Kristian Gjøsteen 27. juni 2008

Transkript

1 eid og BankID Kristian Gjøsteen 27. juni Innledning BankID er et system for elektronisk identifikasjon, såkalt eid, utviklet av norsk banknæring. Høsten 2007 offentliggjorde vi sammen med professor Kjell Jørgen Hole en kort analyse [4] av oppbygningen av BankID 1 der vi påpekte flere alvorlige konstruksjonsfeil. Nå har vi utført en detaljstudie av deler av BankID-systemet. Funnene våre totalt sett kan kort oppsummeres slik: f1. Det er prinsipielle problemer med oppbygningen av BankID. f2. Det er vanskelig å bruke BankID riktig. f3. Flere alvorlige sikkerhetsfeil i BankID er forårsaket av tildels overraskende kryptografiske feil. Disse funnene fremtvinger følgende konklusjoner: k1. BankID i sin nåværende form er uegnet som eid-system. k2. Bankenes kvalitetssikring av BankID har vært for dårlig. k3. Dagens «godkjenningsordning» for eid-systemer er for dårlig. Dette notatet er organisert som følger. Kapittel 2 gir en kort oversikt over hva eid er, hvorfor eid er interessant og hvilke krav som må stilles til eid-systemer. I Kapittel 3 gir vi en oversikt over hvordan BankID virker, hvilke funn vi har gjort og hvordan disse underbygger konklusjonene. En teknisk presentasjon av resultatene finnes i [3]. Merknad 1. Det eksisterer andre eid-løsninger enn BankID, både norske og internasjonale, og flere løsninger er på trappene. Vi ønsker ikke å si noe om disse systemene da vi ikke har tilstrekkelig informasjon om hvordan de virker til hverken å anbefale eller advare mot dem. 1

2 2 Om eid Hva er eid? Internett er et digitalt kommunikasjonsnettverk som gjør det enkelt og billig å kommunisere med andre. Men internett er konstruert på en slik måte at man i utgangspunktet ikke vet hvem man snakker med. Dette gjør det vanskelig å tilby tjenester der man må vite hvem man snakker med. Som privatperson er det viktig å vite at du snakker med legen din når du forteller ham om helseproblemene dine. Og samtidig ønsker du at legen din bare skal fortelle prøveresultatene til deg, ikke til andre. Såkalt eid elektronisk identifikasjon eller legitimasjon skal gjøre det mulig å vite hvem man snakker med på internett. Når du henter opp legens nettsted skal legen være sikker på at det er deg som sitter ved datamaskinen din og du skal være sikker på at det er legens nettsted du har hentet opp. Hvorfor eid? Mange mener at et velfungerende eid-system vil gjøre det mulig ikke bare å tilby eksisterende tjenester på en billig, effektiv og brukervennlig måte over internett, men også lage helt nye tjenester. Krav til eid-systemer Nøkkelord ved krav til et eid-system er brukervennlighet, sikkerhet, personvern, åpenhet og fleksibilitet. Et viktig poeng ved eid-systemer er at de først blir virkelig nyttige for brukere dersom man kan bruke samme eid-system i mange forskjellige tjenester. For tjenesteleverandører gjelder samme prinsipp, det er ikke interessant å støtte et eidsystem dersom det har få brukere. Dette betyr at eid-systemer for å virkelige være nyttige må være samfunnsinfrastrukturer. En ting som overrasker mange er at dagens datamaskiner allerede har 2 funksjonalitet for å tilby et eid-system. Dette systemet er ikke i utbredt bruk fordi det er for vanskelig å bruke. Et absolutt krav til et velfungerende eid-system er at det skal være brukervennlig. Ethvert system som håndterer sensitive personopplysninger bankenes kontoutskrifter, legejournaler eller søknader om arbeidsledighetstrygd må sørge for at ikke uvedkommende får tak i sensitive data. Systemene må være sikre. Det er forskjellige grader av sikkerhet, og forskjellige tjenester har forskjellig sikkerhetsbehov: legejournaler krever høyere sikkerhet enn barnehagesøknader fordi skaden ved sikkerhetsbrudd er mye større. Et eid-system skal også muliggjøre innovative nye tjenester. Det er derfor vanskelig å si hva eid-systemet skal brukes til og hvilket sikkerhetsbehov tjenestene vil ha. Forsiktighetshensyn 3 tilsier dermed at en samfunnsinfrastruktur med ukjent sikkerhetsbehov bør ha et svært høyt sikkerhetsnivå 4. 2

