Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

安全身份认证协议与fido DEFCON GROUP 010 2017-3-30

268 Aufrufe

Veröffentlicht am

闵晓宇,毕业于瑞典皇家工学院和芬兰阿尔托大学,拥有ICT和嵌入式系统双硕士学位,现在主要进行嵌入式软件开发与嵌入式安全评测工作,负责研究与开发了OSR(一家公司)全系列FIDO产品,并且参与了包括TEE安全测评标准在内的多项行业安全标准草案的制定以及相关的评测工作。我想你们已经知道该问他些什么问题了吧?他的议题如下: 认证协议及FIDO 视频演示使用U2F USB Key展示FIDO U2F的身份认证登录过程,简单介绍FIDO U2F的身份认证流程与实现。 简单介绍生活中常见的身份认证协议和方式,例如用户名密码,指纹,U盾,短信之类的,以及其缺点 分析FIDO认证协议设计的优点和缺点(U2F&UAF)。包括FIDO协议是如何保护和防范类似中间人、重放之类的常见攻击,FIDO协议的设计是如何提升攻击难度和破解门槛,以及其可能存在的漏洞与脆弱点。 总结和展望安全身份认证协议的发展趋势 FIDO: Fast Identity Online U2F: Universal 2nd Factor UAF: Universal Authentication Framework

Veröffentlicht in: Internet
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

安全身份认证协议与fido DEFCON GROUP 010 2017-3-30

  1. 1. 安全身份认证协议与 闵晓宇 2017/3/30 · 深圳 WWW.OPSEFY.COM 1
  2. 2. A Quick Demo on U2F WWW.OPSEFY.COM 2
  3. 3. 流程示意 WWW.OPSEFY.COM 3 FIDO Universal 2nd Factor FIDO Universal Authentication Framework
  4. 4. 身份认证 “我”是“我” “别人”不是“我” 身份信息的管理 ◦ SW-based Password Manager ◦ HW-based Password Manager WWW.OPSEFY.COM 4
  5. 5. 安全威胁Cases WWW.OPSEFY.COM 5 海康威视“黑天鹅”事件 雄迈科技产品被黑事件 “The Fappening” 网易“拖库”事件 电信诈骗 Etc.. 默认密码 钓鱼、Sim卡复制 账户信息泄露
  6. 6. 如何保障安全 WWW.OPSEFY.COM 6 图片摘自http://tcca.crypto.cn/sharedimages/articles/CICA2015/身份认证技术标准及FIDO介绍.pdf 服务端与设备端双向认证 服务端不保存用户秘密 帐号之间没有可链接性 使用加密硬件保护信任根 设备本身不保存账号数据
  7. 7. 认证服务器FIDO Client (浏览器/OS) 认证设备 随机数 1. 验证服务器证书&SSL 2. 计算挑战参数 a) URL+随机数+SSL ChannelID的哈希 b) 目标服务器URL哈希 3. 发送给认证设备 Challenge Param, App Param 1. 用户进行物理确认 2. 生成密钥对(PRK, PUK) 3. 生成注册句柄 4. 使用设备证书私钥 签名 注册句柄+签名 验证签名; 存储公钥、句柄 随机数,注册句柄 1. 用户进行物理确认 2. 本地Counter自增 3. 验证句柄,计算私钥 4. 使用私钥进行签名 签名 验证签名(公钥); 验证Counter; 返回结果 U2F实现细节 注册过程认证过程 7WWW.OPSEFY.COM
  8. 8. 潜在威胁 WWW.OPSEFY.COM 8 密钥替换攻击(针对服务器端) 钓鱼攻击(中间人) 服务器端证书 Client端攻击(针对OS/浏览器) 诱导用户在认证设备上进行登录行为 针对信任根的攻击 攻击加密算法 攻击硬件设备 设备供应商后门 etc. Name Key Handle Other Infor. Alice DCEFGE.. … Bob FKMLIS.. …DCEFGE..
  9. 9. 未来发展 安全性与便利性的平衡 借助芯片安全的发展(使用TEE/eSE/inSE等技术) 与物联网的统一 etc. WWW.OPSEFY.COM 9
  10. 10. 10WWW.OPSEFY.COM

×