Requirements for Secure Device Authentication “Iden&ty ¡in ¡the ¡browser” ¡workshop, ¡24-‑25 ¡May ¡ 2011, ¡Mountain ¡View ¡ ¡ Mark ¡Watson, ¡Mitch ¡Zollinger, ¡Wesley ¡Miaw ¡ 1 Confidential and Proprietary
Contents ¡ • What ¡is ¡the ¡problem ¡? ¡ • What ¡is ¡“secure ¡device ¡authen&ca&on” ¡? ¡ • How ¡do ¡we ¡use ¡it ¡? ¡ • What ¡do ¡we ¡mean ¡by ¡“secure” ¡? ¡ • What ¡about ¡privacy ¡? ¡ • Conclusion ¡ 2
What ¡is ¡the ¡problem ¡? ¡ • Several ¡interes&ng ¡services ¡rely ¡on ¡ guarantees ¡of ¡ device ¡behavior ¡ – Example: ¡HD ¡content ¡that ¡can ¡only ¡be ¡provided ¡to ¡ devices ¡with ¡media ¡protec&on ¡capabili&es ¡ – Example: ¡Sensi&ve ¡financial ¡data ¡that ¡can ¡only ¡be ¡ provided ¡to ¡certain ¡tamper-‑proof ¡devices ¡ – No ¡concept ¡like ¡this ¡on ¡the ¡web ¡today ¡ • How ¡does ¡a ¡service ¡determine ¡whether ¡a ¡device ¡ has ¡the ¡required ¡proper&es ¡? ¡ • Some ¡services ¡have ¡restric&ons ¡on ¡the ¡number ¡of ¡ devices ¡that ¡can ¡be ¡used ¡with ¡one ¡user ¡account ¡ 3
What ¡is ¡device ¡authen&ca&on ¡? ¡ • A ¡means ¡for ¡a ¡service ¡to ¡securely ¡determine ¡ – The ¡type ¡of ¡device ¡accessing ¡the ¡service ¡ – A ¡unique ¡iden&fier ¡for ¡the ¡par&cular ¡device ¡ that ¡remains ¡constant ¡over ¡&me ¡ • But ¡not ¡… ¡ – A ¡common ¡device ¡iden&fier ¡across ¡mul&ple ¡ services ¡ 4
How ¡do ¡we ¡use ¡it ¡? ¡ • To ¡make ¡authoriza&on ¡decisions ¡ – Example: ¡HD ¡content ¡only ¡allowed ¡to ¡devices ¡with ¡ certain ¡special ¡security ¡proper&es ¡ • Enforce ¡service ¡restric&ons ¡ – Example: ¡number ¡of ¡ac&ve ¡devices ¡on ¡one ¡account ¡ • Revoking ¡service ¡access ¡for ¡compromised ¡devices ¡ 5
What ¡do ¡we ¡mean ¡by ¡“secure”? ¡ • Only ¡that ¡we ¡can ¡determine ¡the ¡security ¡proper&es ¡with ¡ known ¡reliability ¡ • Some ¡devices ¡may ¡provide ¡very ¡limited ¡assurances ¡ – Iden&ty ¡protected ¡by ¡so[ware ¡techniques: ¡obfusca&on, ¡IBX ¡etc. ¡ • Other ¡devices ¡may ¡provide ¡stronger ¡guarantees ¡ – Trusted ¡Hardware ¡Security ¡Module ¡ • The ¡strength ¡is ¡implicit ¡in ¡the ¡iden6ty ¡ – Need ¡out-‑of-‑band ¡informa&on ¡to ¡interpret ¡it ¡ – Example: ¡device ¡iden&ty ¡provisioned ¡by ¡device ¡manufacturer ¡and ¡ signed ¡with ¡manufacturer ¡public ¡key: ¡Need ¡to ¡ask ¡the ¡ manufacturer ¡about ¡the ¡proper&es ¡of ¡the ¡device ¡ – Services ¡that ¡care ¡have ¡sufficient ¡incen&ve ¡to ¡obtain ¡the ¡ necessary ¡informa&on ¡ 6
What ¡about ¡privacy ¡? ¡ • A ¡device ¡iden&fier ¡is ¡Personally ¡Iden&fiable ¡ Informa&on ¡ – Even ¡if ¡the ¡iden&fier ¡is ¡different ¡for ¡each ¡ service ¡ • User ¡consent ¡is ¡required ¡to ¡transmit ¡it ¡to ¡a ¡ given ¡des&na&on ¡ • Even ¡with ¡consent, ¡we ¡must ¡ensure ¡it ¡is ¡ only ¡sent ¡to ¡the ¡user-‑approved ¡des&na&on ¡ – services ¡must ¡be ¡authen6cated ¡to ¡the ¡user’s ¡ sa6sfac6on ¡ 7
Possible ¡approach ¡ • JS ¡API ¡for ¡service ¡device ¡authen&ca&on ¡ – Separate ¡iden&ty ¡per ¡origin ¡ – Only ¡available ¡to ¡authen&cated ¡JS ¡code ¡(e.g. ¡ code ¡received ¡over ¡hdps) ¡ – Key ¡agreement ¡for ¡temporary ¡keys ¡ – Func&ons ¡for ¡encrypt/decrypt ¡using ¡device ¡ ¡ and ¡temporary ¡keys ¡ – Func&ons ¡to ¡create/verify ¡MACs ¡using ¡device ¡ ¡ and ¡temporary ¡keys ¡ 8
Conclusion ¡ • Some ¡services ¡not ¡possible ¡on ¡the ¡web ¡ today ¡due ¡to ¡ – Lack ¡of ¡guarantees ¡on ¡device ¡behaviour ¡ – Lack ¡of ¡ability ¡to ¡count ¡devices ¡on ¡one ¡account ¡ • Secure ¡device ¡authen&ca&on ¡can ¡solve ¡this ¡ – With ¡generally-‑applicable ¡capabili&es ¡ – Without ¡compromising ¡privacy ¡ – Without ¡standardizing ¡device ¡proper&es ¡ (implicit ¡in ¡iden&ty) ¡ • Interest ¡in ¡working ¡on ¡solu6ons ¡? ¡ 9
Recommend
More recommend