3 Merknad 2. I ethvert eid-system vil man måtte stole på dem som utsteder eid-er. Samme problem finnes med tradisjonelle måter å identifisere seg på. For eksempel har politiet i teorien mulighet til å utstede pass med galt bilde, noe som gir dem muligheten til å utgi seg for å være hvem som helst. Dette problemet kan ikke unngås, men det kan håndteres på rimelig måte ved å kreve gode rutiner ved utstedelse, slik at det blir vanskelig for utro tjenere å utstede falske eid-er. Dersom falske eid-er blir utstedt skal det være mulig å finne ut hvordan det skjedde. Det vi kan kreve av et eid-system er at ingen parter i systemet skal kunne misbruke legitimt utstedte eid-er. En fare ved stadig økende bruk av digitale kommuniksjonsnettverk er mulighetene for systematisk overvåkning av borgere. En samfunnsinfrastruktur må derfor ikke samle inn mer informasjon om borgere enn absolutt nødvendig. Et interessant poeng i denne sammenhengen er at to forskjellige tekniske løsninger som begge tilbyr samme infrastrukturtjenester, f.eks. eid, kan fra et overvåkningssynspunkt være svært forskjellige. Et system kan samle inn mye informasjon om brukerne, et annet kan samle inn svært lite informasjon. Det er derfor viktig å velge et eid-system tar hensyn til personvern. Et viktig prinsipp for samfunnsinfrastrukturer er at de som lager systemet må overbevise brukerne om at systemet er egnet for formålet. Det er ikke opp til brukerne å vise at systemet er uegnet. Bevisbyrden må ligge på eieren av systemet. For at samfunnet skal kunne ha en begrunnet tiltro til et eid-system som samfunnsinfrastruktur er det viktig at interesserte parter kan få vite hvordan systemet virker. Bare slik kan man sette seg inn i virkemåten til systemet og forstå hvorfor systemet har de egenskapene eid-systemer skal ha. Åpenhet er dermed et nødvendig krav til eid-systemer. Et siste poeng er at forskjellige tjenester har forskjellige krav til hvordan brukerne identifiserer seg. Mange tjenester levert av Arbeids- og velferdsforvaltningen (NAV) må opplagt kreve at brukeren identifiserer seg med noe som er ekvivalent med fødselsnummer. Andre tjenester, for eksempel diskusjonssider på nett, tillater kanskje at brukere identifiserer seg med et pseudonym, men ønsker at bare den som først registrerte seg med et pseudonym skal kunne bruke det pseudonymet senere. Det betyr at gode eid-systemer bør tilby fleksibilitet, det er ikke nødvendigvis slik at en løsning passer for alle. 3 BankID Hva er BankID? BankID er et eid-system utviklet av den norske banknæringen gjennom BankID-samarbeidet. BankID brukes i dag hovedsaklig til innlogging i mange nettbanker. Bankene tilbyr BankID som en tjeneste til både offentlige og private aktører, og BankID brukes i dag blant annet av noen kommunale nettste- 3

