trustotp transforming smartphones into secure one time
play

TrustOTP: Transforming Smartphones into Secure One-Time - PowerPoint PPT Presentation

May 29, 2023 •197 likes •474 views

TrustOTP: Transforming Smartphones into Secure One-Time Password Tokens He Sun, Kun Sun, Yuewu Wang, and Jiwu Jing Presented by Fengwei

  1. TrustOTP: ¡Transforming ¡ Smartphones ¡into ¡Secure ¡One-­‑Time ¡ Password ¡Tokens ¡ ¡ ¡ He ¡Sun, ¡Kun ¡Sun, ¡Yuewu ¡Wang, ¡and ¡Jiwu ¡Jing ¡ ¡ ¡ Presented ¡by ¡Fengwei ¡Zhang ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 1 ¡

  2. Outline ¡ • IntroducMon ¡ • MoMvaMon ¡ • Architecture ¡ • ImplementaMon ¡ • EvaluaMon ¡ • Summary ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 2 ¡

  3. Outline ¡ • IntroducMon ¡ • MoMvaMon ¡ • Architecture ¡ • ImplementaMon ¡ • EvaluaMon ¡ • Summary ¡ ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 3 ¡

  4. One-­‑Mme ¡Password ¡(OTP) ¡ • A ¡password ¡that ¡is ¡valid ¡for ¡only ¡one ¡login ¡ session ¡or ¡transacMon ¡ – Not ¡vulnerable ¡to ¡reply ¡aUacks ¡ – Widely ¡used ¡in ¡Two-­‑factor ¡AuthenMcaMon ¡ – HOTP ¡(Hash-­‑based ¡OTP) ¡ • Event ¡triggered, ¡key ¡& ¡counter ¡ – TOTP ¡(Time-­‑based ¡OTP) ¡ • Time ¡synchronized, ¡key ¡& ¡clock ¡ – Hardware ¡token ¡& ¡soXware ¡App ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 4 ¡

  5. ExisMng ¡SoluMons ¡ • Hardware-­‑based ¡ – RSA ¡SecurID ¡ – Yubikey ¡ • SoXware-­‑based ¡ – Google ¡authenMcator ¡ – McAfee ¡one-­‑Mme ¡password ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 5 ¡

  6. Outline ¡ • IntroducMon ¡ • MoMvaMon ¡ • Architecture ¡ • ImplementaMon ¡ • EvaluaMon ¡ • Summary ¡ ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 6 ¡

  7. LimitaMon ¡ • Hardware-­‑based ¡-­‑-­‑-­‑ ¡not ¡flexible ¡ – Unprogrammable ¡ – Expensive ¡ ¡ • SoXware-­‑based ¡-­‑-­‑-­‑ ¡not ¡secure ¡ – Vulnerable ¡to ¡external ¡aUacks ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 7 ¡

  8. Goals ¡ • ConfidenMality ¡ – Malicious ¡mobile ¡OS ¡cannot ¡compromise ¡the ¡keying ¡ material ¡(seed) ¡in ¡the ¡OTP ¡generator ¡ – It ¡cannot ¡read ¡the ¡OTP ¡ ¡ • Reliability ¡and ¡Availability ¡ – Trusted ¡inputs ¡(e.g., ¡clock ¡Mme) ¡for ¡the ¡OTP ¡genreator ¡ – Trusted ¡display ¡ – OTP ¡works ¡even ¡If ¡mobile ¡OS ¡crashes ¡ • Small ¡TCB ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 8 ¡

  9. TrustZone-­‑related ¡Work ¡ • TrustICE ¡(Sun ¡et ¡al.[1]) ¡ – Isolated ¡CompuMng ¡Environment ¡in ¡the ¡normal ¡domain ¡ • SeCReT ¡(Jang ¡et ¡al.[2]) ¡ – Secure ¡channel ¡between ¡secure ¡domain ¡and ¡normal ¡applicaMon ¡ • Hypervision ¡(Azab ¡et ¡al.[3]) ¡ – Real-­‑Mme ¡kernel ¡protecMon ¡in ¡the ¡normal ¡domain ¡ • TrustDump ¡(Sun ¡et ¡al.[4]) ¡ – Reliable ¡Memory ¡AcquisiMon ¡of ¡the ¡mobile ¡OS ¡ • Smartphone ¡as ¡locaMon ¡verificaMon ¡token ¡for ¡payments ¡ (Marforio ¡et ¡al.[5]) ¡ • Trusted ¡Language ¡RunMme ¡for ¡trusted ¡applicaMons ¡in ¡the ¡ secure ¡domain ¡(Santos ¡et ¡al.[6]) ¡ ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 9 ¡

