sábado, 11 de febrero de 2006

Autenticación basada en la implantación de chips

Leo vía Kriptópolis un comentario titulado "Trabajo a flor de piel" que trata de la utilización de CityWatcher, una empresa nortamericana de videovigilancia, que va a exigir un implante subcutáneo de Verichip a los trabajadores que hayan de acceder a su centro de datos.
Aparte de lo cuestionable de la medida respecto a exigir al trabajador que se realice un implante, como todo en seguridad, lo importante es la efectividad de la medida.
Imagino que estos inventos raros tratan de sorprender al mercado con fines publicitarios, dado que este tipo de mecanismos son muy mediaticos y la empresa que los fabrica suele tener una publicidad gratuita impagable. Pero el fondo de la cuestión es otro, la parte técnica que está detras. Y como siempre, detrás de estas cosas que parecen una solución infalible y definitiva, siempre hay alguien capaz de encontrar el talón de Aquiles y demostrar la posible inutilidad de la medida. En concreto, hay quien ha podido demostrar que estos chips son "hackeables". Se puede leer en Demo: Cloning a Verichip

Análizando este nuevo sistema como mecanismo de autenticación tenemos:
a) Es un mecanismo de autenticación de un doble factor (algo que se tiene y algo que se sabe, aunque esto último es controlado por la empresa que graba esa información).

b)Si este tipo de dispositivos son reutilizables (Desconozco si lo son o no), entonces la posibilidad de segundas escrituras deja abierta la opción de una vez implantado el chip que la información que esté identificando al poseedor del chip pueda cambiar, por lo que no identificaría a la persona, solo la reconocería como trabajador por el hecho de llevar el chip. Imagino que la seguridad reside en la dificultad de acceder al chip para alterarlo si esta funcionalidad no se permite de forma remota, que imagino que así será.

c)Si el empleado no controla la información que se graba dentro del chip, siempre podría alegar que no gestiona la clave que le identifica y por tanto, que no puede ser responsable de su custodia.

Ahora bien, como suele ocurrir otras veces, creo que se tiene un mecanismo de autenticación potente, pero un proceso de autenticación debil. Quiero decir que por lo que deduzco de ver como pueden haber hackeado el chip, el método es lo que se ha conseguido copiar. Si uno es capaz de generar frente a una señal de entrada una misma salida que el chip original, no tiene que conocer que hay dentro para que la imitación sea completa.

Este tipo de mecanismos creo que tienen que cumplir varios requisitos:
a) El usuario controla la clave privada para poder ser responsable de los actos que concurran sobre ella.
b) Cada señal que interrogue al dispositivo de autenticación tiene que ser una salida aleatoria para no poder "adivinar" frente a una entrada, cual es la salida.
c) La seguridad del dispositivo tiene que garantizar que una vez introducida la clave privada, está no saldrá jamás del contenedor. Ni siquiera debe contemplarse la opción de resetear la contraseña.

Y como no, la gran pregunta, ¿Justifica el riesgo de acceso no autorizado semejante medida? ¿Es el riesgo más prioritario a controlar dentro de la organización?
 
;