4 der, eiendomsmeglere, en bruktbilhandler og en bokklubb. Banknæringen har også arbeidet for å få Forbruker- og administrasjonsdepartementet (FAD) til å velge BankID som en foretrukket løsning i offentlig sektor. Bankene kan, gjennom bruken i nettbankene, tilby en brukermasse som har BankID og kan bruke systemet, hvilket minsker terskelen for å bruke BankID også utenom nettbankene og øker sannsynligheten for at en ny tjeneste faktisk vil bli tatt i bruk. Motivasjonen for bankene er å tjene penger, forretningsmodellen baserer seg på at tjenester som tilbyr innlogging via BankID betaler hver gang innlogging skjer, på samme måter som butikker i dag betaler et gebyr til kredittkortselskapet hver gang noen handler med kredittkort. Hvordan BankID virker Når BankID brukes som innloggingsløsning på en nettsted må brukeren taste inn brukernavn (i praksis fødselsnummer), passord og engangskode. Engangskoden hentes fra et elektronisk kodekort. Har man flere kodekort å velge mellom må man også velge hvilket kodekort engangskoden skal hentes fra. Det som skjer er at innloggingssiden inneholder et lite dataprogram. Dette dataprogrammet tar imot brukernavn, passord og engangskode og sender det til en sentral BankID-infrastruktur. Dersom passord og engangskode stemmer sender BankID-infrastrukturen en beskjed til nettstedet om at brukeren er identifisert, og nettstedet lar brukeren logge inn. Tidligere analyse av BankID Professor Kjell Jørgen Hole og hans forskningsgruppe på Selmersenteret ved Universitetet i Bergen har lenge arbeidet med sikkerhet i banksystemer generelt og BankID spesielt. De har påpekt svært mange problematiske sider ved BankID [5] og demonstrerte i løpet av 2007 to sikkerhetshull i systemet [1, 2]. 3.1 Overordnet analyse Det er ikke nødvendig med noen detaljert analyse for å underbygge følgende konklusjon: k1 BankID i sin nåværende form er uegnet som eid-system. Argumentene går på prinsipielle og praktiske innvendinger mot sikkerheten i systemet, samt personvern. Sikkerhet prinsipielt Det første vi kan se er at det er en sentral BankIDinfrastruktur som avgjør om brukeren får lov til å logge inn eller ikke. Det er ingenting 5 som hindrer BankID-infrastrukturen i å utgi seg for å være en bestemt 4

5 bruker og la seg selv logge inn 6. Fra et prinsipielt synspunkt er dette uakseptabelt. BankID er derfor uegnet som et eid-system. Sikkerhet praktisk Måten BankID er satt sammen på gjør systemet svært sårbart overfor svindelnettsider, nettsider som ser ut som legitime tjenester, men som er drevet av svindlere. Formålet er å få brukerne til å gi fra seg fødselsnummer, passord og engangskode, som svindlerne så kan bruke til å logge seg inn på ekte nettsteder. Sikkerhetsmekanismene i BankID er så vanskelig å bruke at svært mange brukere i praksis vil være sårbare overfor slike svindelnettsider, dersom BankID blir utbredt som innloggingsløsning. BankID er altså uegnet som en utbredt mekanisme for å beskytte sensitive data. Personvern Måten BankID er satt sammen på gjør at svært mye informasjon om hva brukerne gjør med systemet tilflyter BankID-systemet, blant annet når man bruker BankID og hvilket nettsted man bruker det på. Dersom BankID i sin nåværende form blir utbredt vil det fungere som et forholdsvis effektivt overvåkningssystem av norske internettbrukere. BankID er altså uegnet som en utbredt innloggingsmekanisme for nettsteder. Vi bemerker at det hadde vært lett å konstruere BankID slik at infrastrukturen ikke fungerte som et overvåkningssystem. Det er uklart for oss hvorfor det ikke er gjort. 3.2 Nye funn I løpet av vinteren gjennomførte vi en dypere studie av deler av BankIDsystemet. Kryptografisk sett er denne delen av BankID-systemet den enkleste å gjøre riktig. Dessverre gjorde vi en del urovekkende funn som vi nå skal beskrive. Disse funnene underbygger klart følgende konklusjon: k2 Bankenes kvalitetssikring av BankID har vært for dårlig. Merknad 3. I noen tilfeller er det et reelt motsetningsforhold mellom brukervennlighet og sikkerhet. Feilene vi påpeker i dette avsnittet er rene tekniske feil som ikke har noe med brukervennlighet å gjøre. Ny informasjon om tidligere angrep Kjell Jørgen Hole og hans forskningsgruppe utviklet tidlig i 2007 et angrep mot BankID. De demonstrerte, blant annet for Kredittilsynet, at det var mulig å lage en svindelnettside som gjorde bruk av bankenes programvare for å få svindelsiden til å «føles» ekte. Effekten er at brukere 5

