Trådløs Paranoia

Stephan,

Jeg er usikker på din pointe, men nøgler kommer jo som jeg nævnte i alle mulige afskygninger og jeg har stadig til gode at se en altomfattende løsning for alle mine nøglebehov baseret på en database eller en browser.

Selv hvis vi afskærmer diskussionen til nøgler i it-systemer vil de forskellige organisationer man agerer hos selv suverænt udstede usb-tokens, brugernavn/password, certifikater, fysiske dongles med one-time-password, etc. etc. til brug for VPN, websites, tykke klienter, citrix, osv. Gang det med et antal organisationer og du har et nøglekaos ikke ulig det hedengangne tiders pedeller på landets folkeskoler må have været ramt af.

Jeg har svært ved at se det lette i at håndtere den problematik.

Kåre,

Det er påfaldende som vi er faret vild i problemet med nøgler. Intet er jo nemmere end at holde styr på mange nøgler - databasen er jo opfundet. Det er ikke en god sikkerhedsløsning, men browsere har f.eks. en model til at du kan håndtere mangle nøgler - det skal "bare" systematiseres og sikres.

Jeg skal indrømme, at der var en vis fornøjelse forbundet med at forstyrre min nabo midt under barberingen når det ses i relation til hans natlige påringninger, men så heller ikke mere :-)

Der er mange facetter af det her, bla. hvordan laver man en god model for håndtering af digital identitet som brugeren kan håndtere, samt hvordan man undgår at denne identitet kompromitteres? Hvordan undgår man et hav af akkreditiver, som det er i dag med pinkoder, signaturer, dongles og alt muligt andet man skal huske eller have på sig for at identificere sig?

RFID teknologi el. lign. der kan scannes og som aktiveres bare ved at man er i nærheden er næppe løsningen i hvert fald.

Distancebounding er mere en teoretisk tanke end noget som fungerer i virkeligheden. F.eks. RFID-signalet rejser ca. 22 meter på et clocktick ved 13,56 mHz - det giver en attacker masser af rum for at bryde ind i protokollen.

Prisen skal ikke ses på en dør alene, men snarere på omkostningen for dig at sætte dig ind i en bestemt styringsmodel og kunne håndtere den.

Det er f.eks. efter min mening desideret uansvaarligt at staten med digital signatur nu sælger dig til en central gatekeeper-kontrolleret model uden tanke for at det faktisk tvinger dig ind i en model , du ikke selv kan bestemme over.

Selve algoritmen og nøglen kan sagtens være forskellige og tilpasset til behovet, men brugerinterfacet skal kunne genbruges, være godt sikret og du skal kunne forstå det.

Ellers ser vi en dårlig gentagelse af kreditkort krigen, hvor det drejer sig om at erobre pladsen i din tegnebog, selvom et kort sagtens kunne understøtte millioner af nøgler og mange forskellige protokoller.

Ja, i mange situationer med autentifikation over en trådløs kanal er Mafia-angrebet (aka. Relay Attack), et potentielt problem. Der findes dog en række løsningsforslag, rækkende fra distance bounding protocols, til mere lowtech-løsninger baseret på alternative side-kanaler (fx at man kan se devicet man autentificerer med).

En interessant løsning om bilnøgler er: http://www.wired.com/wired/archive/14.08/carkey.html. Som Stephan er inde på, så nytter det jo ikke noget med super-duper autentifikation hvis man alligevel kan cracke bilen ved at hive op og ned i håndbremsen 47 gange...

Ifht. dørklokker kan man jo overveje hvor meget mere man er villig til at betale for at slippe for Kåres scenario - faktisk lyder det jo nærmest som om Kåre er begejstret over at have set naboen i boxers.

Rigtigt set, men nemt at drage de forkerte konklusioner.

Mit indlæg til EUs Security Research Conference addresserer denne problemstilling. Bemærk specielt Mafia Fraud Attack som den rigtigt grimme sag for mobil sikkerhed, der klart taler imod enhver form for automatisk identifikation uden brugerinvolvering.http://www.src07.de/index.php?option=com_content&task=view&id=36&lang=en

Man skal samtidig have med at perimetersikkerheden på serversystemer og specielt databaser gennemhulles, dvs. det er IKKE et valg mellem centralisering og decentralisering, men - som f.eks. med EPJ - at nedbryde de fysiske siloer, men samtidig at distribuere nøglekontrollen fora t opbygge en logisk sikkerhedsmodel til erstatning af den tidligere fysiske perimetersikkerhed.

Man skal styrke DIN mobile styring af dine nøgler, identiteter og data for at sikre alle.

Dvs. bilen skal IKKE identificere dig, men du skal bevise din specifikke nøgle overfor bilen.

Arh ja, hvis det er RFID er det jo en anden sag. Jeg vil klart foretrække at det krævede noget handling fra brugeren i forhold til nøglen før man kunne få data fra den, ellers er det jo lige til højrebenet at få det knækket.

Tak. Nu er jeg ikke ekspert i nøglesystemer til biler, men fra hvad jeg har kunnet læse om emnet lader det til at nyere systemer baserer sig på RFID og en protokol hvor bilen udspørger nøglen (se f.eks. http://www.consumerreports.org/cro/cars/hacking-car-security-1205-keyless-entry-system-car-security-system/). Dermed er der åbnet for café-hacking af bilnøgler.

Din bilnøgle udsender forhåbentligt ikke data medmindre du trykker på den, så hvordan skal den nøgle den bruger kunne knækkes hvis der ikke er noget data at se?

Ellers et godt indlæg, giver en lidt at tænke over.