Informatica Cyber Security 1 Informatica: Cyber Security Chipkaarten (Smartcards) Erik Poll Digital...

of 103/103
Informatica Informatica: Cyber Security Chipkaarten (Smartcards) Erik Poll Digital Security groep
  • date post

    24-May-2015
  • Category

    Documents

  • view

    217
  • download

    4

Embed Size (px)

Transcript of Informatica Cyber Security 1 Informatica: Cyber Security Chipkaarten (Smartcards) Erik Poll Digital...

  • Dia 1
  • Informatica Cyber Security 1 Informatica: Cyber Security Chipkaarten (Smartcards) Erik Poll Digital Security groep
  • Dia 2
  • Informatica Cyber Security 2 Overzicht Wat is cyber security? Chipkaarten, RFID, en NFC Hoe kraak je een chipkaart? Case study: het electronische paspoort Hoe kraak je een chipkaart? (vervolg)
  • Dia 3
  • Informatica Cyber Security 3 Wat is Cyber Security?
  • Dia 4
  • Informatica Cyber Security 4 Beveiligen van computers
  • Dia 5
  • Informatica Cyber Security 5 die dan zelf natuurlijk ook weer beveiligd moeten zijn Beveiligen van en met computers
  • Dia 6
  • Informatica Cyber Security 6 Beveiligen van online diensten
  • Dia 7
  • Informatica Cyber Security 7 Slammer Worm (zaterdag 25 januari 2003, 5:29)
  • Dia 8
  • Informatica Cyber Security 8 Slammer Worm (zaterdag 25 januari 2003, 6:00)
  • Dia 9
  • Informatica Cyber Security 9 Beveiligen van kritieke infrastructuur
  • Dia 10
  • Informatica Cyber Security 10
  • Dia 11
  • Informatica Cyber Security 11 North-east blackout
  • Dia 12
  • Informatica Cyber Security 12 Leuke filmpjes over de impact www.youtube.com/user/maxcornelisse Het belang van cyber security:
  • Dia 13
  • Informatica Cyber Security 13 Dat was nep, dit is echt! http://www.youtube.com/watch?v=dZfxdctzX6Q of zoek op youtube startonderbreker
  • Dia 14
  • Informatica Cyber Security 14 Cyber security: breder dan enkel de techniek Cyber security (en informatica) gaat niet alleen over de techniek van computers & software, maar ook over het gebruik ervan! Bijvoorbeeld begrijpen van de gebruiker en social engineering inschatten van risicos en besluiten over tegenmaatregelen organisatie van digitale beveiliging vervolging & opsporing juridische aspecten maatschappelijke impact, bijv mbt privacy
  • Dia 15
  • Informatica Cyber Security 15 Voorbeeld van juridische vragen Nieuwe technologie vereist ook nieuwe wetgeving is versturen van spam illegaal? is inbreken op computer inbraak? is kopiren van een DVD diefstal ? is een film up- of downloaden strafbaar? moeten ISPs de Pirate Bay blokkeren?
  • Dia 16
  • Informatica Cyber Security 16
  • Dia 17
  • Informatica Cyber Security 17 Chipkaarten
  • Dia 18
  • Informatica Cyber Security 18 Verschillen? Overeenkomsten?
