image

Nieuwe Intel-processoren ondersteunen U2F-authenticatie

maandag 27 februari 2017, 13:50 door Redactie, 6 reacties

Intel heeft aan de nieuwe Kaby Lake-processoren U2F-ondersteuning toegevoegd, zodat gebruikers zonder aanvullende hardware of codes van tweefactorauthenticatie gebruik kunnen maken. De Universal 2nd Factor (U2F) is een open authenticatiestandaard die gebruikers een usb-beveiligingssleutel of nfc-apparaat als tweede factor bij het inloggen laat gebruiken.

Zo ondersteunen Facebook, Dropbox, Google, Windows 10 en GitHub inloggen via een fysieke beveiligingssleutel. De Kaby Lake-processoren van Intel zijn voorzien van de Intel Converged Security and Manageability Engine (CSME). Dit biedt de functionaliteit die voor U2F vereist is, zoals het genereren, registreren en signeren van U2F-challenges met een sleutelpaar, zonder dat hiervoor aanvullende hardware is vereist. "Het voordeel dat Intel U2F direct aan de chipset heeft toegevoegd is dat bedrijven en consumenten niet langer aanvullende hardware moeten aanschaffen om van U2F gebruik te maken", zegt Rich Smith van Duo Security. Het bedrijf ontwikkelt authenticatiesoftware.

Volgens Smith heeft Intel een interessante aanpak voor de implementatie van hun U2F-client gekozen. "In plaats van een usb-apparaat te gebruiken waarmee de meeste mensen bekend zijn, heeft Intel gekozen om hun U2F-client in de software te integreren en op het scherm op een willekeurig gegenereerde locatie een vierkant te laten zien." De gebruiker moet hier vervolgens op klikken. Intel heeft daarbij maatregelen genomen die moeten voorkomen dat dit proces kan worden afgeluisterd of omzeild.

Zodra de gebruiker op het vierkant heeft geklikt is de U2F-challenge gesigneerd door een sleutel die in de hardware wordt opgeslagen en vervolgens aan de browser wordt teruggegeven om op een account in te loggen. "De software-only U2F-implemantie maakt sterke U2F-gebaseerde authenticatie voor alle eigenaren van een Kaby Lake-processor beschikbaar, zonder aanvullende investeringen", gaat Smith verder. Hij hoopt dat dit ervoor zal zorgen dat meer mensen van U2F gebruik gaan maken. Uit cijfers van Duo Security blijkt namelijk dat op dit moment voor alle waargenomen tweefactorauthenticatie-sessies slechts 1 procent van U2F gebruikmaakt en dit het afgelopen jaar niet veel is veranderd.

Image

Reacties (6)
27-02-2017, 14:05 door Anoniem
Universal Authentication of Universal TRACKING?

Ik zie namelijk geen enkel voordeel voor de gebruiker...
27-02-2017, 15:00 door Anoniem
Door Anoniem: Universal Authentication of Universal TRACKING?

De U2F specificatie is expliciet geschreven om als privacy vriendelijker alternatief voor smartcard authenticatie te fungeren. Het is juist NIET mogelijk om gebruikers over meerdere diensten/accounts heen te volgen.
27-02-2017, 15:30 door Anoniem
Door Anoniem:
Door Anoniem: Universal Authentication of Universal TRACKING?

De U2F specificatie is expliciet geschreven om als privacy vriendelijker alternatief voor smartcard authenticatie te fungeren. Het is juist NIET mogelijk om gebruikers over meerdere diensten/accounts heen te volgen.

Waar blijkt dat uit? En wie "managed" dat?

Intel cpu's hebben ingebouwde id's. En Intel ME.

http://hackaday.com/2016/01/22/the-trouble-with-intels-management-engine/
27-02-2017, 16:07 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Universal Authentication of Universal TRACKING?

De U2F specificatie is expliciet geschreven om als privacy vriendelijker alternatief voor smartcard authenticatie te fungeren. Het is juist NIET mogelijk om gebruikers over meerdere diensten/accounts heen te volgen.

Waar blijkt dat uit? En wie "managed" dat?

