Kursusgang 5: Chip-Dankortet

Kursusgang 5: Chip-Dankortet Overblik over chip-dankortet Opgaver + Test Baggrund: magnetstribe-dankortets historie Dankort med chip: normal funktion Dankort med chip: beskyttelse

Kursusgang 5-10: netværksanvendelser 5. Chip-Dankortet 6. Netbanker 7. Lagdeling og firewall 8. Sikring på netværkslaget 9. Sikring på transportlaget 10. Sikkerhedsproblemer ved P2P/VoIP

Data på Chip-Dankortet Bankens certifikat, udstedt af VISA Kortets certifikat, udstedt af Banken Kortets private nøgle... Banken = Issuer, i EMVs terminologii

Indholdet af et certifikat (hovedpunkter) Navn Offentlig nøgle Udsteders signatur Navn~P Navn S Udsteder [Navn.~P Navn ] Et certifikat er en attestation af at en offentlig nøgle indehaves af en person (eller virksomhed). Dette attesteres af udstederen af certifikatet. Udstederen attesterer med sin signatur. Øvrig data kan være - kreditkortnr. - mailadr. -..

Data på Chip-Dankortet Issuer~P I S Visa [Issuer~P I ] Kortdata~P IC S I [Kortdata~P IC ] Kontrol af Issuer-data -> P I Kontrol af Kortdata -> P IC S IC... Visa BGBank Nordea... (kort-indehavere)

Kontrol af certifikat m = Kortdata ~P IC m hash Signering Kontrol hash? S BGBank kryptering dekryptering P Verasign S BGBank [m] S BGBank [m] Kortdata.~P IC S BGBank [Kortdata~P IC ]

Kursusgang 5: Chip-Dankortet Overblik over chip-dankortet Opgaver + Test Baggrund: magnetstribe-dankortets historie Dankort med chip: normal funktion Dankort med chip: beskyttelse

Kaufman kap 9, opgave 2. Er følgende metode brugbar til at sikre hemmeligholdelse af Alice's password, selv om der sker aflytning/kopiering af håndtrykket og/eller serverens (Bobs) database? Alice, fiddlesticks Alice Bob Alice Alices pc Beregner Y = hash(fiddlesticks) R hash(y R) Databasen indeholder Z = hash(fiddlesticks) Vælger tilfældig R Sammenligner hash(z,r) hash(y,r)

Kaufman kap 9, opgave 2. Løsning. Vi kan forsøge et svar med checkliste-metoden, dvs. checke om nogen af de kendte angreb virker: Brute-force (DES, kap 3)? Del-og-hersk-angreb (jf. 2-DES, kap 4)? Forlængelse af besked før hashing (kap 5)? Alice, fiddlesticks Alice Bob Alice Alices pc Beregner Y = hash(fiddlesticks) R hash(y R) Databasen indeholder Z = hash(fiddlesticks) Vælger tilfældig R Sammenligner hash(z,r) hash(y,r)

Kaufman kap 9, opgave 2. Løsning (fortsat). Hvis angriber kender både R og Y, kan hash(y R) beregnes. Metoden virker derfor kun sålænge databasen er hemmeligholdt. Alice, fiddlesticks Alice Bob Alice Alices pc Beregner Y = hash(fiddlesticks) R hash(y R) Databasen indeholder Z = hash(fiddlesticks) Vælger tilfældig R Sammenligner hash(z,r) hash(y,r)

Opgaver i Kaufman kap 15: opg 5 Hvorfor skal spærrelister (CRLs) opdateres med jævne mellemrum, uanset om der i mellemtiden er sket nye spærringer? TDC har spærrelister liggende på nettet bl.a. på denne URL: http://crl.oces.certifikat.dk/oces.crl opdateres 1 gang dagligt (så vidt jeg kan se) Browsere og mailklienter kan importere spærrelisten automatisk hente opdateringer spærrelisterne er signerede

Opgaver i Kaufman kap 15: opg 5 Hvorfor skal spærrelister (CRLs) opdateres med jævne mellemrum, uanset om der i mellemtiden er sket nye spærringer? Risikoen ved det modsatte (at CA (TDC) kun opdaterer når der er nye spærringer) falsk tryghed hvis der er sket spærring men der er forsinkelse i opdatering eller hvis an angriber har lagt en gammel spærreliste op i stedet for den nye

Opgave 6 Hvis der er et velfungerende system med spærrelister, hvorfor er der så en tidsbegrænsning på gyldigheden af certifikater? Facts om OCES: OCES-certifikater gælder i to år.