  10. Outline ¡ • IntroducMon ¡ • MoMvaMon ¡ • Architecture ¡ • ImplementaMon ¡ • EvaluaMon ¡ • Summary ¡ ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 10 ¡

  11. TrustOTP ¡Architecture ¡ – In ¡the ¡secure ¡domain ¡ – Shared ¡I/O ¡device ¡with ¡the ¡rich ¡OS ¡ – Reliable ¡switch ¡between ¡domains ¡ Normal Domain Secure Domain Rich OS TrustOTP Secure Clock Secure TOTP Non-secure OTP Permanent Permanent Generator Storage HOTP Secure Counters Storage Non-secure Framebuffer Reliable Switch Secure Framebuffer Secure Secure Touchscreen Display Framebuffer Touchscreen Driver Controller Driver Driver User Input of the Rich OS Display with User Input of Touchscreen TrustOTP Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 11 ¡

  12. Challenges ¡ • Secure ¡input ¡and ¡display ¡though ¡shared ¡ touchscreen ¡ • Reliable ¡switch ¡ • Generator ¡protecMon ¡ – StaMc ¡code ¡ – ExecuMon ¡environment ¡ • Availability ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 12 ¡

  13. Outline ¡ • IntroducMon ¡ • MoMvaMon ¡ • Architecture ¡ • ImplementaMon ¡ • EvaluaMon ¡ • Summary ¡ ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 13 ¡

  14. Security ¡Analysis ¡ • InformaMon ¡leakage ¡ – Generated ¡OTPs ¡ – Shared ¡keys ¡ • Control ¡flow ¡tampering ¡ – Code ¡integrity ¡ – ExecuMon ¡integrity ¡(e.g., ¡Interrupt) ¡ • Denial-­‑of-­‑service ¡ – Switch ¡between ¡domains ¡ – StaMc ¡& ¡dynamic ¡code ¡ – Display ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 14 ¡

  15. Boot ¡Sequence ¡ Secure ¡storage ¡ • – MicroSD ¡card ¡ Memory ¡IsolaMon ¡ • – TZASC ¡(TrustZone ¡Address ¡Space ¡Controller) ¡ – Watermark ¡mechanism ¡ Normal Domain Secure Domain – Secure ¡boot ¡ Secure ¡bootloader ¡ • USB Flash MicroSD Drive card – Non-­‑secure ¡bootloader ¡ Kernel Filesystem – Rich ¡OS ¡ Non-secure Secure TrustOTP Bootloader Bootloader 4 2 1 Non-secure 3 Memory Kernel Secure Memory Secure Non-secure TrustOTP Bootloader Bootloader Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 15 ¡

  16. TrustOTP ¡Triggering ¡ • Reliable ¡switch ¡ – Non-­‑maskable ¡interrupt ¡(NMI) ¡ • The ¡rich ¡OS ¡cannot ¡block ¡or ¡intercept ¡ – Secure ¡Interrupt ¡(FIQ) ¡ • The ¡rich ¡OS ¡cannot ¡manipulate ¡ – Interrupt ¡source ¡(configurable) ¡ • Physical ¡buUon ¡ • Timer ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 16 ¡

  17. OTP ¡GeneraMon ¡ • Hash-­‑based ¡one-­‑Mme ¡password ¡(HOTP) ¡ – Key, ¡counter ¡ • Time-­‑based ¡one-­‑Mme ¡password ¡(TOTP) ¡ – Key, ¡Clock ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 17 ¡

  18. OTP ¡Display ¡ • Secure ¡I/O ¡ – Display: ¡IPU ¡(Image ¡Processing ¡Unit) ¡+ ¡LCD ¡ – Input: ¡4-­‑wire ¡resisMve ¡touchscreen ¡ • User-­‑friendly ¡manner ¡ – Rich ¡OS ¡and ¡TrustOTP ¡run ¡concurrently ¡ – Watchdog ¡Mmer ¡ – 1.5 ¡seconds ¡/ ¡cycle ¡ ¡ • 0.5 ¡second ¡for ¡display ¡ • 1 ¡second ¡for ¡input ¡2~3 ¡numbers ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 18 ¡

