Applet-based e-ticketing

Transcriptie

1 Applet-based e-ticketing ir. Pim Vullers Institute for Computing and Information Sciences Digital Security NLUUG Najaarsconferentie 2010 Security & Privacy 11 november 2010 Pim Vullers NLUUG Najaarsconferentie 2010 Applet-based e-ticketing 1 / 23

2 Achtergrond Context e-ticketing Elektronische tickets, in dit geval de OV-chipkaart Ter vervanging van huidige papieren tickets Vele vormen zijn mogelijk, bijvoorbeeld chipkaart of SMS Huidige situatie Persoonlijke en anonieme kaarten Contactloze chipkaart: NXP MIFARE Classic Beveiliging gekraakt in 2008 Pim Vullers NLUUG Najaarsconferentie 2010 Applet-based e-ticketing 2 / 23

3 Nieuwsberichten (vrijdag 5 november 2010) Pim Vullers NLUUG Najaarsconferentie 2010 Applet-based e-ticketing 3 / 23

4 Nieuwsberichten (vrijdag 5 november 2010) Pim Vullers NLUUG Najaarsconferentie 2010 Applet-based e-ticketing 3 / 23

5 Nieuwsberichten (vrijdag 5 november 2010) Pim Vullers NLUUG Najaarsconferentie 2010 Applet-based e-ticketing 3 / 23

6 OV-chipkaarten... Context Pim Vullers NLUUG Najaarsconferentie 2010 Applet-based e-ticketing 4 / 23

7 OV-chipkaarten... Context Pim Vullers NLUUG Najaarsconferentie 2010 Applet-based e-ticketing 4 / 23

8 OV-chipkaarten... Context Pim Vullers NLUUG Najaarsconferentie 2010 Applet-based e-ticketing 4 / 23

9 Introductie Context Applet-based e-ticketing Overstap van geheugen kaarten naar smart cards Focus verschuift van hardware naar software Java Card Applets Deze overgang biedt vele nieuwe mogelijkheden Zowel positief als negatief Waarom? geen intelligentie geen security geen privacy Pim Vullers NLUUG Najaarsconferentie 2010 Applet-based e-ticketing 5 / 23

10 Onderzoek naar verbeteringen / alternatieven voor de huidige OV-chipkaart Verschillende aspecten zijn van wisselend belang Tegenstrijdigheden tussen deze aspecten maakt het een lastig probleem Het is een uitdaging om een passende / flexibele oplossing te vinden Functionality Privacy Security Usability Pim Vullers NLUUG Najaarsconferentie 2010 Applet-based e-ticketing 6 / 23

11 Functionality Basis functionaliteit: Reizen in met het OV mogelijk maken Abonnementen Reizen op saldo Losse reisproducten Functionality Privacy Sec Us Extra functionaliteit: Veiligheid op stations verbeteren Kortingen Statistieken Pim Vullers NLUUG Najaarsconferentie 2010 Applet-based e-ticketing 7 / 23

12 Security Fraude preventie: voorkomen van... Gekloonde kaarten Hergebruik van saldo/producten Aanpassing van gegevens Security Functionality Privacy Us Maatregelen: Saldo blokkeren Kaarten blokkeren Gegevens herstellen Pim Vullers NLUUG Najaarsconferentie 2010 Applet-based e-ticketing 8 / 23

13 Usability Gebruikersvriendelijkheid: Eenvoudig Snel / Efficiënt Goedkoop Extra functionaliteiten: Thuis kunnen uitlezen van kaarten Thuis reisproducten downloaden / saldo opladen Functionality Privacy Flexibeler gebruik: keuze uit 1 e /2 e klas, meerdere personen Usability Sec Pim Vullers NLUUG Najaarsconferentie 2010 Applet-based e-ticketing 9 / 23

14 Privacy Bescherming van gevoelige informatie: Persoonsgegevens Kaartgegevens Reishistorie Privacy Functionality Sec Us Anoniem gebruik: Anonieme kaarten, wel traceerbaar Anoniem opladen Persoonlijke abonnementen, niet traceerbaar Pim Vullers NLUUG Najaarsconferentie 2010 Applet-based e-ticketing 10 / 23

15 Inhoud Context Context Pim Vullers NLUUG Najaarsconferentie 2010 Applet-based e-ticketing 11 / 23

16 Privacy en de OV-chipkaart Big Brother s little helper Op je OV-chipkaart wordt je identiteit opgeslagen Met een OV chipkaart vertel je... wanneer (datum en tijdstip), hoe (bus, trein, metro,... ), en waarheen (tot op de halte nauwkeurig)... je reist Deze gegevens worden zeven jaar bewaard Dit is een ernstige aantasting van de privacy! Gedetailleerde dossiers Op basis van deze gegevens kunnen uitgebreide dossiers opgesteld worden. Zowel door legitieme als kwaadwillende partijen. Pim Vullers NLUUG Najaarsconferentie 2010 Applet-based e-ticketing 12 / 23

17 Privacy en smart cards Bescherming tegen outsiders Random UID Reader authenticatie Secure messaging Probleem: Performance Pim Vullers NLUUG Najaarsconferentie 2010 Applet-based e-ticketing 13 / 23