  • Dia 19
  • Informatica Cyber Security 19 Chipkaarten vs andere computers Er is geen fundamenteel verschil tussen chipkaart kan data opslaan en berekeningen uitvoeren een USB stick kan alleen maar opslaan NB er zijn meer chipkaarten in de wereld dan laptops! Chipkaart heeft beperkingen 1. geen toetsenbord en geen display Maar chipkaart is beter beveiligd Je kunt de harde schijf er niet uithalen! Je kunt er geen software bijzetten in principe wel, maar dit staat meestal dicht De software is erg simpel, en dus hopelijk vrij van security bugs
  • Dia 20
  • Informatica Cyber Security 20 Chipkaarten: standaard specs een hele simpele processor single-core 36 MHz ipv multi-core 2GHz processor met in de orde van 1-4 Kbyte RAM EEPROM geheugen ipv harde schijf vergelijkbaar met flash of SSD geheugen in USB stick of geheugenkaart enkele tientallen Kbytes ipv Gbytes geheugen Welke informatie denk je dat er op je bankpas staat? PIN code, saldo van chipknip, en geheime cryptografische sleutels
  • Dia 21
  • Informatica Cyber Security 21 Contacten van een chipkaart Externe stroom toevoer (VCC) en klokpuls Originally 5 V, now also 3V or 1.8V Vpp hoger voltage for het schrijven van EEPROM wordt niet meer gebruikt omdat dit een beveiligingszwakheid is
  • Dia 22
  • Informatica Cyber Security 22 Basisprincipe: authenticatie mbv chipkaart De chipkaart kan bewijzen dat hij de sleutel weet, zonder de sleutel te verraden: de geheime sleutel verlaat nooit de kaart NB het verschil met wachtwoorden om te bewijzen wie je bent geheugen geheime sleutelK processor challenge c response versleutel K (c)
  • Dia 23
  • Informatica Cyber Security 23 Toepassingen van dit basisprincipe Authenticatie van je SIM kaart door telefoon netwerk Authenticatie van je bankpas door geldautomaat Je ziet dit principe ook in actie bij internetbankieren bij Rabobank en ABN-AMRO
  • Dia 24
  • Informatica Cyber Security 24 Hoe kraak je een chipkaart? n versleutel KEY {n}
  • Dia 25
  • Informatica Cyber Security 25 Hoe kraak je een chipkaart? Hoe kraak je een chipkaart die een challenge-response mechanisme gebruikt? Probeer alle mogelijk sleutels (zgn brute force attack) meestal kost dat (te) veel tijd Probeer zwakheden te ontdekken in het versleutelingsalgoritme bij slechte algoritmes lukt dat soms...
  • Dia 26
  • Informatica Cyber Security 26 afgelopen zaterdag
  • Dia 27
  • Informatica Cyber Security 27 RFID Radio Frequency IDentification
  • Dia 28
  • Informatica Cyber Security 28 RFID Draadloze chipkaarten heten ook wel RFID tags en bevatten een minicomputertje met draadloos netwerk RFID is een verzamelijknaaam voor allerlei soorten tags, in verschillende vormen
  • Dia 29
  • Informatica Cyber Security 29 Contactloze chipkaart van binnen antenne chip
  • Dia 30
  • Informatica Cyber Security 30 met verschillende versleutelingsalgoritmes (of geen !) werken op verschillende frequenties & afstanden Andere soorten RFID tags
  • Dia 31
  • Informatica Cyber Security 31 RFID binnenkort: contactloos betalen
  • Dia 32
  • Informatica Cyber Security 32 RFID toepassing: dieren identificatie Veel van deze RFID tags doen niet aan versleuteling, maar communiceren gewoon uniek ID nummer
  • Dia 33
  • Informatica Cyber Security 33 identificatie (zonder challenge-response) uniek serie nummer (en evt. nog wat data) zo werkten RFID in honden en de wegwerp-ov chipkaart gevanceerderde kaarten die wel een challenge-response doen sturen vaak ook eerst nog een uniek serienummer
  • Dia 34
  • Informatica Cyber Security 34 Hoe kraak je een RFID systeem? Toegangscontrole op basis van een uniek serie nummer is eenvoudig te breken, met een replay attack : gewoon nazeggen wat een echte kaart zegt communicatie wegwerp ov-kaart
  • Dia 35
  • Informatica Cyber Security 35 Wat theoretische concepten
  • Dia 36
  • Informatica Cyber Security 36 Identificatie vs Authenticatie Identificatie: wie ben je? Een naam: je naam, SOFI nummer, email adres,... Authenticatie: ben je echt wel wie je zegt dat je bent? Bijv. met ID-kaart, mbv pasfoto en/of handtekening Volgende probleem: hoe weet je dat dat deze ID-kaart echt is?
