Laste ned presentasjonen
1
Et case study av norske biometriske pass
Jon Fredrik Pettersen HiG 8. juni 2006
2
Biometriske pass ICAO(International Civil Aviation Organization) utvikler pass standarden(ICAO Doc 9303) Hvorfor biometri i pass?
3
Problembeskrivelse Nødvendig med risikovurdering (Datatilsynet)
Lite informasjon om sikkerheten i de nye passene
4
Metoder Kvantitative og kvalitative metoder Litteraturstudie
Case study metode Eksperimentell metode
5
Innhold i passene MRZ informasjon Bilde Dokument sikkerhets objekt
Versjon informasjon og liste over objekter Fra 2008: Fingeravtrykk
6
Eksperimenter Teoretisk protokollanalyse
Angrep på Basic Access Control (BAC) protokollen
7
Sikkerhetsfunksjoner
Sikkerhet på chipen Passiv autentisering Aktiv autentisering Basic Access Control Extended Access Control
8
Teoretisk protokollanalyse
Ved bruk av Avispa Basic Access Control(BAC) protokoll implementert i HLPSL, fra ICAO sine spesifikasjoner Mål: Hemmelighold og autentisering av nøkkelmateriale
9
Avispa Oversikt Alice-Bob notasjon A = pass, B = passleser
10
Resultater fra Avispa
11
Angrep på BAC protokollen
Gjennomførbarheten av et brute force angrep på Basic Access Control protokollen
12
Entropien i passene Basic Access Control utleder nøkler fra:
Passnummer (6 unike siffer, ca 20 bits) Fødselsdato (13 bits) Utløpsdato(maks 12 bits, I dag 8 bits) Til sammen 41 bits
13
Første angrep Aktiv kommunikasjon mellom pass og leser
220 * 2^41 * 0.5 / 1000 sekunder Angrepet tar lengre tid enn passet er gyldig
14
Andre angrep Angriper snapper opp autorisert trafikk mellom pass og passleseren i passkontrollen Utfører angrepet på en PC ”offline” 2^41 * 0.5 * 1μs = gir ca 13 dager
15
Konklusjon Avispa finner ikke angrep i protokollen
For lang tid for å gjennomføre et brute-force angrep på protokollen
16
Videre arbeid Avstand for avlytting Tracking
”Fault injection” og ”side channel” angrep
17
Spørsmål?
Liknende presentasjoner
© 2024 SlidePlayer.no Inc.
All rights reserved.