Bygger sikkerhetsmaskin inn i microSD-kort

Google-ansatt kjendishacker leder prosjektet.

Project Vault består av en sikkerhetsdedikert datamaskin som er bygd inn i et microSD-kort
Project Vault består av en sikkerhetsdedikert datamaskin som er bygd inn i et microSD-kort Bilde: Google via YouTube
Harald BrombachHarald BrombachNyhetsleder
3. juni 2015 - 07:58

Den ene av Googles store forskningsavdelinger, ATAP (Advanced Technology and Projects), holdt under Google I/O i forrige uke en lang presentasjon om flere av prosjektene som avdelingen jobber med.

Digi.no har omtalt to av dem i denne artikkelen. Begge handlet om samhandling med kroppsnære enheter.

Les også: Erstatter berøringsskjermen med radar 

To av de andre prosjektene som ble omtalt i detalj, var Project Vault og Project. Begge er knyttet til sikkerhet og autentisering.

Project Vault ledes av Peiter Zatko, mer kjent som Mudge. På 1990-tallet ledet han hackergruppen L0pht som er mest kjent for et vitnemål til Det amerikanske senatet hvor de fortalte at de kunne stenge internett på 30 minutter.

Gruppen er også kjent for passordknekking-verktøyet L0phtCrack, som opprinnelig ble utviklet av Zatko selv.

Sikkerhetsdatamaskin

Prosjektet dreier seg om et isolert maskinvare- og programvaresystem som er integrert inn i et microSD-kort.

Det dreier seg om en dedikert sikkerhetsdatamaskin med et grensesnitt som ikke krever egne drivere, og som derfor kan brukes sammen med stort sett alle enheter som støtter microSD direkte eller indirekte.

Brukerdata

Zatko fortalte at hensikten med Project Vault er å sikre brukerdata. Det finnes ofte flere sikkerhetselementer innebygd i datamaskiner og andre brukerenheter fra før, men disse sikkerhetselementene beskytter det som er viktig for leverandørene av brukerenhetene og innholdsleverandørene.

Peiter Zatko, også kjent som Mudge, leder Google ATAPs Vault-prosjekt.
Peiter Zatko, også kjent som Mudge, leder Google ATAPs Vault-prosjekt. Bilde: Google via YouTube
– Hvor er sikkerhetselementet som beskytter de tingene som er viktige for deg, og som du har fullstendig kontroll over?, spurte Zatko retorisk.

– Så vi lagde ett.

Verdens første: Mobilen som leser av øyet ditt 

Egenskaper

Han forteller at Google ATAP ønsket et element som kunne håndtere kryptert, strømmende video med en kapasitet på minst 1 megabyte per sekund.

– Vi ønsket at den skulle være modulbasert, slik at du kan flytte den fra en enhet til en annen. Og vi ønsket at den skulle ha gigabyte med lagringsplass, blant annet for å muliggjøre uforanderlige loggsystemer, sa Zatko.

Inne i det vesle microSD-kortet har Google ATAP integrert en ARM-basert prosessor som kjører et sikkerhetsorientert sanntidsoperativsystem, en NFC-brikke med antenner, og i alle fall fire gigabyte med isolert, forseglet lagringsplass.

Project Vault-enhetene vil trolig komme i flere varianter
Project Vault-enhetene vil trolig komme i flere varianter Bilde: Google via YouTube

IBM: Vi legger igjen unødvendig mye persondata 

Tjenester

Project Vault-enheten skal leveres med en pakke med kryptografiske tjenester, inkludert hashing, signering, massekryptering, strømmekryptering og en maskinvarebasert generator av vilkårlig tall. Dette skal kunne brukes til å sikre både kommunikasjon og lagring.

For et vertssystem som vil microSD-kortet framstå som nettopp dette – en lagringsenhet. Vertssystemet tilbys to filer, og det er disse som utgjør hele grensesnittet mot systemet på kortet.

Det ene er en skrivefil som kan brukes til å be om tjenester fra Project Vault. Den andre er en lesefil for å motta i alle fall siffertekst.

Dette skal kunne sikre at krypteringsnøkler og andre sikre data aldri vil bli lekket til en upålitelig vertsenhet ved et uhell.

Filsystemet som gjøres tilgjengelig av Project Vault
Filsystemet som gjøres tilgjengelig av Project Vault. Bilde: Google via YouTube

Les også: Dette er en norsk kryptomaskin 

Pengeskap

Regina Dugan, den tidligere DARPA-direktøren som i dag er sjef for Google ATAP, sammenlignet enheten med det å ha en safe i boligen. I safen putter man normalt sine mest verdifulle gjenstander, men man har sjelden plass til alt man eier.

På samme måte som det ikke er praktisk mulig å ha like høy sikkerhet i hele boligen som i safen – man ønsker vanligvis å ha slik som dører og vinduer for å slippe lys, luft og gjenstander inn og ut – så er det ikke mulig å tilby omfattende og komplekse operativsystemer som Windows og Android like god sikkerhet som det Project Vault skal tilby.

Mengden av alvorlige sårbarheter som jevnlig oppdages i de vanlige operativsystemene, anses som et tydelig bevis på dette.