  • Dia 37
  • Informatica Cyber Security 37 Autorisatie Autorisatie: Wat mag je? Soms gaat dit zonder identificatie Soms gaan dit met identificatie
  • Dia 38
  • Informatica Cyber Security 38 NFC
  • Dia 39
  • Informatica Cyber Security 39 NFC: RFID op je telefoon Near Field Communication: Technology voor draadloze communicatie in smartphones te vergelijken met Bluetooth, maar werkt alleen op veel kortere afstand (1 2 cm) NFC is compatibel met n vd vormen van RFID namelijk ISO 14443, oftwel `proximity cards zoals: ov-chipkaart, e-paspoort, en contactloze bankpas
  • Dia 40
  • Informatica Cyber Security 40
  • Dia 41
  • Informatica Cyber Security 41 Een NFC telefoon kan kaart f lezer spelen
  • Dia 42
  • Informatica Cyber Security 42 Het electronische paspoort
  • Dia 43
  • Informatica Cyber Security 43 e-paspoort Electronisch paspoort oftewel biometrisch paspoort bevat RFID chip oftewel contactloze smartcard e-paspoort logo
  • Dia 44
  • Informatica Cyber Security 44 e-identiteitskaart Dezelfde chip zit ook in identiteitskaarten (sinds 2006)
  • Dia 45
  • Informatica Cyber Security 45 Zelf paspoorten uitlezen Je kunt je eigen paspoort of id-kaart uitlezen met een NFC telefoon met de NFC passport reader https://play.google.com/store/apps/details?id=nl.novay.nfcpassportreader een laptop of PC met een RFID reader en de JMRTD software https://jmrtd.org Elke 13.65 MHz reader zou moeten werken Zie http://jmrtd.org/installation.shtml voor voorbeelden
  • Dia 46
  • Informatica Cyber Security 46 Wat zit er op de paspoort chip? programma (software) in Nederlandse paspoorten: een Java programma data (bestanden) paspoort foto als JPEG miv 2009 ook vingerafdruk in toekomst misschien ook iris scan
  • Dia 47
  • Informatica Cyber Security 47 Beveiling: risicos & eisen Wat zijn de beveiligingsrisicos van een e-paspoort? Welke aanvallen kun je bedenken? Wat zijn de beveiligingsdoelen van een e-paspoort? Wat zijn de garanties die je wil dat een paspoort biedt? Welke beveiligingsmechanismen zaten er vroeger al in het paspoort, voordat er een chip in zat?
  • Dia 48
  • Informatica Cyber Security 48 Bedreigingen versus beveiligingeisen Bedreigingen 1.afluisteren 2.stiekem uitlezen 3.nep paspoorten 4.paspoorten stuk maken (Denial of Service) Eisen 1.garanderen vertrouwelijkheid 2.garanderen van toegangscontrole 3.garanties van de authenticiteit (echtheid, oftewel integriteit) 4.resilience
  • Dia 49
  • Informatica Cyber Security 49 Voor- en nadelen van contactloze ipv contact-chipkaart voordelen handig in gebruik geen slijtage van de contacten nadelen communicatie is af te luisteren je kunt stiekem tegen een paspoort praten, zonder dat de eigenaar het weet bijv. als het in je broekzak zit
  • Dia 50
  • Informatica Cyber Security 50 passieve vs aktieve aanvallen passieve aanval afluisteren van de communicatie tussen paspoort en lezer (bijv op Schiphol) mogelijk op 10-20 meter aktieve aanval oftewel virtueel zakkenrollen stiekem met het paspoort communiceren mogelijk op +/- 25 cm het activeren van de chip vereist een sterk magnetisch veld
  • Dia 51
  • Informatica Cyber Security 51 beschermen tegen afluisteren Hoe bescherm je een e-paspoort tegen afluisteren? (bijv. bij paspoortcontrole op Schiphol) tegen stiekem uitlezen? (bijv. in een volle trein)
  • Dia 52
  • Informatica Cyber Security 52 beschermen tegen afluisteren Hoe bescherm je een e-paspoort tegen afluisteren? (bijv. bij paspoortcontrole op Schiphol) Versleutelen van de communicatie tegen stiekem uitlezen? (bijv. in een volle trein) Wachtwoord op de chip Maar... hoe spreek je de sleutels & wachtwoord af?
