På få år er FIDO-autentificering vokset fra at været et koncept til en global standard, der understøttes af førende browsere og platforme. Målet har siden 2013 været at etablere en ny sikker standard, som effektivt og skalérbart kan eliminere phishing og andre IT-angreb – og det virker. For danske virksomheder og offentlige myndigheder kan FIDO, dog næppe stå alene. Løsningen er en kombination af det bedste fra FIDO og PKI-systemet.
Af Bjarke Alling, Koncerndirektør i Liga og formand for den private del af Cybersikkerhedsrådet
FIDO er en kærkommen teknologi til autentificering i ensartede systemer. FIDO-autentifikation byder på en stærk autentifikationsproces baseret på standard public key kryptografi – i modsætning til password-baserede sikkerhedsmodeller, som åbner for en række sikkerhedsbrister.
Men FIDO kan ikke altid stå alene. FIDO kan bruges til autentifikation på tværs af hele netværk, men det kræver modifikationer til f.eks. standard Windows logi,n og FIDO vil ikke alene gøre det muligt at overgå til et mere adgangskodefrit samlet it-miljø. Derfor suppleres FIDO ofte med fordel af PKI-standarden.
FIDO er designet fra grunden til at beskytte brugernes loginoplysninger. Disse oplysninger bliver på enheden, der benyttes. Dette kombineres med enkel brugerhåndtering i kraft af enten biometri såsom ansigtsgenkendelse eller fingeraftryk, eller en ekstern FIDO-sikkerhedsnøgle – med den ekstra fordel, at brugeroplysninger er kryptografisk stærke og unikke for hver webapplikation.
FIDO bringer således ægte to-faktor sikkerhed til internettet og er velegnet til virksomheder, der ønsker to-faktorsikkerhed, adgang uden passwords, til deres applikationer.
Udfordring med decentral autentificering
FIDO er en ung protokol, der er i konstant udvikling. Protokollen håndteres forskelligt på tværs af platforme og applikationer, fordi metode og sikkerhed ikke styres centralt, men derimod i det enkelte OS og f.eks. browser. Brugeren vil opleve den ene gang at skulle indtaste PIN-kode og andre gang sætte fingeren på deres token og endelig også først at skulle indtaste brugernavn og adgangskode og herefter bruge PIN-kode.
PKI derimod er konsistent på tværs af alle platforme, og sikkerheden kan styres centralt. Brugeren vil aldrig skulle udføre andre handlinger end at angive PIN-kode, og med tilpasninger i processen kan også PIN-kode suspenderes ved f.eks. re-login til en PC.
Privatlivsbeskyttelse er et fundamentalt princip i FIDO-protokollen i kraft af, at en brugers identitet/nøgle ikke kan deles mellem forskellige IT systemer. Endeligt kræver anvendelse af FIDO en fuldstændig centralisering af al autentifikation i hele netværket. Kernen er, at et login ikke kan tildeles, førend der er et match mellem brugernavn, adgangskode og FIDO nøgle.
FIDO ikke egnet som primær token i enterprisemiljøer
Et PKI system er opbygget sådan, at autentifikation kan ske helt ned på det enkelte device. Brugeren har både sit identitetsdokument (certifikatet) og sin nøgle (autentifikationen) fysisk i hånden, og derfor vil et device kunne gennemføre en validering offline. F.eks. Windows bruger dette, når man logger på sin PC uden netværksforbindelse.
Kombinationen af uensartethed, vanskelig sporbarhed og mangel på decentral autentifikation gør, at jeg vurderer en FIDO-token som uegnet som primær digital ID i et enterprisemiljø. Til sekundære opgaver er den derimod et bedre supplement end f.eks. en SMS-kode eller TOTP-nøgleviser.
Vi har skrevet denne artikel på liga.com om forskellene mellem PKI og FIDO: https://www.liga.com/okosystem-baseret-pa-fido-og-pki/
Autentificering på mobile enheder
Til autentificering på mobile enheder er både PKI og FIDO anvendelige, men…
I Danmark er der ikke mange løsninger i drift, der bruger PKI baserede id-kort til mobile enheder. De anvendes primært i militære og finansielle løsninger. I udlandet er det anderledes. I Sverige bruges det PKI-baserede SITHS kort i vid udstrækning til mobile enheder. Det gælder også i Baltikum og ikke mindst i USA.
I Liga leverer vi de særlige Certgate Bluetooth PKI id-kort læsere til myndigheder i både Norge og Sverige. Her anvendes de til både mobiler (sikker mail) og PC. Identos, leverer deres Tactivo id-kort læsere til det svenske sundhedssystem samt den tyske regeringsadministration mv.
