Exploring innovations in trust mechanisms



Novay did a study for SURFnet on innovations in service provider authenticity and behaviour. This study was done by my colleague Martijn Oostdijk and myself, in collaboration with Roland van Rijswijk-Deij from SURFnet (and Radboud University). We basically explored what innovations there are to better assess trustworthiness of service providers. This can be trust in the server authenticity (is the service provider who he appears to be?) and the behaviour (will the service provider behave as expected?). Trustworthiness of users was out of scope for this study. The goal of the study was to assess the feasibility of deploying these innovative trust mechanisms and their potential impact for SURFnet and its community. We followed a wisdom-of-the-crowd like approach, involving experts from SURFnet, Novay and SIDN in determining what mechanisms are most relevant and most promising.

Read the rest of this entry »

An NFC app to make your offline identity mobile?


Blogpost by Maarten Wegdam and Martijn Oostdijk

We believe that there is a bright future for the combination of smartphone and digital identity, which we refer to as mobile-centric identity. The question is, of course, how and when, and probably also who (which organisations) will benefit from this.  To contribute to making mobile-centric identity happen, we are experimenting with how we can use a smartphone to get access to our ‘offline identity’, i.e., our passport / ID card. More specifically, we developed an Android app, called NFC Passport reader, that uses NFC to read the chip embedded in a passport / ID Card (aka ePassport). This app is now available from Google Play.

What did we do?

Read the rest of this entry »

Step-up authentication as-a-Service


IDentity-as-a-Service (IDaaS) was a hot topic in 2012 (e.g., this blog post of Dave Kearns), and probably will continue to be so in 2013. In a project for and with SURFnet (Dutch NREN) Novay designed a IDaaS-like service to make existing identities more trustworthy: Step-up authentication as-a-Service. (No idea more to abbreviate this: SuaaaS?)  The Step-up authentication as-a-Service we designed addresses this need by making it possible to increase the trustworthyness (put differently: increase the level of assurance) of identities in an existing identity federation. The service addresses both the technology and the process/registration side: a second factor authentication and an additional face-2-face check who this digital identity (and second factor) actually belongs to.

From a user perspective, the service has a self-service interface to register a second factor (see mockup below), an interface for the identity providers for user management (see second mock-up below) and of course every time a step-up authentication is needed the user is re-directed to the Step-up authentication as-a-Service to authenticate with this second factor.

Read the rest of this entry »

Tooling and methologies for privacy & security in the cloud


We recently finished a project on privacy& security in the cloud for SURFnet (Dutch NREN, responsible for the Dutch research network and middleware services on top of this). Basically, we supplemented work of others that focussed on the contractual and legal perspective with a more technology perspective. We listed what an organisation can do themselves to improve privacy & security when taking applications to the cloud, focussing on authentication, autorisation, provisioning/account management and encryption. Below a more eloborate blog post in Dutch.

Zelf zorgen voor security en privacy in de cloud

Read the rest of this entry »

Internet banking fraud in the Netherlands: 3.5 times more damage in 2011 (phishing)


The Dutch Banking Association (NVB) published new internet banking fraud numbers yesterday. Compared to their numbers about half a year ago, there is a very significant increase in amount of damage. Previous numbers indicated a factor of two for 2011 compared to 2010, but apparently the fraud further increased in the second half of 2011, resulting in a factor of 3.5 increase. The total damage is now also adding up to €35M. Although NVB is correct is stating this is relatively not a lot (0.001% of total internetbanking volume), €35M is still €35M. Note that this amount is what they reimbursed to customers that were a victim of internet banking fraud (i.e. phishing). Costs associated with prevention, detection etc are not part of this amount.

What worries me most is the relative increase of these numbers, from 2009 to 2010 the damages increased fivefold, and from 2010 to 2011 they increased by a factor of 3.5. Playing with these numbers, damages in 2012 could be €70M (if the banks manage to slow down the increase to a factor of 2) or €122M if it stays a factor of 3.5. Banks, of course together with police, (Electronic Crimes Taskforce etc), will need to slow down this growth.