Opgave 6 Hvis der er et velfungerende system med spærrelister, hvorfor er der så en tidsbegrænsning på gyldigheden af certifikater? Årsagen er praktisk, ikke principiel: at mange systemer (fx mailklienter) faktisk ikke tjekker gyldighed vhja. spærrelister. Efter en længere årrække kan certifikaterne blive ubrubelige pga. for kort nøglelængde.

Opgaver i Kaufman kap 15: opg 8 Hvorfor skal positivlister over certifikater helst indeholde hash-værdier af de stadig gyldige certifikater? Af anonymiseringshensyn vises certifikatets unikke serienummer, ikke fx navn, mailadresse, o.s.v. Formålet med positivlister (Kaufman: good-lists) er at forhindre en uærlig CA i at udstede et skygge-certifikat med samme serie-nummer som et rigtigt certifikat. fx for at sælge skygge-certifikatet til kriminelle fx så kriminelle kunne signere i andres navn udstedelsen af skygge-certifikatet skulle være hemmelig

Opgaver i Kaufman kap 15: opg 8 Hvorfor skal positivlister over certifikater helst indeholde hash-værdier af de stadig gyldige certifikater? Hash-værdien umuliggør skyggecertifikater, fordi der ved opslag i CLR så kan tjekkes både serienummer og hashværdi (hvor hashværdien jo er en hashværdi af det rigtige certifikat).

Kursusgang 5: Chip-Dankortet Overblik over chip-dankortet Opgaver + Test Baggrund: magnetstribe-dankortets historie Dankort med chip: normal funktion Dankort med chip: beskyttelse

Svar på spørgsmål i testen 1. CÆSAR krypteres til FAVDU 2. Alt blev offentliggjort om DES undtagen designrationale 3. 3-DES har skemaet EDE og benytter to nøgler, derfor (iii): c = E K1 (D K2 (E K1 (m))) 4. 3-DES dekryptering: m = D K1 (E K2 (D K1 (c))) 5. (ii) DES. (iii) 3-DES. (i) Rijndael. (iv) RSA. 6. Må ikke være overkommeligt at finde y som opfylder ligningen f(y) = h. 7. Må ikke være overkommeligt at finde x og y som opfylder ligningen f(x) = f(y). 8. To hashværdier øger sikkerheden, da algoritmerne næppe har samme kollisioner. 9. Brugbare: HMAC(K,m), E k (SHA1(m)), SHA1(E k (m)) (sidstnævnte dog langsom). 10. (iii) MHAC(K,m). (ii) SHA1(k,m). (i). SHA1(k). (iv) E k (SHA1(m)). (v) SHA1(E k (m)). 11. Der paddes med sekvensen 1 fordi der lægges 1 byte til. 12. Den nederste: pad,krypter,send,dekrypter, afpad. 13. Den krypterede værdi er 9.

Kursusgang 5: Chip-Dankortet Overblik over chip-dankortet Opgaver + Test Baggrund: magnetstribe-dankortets historie Dankort med chip: normal funktion Dankort med chip: beskyttelse

Betaling via it-netværk A: Dankort med magnetstribe eller chip. Dankort = et betalingsinstrument Detailhandel: forbrugerkøb af varer forbruger fysisk tilstede i butik, hjemtager varer betaler direkte fra bankkonto (Der kan stadig betales med fluesmækker dvs. uden it-netværk) B: Netbank. pengeoverførsel til danske konti sporbarhed: følge penge til ny konto forbruger ikke til stede i bankfilial C: Netbetaling med Dankort. Detailhandel forbruger ikke fysisk tilstede i butik, varer sendes betaler direkte fra bankkonto

Dankortets autentificerings-metoder Kortindehaver autentificerer sig med: 1. noget man har: kortet. 2. noget man er (kan): underskrift, udseende. (knyttet til personen, kan ikke overføres) 3. noget man ved: PIN-koden