  • Dia 53
  • Informatica Cyber Security 53 Basic Access Control (BAC) bescherming tegen stiekem uitlezen en afluisteren er is een wachtwoord nodig om met de paspoort-chip te praten dit wachtwoord wordt ook gebruikt om de communicatie te versleutelen dit wachtwoord staat in het paspoort geschreven namelijk in in de MRZ (Machine Readable Zone) het wachtwoord bestaat uit paspoortnummer, geboortedatum en verloopdatum
  • Dia 54
  • Informatica Cyber Security 54 bescherming tegen stiekem uitlezen en tegen afluisteren Basic Access Control (BAC) 3. gegevens van chip 1. lees MRZ 2. verstuur MRZ Machine Readable Zone versleuteld
  • Dia 55
  • Informatica Cyber Security 55 Alternatief: Kooi van Faraday Amerikaanse paspoorten hebben aluminiumfolie in de omslag, zodat er niet met de chip te praten is als het paspoort dicht is. Dit beschermt tegen aktieve aanvallen, maar niet tegen passieve aanvallen (dwz afluisteren) waarom niet?
  • Dia 56
  • Informatica Cyber Security 56 Bescherming tegen valse paspoorten? Hoe weet je of een paspoort echt is? Zonder naar de fysieke kenmerken (watermerk etc) te kijken?
  • Dia 57
  • Informatica Cyber Security 57 Digitale handtekening dmv versleuteling Stel Alice en Bob delen een geheime sleutel S Alice stuurt een bericht naar Bob, versleuteld met S Weet Bob dan zeker of het bericht van Alice komt? Bob weet dat het bericht van Alice komt, of van zichzelf Zouden we de digitale paspoorten op deze manier kunnen tekenen? Wie moeten er dan allemaal de geheime sleutel S weten, voor e- paspoorten?
  • Dia 58
  • Informatica Cyber Security 58 Digitale handtekening met asymmetrische versleuteling By asymmetrische versleutelingen heb je verschillende sleutels voor versleutelen en ontsleutelen Analogie: versleutelen doe je met een slot ontsleutelen doe je met de bijbehorende sleutel Het slot hou je priv, maar de sleutel is openbaar
  • Dia 59
  • Informatica Cyber Security 59 Digitale handtekening met asymmetrische versleuteling Paspoort van Alice stuurt bericht naar Bob, versleuteld met priv-slot slot S van Beatrix Bob maakt dit bericht open, met openbare sleutel van Beatrix Is echtheid gegarandeerd? Ja, want alleen Beatrix had dit bericht zo kunnen versleutelen Wie moet welke sleutels hebben? De douane van Belgie moet de openbare sleutels van Nederland hebben, en omgekeerd Hoe worden deze sleutels uitgewisselend? Met diplomatieke post!
  • Dia 60
  • Informatica Cyber Security 60 digitale handtekening Alle informatie op het paspoort, incl. de pasfoto, is digitaal getekend met asymmetrische versleuteling En pixel veranderen in de foto maakt de handtekening incorrect Kan je nog een nep-paspoort maken? Ja, want je kunt een paspoort nog klonen!