6 lettere vil la seg lure til å logge inn på svindelsiden. Men når brukeren har tastet inn passord og engangskode kan svindleren «overta» innloggingen. Svindleren får dermed tak i all sensitiv informasjon om brukeren som er lagret på nettstedet. Funksjonaliteten på nettsiden kan misbrukes etter svindlerens forgodtbefinnende. Vår studie viser at bankene hadde, allerede før Holes angrep ble utviklet, mottiltak mot denne typen angrep. Men mottiltaket hadde blitt skrudd av! Det er rimelig å spørre om hvordan bankene kunne la det skje. Nytt angrep Det vi oppdaget under studiet av systemet var at det var mulig for nettsteder å la være å bruke en essensiell sikkerhetsmekanisme. Sagt på en annen måte: Det var mulig for nettsteder å bruke BankID helt uten sikkerhet. Dette er en svært overraskende egenskap ved et eid-system. Vi forstår ikke hvor behovet for slik funksjonalitet kommer fra. En effekt av denne funksjonaliteten ser ut til å være at mottiltaket beskrevet over ikke bestod i en enkel kryptografisk sjekk, men en komplisert kode som forsøkte å sjekke at kommunikasjonen gikk rett for seg. Denne koden inneholdt en feil. Feilen muliggjorde et såkalt mann-i-midten-angrep, der en angriper som kontrollerer en del av nettverket mellom brukerens datamaskin og nettstedet brukeren logger inn på, fortsatt kan gjennomføre angrep tilsvarende de Kjell Jørgen Hole og hans forskningsgruppe gjennomførte i To uker etter at vi gjorde bankene oppmerksom på angrepet, ble feilen rettet ved å gjøre sikkerhetsmekanismen obligatorisk. Som en kuriositet kan vi bemerke at automatiske analyseverktøy er i stand til å finne dette angrepet. Utro tjenere I en del av BankID-systemet er tilfeldige tall viktig for sikkerheten. Alle moderne datamaskiner er utstyrt med gode metoder for å trekke tilfeldige tall. Vi kan ikke forklare hvorfor, men BankID-systemet bruker i noen tilfeller ikke datamaskinens metode, men en egenutviklet metode. Førsteinntrykket av metoden er at den er altfor dårlig. Nøyere analyse viser at metoden er ubrukelig. Dette er den mest alvorlige, men ikke den eneste kryptografiske feilen vi har funnet. Hva er konsekvensen av disse feilene? Vi vet ikke i detalj hvordan BankIDinfrastrukturen ser ut, men vi regner det for sannsynlig at utro tjenere i BankIDorganisasjonen vil kunne stjele kunders passord og engangskoder, og dermed utgi seg for å være kunden. 6