Kortnumre Standardiseret af ISO og ANSI: 4408 0412 3456 7890 Udsteder Industrigren (bank/finans) Checkciffer Kortnr. hos udsteder Tjek af kortnummer: kontroller checkciffer (kendt algoritme) indløser kan tjekke om det er et eksisterende kort

Autentificering (POS) 100 Udsteder (i's bank) Indehaver Indløser (b's bank) 100 1. indsættelse af penge penge varer Butik 2. dankort bruges i butik 3. indløser godkender transakt. 4. varer modtages 5. udsteder godkender transakt. 6. udsteder overfører til indløser 7. indløser overfører til butik (samme nat) Indehaveren af Dankort autentificerer sig over for butik/indløser/udsteder besiddelse af kortet og/eller PIN-kode og/eller underskrift Butik Betalingsgaranti: indløser overtager bedrageri-risikoen Forudsætter bestemt procedure, beløbsgrænse, m.v. Indløser har aftale med udsteder som sikrer indløser at udsteder overtager risikoen Chipkortet skal gøre autentificeringen mere sikker

Dankortets historie: gebyrsagen 2003-2005 2003: Lovgivning åbner op for gebyr på maks. 50 øre for Dankort-betaling, på baggrund af aftale mellem brancheforening, forbrugerråd og politiske partier. Banken opkræver gebyr hos forretningen, som evt. skubber videre. Folketinget krævede øget konkurrence for at godkende gebyret Forud gik ændring af opgavefordeling ml. PBS, Dankort A/S, m.fl. Januar 2005: Bendt Bendtsen: Dankortgebyret står ved magt. Januar 2005, efter udskrivelsen af valg til 8. februar: Bendt Bendtsen: Gebyret skal afskaffes. Februar 2005: gebyret afskaffes forretninger kan pålægges abonnementsafgift

Lovregulering af Dankortet Hvorfor går folketinget/lovgivningsmagten ind på spørgsmålet om Dankort-gebyr? (betalingsmiddelloven) 1. En afgørende del af samfundets infrastruktur 40% af detailhandelen 2. PBS m.m. har de fakto monopol på betalingskort. Lovreguleringen er en slags betingelse for accepten af monopolstillingen. 3. Der var folkelig modstand mod indførelsen af Dankortet i 1983. lovreguleringen knæsatte et gratisprincip

Dankortet som monopol Der er ingen konkurrence : Kritikken af 2003-forligets gebyr voksede, da alle bankerne valgte at forlange det fulde beløb på 50 øre. I 2005 undersøgte Konkurrencestyrelsen udgifterne til Dankort-systemet: 600 mill. kroner / 400 mill. transaktioner = 1 kr. 50 øre per transaktion (i runde tal) Ikke med i analysen: rentegevinst (sparede rentedage) besparelsen i at behandle færre papirpengetransaktioner vurdering af PBSs effektivitet (er 600 mill. rimeligt?)

Dankortets historie 1983: indførelse: fluesmækker 1984: hæveautomater 1985: PIN-kode terminaler... udbredelse: knap 4 mill. kort; 40% af detailhandlen; op til 4 mill. daglige betalinger... 2003: gebyrforlig 2004: chipkort februar 2005: gebyr droppes september-oktober 2005: betalingsgarantier bevares efter 1.1.2006

Dankortets historie 1983: indførelse Dankort ikke kredit-kort, men betalings-kort / debet-kort foto + underskrift kontonr. og kortnr. m.m. er trykt (udstadset) magnetstriben indeholder samme information så data er maskinlæsbart magnetstribe-data kan overføres til et andet Dankort Butikkens udstyr i 1983: Fluesmækker, dvs: Fluesmækker kopierer trykte data til nota Kunden underskriver nota Butik tjekker foto + underskrift og indsender nota til PBS Butik tjekker eventuelt kortnr. mod spærreliste på papir PBS yder betalingsgaranti: 1.000 kr (forlænget til 1.1.2008!) misbrugsdækning over for kunde (lille/ingen selvrisiko)

Fluesmækker Formål betaling for forbrugerkøb i butik reducerer forbrugerens kontantbehov og dermed tyveririsiko og evt. besøgsfrekvens i bank Sikkerhed fluesmækker ikke selv sikkerhedskritisk indeholder fx ingen koder/nøgler frit tilgængelig for taxachauffører m.fl. kortindehaver autentificeres med besiddelse af kortet udseende (i forhold til foto) underskrift (i forhold til underskrift på kortet) Bedragerimuligheder med hensyn til selve kortet: tyveri af kort, distribution til person med samme udseende produktion af falske kort med ægte kortnr.

