Cómo asegurar que una persona cuya identidad ha sido verificada desde un I.D. ¿Es el autor de sus respuestas al examen?

5

Fondo

Estamos diseñando un sistema de prueba basado en computadora donde los examinados usan sus propias computadoras para escribir sus respuestas. Las computadoras de los examinados se inician en un sistema operativo Linux personalizado desde las unidades USB proporcionadas por el examinador.

Las unidades USB que se utilizan para iniciar las computadoras de los examinados contienen exactamente la misma imagen del sistema operativo.

El examen en sí lo proporciona un servidor central y las respuestas se transfieren nuevamente al servidor central a medida que se escriben. Todas las computadoras involucradas están en una LAN cerrada.

El sistema debe admitir reanudar el examen desde el último estado transferido al servidor en caso de una falla de hardware. La unidad USB utilizada como almacenamiento permanente puede fallar potencialmente, al igual que la computadora portátil del examinado.

Las personas de confianza verifican las identidades de los examinados en algún momento del evento (antes, durante o después de que los examinados realicen el examen). La verificación de identidad debe causar una interrupción mínima para los examinados y un trabajo mínimo para las personas de confianza. Puede haber hasta un par de cientos de personas que toman el examen en el mismo espacio con aproximadamente una persona de confianza por cada 20 examinados.

Diseño actual

Nuestro diseño actual es generar un token fuerte en la computadora del examinado cuando el examinado comienza el examen. El token se calcularía utilizando el SSN provisto por el examinado y algunos UUID de hardware (CPU, unidad USB). Este token se almacenaría en la unidad USB. Cuando el examinado termina el examen, pasaría la unidad a una persona de confianza. La persona de confianza entonces, utilizando una computadora dedicada, verificará la identidad del examinado y el token almacenado en la unidad con el token almacenado en el servidor central.

Las ventajas de este diseño son que es fácil para un grupo de examinados comenzar el examen, y la verificación es una actividad de solo lectura al final del examen. Este diseño tiene al menos una debilidad: en caso de que el hardware utilizado para los tokens de dos o más examinados se rompa simultáneamente, ya no es posible verificar quién tenía el dispositivo. Por ejemplo, una sobrecarga de energía podría causar que varias computadoras portátiles y unidades de disco se descompongan en el mismo momento exacto.

Pregunta

¿Qué otros vectores de ataque vienen a la mente y cómo podrían mitigarse? ¿Algún mejor diseño alternativo?

    
pregunta hvrauhal 29.07.2015 - 17:04
fuente

2 respuestas

2

Vector de ataque:

Los examinados pueden intercambiar unidades fácilmente durante o después de la prueba, si no hay una autenticación previa de la cual se le asigna al testigo que token. Usar solo el token no es suficiente, ya que los examinados pueden preestablecer un intercambio de SSN.

  1. A le da a B su SSN.
  2. B comienza el examen, generando una ficha para el SSN de A en su memoria USB.
  3. Una vez finalizado el examen, B le da su memoria USB a A.
  4. A pasa la memoria USB a la persona de confianza, que verifica que el token sea correcto para el SSN suministrado.

Mitigación: las memorias USB son recolectadas por una persona de confianza (que también verifica la identidad en el lugar y las compara con el token en la memoria USB) antes de que se permita a nadie dejar su escritorio. En ningún momento nadie puede dejar sus escritorios sin supervisión. Incluso en esta configuración, es posible que los estudiantes intercambien palos antes de la confirmación de la identificación.

OMI, una mejor configuración es no almacenar nada en medios físicos.

En cambio, la prueba se sirve de forma remota en su totalidad. Para comenzar la prueba, el examinado debe proporcionar no solo sus credenciales personales (SSN, contraseña, lo que sea que utilice su institución / institución) en combinación con una clave aleatoria y preescrita a la que se da acceso al examinado solo después de (1) su identidad ha sido verificada y (2) ya no pueden interactuar con nadie sin supervisión.

    
respondido por el Vegard 29.07.2015 - 19:49
fuente
2

¿Por qué no hacerlo muy simple?

El examinado ingresa el nombre y otra información de identificación (por ejemplo, licencia de conducir o número de pasaporte) en la primera página de la prueba.

Esa información se mostrará en todas las pantallas de prueba posteriores en algún lugar del encabezado o pie de página.

Luego pone su licencia de conducir en la mesa frente a él.

Mientras tanto, imprime una lista ordenada de número de licencia y nombre.

La persona de confianza luego recorre y verifica la correspondencia entre la identificación y la persona y la información que se muestra en la pantalla. Luego marca la persona de la lista.

No se necesita criptografía + tienes un rastro de papel. Si falla en absoluto, falla al comienzo de la prueba cuando imprime su lista.

Si después le pide a la gente que devuelva el disco, habrá una larga fila, algunos mezclarán sus discos, otros lo perderán, otros se agotarán y lo olvidarán en su bolsillo o lo dejarán encendido. la mesa.

Otro punto: ¿Realmente tiene que usar los SSN? No me siento bien con esto. Si es solo para verificación, puede colocar información confidencial como el número de licencia de conducir en el extremo derecho de la impresión y luego cortarla y descartarla, pero mantener la lista seleccionada.

    
respondido por el dan 29.07.2015 - 21:16
fuente

Lea otras preguntas en las etiquetas