SIM augmented authentication as alternative for SIM based?


We recently did an assessment of a so-called SIM augmented authentication token, or VASCO’s new DigiPass Nano product to be more specific. We did this for SURFnet, for which we previously also did an assessment of Mobile PKI. We liked Mobile PKI, but it has a big disadvantage: you depend on your mobile network operator to be able to use it (and in the Netherlands they are not deploying this any time soon). This disadvantage is the main motivation to look at SIM augmented tokens. These are, as the term suggests, added to in stead on being ‘inside’ the SIM card.

So what is a SIM augmented authentication token? Physically it is a sticker with an embedded chip that you stick on your SIM card and sits between the SIM card and the mobile phone. The chip stores a secret used for authentication, which is more secure than storing the secret in a ‘normal’ mobile app. This secret is used by an authentication application that is also runs from this chip. This application, from the perspective of the mobile phone, appears to be a normal SIM application, and can work on basically any phone (smart of dumb). The only SIM augmented authentication token that I’m aware of is the above mentioned  DigiPass Nano from VASCO (let me know if you know of others?). The DigiPass Nano implements an event-based one-time-password functionality, i.e., it generated a new code every time the user asks for it.

We did an assessment of the usability, security and business model aspects. Below I copied the conclusions, but the bottom-line is that we believe from a security perspective this is a good alternative to other one-time-password solutions, and it more secure than solutions implemented as a mobile app. The main benefit is that it works on basically any phone (also non-smartphones), and you you can deploy it without needing help (and investments) from your mobile operator. The main disadvantage is the user experience. We did some limited testing with putting the sticker on, which was ok, but the user experience of getting a one-time-password can be troublesome. It requires the user to find SIM applications on their mobile phone, which are often hidden somewhere deep in the menu’s. My estimate is that this usability limitation will need to be addressed for this technology to get acceptance beyond specific enterprise use-cases. Or to put it differently, I’d do very carefull usability optimizations/testing before deploying this to millions of consumers.

This assessment was joint work with my colleague Martijn Oostdijk, see his blog for more details on especially the security aspect. The full report of our assessment is available via the SURFnet website. If you’re looking for a wider perspective on the combination of mobile and digital identity, see this previous blog post on our mobile-centric identity vision.

6 Conclusions

The Digipass Nano uses a form factor that is relatively unique in the authentication token market. It is a SIM augmented token, a thin patch/sticker including an embedded chip that sits between the SIM and the user’s mobile phone. The key advantages of this form factor are:

  • secure storage of credentials under a “security domain” that is distinct from the other stake holders (e.g. mobile operators, handset vendors),
  • while at the same time the ability to use the user-interface of the user’s existing GSM handset,
  • and, potentially, the use of the mobile phone’s GSM or 3G network.

As most users will always carry their mobile phone with them, this means that the token will be present during transactions in many different contexts.

The technology underlying SIM augmentation is based on standards that have existed for a long time, are present in billions of GSM handsets around the world, and have proven to be relatively secure given the threat landscape thus far. The DP Nano does not use all features offered by this technology (it only uses the user interface features, not, e.g., the network features present in GSM 11.14). However, a number of variations of the DP Nano exist (see [10], apparently targeting different markets) which do utilise the networking capabilities of the GSM SIM, and which appear to more strongly bind the token to either handset (“IMEI lock”) or SIM (“IMSI lock”).

On paper, from a technological and security perspective, SIM augmented tokens compare well to other mobile and possession based tokens such as SMS OTP, OTP tokens, mobile soft tokens, and smart cards. As to the security, threats from malware on the handset are minimal as long as the SIM toolkit API interface is properly implemented on the handset.

The user experience may cause some problems for certain groups of users, depending on the issuance and installation process (e.g. whether users are required to install the token themselves). The DP Nano requires the user to navigate through unfamiliar text based menus in order to start up the application when asked by the SP to provide an OTP. This is the most prominent drawback when compared to e.g. the Mobile PKI experience (as described in [8]) where the authentication application on the handset it triggered over the air.