18 Privacy en smart cards Bescherming tegen outsiders Random UID Reader authenticatie Secure messaging Probleem: Performance Bescherming tegen insiders Lastiger probleem Zero-knowledge proofs of blindering identificeerbare informatie Praktische implementaties zijn zeldzaam Slechte performance Pim Vullers NLUUG Najaarsconferentie 2010 Applet-based e-ticketing 13 / 23

19 Privacy en de OV-chipkaart Mogelijke oplossing Attribuut-gebaseerde autorisatie i.p.v. identiteit-gebaseerd Anonieme certificaten; OV-chipkaart geeft enkel aan: Eerste klas NS-jaarabonnement geldig in 2010 Attributen vertellen alles wat het systeem moet weten Met een zelfde niveau van veiligheid Subtiel punt: attribuut is generiek, handtekening is specifiek Onze aanpak Handtekening en kaartsleutels blinderen Pim Vullers NLUUG Najaarsconferentie 2010 Applet-based e-ticketing 14 / 23

20 Attributen tonen Context Stap 1 toon het attribuut en een certificaat dat het attribuut met het sleutelpaar van de kaart verbind Stap 2 onderteken een willekeurig bericht om het bezit van de privé sleutel aan te tonen Anoniemisering blindeer de werkelijke waardes van het certificaat en de sleutels Pim Vullers NLUUG Najaarsconferentie 2010 Applet-based e-ticketing 15 / 23

21 Onze oplossing Context attribuut A, certificaat C, sleutels S publiek en S prive OV-chipkaart toon attribuut sleutel S certificaat Kaartlezer blindeer (#) S publiek, S prive en C #S publiek, #C, A controleer #C met S certificaat en #S publiek genereer een willekeurig nummer N zet handtekening op N teken ( ) N met #S prive N controleer N met #S publiek Het gedetailleerde protocol: slide 23 Pim Vullers NLUUG Najaarsconferentie 2010 Applet-based e-ticketing 16 / 23

22 Java Card en Cryptografie Wikipedia: The main design goals of the Java Card technology are portability and security. Cryptography. Commonly used encryption algorithms like DES, Triple DES, AES, RSA (including elliptic curve cryptography) are supported. Other cryptographic services like signing, key generation and key exchange are also supported. Pim Vullers NLUUG Najaarsconferentie 2010 Applet-based e-ticketing 17 / 23

23 Java Card en Cryptografie Cryptografische coprocessor Vereist voor security API met acceptabele performance Biedt hardware implementaties van symmetrische algoritmen Biedt wiskundige ondersteuning voor asymmetrische cryptografie Security API Implementatie is optioneel, kan dus verschillen per kaart Beperkt tot basis cryptografische functionaliteit High-level API blokkeert toegang tot de primitieve operaties Pim Vullers NLUUG Najaarsconferentie 2010 Applet-based e-ticketing 18 / 23

24 Een uitdagende opgave Frustratie Ondertekenen is a cryptografische operatie (security API) Blinderen is een wiskundige operatie (geen ondersteuning) Wiskundige ondersteuning van de coprocessor is onbereikbaar Oplossingen Java Card implementatie voor grote berekeningen (traag) Misbruiken maken van operaties uit security API (snel) Voorbeeld keyagreement = KeyAgreement.getInstance(DiffieHellman); keyagreement.init(blindingfactor); keyagreement.generatesecret(privatekey, blindedkey); Pim Vullers NLUUG Najaarsconferentie 2010 Applet-based e-ticketing 19 / 23

25 De resultaten Context Privacy Geen identiteit / persoonsgegevens Enkel een attribuut en geblindeerde waarden worden uitgewisseld met de kaartlezer Snelheid Looptijd van seconden Bichsel et al. (IBM Research, 2009), ± 7.5 sec Camenisch & Lysyanskaya Credential Scheme Tews & Jacobs (RU Nijmegen, 2009), ± 5 sec Selective Disclosure van Brands Sterckx et al. (KU Leuven, 2009), ± 3 sec Direct Anonymous Attestation Pim Vullers NLUUG Najaarsconferentie 2010 Applet-based e-ticketing 20 / 23

26 Enkele problemen Context Privacy Het attribuut kan mogelijk getraceerd worden Gebruik enkel een kleine verzameling van vrij algemene attributen Efficiëntie Dit protocol toont slechts één enkel attribuut Combineer meerdere attributen in een soort van container Blokkade Kaarten blokkeren wordt momenteel niet ondersteund Mogelijke vereiste voor praktische toepassing van dit protocol Pim Vullers NLUUG Najaarsconferentie 2010 Applet-based e-ticketing 21 / 23

27 Context Prototype van een ontraceerbare, en daardoor privacyvriendelijke, OV-chipkaart voor abonnementhouders Met dank aan: Wojciech Mostowski (RU) Daniël Boonstra (TNO ICT) Beschikbaar op: Pim Vullers NLUUG Najaarsconferentie 2010 Applet-based e-ticketing 22 / 23

28 Het gedetailleerde protocol Het gedetailleerde protocol k c, P c = k c P, a, C a = s a P c Card P, Q, (a, Q a ) Terminal fresh blinding b getattribute&signature(n P ) b k c (n P ), b P c, b C a, a random nonce n verify n (b P c ) = b k c (n P ) verify e( b P c, Q a ) = e( b C a, Q ) Onze oplossing: slide 16 Pim Vullers NLUUG Najaarsconferentie 2010 Applet-based e-ticketing 23 / 23