  • Dia 61
  • Informatica Cyber Security 61 Hoe detecteer je klonen? Geef elk paspoort een uniek priv-slot en bbh. publieke sleutel. De publieke sleutel is getekend door de NL overheid en is openbaar; het priv-slot verlaat nooit de paspoortchip Het challenge-response protocol om te kijken of-ie echt is: 1.Terminal vraagt de getekende publieke sleutel 2.Terminal stuurt een willekeurig getal n naar paspoort 3.(Echt) paspoort antwoordt met n versleuteld met priv-slot 4.Terminal checkt dit antwoord mbv publieke sleutel, en weet dan of paspoort het priv-slot bij de publieke sleutel heeft, en dus dat het echt is!
  • Dia 62
  • Informatica Cyber Security 62 De getekende publieke sloten worden certificaten genoemd Certificaten Wij, Beatrix, verklaren dat het paspoort met publiek sleutel xyz echt is
  • Dia 63
  • Informatica Cyber Security 63 Het beveiligen van internet verbindingen met https werkt hetzelfde! SSL-certificaten garanderen dat een website is wie die zegt dat-ie is Je webbrowser geeft dit aan met slotje Beveiligde verbindingen op internet Wij, Diginotar, verklaren dat de website met publiek sleutele xyz1234 echt van rabobank.nl is
  • Dia 64
  • Informatica Cyber Security 64 We hebben nu bescherming tegen afluisteren bescherming tegen stiekem uitlezen garantie van de echtheid
  • Dia 65
  • Informatica Cyber Security 65 Extended Access Control Extra beveilingsmaatregel om toegang tot vingerafdruk te beschermen Het idee: niet iedereen mag de vingerafdruk uitlezen zelfs niet als je het paspoort in handen hebt, en dus BAC kunt doen Hoe doe je dit ? identificatieplicht voor paspoort-uitleesapparatuur
  • Dia 66
  • Informatica Cyber Security 66 bescherming tegen onbevoegd uitlezen van vingerafdruk Extended Access Control (EAC) 5. vingerafdruk 1.certificaat (oorkonde) 3. bewijs dat je dit mag 2. uw vingerafdruk, svp. 4. "bewijs" deze terminal mag een vingerafdruk lezen
  • Dia 67
  • Informatica Cyber Security 67 Mogelijke & echte problemen
  • Dia 68
  • Informatica Cyber Security 68 Oeps De uitgever van certificaten moet je vertrouwen! DigiNotar, die certificaten voor oa overheidwebsites uitgaf, bleek in 2011 gehackt Gelukkig leverde DigiNotar niet de certificaten voor paspoorten!
  • Dia 69
  • Informatica Cyber Security 69 Mogelijk beveiligingsprobleem: kleine sleutelruimte Passpoortnummer is 10 karakters, en geboortedatum en verloopdatum zijn 8 cijfers Aantal mogelijkheden? -maar niet alle data zijn mogelijk en paspoortnummers worden misschien in volgorde uitgegeven... Aantal mogelijkheden? -Als paspoortnummers in volgorde worden uitgegeven dan is er een sterk verband tussen paspoortnummer en verloopdatum. Het wordt dan mogelijk om na afluisteren van communicatie (bijv bij paspoort controle op Schiphol) alle combinaties uit te proberen met een snelle computer om de data te ontsleutelen, met een brute force attack
  • Dia 70
  • Informatica Cyber Security 70 Mogelijk beveiligingsprobleem: foutmeldingen Bij fouten in de communicatie stuurt de paspoort-chip een foutmelding (error code) Verschillende paspoort-implementaties versturen soms verschillende foutmelding Hierdoor zijn mogelijk paspoorten uit verschillende landen te onderscheiden
  • Dia 71
  • Informatica Cyber Security 71 Antwoord van kaart op B0 instructie antwoordbetekenis Belgisch6986not allowed Nederlands6982security status not satisfied Frans6F00no precise diagnosis Italiaans6D00not supported Duits6700wrong length B0 betekent "read binary" (lees file), en mag alleen n BAC
  • Dia 72
  • Informatica Cyber Security 72 Beveiligingsprobleem: foutmeldingen Onderzoek voor bachelorscriptie door Henning Richter Er waren ook vragen over in de Tweede Kamer
  • Dia 73
  • Informatica Cyber Security 73 Kun je hier wel misbruik van maken? Mogelijk misbruik? Paspoort-bom die afgaat bij bepaalde nationaliteit? Uitzoeken van slachtoffers door paspoortdieven? Gelukkig kan dit alleen op een afstand van 25cm max. dus risico verwaarloosbaar ?