  19. Outline ¡ • IntroducMon ¡ • MoMvaMon ¡ • Architecture ¡ • ImplementaMon ¡ • EvaluaMon ¡ • Summary ¡ ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 19 ¡

  20. EvaluaMon ¡ • Freescale ¡i.MX53 ¡QSB ¡ – A ¡Cortex-­‑A8 ¡1GHz ¡processor ¡ – 1GB ¡DD3 ¡RAM ¡ – 4GB ¡microSD ¡card ¡ • Monsoon ¡power ¡monitor ¡ – Power ¡measurement ¡ – Power ¡logging ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 20 ¡

  21. TrustOTP ¡Performance ¡ • Before ¡OTP ¡display ¡(60.48 ¡ms) ¡ • AXer ¡OTP ¡display ¡(7.52 ¡ms) ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 21 ¡

  22. Impact ¡on ¡the ¡Rich ¡OS ¡ • Rich ¡OS ¡vs. ¡TrustOTP ¡ • Anutu ¡ – CPU ¡& ¡RAM ¡ – I/O ¡devices ¡ • Vellamo ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 22 ¡

  23. Power ¡ConsumpMon ¡ • Rich ¡OS ¡ – Average ¡= ¡2,128 ¡mW ¡ • TrustOTP ¡running ¡ – Average ¡=2,230 ¡mW ¡ • TrustOTP ¡without ¡ display ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 23 ¡

  24. Outline ¡ • IntroducMon ¡ • MoMvaMon ¡ • Architecture ¡ • ImplementaMon ¡ • EvaluaMon ¡ • Summary ¡ ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 24 ¡

Recommend

TrustOTP: Transforming Smartphones into Secure One-Time Password Tokens He Sun, Kun Sun, Yuewu

TrustOTP: Transforming Smartphones into Secure One-Time Password Tokens He Sun, Kun Sun, Yuewu

TrustOTP: Transforming Smartphones into Secure One-Time Password Tokens He Sun, Kun Sun, Yuewu Wang, and Jiwu Jing Presented by Fengwei Zhang Wayne State University CSC 6991 Topics in Computer Security 1 Outline IntroducLon MoLvaLon

638 views • 26 slides
Secure Communications Center (SCC) Secure Messaging and Location Tracking Smartphones

Secure Communications Center (SCC) Secure Messaging and Location Tracking Smartphones

Secure Communications Center (SCC) Secure Messaging and Location Tracking Smartphones Information Technology Security Location User Messaging Tracking Network * CEO A. Baar Akbay CFO PDM M. Melih H. Hakan Deirmenci Kahraman

371 views • 36 slides
A Field Study of Run-Time Location Access Disclosures on Android Smartphones Huiqing Fu Yulong

A Field Study of Run-Time Location Access Disclosures on Android Smartphones Huiqing Fu Yulong

A Field Study of Run-Time Location Access Disclosures on Android Smartphones Huiqing Fu Yulong Yang, Nileema Shingte, Janne Linqdvist, Marco Gruteser WINLAB Why Run-Time Location Access Disclosures on Smartphones? 2 Large amount of users

540 views • 18 slides
Agora Verkehrswende : Transforming Transportation to secure tomorrows mobility. 12 Insights

Agora Verkehrswende : Transforming Transportation to secure tomorrows mobility. 12 Insights

Agora Verkehrswende : Transforming Transportation to secure tomorrows mobility. 12 Insights into the Verkehrswende Christian Hochfeld Executive Director, Agora Verkehrswende Draft Presentation, Canada November, 2017 Agora Verkehrswende

882 views • 53 slides
EasyTracker Automatic Transit Tracking, Mapping, and Arrival Time Prediction Using Smartphones

EasyTracker Automatic Transit Tracking, Mapping, and Arrival Time Prediction Using Smartphones

EasyTracker Automatic Transit Tracking, Mapping, and Arrival Time Prediction Using Smartphones James Biagioni, Tomas Gerlich, Timothy Merrifield and Jakob Eriksson We love bus trackers! slide 2 Winter in Chicago slide 3 Our shuttle web

4.98k views • 94 slides
Privacy on Smartphones Presentation by Claude Barthels Roadmap TaintDroid: An

