|
Nyhetsbrevet Emailsynaren Nr 2, 2000-09-12
Nyhetsbrevet får citeras och användas
helt eller delvis, under förutsättning att hänvisning
sker till:
http://hem.fyristorg.com/emailsynaren
Eva.marie.andersson@work.utfors.se
Sänd gärna kommentarer eller synpunkter,
som jag kan följa upp i
efterföljande nyhetsbrev.
Innehåll i detta nummer
1. TEMA: Hur säkert är
biometri?
2. Ultimate ZIP Cracker 6.1
3. RSA fritt
4. Bra genomgång av SSL kryptering.
5. Smart teknik används av American Express
6. US-Justitiedepartement granskar Carnivore
7. Säkerhetsmässa
8. Nederländsk säkerhetstjänst
uppges avlyssna e-mail
9. Plaintextangrepp mot krypterade E-mail
1. TEMA: Hur säkert är biometri?
Biometri är ett samlingsnamn för
olika unika kroppsliga egenskaper, vanligast är fingeravtryck.
Förutom fingrar har människor en mängd olika
unika, och individuella biologiska kännetecken, t.ex.
ögon, fotavtryck, puls, läppar, röst och DNA-molkekyl.
Idag används de här mest för
att bevis-binda rätt person vid brott.
I Sverige finns det två noterade bolag
som bygger på tekniken dels Fingerprint Card och dels
Precise Biometrics.
Ett växande område, med diverse
olika biometriska lösningar, är inom datasäkerhet.
Men hur säkert är det?
1.1 Två grundområden
Det finns två olika grundtekniska behov,
dels där biometrin är nyckeln eller del av nyckeln
för någon typ av kryptering, dels där biometrin
fungerar som kod för någon typ av access. Vanligast
är det senare.
Jag kommer inte att skärskilja områdena
nedan, utan bara betrakta det biometriska skyddet.
1.2 Biometrins paradox
En grundparadox inom biometrin är att
människan förändras, på både kort
och lång tid. Det gör att precisionen och kraven
måste bli en balansgång med funktionaliteten.
 |
Fingrar varierar, när det är
varmt och kallt, sommar och vinter. Du kan vara svullen
när du är förkyld osv. Du kan bli skadad
eller få ett avtryck, vara smutsig och få
hudförhårdnader. Det är också
svårt att hålla ett finger exakt still.
|
| |
|
|
Ögon varierar, av ljus och kroppens
tillstånd. Fuktigheten i ögonen varierar
av bl.a. luften som i sin tur påverkar ögat.
|
| |
|
|
Rösten varierar av fler faktorer
än att vara förkyld. Man färgas av personer
man nyligen pratat med och kroppens tillstånd.
|
| |
|
|
Pulsen har unika elektriska egenskaper,
men är väldigt annorlunda från period
till period.
|
För att ha ett fungerande driftsäkert
system som passar de flesta människor handlar det om
kompromisser. System av lägre kvalitet brukar ange att
de motsvarar 12-14 bitars nyckel och system med högre
kvalitet anger ca 80 bitars nycklar.
1.3 Omvandling av biometri till digital form
I princip alla biometriska system bygger på
att den biometriska identiteten omvandlas till digital binär
form. Jag känner inte till något fall där
denna process inte är hemlig. Frågan är därför
hur hemlig är denna process?
Sannolikt blir alla system med viss storlek
eller potential, genomanalyserade av e större underrättelse
myndigheterna. I vissa fall så presenteras konstruktionen
också för myndigheterna. En ytterligare risk är
hur stor och hur säker de som ingår i "hemlighetskretsen"
är.
De som har exakt kunskap över hur processen
fungerar, kan garanterat eliminera bort i stort sett de mesta
av olika tänkbara kombinationer, och har en liten bruteforce
attack som rest på kanske 10-30 bitar. Något som
klaras av på kort tid med vanlig PC.
Jag tror man därför kan utgå
från att det inte finns biometriska skydd som står
emot den som har full kunskap om systemet.
1.4 Skydd av "nyckeln"?
Skydda nyckeln i biometri kan vara förenat
med svårigheter.
|
Fingrar är svårast att skydda.
Dels så lämnas ofta avtryck i samband med
det stället som inloggning sker, dels går
det ganska enkelt att få tag i föremål
eller lura av någon sitt avtryck. Med hjälp
av ett avtryck kan ett nytt fingeravtryck konstrueras,
med enkla medel.
|
| |
|
|
Ögon är svåra att fånga.
De tekniska lösningar som används av spionorganisationer
är olika fotografilösningar, eller luras med
hjälp av specialkonstruerad attrapp som man lurar
den utsatte att sätta ögat i.
|
| |
|
|
Röst fångas lättast
upp med inspelningsutrustning. Med frekvensapparater
kan olika ord byggas upp som passar in i inloggningsproceduren.