Intel cpu's hebben ingebouwde id's. En Intel ME.

http://hackaday.com/2016/01/22/the-trouble-with-intels-management-engine/
Helaas heeft AMD ook een soort ME, PSP, in hun nieuwe processoren verstopt, https://libreboot.org/faq/#amdpsp
Zowel Intel als AMD zijn dus niet te vertrouwen omdat ze beiden geen openheid willen geven over wat hun verstopte engines uit vreten.
27-02-2017, 16:30 door Anoniem
volgens mij breekt het security model hier ... als je 2e factor gewoon van dezelfde bron komt als de 1e.. maar goed ik ben paranoia van beroep. snap ook niet hoe mensen kunnen bankieren op de telefoon waar de tan codes op ontvangen worden.
27-02-2017, 21:12 door Anoniem
Door Anoniem:
Door Anoniem: De U2F specificatie is expliciet geschreven om als privacy vriendelijker alternatief voor smartcard authenticatie te fungeren. Het is juist NIET mogelijk om gebruikers over meerdere diensten/accounts heen te volgen.

Waar blijkt dat uit? En wie "managed" dat?
De Anoniem op wie je antwoordt verwijst naar de U2F-specificatie. Daar blijkt dat uit. Daarin staat expliciet dat de gebruikte sleutelparen specifiek voor een service zijn. De service ontvangt tijdens registratie van de gebruiker een publieke sleutel en een 'key handle' (die dus specifiek voor die service is), en bij authenticatie wordt die key handle weer door de server geleverd als identificatie van de te gebruiken sleutel. Omdat de origine van de service (protocol, host, port) in de key handle gecodeerd is kan die niet door andere servers worden gebruikt.
https://fidoalliance.org/specs/fido-u2f-v1.1-id-20160915/fido-u2f-overview-v1.1-id-20160915.html#site-specific-public-private-key-pairs

Het is aardig hoe Yubico hiermee omgaat. Die ondersteunen meerdere registraties bij dezelfde service die verschillende key handles opleveren, en ze genereren het sleutelpaar uit de key handle (bij authenticatie na controle op origine) en een geheime sleutel die per token verschilt. Omdat ze sleutelparen kunnen hercreéren hoeven ze die niet op te slaan. En omdat dat niet hoeft is een token geschikt voor gebruik met een onbeperkt aantal accounts, zonder dat die met elkaar in verband kunnen worden gebracht.
https://developers.yubico.com/U2F/Protocol_details/Key_generation.html

Dus zo kan dat worden gemanaged. Dat betekent niet dat elke implementatie precies zo werkt, maar het is dus mogelijk om zonder opslag van accountafhankelijke gegevens en zonder gegevens te delen tussen accounts toch zo'n systeem te laten werken. Het is een elegante opzet die vermoedelijk ook door anderen dan Yubico wordt toegepast. Hoe Intel het doet in deze processoren? Dat weet ik niet. Maar ik weet wel dat als een gebruiker over meerdere diensten heen te volgen is ze zich niet aan de U2F-specificaties hebben gehouden.

Door Anoniem: volgens mij breekt het security model hier ... als je 2e factor gewoon van dezelfde bron komt als de 1e.. maar goed ik ben paranoia van beroep. snap ook niet hoe mensen kunnen bankieren op de telefoon waar de tan codes op ontvangen worden.
Ze maken gebruik van "Protected Transaction Display", een faciliteit die door hardware ondersteund wordt om venstertjes voor pincodes en dergelijke te maken die niet via software onderschept kunnen worden en dus met een menselijke gebruiker "praten". Maar dat vervangt het fysiek aanraken van de tiptoets of knop op het USB-token, en het is een software-client die dat venstertje aanstuurt. Dan lijkt mij dat software aan de Intel-chip vertelt dat de gebruiker de authenticatie laat doorgaan, en dat zou een kwetsbaarheid kunnen zijn. Ik vind een USB-token daarom overzichtelijker.

Het is natuurlijk ook wel zo handig dat je een token met meerdere computers kan gebruiken. Maar mij staat bij dat het ook mogelijk is om meerdere tokens aan een service te koppelen, dus dat is misschien geen beperking.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.