Les også: – Har du en pc, er du et mål 

Åpenhet

Den vesle enheten er fortsatt temmelig eksperimentell og testes nå av omtrent 500 personer i Google. Selskapet har samtidig gjort alle detaljer om selskapets FPGA-baserte utviklerplattform tilgjengelig på GitHub. Til og med prosessoren er open source.

Utviklerkortet for Project Vault
Utviklerkortet for Project Vault Bilde: Google via YouTube
 

Hensikten med dette er ifølge Zatko både å åpne for fullstendig innsyn i systemet og for å gjøre det mulig for utviklere å eksperimentere med det allerede nå.

Project Vault utvikles i første omgang for å bli brukt av bedrifter, men målet er at teknologien også skal gjøres tilgjengelig for individuelle brukere.

Det litt ironiske med dette prosjektet er at Google av flere årsaker ikke har vært så positivt innstilt til å utstyre mobile enheter med kortleser. Disse årsakene har ikke blitt borte, men nå har selskapet trolig fått en mer tungveiende grunn til å utstyre Nexus-enheter med en slik leser.

FIDO: Logg inn på Google med USB-pinne 

Passord?

Google ATAP-sjef Regina Dugan under Google I/O 2015.
Google ATAP-sjef Regina Dugan under årets Google I/O. Bilde: Google via YouTube
Google har lenge vært en motstander av passord, og selskapet forsøker, sammen med mange andre, å finne alternative løsninger. Det er mange årsaker til dette.

Ifølge Dugan glemmer 70 prosent av brukerne passordet sitt en gang i måneden. Mange bruker det samme passordet flere steder, og i gjennomsnitt må vi taste inn passordet 2,4 ganger før vi får logget inn.

– Mennesker er en dårlig kilde til entropi, entropien vi trenger i forbindelse med sikkerhet, fordi vi er avhengige av mønstre for å huske ting, sa Dugan som en introduksjon til det andre sikkerhetsrelaterte prosjektet som ble presentert sist fredag.

Mer FIDO: Windows 10 får full biometrisk sikkerhet 

Project Abacus

Project Abacus dukket opp på radaren til enkelte allerede i fjor høst, men fram til nå har det vært temmelig ukjent for de fleste hva det har handlet om, bortsett fra et det finnes en egen Android-app i Google Play med samme navn.

Dugan fortalte under presentasjonen at Project Abacus handler om å finne nye og bedre måter å autentisere en bruker på.

Den nevnte appen har blitt tatt i bruk av 1500 frivillige som over en periode har delt sensordata med forskere tilknyttet Project Abacus.

Multimodus

I tillegg til Google-ansatte har 25 forskere fra 16 institusjoner i 10 land samarbeidet for å se om disse sensordataene kunne bekrefte en hypotese om at en kombinasjon av ulike typer sensordata kan gi opptil ti ganger sikrere autentisering enn de beste fingeravtrykkleserne.

Sikkerheten knyttet til en autentiseringsløsning basert på flere typer sensordata kan være så vi som ti ganger høyere enn med fingeravtrykkleser, viser forskningsresultater fra Google ATAPs Abacus-prosjekt.
Sikkerheten knyttet til en autentiseringsløsning basert på flere typer sensordata kan være så vi som ti ganger høyere enn med fingeravtrykkleser, viser forskningsresultater fra Google ATAPs Abacus-prosjekt. Bilde: Google via YouTube
 

Den store fordelen med metoden er at den med dagens smartmobiler ikke vil kreve noen ny maskinvare. I stedet vil den, lokalt på enheten, kunne gjenkjenne brukeren ved hjelp av metoder som hvordan brukeren snakker, skriver på tastaturet, beveger seg og ser ut.

Fingeravtrykkleser er ikke nødvendig.

Les også: La «hjerterytmen» fortelle hvem du er 

Apptilgang

Dugan fortalte at Google ATAP håper at dette etter hvert vil kunne gjøres tilgjengelig for millioner av Android-brukere. Ikke bare til å låse opp mobilen, men også for å få tilgang til apper med ulike autentiseringskrav.

Et enkelt spill vil for eksempel kunne kreve null autentisering, mens en bankapplikasjon vil stille høyere krav.

En mulig måte å gjøre det på er å tilby et slags pålitelighetstall som kontinuerlig baseres på hvordan brukeren utfører ulike aktiviteter.

Dersom systemet plutselig oppdager at det virtuelle tastaturet brukes helt annerledes enn tidligere, vil pålitelighetstallet reduseres betydelig.

Hensikten er å kunne avvise potensielt ondsinnede brukere i sanntid, uten å måtte ty til passord.

Ikke glem denne: Dette er de verste passordene 

Tilgjengelighet

Det ble ikke sagt noe om når disse teknologiene kan ventes å bli tilgjengelige for vanlige bruker. Google ATAP er en forsknings- og utviklingsavdeling. Selve produktene er det andre deler av Google eller samarbeidspartnere som eventuelt vil tilby.

Hele presentasjonen av de nye sikkerhetsløsningene starter etter drøy 41 minutter ute i denne videoen.

Les også: Nettsted gir tilgang til tusenvis av kameraer 

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.