Det gäller att få så stort material
som möjligt. Har man tillgång till inloggningsställe
är det enklaste med dolda mikrofoner, så
får man rätt ord direkt.
|
| |
|
|
Identifiera någons unika elektriska
pulsmönster är svårt och kräver
viss fantasi. Utrustning som mäter den utsatte
och lurar honom att ta i är en metod. Kvaliteten
på utrustning för mätning av unika puls
och cirkulation är dock underutvecklad, så
för bruteforce knäckning behövs ingen
större datakraft. Det är dock förmodligen
det bästa området att satsa på för
dem som håller på med biometri.
|
Även om kunskapsinsamlande ibland blir
bristfälligt med långdistanskort på t.ex.
ögat, så kan det ofta vara tillräckligt för
att eliminera bort de största delarna av tänkbara
nyckelkombinationer, så att det blir ett litet hanterligt
rum att köra bruteforce på.
1.5 Sammanfattning säkerhet biometri
Jag tror man kan sammanfatta det så
att biometriskt skydd har låg säkerhet. Skyddet
kan passa i miljöer med lågt skyddsvärde t.ex.
hemdator och mobiltelefon eller som komplement med andra skydd.
2. Ultimate ZIP Cracker 6.1
Det här är ett program för
att knäcka ZIP koder, förutsatt att de inte är
för komplexa. Vanliga koder/lösenord knäcks
i stort sett omgående.
Programmet kostar 35 USD, men man kan testa
delar av det gratis.
Adressen till företagets hemsida är:
http://www.home.ru/vdg/buildframe.html?uzc.htm
3. RSA fritt
RSA, som haft patent på sin algoritm,
släppte den fri två veckor innan patentet löper
ut. Det finns många som tror på en explosion av
kryptoprodukter baserade på algoritmen.
Personligen tror jag algoritmen är en
som kommer fasas ur marknaden med anledning av att säkerhetsnivån
idag inte är tillräckligt hög.
4. Bra genomgång av SSL kryptering.
I det senaste numret (nr 6) av tidningen Säkerhet
& Sekretess (tfn 08-446 57 50) görs det en mycket
bra genomgång av SSL kryptering av dels säkerhetskonsulten
Hans Husman och dels tidningens chefredaktör Svante Nygren.
Ett "måste-nummer" för de som håller
på med SSL.
Förutom att man beskriver grundtekniken,
så går man igenom ett antal olika risk- situationer
som man mycket lätt kan råka in i.
Jag har inte betraktat tekniken som säker,
och får ytterligare vatten på kvarn nu.
Det finns idag flera olika e-mailkrypteringar
som använder SSL, t.ex. Hushmail.
Betrakta därför SSL som ett skydd,
men inte som säkerhet.
5. Smart teknik används av American Express
Amex lanserar engångskort med samma
grundteknik som Softnet Security använder för Safe
Express.
Principen är att det för kreditkortsköp
på nätet används ett virtuellt engångskort.
Du loggar in hos Amex som du litar på och får
ett nummer som kan användas en gång, för ett
köp. Kostnaden debiteras ditt vanliga kreditkort.
Råkar någon skummis få tag
i ditt engångs-kortnummer har han ingen nytta av det,
för det går inte att använda mer än en
gång.
Information finns på http://www.americanexpress.com
och deras release finns på http://www.cnet.com
7 september kl 10:45 a.m.
6. US-Justitiedepartement granskar Carnivore
Det Amerikanska justitiedepartementet har
beslutat att granska FBI:s spionprogram Carnivore (betyder
något så trevligt som "köttätare").
Vällovligt syfte, men förmodligen
ett spel för galleriet.
7. Säkerhetsmässa
Ett tecken på hur viktigt det börjar
bli med informationssäkerhet är säkerhetsmässan
SecurIT som hålls i Älvsjö 20-22/9.
Mässans hemsida är http://www.stofair.se
8. Nederländsk säkerhetstjänst uppges avlyssna
e-mail
(källa: Säker med Mynta, nyhetsbrev
augusti)
I Myntas nyhetsbrev uppges att BVD (Binnenlandse
Veiligheidsdienst) har avlyssnat trafik mellan ett mjukvaruföretag
och en Iransk kund.
Egen not. Detta är ett i raden av upptäckta
avlyssningar, där motiven är varierande. Sannolikt
är mörkertalen enorma då avlyssning normalt
inte märks.
9. Plaintextangrepp mot krypterade E-mail
Jonathan Katz och Bruce Schneier har publicerat
en artikel som beskriver Choosen-plaintext angrepp mot email
krypteringsprotokoll. Artikeln finns på http://www.counterpane.com/chotext.html
Känsliga för angreppet är bl.a.
PGP, PEM och S/MIME (RSA).
___________________SLUT___________________
|
