PKI和设备认证的谬误
根据Verizon发布的《2021年数据泄露调查报告》,弱用户身份验证和人机界面错误约占去年所有数据漏洞的85%。这些统计数据中,备受瞩目的数据泄露和在线欺诈成为新闻头条,进一步证实了该报告的分析。
随着世界向数字认证、移动驾照、护照和其他远程认证方法的发展,了解各种可能存在的系统、架构和组件的潜在漏洞自然是很重要的,以便我们能够主动防范可能导致的漏洞。我们相信,现代身份管理系统(IDMS)模型,包括各种电子身份证(eID)和移动驾照(mDL)模型,同样存在漏洞,容易受到Verizon报告中提到的相同的攻击。
例如,引发臭名昭著的SolarWinds的漏洞攻击影响了数千家公司和数百家政府机构,利用弱用户身份验证保护不足的“强”设备身份验证,目标是访问网络并最终执行远程访问木马(RAT)恶意软件供应链攻击。弱用户验证和认证为攻击者提供了在合法用户账户下并行注册新的、但同样强身份验证的设备的机会。这使得攻击者能够重复进行身份验证,创建“高级持久威胁”(APT),这是一种长时间未检测到的入侵。在这种情况下,攻击者可以无限制地访问受害者的网络长达9个月。
此外,美国联邦和州政府COVID-19大流行财政支持的分配一直并继续受到远程环境中薄弱的身份验证、认证和用户身份验证的影响。迄今为止,与大流行病有关的身份欺诈估计价值超过700亿美元,而且还在增加。任何依赖于这种强设备认证和弱用户认证组合的身份管理系统(IDMS)都容易受到网络钓鱼、中间人、设备欺骗和RAT攻击,以及潜在的APT的攻击。
此漏洞可以称为“PKI谬误”或“设备认证谬误”,这表明如果公钥基础设施(PKI)证书、令牌或设备被确定性身份验证,设备的用户也会是以某种方式进行身份验证。这是一个错误的逻辑进程,基于错误的行业偏好“确定性”决策(二进制是/否),而不是“概率”决策(统计概率)。PKI对设备是确定性的,而生物特征匹配是概率的。网络和设备认证的支持者似乎选择了PKI的确定性结果,而不是生物识别的概率结果,因为100%似乎强于99.9%。
考虑到设备中的PKI不知道,甚至不关心哪个用户身份验证概率小于100%正确,那么用户身份验证事务上是多么“确定性”?从逻辑上讲,在依赖100%确定性设备身份验证(PKI)时未能识别设备持有人,可能会产生错误的安全感。实际上,100%的PKI确定性结果错误地验证了小于100%的概率用户身份验证仍然是概率性的,并且该概率可能远低于99.9%,这取决于用户身份验证的方法。这取决于用户身份验证的方法。这正是断裂所发生的情况。强大的生物识别特性和匹配能力解决了这一漏洞。
考虑到设备中的PKI不知道,甚至不关心用户持有它,如果用户认证概率小于100%,设备认证事务到底有多“确定性”?从逻辑上讲,当依赖100%确定的设备认证(PKI)时,不能识别设备持有者可能会产生一种错误的安全感。实际上,100%的PKI确定性结果错误地验证了概率小于100%的用户身份验证。综合起来,最终的验证结果仍然是概率性的,这个概率可能远低于99.9%,这取决于用户验证的方法。这就是Solarwinds入侵的情况。强大的生物识别活性和匹配性解决了这个漏洞。
行业偏向于确定性模型而远离概率模型的原因是两方面。首先,确定性设备身份验证是自动化的、使用简单且不贵。其次,大多数生物识别技术还没有达到令人满意的概率匹配可信度或保证水平,即生物识别样本是从正确的活的人类中实时收集的,因此,许多IDMS设计了非生物识别身份验证器,通常是第二个密码验证的设备,支持密码。换句话说,这些系统通常使用由密码支持的设备身份验证来支持也由密码支持的设备身份验证。
此外,大多数手持设备上的生物特征匹配系统不会将生物特征与实际用户的身份配置文件关联或绑定。相反,他们只是在设备的安全元件中匿名注册生物特征数据,并在用户身份验证交易期间将匿名存储的生物特征与新收集的生物特征数据进行匹配。在这个场景中,信任是关键,因为当前用户只被信任为可信特权所有者。我们可以称之为“匿名生物识别”。“匿名生物识别”降低了用户认证的可能性或匹配置信度,进而降低了设备认证的可能性。”错误数据输入就是错误数据输出。如果您不知道谁在设备上注册了,您就不太可能知道实际上是谁在使用设备。
此外,这种组合可能会导致欺诈和攻击。如果欺诈性用户将设备作为合法特权持有人一样进行身份验证。另外,如果设备不能知道设备用户是否是合法的特权所有者,则依赖的第三方(应用程序、服务器或企业)也不能知道设备用户是否是合法的特权所有者。这也是Solarwinds入侵所发生的情况。
重要的是,最近在生物识别匹配置信度方面取得了重大进展,特别是随着 3D人脸活性和匹配的发明,极大增加了移动或远程生物识别验证和身份验证的效用。一种更加平衡的方法已经开始出现。在数据中添加第三个维度增加了可访问的、唯一的和一致性的生物特征数据的数量级,大大提高了匹配置信度,并严重限制了2D照片和视频在冒名顶替者攻击中的作用。生物识别技术的这种进步使机构能够以很高的可信度验证实际用户——绑定到实际用户档案,而不是只假定由适当的人控制的设备。这将关闭PKI和设备身份验证谬误漏洞。
认为PKI和设备认证谬论漏洞不那么重要或“不能扩展”的说法是幼稚的,与Solarwinds的例子严重冲突。一个设计合理的身份管理系统必须包含强大、完善的身份验证和认证,以减少此类漏洞,并在远程移动生态系统中实现完整的功能。然而,今天的eID和mDL系统不仅主要关注基于PKI的设备身份验证,而且通常还支持注册期间的弱用户验证和主动使用期间的弱用户身份验证。正如美国机动车管理员协会(AAMVA)、DHS和其他利益相关方最近几次主要信息请求(RFI)中所描述的,eID/mDL系统实际上忽略了强大的用户验证和身份验证,而专注于确定性的设备验证。相关的ISO eID和mDL标准通过验证设备或数字对象来验证mDL证书,但是没有也不能实际验证或验证授权的mDL特权持有者。
为了减轻当前方法的固有缺陷,我们强烈建议除了标准化的强设备认证外,还需要经过活性生物识别验证、注册和用户身份认证。
来源网站:https://www.biometricupdate.com/ 沃通WoTrus原创翻译整理,转载请注明来源
原文网址:https://www.biometricupdate.com/202108/the-pki-and-device-authentication-fallacy