Privacy on Smartphones Presentation by Claude Barthels Roadmap TaintDroid: An

Privacy on Smartphones Presentation by Claude Barthels Roadmap TaintDroid: An Information-Flow Tracking System for Realtime Privacy Monitoring on Smartphones MockDroid: Trading Privacy for Application Functionality on Smartphones

429 views • 38 slides
VOTD: Time of Check, Time of Use Engineering Secure Software Last Revised: September 1, 2020

VOTD: Time of Check, Time of Use Engineering Secure Software Last Revised: September 1, 2020

VOTD: Time of Check, Time of Use Engineering Secure Software Last Revised: September 1, 2020 SWEN-331: Engineering Secure Software Benjamin S Meyers 1 What is Time of Check, Time of Use? Analogy: Jill asks Dan to have tea ready for her when

383 views • 7 slides
TRANSFORMING MOMENTS Gcina Mhlope TITLE Transforming means change from one state to another.

TRANSFORMING MOMENTS Gcina Mhlope TITLE Transforming means change from one state to another.

TRANSFORMING MOMENTS Gcina Mhlope TITLE Transforming means change from one state to another. The story is about the narrator who changes from someone who has a low self-esteem to a confident female praise poet within a short space of time

427 views • 13 slides
TRANSFORMING WEB SERVICES CHOREOGRAPHIES WITH PRIORITIES AND TIME CONSTRAINTS INTO

TRANSFORMING WEB SERVICES CHOREOGRAPHIES WITH PRIORITIES AND TIME CONSTRAINTS INTO

TRANSFORMING WS-CDL WITH PRIORITIES AND TIME CONSTRAINTS INTO PRIORITIZED-TIME PETRI NETS TRANSFORMING WEB SERVICES CHOREOGRAPHIES WITH PRIORITIES AND TIME CONSTRAINTS INTO PRIORITIZED-TIME PETRI NETS V. Valero M.E. Cambronero G. Daz J.J.

837 views • 40 slides
Looking to the Future: Use of Smartphones & Beyond Mick Foy 15 th September 2014 Vigilance

Looking to the Future: Use of Smartphones & Beyond Mick Foy 15 th September 2014 Vigilance

Looking to the Future: Use of Smartphones & Beyond Mick Foy 15 th September 2014 Vigilance and Risk Management of Medicines Agenda Use of smartphones & social media What does this mean for pharmacovigilance Introducing WEB-RADR

498 views • 20 slides
Establishing Time for Professional Learning Transforming

Establishing Time for Professional Learning Transforming

4/24/14 Establishing Time for Professional Learning Transforming Professional Learning Webinar Series April 24, 2014 Our Norms Engage fully, sharing

693 views • 19 slides
27 th Annual Conference Transforming and Improving Cost and Time Estimating for the Next

27 th Annual Conference Transforming and Improving Cost and Time Estimating for the Next

27 th Annual Conference Transforming and Improving Cost and Time Estimating for the Next Decade Tuesday 20 th September Royal Institution of Naval Architects London Welcome Special welcome to new members Entitled to free

1.02k views • 15 slides
on Smartphones & Tablets with Trusted Computing Stefan Saroiu Microsoft Research (Redmond)

on Smartphones & Tablets with Trusted Computing Stefan Saroiu Microsoft Research (Redmond)

Protecting Data on Smartphones & Tablets with Trusted Computing Stefan Saroiu Microsoft Research (Redmond) Smartphones have displaced PCs as the primary computing device Smartphones Store Sensitive Data Sensor Readings Have Value

1.34k views • 83 slides
1 2 3 4 5 6 Transforming Lives Two Generations At A Time Our Mission To transform families

1 2 3 4 5 6 Transforming Lives Two Generations At A Time Our Mission To transform families

1 2 3 4 5 6 Transforming Lives Two Generations At A Time Our Mission To transform families from poverty to prosperity. Our Strategy To mobilize a broad-based coalition of community members who embrace the mission. The Need Today

472 views • 28 slides
How Secure are Secure How Secure are Secure Interdomain Routing Protocols? Interdomain Routing

How Secure are Secure How Secure are Secure Interdomain Routing Protocols? Interdomain Routing

DIMACS Workshop On Secure Routing March 10, 2010 How Secure are Secure How Secure are Secure Interdomain Routing Protocols? Interdomain Routing Protocols? $ $ Sharon Goldberg Microsoft Research & Boston University y Michael Schapira

