Lagringen av krypteringsnycklar är en svag punkt för lösenordshantering. Hur vore det att slippa att lagra nycklarna? Går det?
IT-säkerhet är på allas läppar, inte minst skräckhistorier om lösenord som stulits. Det pratas om att det finns nästan åtta miljarder lösenord att köpa på de skummare delarna av dark web.
Och det kostar att inte ha säkrade data. Enligt en rapport från Accenture och Ponemon Institute var till exempel kostnaden för dataläckage inom finanssektorn i genomsnitt 18,3 miljoner dollar, drygt 168 miljoner kronor, per företag under 2017.
Det absolut vanligaste sättet att hantera lösenord är att använda sig av hash och salt som sedan lagras i en serverdatabas. Men det försvårar endast knäckning av de starkaste lösenorden vid ett dataintrång. Svagare lösenord kan knäckas på väldigt kort tid oavsett vilken hashingalgoritm som används. Det är problemet som det svenska företaget Authentico Technologies ägnar sin tid åt att lösa med en ny hårdvarubaserad lösning som eliminerar risken för lösenordsknäckning i scenariot av en stulen databas.
Lagra inte nycklarna
En lösning är att inte lagra nycklar någonstans, utan bara skapa dem när de behövs, till exempel för jämförelser vid autentisering. Det gäller att se till att en sådan generering av nycklar inte kan dupliceras under några omständigheter. Sättet att göra det är att basera genereringen på en specifik hårdvaruenhet.
̶ Nycklarna genereras när de behövs och lagras aldrig i minnet eller någon annanstans. Vilka nycklar som genereras är helt beroende av den hårdvaruenhet som används, det går inte att kopiera processen med annan hårdvara än den som används, förklarar Dr. Aysajan Abidin, teknikchef på Authentico och forskare på KU Leuven i Belgien.
Men om brottslingar får tag på ritningar för den hårdvaruenhet som används för att generera nycklar?
̶ Det spelar ingen roll eftersom processen för att generera nycklar baseras på väldigt detaljerade egenskaper för den specifika hårdvaruenheten, till exempel spänningen för enskilda minnesceller. Det här är egenskaper som kan bero på detaljerade aspekter av tillverkningsprocessen, det går inte att duplicera dem, säger Aysajan Abidin.
LÄS MER: Ladda ned White Paper om Authenticos lösning Ciphra
Han förklarar vidare att processen kan hantera en viss felmarginal för hårdvaruenheten. Det ska till exempel gå att generera rätt nycklar om ett antal minnesceller i hårdvaruenheten fallerar. Den beskrivna lösningen kallas för Physical Unclonable Function (SRAM PUF)
Viktigaste attackytan försvinner
Kontentan är att med en hårdvaruenhet av den beskrivna typen så försvinner en av de viktigaste attackytorna för cyberbrottslingar, nämligen lagringen av krypteringsnycklar. Det här gör att Authentico beskriver sin lösning som ” virtually impossible to clone”, alltså i stort sett omöjlig att duplicera. För att uttrycka det enkelt ska man få bästa tänkbara
säkerhet för lösenordshantering på ett skalbart sätt som inte kräver några förändringar i system arkitekturen.
Betyder det här att alla andra lösningar ska betraktas som osäkra?
̶ Problemet med traditionella lösningar är att de bygger på olika hashingalgoritmer som har sina för och nackdelar. Det finns många svaga punkter på olika sätt, säger Philip Lundin, vd på och grundare av Authentico.
Philip Lundin vill inte utnämna några idealkunder för Authentico, utan vill nå alla som har behov av säker hantering av lösenord. Men visst ligger det nära till hands att företag som driver stora webbtjänster är intresserade.
̶ Det kommer att finnas 300 miljarder lösenord i världen nästa år. Vi ser en stor marknad för vår produkt, säger Philip Lundin.