From a business model perspective SIM augmented tokens are interesting as they separate the role of SIM based authentication provider from the role of MNO. Obviously, being the first of its kind and relying on a server side licensing model and proprietary implementation, whether a choice for the DP Nano provides a positive business case when compared to MNO provided SIM based authentication remains to be seen.

Interesting features to add could be:

  • Lock the token to IMSI or IMEI (possible, according to [10])
  • Use the network to initiate authentication transactions (drawback: implies sending service SMS messages to the token, which may mean cooperation of a MNO or at least per-transaction costs)
  • Use the network as an OOB channel during an authentication session (e.g. to display transaction details, similar drawback as above)
  • Use the network to “blacklist” a token when a token is reported stolen
  • Combine SIM augmented solution with a handset resident application to provide a better user experience (may be dependent on operating system and handset to provide installed apps with an API for communication with SIM)

The latter option is particularly attractive as a way to enhance the security of SURFnet’s tiqr solution (see [11]) and other mobile app solutions.

Since a one-size-fits-all solution to authentication does not exist, in the end SIM augmented solutions will likely find a market alongside authentication tokens with different form factors.

Hacks will happen, but the damage can be less (DigiNotar)


Below a blog post in Dutch on the DigiNotar certificate authority hack, and two lessons we can learn from this. The bottom line of the post is that DigiNotar wasn’t the first and won’t be the last certificate authority to be hacked. Although I support that the PKI system needs to be changed, this will take a long time. In the mean time, since hacks are IMHO unavoidable, we should make sure we do better damage control. Lesson 1 is make sure there is a very serious obligation for Certificate Authorities to report hacks e.g., prison). Lesson 2 is that companies should make sure they can switch to new certificates more quickly (so that the now untrusted certificates can be revoked immediately without loss of business continuity, contrary to what is happening now).

Hacks zijn niet te voorkomen, drama’s wel (DigiNotar)

De media staan bol van de cyberaanval van Iraanse hackers op de Nederlandse digitale certificaten leverancier DigiNotar en de verstrekkende gevolgen daarvan. Elektronische dienstverlening wordt lamgelegd of loopt tenminste een gevoelige deuk op als het gaat om het vertrouwen. DigiNotar is niet de eerste en ongetwijfeld ook niet de laatste digitale certificaten leverancier die gehacked wordt. Het DigiNotar drama heeft ons wel twee zaken geleerd om de schade te beperken: zorg ervoor dat dit soort hacks meteen gemeld worden en zorg dat bedrijven/overheid snel kan overstappen op alternatieve certificaten.

Dagelijks is het in juli gehackte bedrijf DigiNotar in het nieuws. Hackers hebben digitale certificaten aangemaakt waardoor ze zich kunnen voordoen als bijvoorbeeld Google’s emaildienst gmail, of DigiD (zie Fox-IT rapport van 5 september 2011). Met grote gevolgen voor privacy en vertrouwen, we weten namelijk niet met welke website we communiceren. DigiNotar, dat beveiligingscertificaten uitgeeft, krijgt veel kritiek over het te laat melden van de cyberinbraak. Nu, zo’n zes weken na dato, worden alle certificaten afkomstig van het bedrijf ongeldig gemaakt. Het probleem is dat daardoor ook bonafide gebruikers van die certificaten, zoals DigiD, problemen hebben om hun dienstverlening te continueren. De hack zorgt dus niet alleen voor veiligheidsproblemen (bv afluisteren internet verkeer), maar ook voor business continuity problemen.