I Liga har vi en autentifikationsapp til iOS, som bruger et PKI id-kort til at hente en Oauth token fra en IdP. En tidligere udgave af denne app kan findes i App Store her: https://apps.apple.com/dk/app/smartsignatur/id1125417323?l=da
Udfordringen med mobileenheder er i høj grad de enkelte app-leverandører. De skal tilpasse deres apps til en anden loginmetode end brugernavn/adgangskode. Om det så er FIDO med enten WebAuthn eller Oauth eller PKI med Oauth er samme sag. Det grundliggende princip, med at autentifikation sker i appen, skal ændres således, at appen modtager og herefter anvender den relevante autentifikationstoken fra brugeren.
Hybridløsning som kompromis mellem FIDO og PKI
Gælder det egne apps er løsningen ligefor, og er det en browser-app vil et FIDO-baseret setup kunne fungere fra første dag, mens det med eksterne apps kan være en udfordring. Med eksterne apps kan en FIDO-token være et godt kompromis frem til en mere permanent PKI-løsning er etableret. Dette kompromis er baggrunden for, at vi anbefaler et hybrid id-kort med både PKI og FIDO til f.eks. danske kommuner.
En vigtig ændring i forhold til mobileenheder er den kontinuerlige udvikling på NFC-fronten. Android platformen har længe understøttet NFC, mens iOS først med iOS 13 understøtter NFC fuldt ud. Apple oplyser, at med iOS 14 vil NFC blive mere integreret. Det har mange lovende elementer. Denne video fortæller lidt om udviklingen med iOS og NFC: https://www.youtube.com/watch?v=knzRDnoxE0U.
Med NFC på det nuværende niveau er det for første gang blevet teknisk muligt at benytte et PKI id-kort til, at en bruger kan bære en sin aktive session med sig på tværs af platforme uden en kompleks backend – så som Citrix, mobilcontainere osv. Nu kan vi skrive en sessions ID/token direkte til kortet og herefter genanvende denne på en anden maskine eller mobilenhed.
Det er væsentligt, fordi man for første gang kan have en konsistent og ensartet tilgang til mobile enheder set fra et leverandørsynspunkt. Cryptovision, som kendes fra SmartSignatur LCES og PKI/roamer, arbejder nu med nye projekter til varetagelse af mobile enheder sammen med PKI. Et af disse vil vi umiddelbart kunne implementere i vores SDK-app og dermed frigive den som en reel autentifikations app med Oauth, app skift osv.
Fremtiden for FIDO og PKI
FIDO-protokollen løser nogle globale udfordringer med autentifikation. Passwords er forældede, og det haster med et brugervenligt alternativ. PKI har en tilsvarende hastig udvikling. Et eksempel er Microsofts store indsats i forhold til udbredelse af deres Minidriver koncept til erstatning af den noget mere vanskelige PKCS#11 standard. I dag understøtter alle PKI-leverandører Minidriver til PKI id-kort og nogle af disse leverandører har allerede deres driver inkluderet i standard Windows OS. At driveren er standard inkluderet betyder, at brugere blot skal indsætte sit kort i sin maskine. Herefter vil kort, certifikat, nøgle osv. virke out-of-the-box.
Apple har tilsvarende opgraderet deres crypto framework til CryptoTokenKit. Dermed vil både MacOS og iOS endnu bedre understøtte PKI id-kort end tidligere. PKI er en fundamental komponent i al SSL/TLS trafik samt SAML, Oauth og OpenID. På toppen af disse områder kommer hele fremtiden med sikkerhed i forhold til IoT.
Et gennemgående, tema hos globale leverandører af standard IT-produkter, er, at deres kendskab til nationale og international CA’ere er begrænset. Det medfører, at deres salgsrådgivning hurtigere peger på FIDO end PKI. Taler man derimod med det forskelligere CA’ere, som SwissSign, D-Trust, Digicert, Microsoft og DanID, er billedet et andet.
En meget stor indvending mod PKI er netop varetagelse af CA-funktionalitet, det gælder både drift og compliance. Begge dele er dyrt og kompliceret. I Danmark er dette anderledes, fordi vi nu med mere end 10 års erfaring med MOCES1 og MOCES2 certifikater har bevist, at det fungere rimeligt problemfrit. Med den nye MOCES3-platform fortsættes den gode tradition med PKI i Danmark, og det, i kombination med argumenterne ovenfor, gør, at jeg mener, at PKI har en vigtig fremtid foran sig som kernen i både lokal og national cyberbeskyttelse.
Du kan læse videre om Fido og PKI i dette indlæg:
Et pålideligt økosystem baseret på FIDO og PKI
Metoderne supplerer hinanden og bruges til forskellige formål såsom sikkert login, digital signering og kryptering.