Dankortets historie 1984: hæveautomater Kontanten. I/O: kortlæser (magnetstribe), numerisk tastatur, skærm. Online-tjek af PIN-kode i forhold til kortnr. Eventuelt online-tjek af kontobeholdning m.m. Formål: Kontanter hæves 24/7 Kræver ikke bankfilial/besøg

Hæveautomater: sikkerhed Sikkerhed: mere kritisk end (de senere) butiks-terminaler udbetaler penge ubemandet Sikkerhedskrav omfatter blandt andet: PIN-kode og kortnr. skal overføres fortroligt Software i hæveautomat: Nøgler til dataoverførsel skal være fortrolige må kun udbetale retmæssigt Beskyttelse mod fysisk o.a. påvirkning ( tampering ) Falsk frontplade??

Dankortets historie 1985: PIN-kode terminaler Terminal I/O: kortlæser, begrænset tastatur, display. Online-tjek af PIN-kode i forhold til kortnr. Eventuelt online-tjek af kontobeholdning m.m. Formål: Betalingen i butikken foregår hurtigere Butik modtager betaling hurtigere Betalingsgaranti: 3.000 kr., forlænget til 1.1.2008. Sikkerhed: Samme som hæveautomat Procedure for start af terminal m.m. Begrænset rækkevidde: varer til forbruger, penge til butik.

Andre terminaltyper Også i Danmark, fx stormagasiner: Elektronisk fluesmækker læser magnetstribe udskriver nota, som kunden underskriver ikke tjek af PIN-kode Autentificering noget man har: kortet noget man er (kan): foto, underskrift som fluesmækker, men data overføres via magnetstribe dvs. ekstra sårbarhed over for kopiering af magnetstribe

Misbrug 2005 Misbrug (opdaget) 33 mio. kr. = mindre end 10 øre per samtlige transaktioner 4000 sager Niveau acceptabelt, men frygt for stigning Selvrisiko: 0 (uden PIN), 1200 (PIN), 8000 (PIN + uforsvarlighed ) Tabt/stjålet ægte kort Falsk kort atm 16,5 1 pengeinstitut 0,3 0 pos, fluesm. 0,4 0 pos, pin 8 0,03 pos, terminal 3 0 Internet: 4 mio. kr. POS = Point Of Sales (butik)

Misbrug: største poster Tabt/stjålet ægte kort Falsk kort atm 16,5 1 pos, pin 8 0 pos, terminal 3 0 Tabt/stjålet: PIN-kode aflures kort stjæles risiko uændret ved chipkort Falsk kort: PIN-kode aflures magnetstribe kopieres kræver ikke specialudstyr risiko mindre ved chipkort atm, falsk kort, er større forår 2006

Kursusgang 5: Chip-Dankortet Overblik over chip-dankortet Opgaver + Test Baggrund: magnetstribe-dankortets historie Dankort med chip: normal funktion Dankort med chip: beskyttelse

Normal autentificering: chiplæsning Ægthed af kortet (noget man har ) to metoder bruges på chip-dankortet Dankort A/S vil ikke sige hvornår / under hvilke betingelser 1. Statisk metode: Static Data Autentication (SDA) Samme data sendes hver gang 2. Dynamisk metode: Dynamic Data Authentication (DDA) samme som SDA plus challenge-response forhindrer produktion af falsk kort ud fra læsning af statisk data

Autentificering: PIN PIN-kode (noget man ved ) online, som ved magnetstribe-dankort EMV har option om offline PIN-kode autentificering bruges ikke i chip-dankortet

SDA: Static Data Authentication Chippen har signeret kortdata Misbruger som vil skabe kopi-kort skal have kopi af signeret kortdata dvs. kortet skal læses i ondartet terminal afskaffer handel med kreditkortnumre det er ikke nok at kortnummer m.v. er ægte/eksisterer Angriber kan ikke skabe signatur af kortdata da dette kræver udsteders private nøgle

