4.6.2014 | Blogg

Öryggi snjalltækja tryggt með rafrænum skilríkjum

advania colors line

Í framþróun lausna fyrir snjalltæki (snjallsíma og spjaldtölvur) hefur öryggi farið halloka.  Oft er auðkenning notenda að gagnaveitum í gegnum snjalltæki einfaldlega slök og þá er hvorki vænlegt að senda né taka á móti viðkvæmum upplýsingum eða leyfa aðgerðir sem fullnýta  möguleika þessara tækja. Það er mikil þörf á því að bæta um betur og það var kveikjan að meistaraverkefni mínu í tölvunarfræði við Háskóla Íslands sem ber nafnið „Öryggi snjalltækja með hjálp rafrænna skilríkja.“

Bætt öryggi með vinsælum auðkenningaleiðum

Markmiðið með verkefninu var að forrita fullkomið bakendakerfi sem gerði mögulegt að gefa út rafræn skilríki á snjalltæki á öruggan máta. Til þessa eru nýttar auðkenningaleiðir sem eru opnar öllum Íslendingum. Þar er átt við rafræn skilríki frá Auðkenni ehf. og Íslykil Þjóðskrár Íslands. Með þessum rafrænu skilríkjum ættu notendur síðan möguleikann á  því að framkvæma ýmsar aðgerðir á móti öflugu vefþjónustulagi með öruggum hætti.

Ávinningurinn

En hver er svo ávinningurinn af þessu nýja kerfi og hvað getur almennur notandi gert með því? Með sterkri fyrstu auðkenningu er meðal annars gefinn möguleika á að búa til miðlægt undirritunarskilríki sem notandinn getur notað á vefnum eða í gegnum smáforrit (app) á snjalltækinu sínu til að undirrita skjöl rafrænt. Einnig bjóða skilríkin á tækinu upp á að dulritun með dreifilykli skilríkisins svo hægt er að dreifa skrám á snjalltæki sem engin leið er að afkóða nema á sjálfu tækinu.

Byrjað á Android smáforriti

Kerfinu var skipt upp í nokkra kerfishluta í þeim tilgangi að geta dreift því milli nokkurra miðlara með tilliti til öryggis, afkasta og aðskilnaðar hlutverka. Grunnkerfið var skrifað í .Net C# með WCF SOAP vefþjónustum og ASP.Net vefsíðum sem höfðu samskipti við EJBCA útgáfustöð rafrænna skilríkja og dulritaða Microsoft SQL gagnagrunna. Hugmyndin var að byggja upp öflugt vefþjónustulag sem mætti aðlaga að nánast öllum tækjum en í prófunarfasa var skrifað Android smáforrit fyrir Samsung S3 snjallsíma. Með forritinu var hægt að sækja um (og afturkalla útgefin) rafræn skilríki, senda skjöl til undirritunar og afkóða dulritaðar skrár með einföldum hætti.

 

Stuðst við staðla

Lagt var mikið upp úr því að útfæra einfalda lausn fyrir rafrænar langtímaundirritanir á PDF skjölum. PAdES staðlinum frá Evrópsku fjarskiptastaðlastofnuninni (ETSI) var fylgt til hins ítrasta við útfærsluna. Mjög mikilvægt er að fylgja stöðlum við rafrænar undirritanir annars munu þær hugsanlega ekki standast lagarýni. Rafræn langtímaundirritun inniheldur upplýsingar um gildi skilríkis auk tímavottunar frá traustum aðila.

Óháðir eftirlitsaðilar votta

Hvað dulritun skráa varðar þá var notast við staðlaða „key exchange“ útfærslu með traustum reikniritum með RSA og AES lyklum. Búinn er til samhverfur (AES) dulritunarlykill fyrir hverja skrá sem er síðan notaður til að dulrita skrána. Loks er ósamhverfur dreifilykill (RSA) móttakanda notaður til að dulrita dulritunarlykilinn og settur fremst í dulrituðu skrána. Við dulritum skal ávalt nota traust og stöðluð reiknirit sem hafa farið í gegnum vottanir frá óháðum eftirlitsaðilum svo sem NIST eða OWASP.

Nýtist bæði í leik og starfi

Með rafrænni undirritun beint úr símanum (eða spjaldtölvunni) er hægt að að staðfesta ýmsa gjörninga hvar og hvenær sem er. Þetta mætti til dæmis nota til að undirrita samninga eða umsóknir í PDF skjölum. Einnig má staðfesta færslur eða úttektir á XML skeytum. Dulritunina má einnig nota til að koma leyndarmálum eða trúnaðarupplýsingum til notenda. Þar má til dæmis nefna undirritaða samninga eða hvað annað sem við viljum alls ekki að óviðkomandi sjái.


Mörg skemmtileg verkefni framundan

Mikill áhugi er að halda áfram frekari þróun á kerfinu og skrifa biðlara fyrir iOS og Windows snjalltæki. Einnig væri gaman að útfæra fleiri aðgerðir í kerfinu svo sem auðveldari skráarskipti, auðkenning gagnvart öðrum kerfum, undirritunarský fyrir skjöl og umsjónarvef til hjálpar notends kerfisins. Möguleikarnir með skilríkin er óteljandi hvort heldur til undirritunar eða dulritunar. 

Ef tími gefst til  þá er nóg af skemmtilegum verkefnum til að leysa. Fyrsta skref er þó að koma kerfinu almennilega í loftið og gefa góðum notendahóp aðgang svo hægt sé að gera frekari prófanir á því.

 
TIL BAKA Í EFNISVEITU