701 views • 54 slides
Transforming Our Workplace: Its Time OBJECTIVES Describe harassment and gender-based

Transforming Our Workplace: Its Time OBJECTIVES Describe harassment and gender-based

Transforming Our Workplace: Its Time OBJECTIVES Describe harassment and gender-based career disparities in healthcare Highlight the case for equity and safety Discuss individual & institutional solutions Introduce

598 views • 15 slides
CORPORATE PRESENTATION 2014 ABOUT DIGITAL GAMING Digital gaming is everywhere Smartphones &

CORPORATE PRESENTATION 2014 ABOUT DIGITAL GAMING Digital gaming is everywhere Smartphones &

CORPORATE PRESENTATION 2014 ABOUT DIGITAL GAMING Digital gaming is everywhere Smartphones & Tablets Feature phones TVs & STBs Smartphones, tablets, smart TVs, STBs, smart watches Installed base of 2 billion smartphones and

433 views • 25 slides
Functional Herbal Therapy in the Time of COVID-19 Transforming global health 2 Disclaimer

Functional Herbal Therapy in the Time of COVID-19 Transforming global health 2 Disclaimer

Functional Herbal Therapy in the Time of COVID-19 Transforming global health 2 Disclaimer This session with Simon Mills and Kerry Bone provides information exclusively to healthcare practitioners and offers the opportunity to hear the

837 views • 27 slides
Transforming Your Relationship with Time: Achieve More While Doing Less By Jamie Jackson

Transforming Your Relationship with Time: Achieve More While Doing Less By Jamie Jackson

Transforming Your Relationship with Time: Achieve More While Doing Less By Jamie Jackson Spannhake, Esq., CHC Introduction: Faculty Jamie Jackson Spannhake is an attorney, coach & author of The Lawyer, the Lion, & the Laundry: Three

607 views • 22 slides
TRANSFORMING TRANSFORMING TRANSFORMING TRANSFORMING FINANCIAL SERVICES FINANCIAL SERVICES FOR

TRANSFORMING TRANSFORMING TRANSFORMING TRANSFORMING FINANCIAL SERVICES FINANCIAL SERVICES FOR

TRANSFORMING TRANSFORMING TRANSFORMING TRANSFORMING FINANCIAL SERVICES FINANCIAL SERVICES FOR UNDER FOR UNDER- -SERVED MARKETS SERVED MARKETS The Macroeconomics of Mobile Money Securing Mobile Money: The Ugandan Experience g p

269 views • 10 slides
Creating Value in a Transforming Communication Creating Value in a Transforming Communication

Creating Value in a Transforming Communication Creating Value in a Transforming Communication

Creating Value in a Transforming Communication Creating Value in a Transforming Communication Environment Support For Discussion December 2010 1 Agenda 1 Our ideas of the future WebTV A web 2.0 phenomenon fragmented, halfhearted and 2

504 views • 47 slides
How AI is Transforming Manufacturing Webinar Agenda TIME TOPIC KEY ITEMS PRESENTER Rob

How AI is Transforming Manufacturing Webinar Agenda TIME TOPIC KEY ITEMS PRESENTER Rob

How AI is Transforming Manufacturing Webinar Agenda TIME TOPIC KEY ITEMS PRESENTER Rob Capozziello 3 Introduction & Housekeeping About Zoom, Q&A, Agenda EVP Services, Mariner Mitch Landess 5 Conexus Intro Conexus

797 views • 55 slides
for Smartphones Hyojun Kim Cristian Ungureanu Nitin Agrawal Life in the Post - PC Mobile

for Smartphones Hyojun Kim Cristian Ungureanu Nitin Agrawal Life in the Post - PC Mobile

Revisiting Storage for Smartphones Hyojun Kim Cristian Ungureanu Nitin Agrawal Life in the Post - PC Mobile Era Smartphone and tablet markets are huge & growing Mobile 100 Million smartphones shipped in Q4 2010, 92 M PCs [IDC]

853 views • 28 slides
MA MAD Mobile Application Design Mo Mobile is different Smartphones and desktop computers

MA MAD Mobile Application Design Mo Mobile is different Smartphones and desktop computers

MA MAD Mobile Application Design Mo Mobile is different Smartphones and desktop computers are very different One might be tempted to think of mobile devices as underpowered versions of 'real' computers Smartphones are actually more

588 views • 36 slides

More recommend