Dataprogram knäcker lösenord men går bet på ett fingeravtryck

Aktiva kort tillsammans med biometri kan vara en väg till säker IT-identitet

Av Jonas Hallberg

Aktiva kort och biometriska metoder kan lösa flera säkerhetsproblem i framtidens informationssystem. Detta är av yttersta vikt eftersom beroendet av säker information och tillgänglighet till datorer och nät, t ex Internet, ständigt ökar.

Aktiva kort, vilka ibland kallas för smarta kort, smart cards består i princip av en mycket liten dator som bäddats in i ett kort av plast. Korten kallas aktiva eftersom de, till skillnad från vanliga magnetremskort, kan reagera och utföra beräkningar beroende på signaler från omgivningen. Men de är liksom datorer inte smarta. För att möjliggöra kommunikation med omvärlden behövs också ett gränssnitt, dvs en förbindelselänk mellan datorn och omgivningen. Det finns flera internationella standarder som beskriver dels kortets och gränssnittets utformning, men också vilka tjänster som datorn i kortet ska erbjuda. Korten ser ofta ut som vanliga kreditkort, men andra varianter finns, t ex de mindre kort som sitter i många GSM-telefoner. Gränssnittet kan vara kontakt- eller radiobaserat och leder till huvudgrupperna kontaktkort och trådlösa kort. Slutligen särskiljs också korten beroende på vilka tjänster som erbjuds av den integrerade datorn. De enklaste varianterna brukar kallas minneskort, medan de mer avancerade, vilka innehåller kompletta datorer, kallas mikroprocessorkort. Det finns också kort som innehåller speciell hårdvara för att effektivt kunna utföra mer avancerade beräkningar, såsom krypteringsfunktioner.

Falska franska kort
Tidigare ansågs innehållet i aktiva kort vara skyddat, men som all annan säkerhet har den visats sig inte vara helt fullständig. På senare år har olika metoder för att få ut information från aktiva kort föreslagits. Dessa metoder har gett säkrare kort och därmed har en kraftmätning mellan konstruktörerna av korten respektive analysmetoderna uppstått. Som vanligt inom datasäkerhetsområdet gäller det att vara medveten om riskerna och minimera dem.

En annan metod, som rönt stor uppmärksamhet, är att attackera systemet snarare än de aktiva korten. Detta var vad som hände i Frankrike i våras där man lyckades härleda den kryptonyckel som används för att signera och intyga äktheten hos de nationella bankkorten, vilka är aktiva. Därmed kunde falska kort framställas och användas i enklare typer av terminaler för små inköp. Anledningen till att detta var möjligt var att den nyckel som användes vid krypteringen var för kort. Det är dock viktigt att komma ihåg att det ”franska systemet” är betydligt säkrare än ”det svenska” som är baserat på magnetremskort, vilka är mycket lätta att kopiera.

För hård kontroll får allt att stanna
Biometriska metoder används för att identifiera personer genom att mäta någon individberoende egenskap. Vilken av dessa metoder som är mest lämplig beror på faktorer som användaracceptans, användningsmiljö, prestandakrav och kostnad. Ett problem vid biometrisk identifiering är att mätresultaten varierar från gång till gång, vilket medför att avvikelser från referensvärdena måste accepteras. Det innebär att en del behöriga avvisas och en del obehöriga släpps in. Som alltid i datavärlden måste balansen hittas. Släpps inga obehöriga in kan systemet knappast användas därför att inga behöriga heller släpps in.

Många säkerhetsproblem beror på att det kan gå att nyttja någon annans identitet. Metoder baserade på aktiva kort och biometri kan öka säkerheten vid verifiering av identiteter. Vidare används ofta metoder baserade på kryptering för att lösa säkerhetsproblem, gällande till exempel sekretess och identifiering. Sådana lösningar kräver dock att hemliga krypteringsnycklar kan förvaras säkert. Även i detta fall kan införandet av aktiva kort förbättra säkerheten.