SDA (jf. EMV, s. 21) EEPROM på chip: Issuer~P I S Visa [Issuer~P I ] Kortdata S I [Kortdata]... Kortet indeholder: Kortdata certifikat udstedt af Bank/Issuer garanterer Kortdata Offentlig nøgle P I certifikat udsted af Visa garanterer at P I ~Issuer

DDA (jf. EMV, s. 22) EEPROM på chip: Issuer~P I S Visa [Issuer~P I ] Kortdata~P IC S I [Kortdata~P IC ] S IC... Kortet indeholder: Privat nøgle S IC Offentlig nøgle P IC certifikat udstedt af Bank/Issuer garanterer at P IC ~Kortdata Offentlig nøgle P I certifikat udsted af Visa garanterer at P I ~Issuer

RSA-operationer på terminal (DDA) EEPROM på chip: Issuer~P I S Visa [Issuer~P I ] Kortdata~P IC S I [Kortdata~P IC ] Kontrol af Issuer-data -> P I Kontrol af Kortdata -> P IC S IC... Opgave: EMV, s. 17, note 1: Omtaler hastigheden ved RSA-operationer med eksponent 3 og 2 16 +1. Hvorfor??

Svar på RSA-spørgsmål Opgave: EMV, s. 17, note 1: Omtaler hastigheden ved RSA-operationer med eksponent 3 og 2 16 +1. Hvorfor?? Et spm. om hastigheden i terminalen Eksempel: dekryptering af fx S Visa [Issuer~P I ] = c. den offentlige nøgle er (n,e). Dekryptering af c: c e mod n. e kan vælges til at være 3 eller 2 16 +1. Hvis e ikke vælges bevidst, kan e være ca. 500 bits.

EMV, s.22, hvad betyder kasserne? Issuer/Bank C.A./Visa Kort/IC S IC Kort/IC P IC Issuer S I Issuer P I Visa S Visa Visa P Visa Kortdata IC certifikat Issuer certifikat Acquirer/indløser Kort Terminal

Autentificering i DDA Kort Terminal S IC Tilfældighedsgenerator RSAoperation Kortet isættes Challenge Response R Kontrol P IC Skal vise at kortet indeholder S IC S IC må ikke afsløres S IC ligger ikke på terminalen

Opsummering af chip-baseret autentificering Ægthed af kortet (noget man har ) to metoder bruges på chip-dankortet Dankort A/S vil ikke sige hvornår / under hvilke betingelser 1. Statisk metode: Static Data Autentication (SDA) Samme data sendes hver gang Kortdata: kontonummer, kortnummer, navn,.. kan kopieres til nyt kort men produktion af nyt kort er vanskelig signering viser at kortdata er originale 2. Dynamisk metode: Dynamic Data Authentication (DDA) samme som SDA plus challenge-response challenge: terminalen sender tilfældigt tal response: kortet svarer med signering af tallet produktion af nyt kort kræver at privat nøgle læses (tampering)

Kursusgang 5: Chip-Dankortet Overblik over chip-dankortet Opgaver + Test Baggrund: magnetstribe-dankortets historie Dankort med chip: normal funktion Dankort med chip: beskyttelse

Chip-Dankortet Kontakter Chip bagved Kortnr. Navn Magnetbånd 4408 0412 3456 7890 Peter Jensen 6/12 1234567890 1234 567 Hologram Udløbsdato Kontonr. Kontrolcifre Underskrift

Kontakt + Chip Eksempel på gængs design Kontakter Strøm (to kontakter) Clock I/O Reset Chip samtlige funktioner på en chip 25 mm 2 CPU 3.57 MHz Test Sikkerhed (invasion) I/O ROM RAM EEPROM Read-Only 32 Kb OS Arbejdslager 1 Kb Opdaterbar program cert., nøgler

Lagdelt model EMV-application Kryptografisk bibliotek PKCS#11 bibliotek Client/server understøtter livscyklus låsning af data Transportlag Java Card OS CPU Kryptografiske hw-funktioner

