Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den CTO d. 4. november 2005.
RSA CONFERENCE RSA Laboratories' forskning i nye teknologier til autentifikation omfatter delvise pengeskabskoder og dobbelttjek af RFID-kommunikation.
Hej, det er John, jeg har glemt mit password. Den slags opringninger får it-afdelinger en del af. Brugere glemmer deres password eller mister det udstyr, de plejer at bruge til at logge ind med. For at spare på it-afdelingens ressourcer kan man prøve at løse problemet af teknologisk vej. Det har RSA Laboratories forsket i.
- Vi kalder det videnbaseret autentifikation. Det bruges som en nødløsning, når man har glemt sit kodeord. I stedet skal brugeren besvare nogle spørgsmål, der for eksempel handler om ham selv. Det kan være hans yndlingsfodboldhold, navnet på hans første kæledyr eller andet, siger Burt Kaliski, der leder RSA Laboratories.
Metoden indebærer nogle teknologiske udfordringer. Således kan det være praktisk at give brugeren lov til at svare forkert på nogle af spørgsmålene. For eksempel kan man vedtage, at der skal stilles seks spørgsmål, og hvis de fire kan besvares korrekt, får man adgang.
Men hvordan opbevarer man de rigtige svar, så uvedkommende ikke kan få adgang til dem?
- Vi nåede frem til en løsning, som vi kalder en "fuzzy bankboks". Den indeholder passwords og andre fortrolige oplysninger. Adgangen til den styres af en krypteringsnøgle, der er sammensat af svarene på spørgsmålene. Det "fuzzy" består i, at nøglen kan bruges, selvom man kun har en del af svarene, fortæller Burt Kaliski.
Denne del af laboratoriernes forskning er udmøntet i teknologien "Intelliaccess", som indgår i RSA Securitys produkt Sign-On Manager.
Andre dele af laboratoriernes forskning er endnu ikke blevet til produkter. Et aktuelt eksempel er arbejdet på at sikre RFID-systemer (Radio Frequency Identification).
Efterhånden som der bliver indbygget RFID-chips i mange produkter, bliver det en udfordring at sikre fortroligheden. Fordelen ved en RFID-chip er, at den kan aflæses med radiobølger. Man behøver således ikke køre magnetstriben på sit ID-kort gennem en kortlæser, blot man vifter med kortet foran læseren, åbnes døren.
- Men hvordan beskytter man RFID-chippen mod at blive læst af uvedkommende? Et scenario kan være attachemappen, der står bag en dør. Inde i den er en kraftig RFID-læser, der aflæser chippene i alle kort, der kommer forbi den, fortæller Burt Kaliski.
RFID-chips i medarbejderes ID-kort bruges til autentifikation. En oplagt løsning er at gøre autentifikationen tovejs: Kun den rigtige kortlæser har lov til at læse kortets kode.
- Her løber vi ind i tekniske problemer: Der er ingen strømforsyning til en RFID-chip, så den har stærkt begrænsede evner til at udføre beregninger. Det vil være umuligt at lægge kryptering ind i den. I stedet ser vi på at bruge minimalistisk krypteringsteknologi, siger han.
Metoden går ud på at placere regnearbejdet i RFID-læseren. Læseren beder RFID-kortet om at udlevere en kode. Den foretager en kryptografisk beregning, hvor den kombinerer talkoden med en talværdi, den selv sidder inde med. Herefter afleverer den resultatet til RFID-kortet, som sammenligner det med et tal, det på forhånd opbevarer. På den måde skal RFID-chippen kun sammenligne værdier, hvilket er mindre krævende end at udføre krypteringsberegninger.
- Man kan kombinere det med at have en række sæt af koder liggende på RFID-chippen, som den skifter imellem, siger Burt Kaliski.
Billedtekst:
RFID-kort - En RFID-chip har meget begrænset regnekraft, så man kan ikke indbygge egentlig kryptering i den, siger Burt Kaliski fra RSA Laboratories.
