En norsk ekspert innen IT-sikkerhet, Trond Lemberg – kjent fra Message Management og tjenesten Protectoria for sikker e-post – har fått sin oppfinnelse «Syntetisk PIN» vurdert av Norsk Regnesentral.
Oppfinnelsen går ut på å erstatte dagens PIN-koder med en enklere og mer automatisert form for tofaktor autentisering, der koden som utgjør dobbeltsjekken streames som lyd fra tjenesten til brukerens pc, etter at man har oppgitt brukernavn og passord. Lyden fanges opp av mobiltelefonen fra pc-ens høyttaler i det den streames, og sendes derfra tilbake til tjenesten man ønsker tilgang til.
Ordningen sørger for at brukerens mobiltelefon ringes opp automatisk straks brukernavn og passord er registrert. Det eneste brukeren behøver å gjøre, er å holde mobilen over pc-ens høyttalere, som vist på bildet over.
Den hemmelige informasjonen som utgjør dobbeltsjekken – og som erstatter den vanlige PIN-koden – utsettes for den kryptografiske hashfunksjonen SHA-256, det vil si 256 bit-varianten av SHA-2-familien.
– Dette gir svært solid sikkerhet, sier Lemberg. – En annen fordel er at det ikke krever noe fra brukeren, verken installasjon eller tasting.
Protokollen som Lemberg har utviklet, har vist seg under testing hos Norsk Regnesentral å kunne bære 100 bit per sekund uten å påvirkes av selv kraftig støy i omgivelsene rundt der mobiltelefonen fanger opp lydsignalet fra pc-ens høyttalere. Det innebærer at autentiseringen tar to til tre sekunder.
Sammenliknet med dagens PIN-koder, fra kodebrikke eller som tekstmelding, er prosessen helautomatisk, i tillegg til at den hemmelige informasjonen kan være langt mer detaljert enn en fire- eller sekssifret tallkode.
Forskningssjef Åsmund Skomedal i Norsk Regnesentral uttaler at resultatene fra prosjektet gir «gode forhåpninger om at man med dette har demonstrert en interessant mekanisme for brukervennlig realisering av høye sikkerhetsnivå».
– Dette er også en interessant kandidat til I/O protokoll for oppfyllelse av strenge sikkerhetskriteria for elektronisk signatur, sier Skomedal. – Grunnteknologien er nå til stede, og i prinsippet klar for realisering i markedet, da infrastrukturen for alle brukere eksisterer, også internasjonalt.
Lemberg peker på at all annen kjent sikkerhetsteknologi baserer seg på en leddet kjede av tekniske operasjoner og brukerinteraksjon i sårbare brukeromgivelser. Syntetisk PIN erstatter den leddede kjeden med en uleddet og enhetlig kryptografisk krets. Det innebærer kraftig redusert risiko for trojanere og angrep av typen «mannen i midten». Syntetisk PIN kombinerer følgelig økt brukervennlighet med økt sikkerhet.
Lemberg ser for seg anvendelser innen kritiske tjenester som nettbank og Altinn, helse, forsvar, virksomhetskritiske tjenester, PUK-distribusjon, kontoverifikasjon, elektronisk signatur med mer.
En svært interessant mulig anvendelse er som alternativ til NFC («near field communication») til å utveksle data for betalingstransaksjoner. Dette er mest aktuelt i områder i Asia, Afrika og Latin Amerika der 2G dominerer, og der mobiltelefoner flest ikke kan ventes å få NFC før om flere år.
– Det fordrer at Syntetisk PIN tilbys som tjeneste fra mobiloperatører, men krever ikke at kjøper og selger har samme operatør, forklarer Lemberg. – Kjøper oppgir pris og selgers mobilnummer til sin operatør. Operatørens server for Syntetisk PIN ringer opp både kjøper og selger, og transaksjonen registreres som tilgodehavende hos selger. Selger går så til nærmeste kiosk for kontantkort, og Syntetisk PIN brukes igjen for å autentisere selger og transaksjon slik at pengene kan utbetales kontant.
I dette tilfelles kan lyden mellom de to mobiltelefonene overføres gjennom en ledning knyttet til begge mobilenes lydutganger. Det fordrer at man har en ledning med hannplugg i begge ender. Dette må bli en del av pakken til dem som ønsker Syntetisk PIN som tjeneste.
Løsningen er fortsatt under patentering, og tidshorisonten for kommersialisering er uviss.