Hörnsten i säkerheten
Verifiering av en identitet kallas inom datasäkerhetsområdet för autentisering och är en hörnsten i ett väl fungerade säkerhetssystem. Om autentiseringen av användare inte fungerar fungerar inte heller säkerheten. Metoder för användarautentisering baseras på olika kännetecken, vilka kan delas in i grupperna placering, kunskap, innehav och egenskap.

Placering används mycket ofta som autentiseringsmetod, tex för persondatorer med enklare operativsystem där den som sitter framför datorn har full tillgång till alla resurser. I kombination med hög fysisk säkerhet kan placering vara en bra metod, dock måste den alltid kompletteras med ytterligare någon metod baserad på en annan typ av kännetecken.

De metoder som oftast associeras med användarautentisering är lösenord och sifferkoder, vilka baseras på kunskap hos personen som ska autentiseras. Detta minskar antalet möjliga lösenord då längden blir starkt begränsad. Anta att ett lösenord består av åtta tecken, där varje tecken kan vara en stor eller liten bokstav, en siffra eller ett specialtecken (vilket ger ungefär 80 möjliga tecken), så blir det så många lösenord att om vi kan pröva en möjlighet var tionde sekund skulle det ta drygt 530 miljoner år att prova alla. Även med en dator som provar en miljon möjliga lösenord per sekund skulle det ta 53 år, vilket kan få oss att känna oss säkra. Tyvärr är det så att en stor andel av alla lösenord finns inom en väldigt begränsad delmängd av de möjliga lösenorden, som t ex alla svenska och engelska ord skrivna fram- och baklänges. Detta faktum utnyttjas av många av de verktyg för automatisk lösenordsgissning som finns på Internet. De kan hitta de flesta använda lösenorden inom några dagar (en del inom några minuter). Detta förutsätter dock att det finns regler för lösenordens utformning, som tex minimilängd, användande av både stora och små bokstäver, samt minst en siffra eller specialtecken. Om vanliga ord används hittas de oftast inom några få sekunder. Dessutom är kunskap ytterst lätt att överföra mellan två individer, avsiktligt eller oavsiktligt. Det bästa sättet att komma över ett lösenord är ofta genom användaren.

Innehav innebär att användaren ska visa upp något för systemet som styrker identiteten, dvs något slags nyckel. Ett exempel på en sådan nyckel kan vara ett aktivt kort. Med hjälp av aktiva kort kan autentiseringen delas upp i flera steg. Användaren autentiseras genom att kortet först autentiseras av systemet varefter kortet autentiserar användaren. Nackdelar med aktiva kort är att de kräver investeringar i extra enheter (kort och kortläsare) och medför en viss administration.

Egenskaper mäts med biometriska metoder. I de flesta fall kan en egenskap varken läras in eller lånas (stjälas), vilket höjer säkerheten. Dessutom slipper användarna lösenord. En nackdel (liksom för innehav) är att extra enheter krävs för att utföra mätningarna. Vidare finns ibland ett motstånd mot den mätning och registrering som biometriska metoder medför.

Säker användarautentisering kräver en kombination av två eller fler av kännetecknena placering, kunskap, innehav och egenskap. Möjligtvis skulle biometriska metoder ensamma kunna erbjuda en tillräckligt hög nivå av säkerhet, men införandet av aktiva kort medför förutom säkrare användarautentisering även andra fördelar såsom autentisering av systemet och lagring av kryptonycklar.

En stor fördel med aktiva kort är att ömsesidig autentisering kan genomföras, dvs förutom användarautentisering så verifierar kortet systemets identitet och användaren autentiserar kortet.

Mer att läsa
R. Anderson and M. Kuhn, “Tamper Resistance - a Cautionary Note,” Proc. second Usenix Workshop on Electronic Commerce, pp. 1-11, November 1996.
J. Hallberg, Using Smart Cards to Enhance Computer Security - Possibilities and Challenges, Användarrapport, FOA-R—99-01262-503—SE, FOA, Oktober 1999.
O. Kömmerling and M. Kuhn, “Design Principles for Tamper-Resistant Smartcard Processors,” Proc. first USENIX Workshop on Smartcard technology, Chicago, Illinois, May 1999.

Från FOA-tidningen nr 3-2000 - www.foi.se/framsyn