Technology

Peneliti mengidentifikasi kerentanan protokol FIDO2 – Keamanan

Sekelompok peneliti yang sebagian didukung oleh Yayasan Sains Nasional Amerika mengklaim bahwa mereka telah mengidentifikasi cacat desain dalam sistem otentikasi FIDO tanpa kata sandi.

Pekerjaan mereka, Analisis Keamanan yang Dapat Dibuktikan dari FIDO2diterbitkan minggu lalu di Arsip ePrint Cryptologic Research Association for Cryptologic Research.

Aliansi FIDO diluncurkan pada tahun 2013 oleh sekelompok vendor dan layanan teknologi termasuk PayPal; sekarang menghitung Microsoft, Google, Apple dan Facebook di antara anggotanya.

Pada bulan Februari 2016, World Wide Web Consortium (W3C) mulai mengerjakan standarisasi FIDO 2.0.

Login tanpa kata sandi didasarkan pada dua protokol utama: WebAuthn W3C, dan Protokol Client-to-Authenticator (CTAP2).

Bagian WebAuthn dari login yang didukung FIDO menggunakan perangkat autentikator tepercaya (smartphone atau token keamanan) untuk membuat kunci pribadi untuk sesi komunikasi; sementara CTAP2 mengikat klien tepercaya ke autentikator.

“Secara kasar, [CTAP2’s] tujuan keamanan adalah untuk ‘mengikat’ klien tepercaya ke autentikator pengaturan dengan meminta pengguna memberikan PIN yang benar, sehingga autentikator hanya menerima perintah resmi yang dikirim dari klien ‘terikat’”, kata surat kabar itu.

Namun, pendekatan CTAP2 tidak “terbukti aman” (istilah formal yang berarti bahwa protokol atau produk dapat dibuktikan secara matematis aman).

Dalam analisis mereka, para peneliti mengutip dua aspek CTAP2 yang membuka kemungkinan vektor serangan.

Yang paling penting adalah ia menggunakan pertukaran kunci Diffie-Hellman yang tidak diautentikasi.

Ini membuka pintu ke dua jenis serangan, kata surat kabar itu: serangan MITM sederhana, memberikan penyerang akses ke kunci keamanan dan oleh karena itu komunikasi pengguna; atau penyerang dapat menyamar sebagai klien ke autentikator.

Kelemahan lainnya adalah bahwa smartphone atau PC yang menggunakan FIDO2 untuk login menghasilkan satu “pinToken” saat startup.

PinToken itu kemudian digunakan untuk semua komunikasi berikutnya, yang berarti keamanan hilang jika salah satu sesi tersebut dikompromikan.

Makalah ini menyarankan untuk mengganti bagian CTAP2 dari pertukaran FIDO dengan skema lain untuk menghilangkan masalah ini.

Analisis Keamanan yang Dapat Dibuktikan dari FIDO2 adalah karya Manuel Barbosa, Universitas Porto (FCUP) dan INESC TEC di Portugal; Alexandra Boldyreva dari Institut Teknologi Georgia di AS; Shan Chen dari Darmstadt Technische Universitat di Jerman; dan Bogdan Warinschi dari Universitas Bristol.

Posted By : pengeluaran hk hari ini 2021