Test Smart Token Security [chiuso]

0

Ho una domanda. Uno dei miei colleghi mi ha dato un Smart Token che consiste in una chiave pubblica / privata e mi ha chiesto se posso testare la sua sicurezza. Ho detto che dovrebbe essere testato in un laboratorio attrezzato per il superamento dei test standard FIPS. Tuttavia mi stavo chiedendo se posso testare questo token con alcuni strumenti e controllare se è sicuro. Ho cercato nel web ma non ho trovato nulla di utile. Qualcuno qui ha qualche esperienza in questo settore? Qualsiasi aiuto sarebbe molto apprezzato.

EDIT: Poiché la mia domanda potrebbe non essere chiara come penso, la metto in un approccio pratico, se ti ho dato un token PKI e ti mostro alcuni certificati che ha come FIPS-140 , PKCS11, ... dovresti usare questo token PKI nelle tue applicazioni sicure? In altre parole, ti fidi di un dispositivo sicuro con certificati che il produttore afferma di avere ?? Cosa succede se c'è un hardware Torjan o backdoor implementato nel dispositivo?

    
posta A23149577 17.08.2014 - 07:14
fonte

1 risposta

1

Penso che il tuo approccio dipenderà da quali requisiti ha il tuo collega per la sicurezza del sistema. Il token stesso svolge un lavoro molto semplice come parte dell'architettura di autenticazione. Quello che starete veramente testando è il comportamento del software sul server che, presumibilmente, vi viene fornito da un fornitore. A tal fine, ecco alcuni test che devono passare, come minimo, affinché tu sappia che il sistema funziona:

  1. Autenticazione. Fornisci le credenziali corrette per l'utente associato al token, insieme al fattore di possesso (il codice token) e assicurarsi di essere in grado di accedere al sistema.
  2. Accoppiamento fattore utente. Fornisci le credenziali corrette per un altro utente, insieme al fattore di possesso, e assicurarsi che l'autenticazione fallisce.
  3. Invalidità del fattore. Fornire lo stesso fattore di possesso due volte in successione, insieme a credenziali valide, e garantire che l'autenticazione fallisce la seconda volta.
  4. Scadenza del fattore. Fornire un fattore di possesso sufficientemente vecchio insieme a credenziali valide e assicurati che l'autenticazione fallisca.

Modifica: la mia risposta presuppone che si tratti di un token di autenticazione a più fattori disconnesso. Più comunemente, questi sono sincronizzati nel tempo. Perdonami se non ti spinga ulteriormente se hai a che fare con un token connesso come una smart card .

    
risposta data 17.08.2014 - 16:37
fonte