Standarder, offentliggørelse EMV-standarden 1999-2005, fortsat udvikling EMV = Europay + MasterCard + VISA Anerkendte kryptografiske algorithmer RSA, SHA-1, 3DES Standarder for kryptografisk grænseflade mellem chipkort/terminal PKCS#11 client/server-model send kortdata, krypter challenge Standarder for transport mellem chipkort/terminal Hemmeligholdelse valg af optioner i EMV-standarden teknologi til chipbeskyttelse Standarder for kortstørrelse, strømforsyning m.v. Kommunikation terminal/indløser

Chip: livscyklus Produktion (hw + os) Test Testmodul afkobles Program, nøgler m.v. -> EEPROM EEPROM spærres (sw-lås) Almindelig brug Chipfabrik Dankort A/S Kunde CPU 3.57 MHz Test Sikkerhed (invasion) I/O ROM RAM EEPROM Read-Only 32 Kb OS Arbejdslager 1 Kb Opdaterbar program nøgler

Litteraturhenvisninger (ikke nævnt på kursusplan) Konkurrencestyrelsen www.ks.dk Konkurrenceforholdene på betalingskortmarkedet 2001. Juni 2001. Nationalbanken www.nationalbanken.dk Betalingsformidling i Danmark Juni 2005. Marc Witteman. Advances in Smartcard Security. Information Security Bulletin, July 2002, p. 11-22.

Artikler til studenteroplæg Kursusgang / artikel 6. On the Security of Todays Online Electronic Banking Systems. J. Clasessens, V. Dem, D. De Cock, B. Preneel, J. Vandewalle. 7. LAN security: problems and solutions for Ethernet networks Rinat Khoussainov, Ahmed Patel 8. Analysis of the IPSec Key Exchange Standard. Radia Perlman, Charlie Kaufman 9. Remote Timing Attacks are Practical. David Brumley 10. Skype Security Overview: VoIP and Skype Security. Simson L. Garfinkel

Udkast til ni eksamensspørgsmål 1. Gør rede for principperne i DES og fordele og ulemper ved DES. 2. Skitser principperne i Rijndael og gør rede for fordele og ulemper ved algoritmen. 3. Gør rede for fælles træk og forskelle mellem symmetrisk og asymmetrisk kryptering. 4. Gør rede for fordele og ulemper ved forskellige metoder til blokbehandling, fx ECB og CBC (Electronic Code Book og Block Cipher Chaining). 5. Skitser principperne i RSA og gør rede for fordele og ulemper ved algoritmen. 6. Gør rede for kravene til kryptografisk hashing, og beskriv SHA 1 overordnet. 7. Gør rede for principper og udfordringer ved brugen af passwords til autentificering af brugere over for servere. 8. Gør rede for forskelle og ligheder mellem autentificering ved hjælp af magnetstribe og chip på Dankort. Med hensyn til chip baseret autentificering tænkes på statisk og dynamisk data autentificering (SDA og DDA). 9. Gør rede for principperne i digitale certifikater.

Børsen online 10.10.2006 (link på ugeseddel) Dansksproget spammail banker hul i netbankernes sikkerhed Spammail på dansk giver it-kriminelle adgang til danske netbanker. Misbrug er som udgangspunkt bankens ansvar, men kan koste kunden 1200 kroner i selvrisiko. En spammail på dansk, der for tiden florerer på nettet, kan give itkriminelle adgang til din netbank. Det er første gang, at der er fundet dansksproget spam, der kan give kriminelle direkte adgang til svindel mod danske netbanker. Mailen indeholder en såkaldt Haxdoor-virus, der er i stand til at stjæle nøglefiler, som er det sikkerhedsmæssige fundament i mange danske netbank systemer. Virussen - og dermed sikkerhedsbristen - aktiveres, hvis man åbner den vedhæftede fil i spammailen. Danske netbanksystemer betegnes normalt som sikre, og for mange danskere er netbanken i dag førstevalget, når der skal betales regninger, overføres penge eller købes aktier. Skulle uheldet være ude, og svindlere får adgang til ens netbank, kan det koste kunden 1200 kroner i selvrisiko. Resten af et eventuelt tab dækker banken, medmindre der er tale om grov uagtsomhed fra kundens side.