7 3.3 Ytterligere diskusjon Post- og Teletilsynet (PT) har en liste over leverandører som tilbyr såkalte kvalifiserte sertifikater, det vil si, en liste over leverandører som tilbyr eid-systemer som tilfredsstiller de strengeste sikkerhetskravene myndighetene stiller. Disse eidsystemene er tenkt å kunne brukes i en fremtidig innloggingsløsning som omfatter alle offentlige nettsteder. PT administrerer listen etter «selvdeklarasjonsprinsippet». Det vil si at en leverandør som ønsker eid-systemet sitt ført opp på listen må sende inn noe dokumentasjon til PT. Deretter fører PT systemet opp på listen, såvidt vi har forstått uten nøyere evaluering av dokumentasjonen. PT kan kreve ytterligere dokumentasjon fra leverandører. Etter hva vi har forstått har PT vurdert bruken av et sentralt nøkkellager i BankID. De er ikke villige til å fortelle oss nøyaktig hvilke vurderinger som ble gjort, men BankID er ført opp på PTs liste. Det er uakseptabelt at PT ikke er villig til offentlig eller privat å drøfte disse prinsipielle problemene og forklare hvorfor de godtar et sentralt nøkkellager på tross av åpenbare innvendinger. Videre har vi sett at bankene ikke har sørget for kvalitetssikring av BankIDsystemet. At PT ikke på egen hånd har oppdaget dette anser vi som svært problematisk. Disse to punktene underbygger følgende konklusjon: k3 Dagens «godkjenningsordning» for eid-systemer er for dårlig. Referanser [1] Y. Espelid, L.-H. Netland, A. N. Klingsheim, and K. J. Hole. A proof of concept attack against Norwegian internet banking systems. In Proc. of the 12th International Conference on Financial Cryptography and Data Security (FC08), Cozumel, Mexico, January 28-31, Papers-PDF/MitMShortFC08.pdf. [2] Y. Espelid, L.-H. Netland, A. N. Klingsheim, and K. J. Hole. Robbing banks with their own software an exploit against Norwegian online banks, September To be presented at the 23rd International Information Security Conference (SEC 2008), Milan, Italy, MitM_SEC2008.pdf. [3] Kristian Gjøsteen. Weaknesses in BankID, a PKI-substitute deployed by Norwegian banks. In Proceedings of EuroPKI 2008, volume 5057 of LNCS, pages Springer-Verlag,

8 [4] Kristian Gjøsteen and Kjell Jørgen Hole. Nettbanken ikke trygg. Aftenposten, 17. november [5] K. J. Hole, T. Tjøstheim, V. Moen, L.-H. Netland, Y. Espelid, and A. N. Klingsheim. Next generation internet banking in Norway. Technical Report 371, Department of Informatics, University of Bergen, February http: // Noter 1 BankID som innloggingsløsning i nettbanker og BankID som utbredt eid-system er to svært forskjellige størrelser. I dette notatet analyserer vi bare BankID som eid-system. Konklusjonene er dermed ikke nødvendigvis riktige om BankID bare brukes i nettbanker. 2 Dagens nettlesere kan bruke såkalte klientsertifikater for å identifisere seg overfor nettsteder. 3 For å tilby noe slags sikkerhet på internett kreves det at brukeren har kontroll over datamaskinen sin. For eksempel må datamaskinen ikke være infisert av såkalt skadevare. Den nåværende utbredelsen av skadevare tilsier en nøye risikoanalyse før sensitive opplysninger gjøres tilgjengelige via internett. For noen tjenester slik som nettbanker finnes forholdsvis effektive mottiltak mot skadevare, f.eks. SMS-meldinger med transaksjonsdetaljer og engangskoder. 4 I dette notatet diskuterer vi bare eid-systemer brukt som innloggingsløsning i tjenester med høyt sikkerhetsbehov, slik som helsetjenester og nettbanker. Analysen vår er ikke nødvendigvis anvendelig på eid-systemer som kun brukes for tjenester med lavt sikkerhetsbehov, slik som barnehagesøknader og nettbokhandler. 5 Dette er opplagt sant, selv om vi ikke kjenner alle detaljene i BankID-infrastrukturens oppbygning. Hverken engangskode eller passord kan regnes som ukjent for bankene, dermed er det ingenting som hindrer bankene i å misbruke kundens hemmelige nøkler. 6 Dette er et mye mer alvorlig problem enn et lignende, uunngåelig problem som ble diskutert i Merknad 2 i Kapittel 2: De som utsteder identifikasjonspapirer og eid-er kan i prinsippet også utstede falske slike. 8