  • Dia 74
  • Informatica Cyber Security 74 Paspoort bom http://www.youtube.com/watch?v=-XXaqraF7pI
  • Dia 75
  • Informatica Cyber Security 75 Beveiligingsprobleem: unieke nummers Bij opstarten verstuurt de paspoort-chip een willekeurig nummer, als onderdeel van een zogenaamd anti-collision protocol Dit gebeurt vr Basic Access Control Bij Italiaanse paspoort-chips was dat steeds hetzelfde nummer, zodat je aan dit nummer een uniek paspoort kunt herkennen
  • Dia 76
  • Informatica Cyber Security 76 Fundamentele zwakheid: Relay attack! Nijmegen Schiphol Internet
  • Dia 77
  • Informatica Cyber Security 77 Er is meer dan alleen technologie....
  • Dia 78
  • Informatica Cyber Security 78 Waarom die chips & vingerafdrukken? Amerikanen willen het nalv aanslag op 9/11 maar zou dit echt iets uitmaken... ?? Voorkomen van look-alike fraud dwz reizen op (gestolen of gekocht) paspoort van iemand die een beetje op je lijkt populair in criminele cirkels
  • Dia 79
  • Informatica Cyber Security 79 Function creep? Function creep = als een systeem er eenmaal is, wordt het gebruik ervan (de function) vaak langzaam & soms ongemerkt opgerekt. Centrale database met vingerafdrukken en pasfotos van alle Nederlanders? Willen we dat je straks een pasfoto kunt googelen om het bijbehorende faceboek profiel te vinden?
  • Dia 80
  • Informatica Cyber Security 80 Wat kan er nog meer met die chip? Automatische grens controle op basis van gezichtsherkenning, niet de vingerafdruk
  • Dia 81
  • Informatica Cyber Security 81 Zwakste schakel: uitgifte proces? Iemand lukte het een paspoort te krijgen met een foto van zichzelf verkleed als de Joker van Batman
  • Dia 82
  • Informatica Cyber Security 82 Hoe kraak je een chipkaart ? (vervolg) Dieper de hardware in
  • Dia 83
  • Informatica Cyber Security 83 Zij-channel analyse zij-kanaal (side channel) pizza leveringen aan het Pentagon
  • Dia 84
  • Informatica Cyber Security 84 Zij-kanaal analyse maandag avond dinsdag avond Op welke ochtend zal een invasie plaatsvinden?
  • Dia 85
  • Informatica Cyber Security 85 Zij-kanaal analyse is al eeuwenoud Klassiek voorbeeld: kluis openen met stethoscoop Net als pizza-bezorgingen bij het Pentagon, kan het geluid van het slot in de kluis informatie lekken
  • Dia 86
  • Informatica Cyber Security 86 Energieverbruik van een smartcard Wat doet deze kaart?
  • Dia 87
  • Informatica Cyber Security 87 Energieverbruik van een smartcard Hint: 16 rondes Wat doet deze kaart?
