks emails fra banken, m.v.. Men der i ligger man timestamps, således hvis du modtager noget fra banken, og underskriver det, så kan man audit og se at det skete efter bankens certifikat var revoked - signaturen er ugyldig.

Og hvordan vil din enhed tage det hvis jeg vil signe en .odt-fil eller en .dia eller hvad det nu måtte være?

Signaturen er lige glad, men hvis du vil læse det igennem tekst interfacet, skal du havde en ODF->text konverter, det er nu ikke det store problem - reelt bare strip tags og formatering.

Hvis jeg kigger på mit login hos sydbank ser det ud til at jeg signer (eller i det mindste godkender) et lille tekst-dokument. Er det også din løsning på det?

Ja, det er det, du modtager et tekst dokument som (i min løsing) er underskrevet af banken, og krypteret så kun din enhed kan læse, og godkende den.. Du gør det modsatte ved svar, underskrive det, og kryptere det til banken, således kun du og banken ved hvad i rent faktisk lavede.

Bare det at jeg kan være 100% sikker på at dokumentet ER fra banken (via signaturerne) vil hjælpe. At banken fortæller mig hvem jeg er ved at sende penge til er kun en yderligere fordel.

Dette er grunden til jeg forslå mutual authentication, og ting er krypteret til dig, altså public nøglen bruges til at krypere data, og privat nøglen til at signere... Signaturen garantere at det er fra banken, mens public nøgle kryptering betyder kun du kan se hvad der er i det dokument..

100% bliver det ikke, men jeg vil skyde på (med forbehold for bugs) 99.999% sikker på at det du modtager ikke er blevet pillet ved, eller på nogen måde kommer fra andre kilder end du tillader..

Jeg kan anbefale at læse om X.509, mutualauthentication, RSA privat-public cryptography, m.v.. Det svarer mere præcist på de fleste af de spørgsmål du har stillet - det er svært at forklare via et debat fora.

  • 0
  • 0
Log ind eller Opret konto for at kommentere