Prueba de seguridad de token inteligente [cerrado]

Question

Prueba de seguridad de token inteligente [cerrado]

#1 de AdamStone (1 votos)

0

Tengo una pregunta. Uno de mis colegas me dio un Smart Token que consiste en una clave pública / privada y me preguntó si puedo probar su seguridad. Dije que debería probarse en un laboratorio equipado para pasar las pruebas estándar de FIPS. Sin embargo, me preguntaba si puedo probar este token con algunas herramientas y comprobar si está seguro. Busqué en la web pero no pude encontrar nada útil. ¿Alguien aquí tiene alguna experiencia en esta área? Cualquier ayuda sería muy apreciada.

EDITAR: Como mi pregunta puede no ser clara como creo, lo pongo en un enfoque práctico, si te doy un token de PKI y te muestro algunos certificados que tiene como FIPS-140 , PKCS11, ... ¿debería usar este token PKI en sus aplicaciones seguras? En otras palabras, ¿confía en un dispositivo seguro mediante certificados que el productor afirma tener? ¿Qué pasa si hay un hardware Torjan o backdoor implementado en el dispositivo?

public-key-infrastructure penetration-test smartcard

pregunta A23149577 17.08.2014 - 07:14

fuente

1 respuesta

Lea otras preguntas en las etiquetas public-key-infrastructure penetration-test smartcard

Autenticar la llamada WCF a ADFS a través del Proxy de aplicación web (WAP) Extraño flujo de solicitudes a mi servidor web

score 1 · Answer 1

Creo que su enfoque dependerá de los requisitos que tenga su colega para la seguridad del sistema. El token realiza un trabajo muy simple como parte de la arquitectura de autenticación. Lo que realmente va a probar es el comportamiento del software en el servidor que, presumiblemente, le proporciona un proveedor. Para ese fin, aquí hay algunas pruebas que deben pasar, como mínimo, para que sepa que el sistema está funcionando:

Autenticación. Proporcione las credenciales correctas para el usuario. asociado con el token, junto con el factor de posesión (el código de token) y asegúrese de que puede acceder al sistema.
Emparejamiento del factor de usuario. Proporcione las credenciales correctas para un diferente usuario, junto con el factor de posesión, y garantizar que la autenticación falla.
Anulación de factores. Proporcione el mismo factor de posesión dos veces en sucesión, junto con las credenciales válidas, y garantizar que la autenticación falla la segunda vez.
Caducidad del factor. Proporciona un factor de posesión suficientemente antiguo. junto con credenciales válidas y asegúrese de que la autenticación falla.

Editar: Mi respuesta asume que se trata de un token de autenticación multifactor, desconectado. Más comúnmente, estos están sincronizados en el tiempo. Perdóneme por no insistir más si está tratando con un token conectado como una tarjeta inteligente .