  • Dia 88
  • Informatica Cyber Security 88 Energieverbruik van een smartcard Wat is de sleutel? Analyse van het profiel van elke stap zou dit kunnen verraden 16 rondes, dus waarschijnlijk een DES encryptie
  • Dia 89
  • Informatica Cyber Security 89 Hoe kraak je een chipkaart? (vervolg)
  • Dia 90
  • Informatica Cyber Security 90 Energiegebruik van een RSA encryptie Source: Riscure BV
  • Dia 91
  • Informatica Cyber Security 91 Hoe werkt RSA versleuteling? Voor RSA decryptie moeten we x e modulo p berekenen. Naieve algoritme : x * x * x *... * x berekenen in e stappen Snelle algorimte met herhaald kwadateren in log(e) stappen Idee hierachter: bereken x 25 = x 16 * x 8 * x 1 van achter naar voren Pseudocode: r = 1; xi = x ; for i = 1 to aantal bits in e do { if (i-de bit van e is 1) then r = xi * r mod p xi = xi * xi; // xi is nu x tot de macht 2 i } Merk op: elke iteratie bestaat uit een kwadratering of uit een vermenigvuldiging en een kwadatering
  • Dia 92
  • Informatica Cyber Security 92 De sleutel van de trace aflezen? Wat zijn de vermenigvuldigingen en wat de kwadrateringen?
  • Dia 93
  • Informatica Cyber Security 93 De sleutel van de trace aflezen? kwadrateringvermenigvuldiging
  • Dia 94
  • Informatica Cyber Security 94 De sleutel van de trace aflezen!
  • Dia 95
  • Informatica Cyber Security 95 Hoe kraak je een chipkaart? fysieke aanval!
  • Dia 96
  • Informatica Cyber Security 96 Fysieke aanval: probing Met naalden op de bus het dataverkeer afluisteren of beinvloeden bijv om sleutel te achterhalen probing with 8 needles (why 8?) [Source: Brightsight]
  • Dia 97
  • Informatica Cyber Security 97 FIB = Focussed Ion Beam kan chip observeren of wijzigen gaten boren connecties wegbranden nieuw connecties solderen doorgeslagen stop gat in chip oppervlakte Fysieke aanval: fibbing
  • Dia 98
  • Informatica Cyber Security 98 Fysieke aanval: fysiek uitlezen van geheugen [Source: Brightsight] Staining kan de inhoud van ROM geheugen verraden: donkere vakjes zijn 1 lichte vakjes zijn 0
  • Dia 99
  • Informatica Cyber Security 99 Conclusies
  • Dia 100
  • Informatica Cyber Security 100 Terugblik: chipkaarten Chipkaarten zijn de standaardoplossing for sterke authententicatie, dwz. authenticatie die veiliger is dan wachtwoorden Een probleem dat gebruik van cryptografie meebrengt: waar sla je veilig je cryptografische sleutels op? Hiervoor zijn chipkaarten de standaardoplossing De beveiliging van een chipkaart is op verschillende manieren te ondermijnen - zowel logisch als fysiek Naast de besproken aanvallen is er natuurlijk k nog de mogelijkheid van een gewone software bug
  • Dia 101
  • Informatica Cyber Security 101 Terugblik: het electronische paspoort Het electronisch paspoort is een voorbeeld van de impact van informatica en cyber security in de maatschappij Bijv straks ook: je e-ID kaart online gebruiken, ipv je wachtwoord? NB het privacy risico door stiekem afluisteren van e-paspoort (of andere RFID tags) is veel kleiner dan het risico van allerlei back-end databases. Bijv database met vingerafdrukken op ministerie, van ov-chipkaart reisgegevens bij TLS, of bij facebook, google,...
  • Dia 102
  • Informatica Cyber Security 102 out-of-the box denken! Om security te analyseren moet je creatief zijn! En nadenken als een aanvaller! De enige manier om te kijken of iets veilig is: het (verantwoord) proberen te hacken
  • Dia 103
  • Informatica Cyber Security 103 Vragen? Onze open source software voor uitlezen paspoorten (of zelf paspoorten te maken) is beschikbaar op http://jmrtd.sourceforge.net