DigiNotar was een geaudit en gecertificeerde leverancier van digitale certificaten (zie bijvoorbeeld dit PWC certificaat van 1 november 2010), en stond als betrouwbaar bekend. DigiNotar is gehacked ondanks deze certificering en audits, en uit het Fox-IT rapport is gebleken kwam dit omdat er het nodige mis met de beveiliging bij DigiNotar (en niet bijvoorbeeld omkoping of ‘pech’). Het is niet de eerste keer dat een certificaten leverancier gehacked is, eerder dit jaar gebeurde dit al bij Comodo. Het heeft er ook alle schijn van dat het om dezelfde hacker gaat. Er zijn meer dan 500 leveranciers van digitale certificaten, en het is een kwestie van tijd voordat dit weer gebeurt. Er is en zal de komende tijd nog veel gesproken worden over waarom de hack bij DigiNotar gelukt is, en mogelijk worden andere certificaten leveranciers voorzichtiger. Dit verandert echter niks aan het feit dat 100% veiligheid in de digitale wereld onmogelijk is, dat geldt ook voor de certificaat leveranciers en dat dit zeker geldt voor 500+ leveranciers. Ik sluit mij aan bij velen die oproepen voor een nieuw systeem voor certificaten, zie bijvoorbeeld Moxie Marlinspike, maar ben tegelijk sceptisch of dit snel genoeg en echt structureel voor een oplossing zorgt.

We kunnen echter wel twee lessen leren uit het DigiNotar drama die helpen de schade te beperken na een hack bij een certificaten
leverancier. Les één is een serieuze meldplicht voor certificaat leveranciers. We moeten de regels zo aanpassen dat een
certificaat leverancier meteen bekend maakt als ze gehacked zijn. Er kunnen dan meteen maatregelen genomen kunnen worden (lees: de certificaten van die leverancier niet meer vertrouwen). Een meldplicht is echter gemakkelijker gezegd dan gedaan. Het bekend raken van een hack leidt tot grote reputatieschade en kan makkelijk tot faillissement van de leverancier leiden. Een simpele meldplicht zal dus niet werken. Het alternatief van niet melden moet ‘erger’ gemaakt worden dan deze schade. Dit kan door, zoals ook door PvdA tweede kamerlid Martijn van Dam wordt gepropageerd, door strafrechtelijk vervolging. Probleem hierbij is wel dat er certificaat aanbieders zijn over de hele wereld. Nederlandse wetgeving alleen heeft zo een vrij beperkte invloed, op zijn minst moet dit Europees.

De tweede les is gaat meer over business continuity. Gebruikers van certificaten moeten per direct over kunnen schakelen op een andere leverancier. Dit zodat de niet meer vertrouwde certificaten per direct ook niet meer gebruikt hoeven te worden, zonder de continuïteit van de dienstverlening in gevaar te brengen. Na het bekend worden van de DigiNotar hack zijn de PKI Overheid certificaten nog een tijd lang gewoon gebruikt, en minister Donner heeft zelfs Microsoft zover gekregen een update uit te stellen die gebruikers zou vertellen dat deze certificaten niet meer vertrouwd zijn. Dit omdat de Nederlandse overheid en anderen blijkbaar niet in staat zijn snel over te schakelen op andere certificaten. Dit is een kwalijke zaak. Naast technische maatregelen is de doorlooptijd van het registratieproces onderdeel van het probleem. Immers moet de certificaataanbieder verifiëren dat de aanvrager is wie die zegt dat hij is, vaak door een face-2-face controle. Bijvoorbeeld door voor kritische diensten alvast een certificaat van een ander certificaat aanbieder aan te vragen kan deze doorlooptijd vermeden worden.

Inmiddels gaan er ook stemmen op voor een grotere taak van de overheid in deze. Dat is een les die mijn inziens niet getrokken kan worden uit dit drama. Wat er door de overheid en wat er door het bedrijfsleven gedaan moet en kan worden is een genuanceerde afweging, en veiligheidsincidenten zijn en blijven er ook bij de overheid zelf.

Een les die we ook niet kunnen trekken is dat e-dienstverlening niet veilig genoeg kan. De risico afwegingen en maatregelen vereisen wel meer aandacht van zowel politiek als hogere managementlagen van het bedrijfsleven. De positieve kant van deze DigiNotar inbraak, maar ook bijvoorbeeld de recente inbraak bij Sony playstation network, is dat ze zo publiek zijn dat die aandacht er ook eindelijk komt.