MWC Barcelona 2019 | 移动安全应该依靠设备,而不是人

IEEE电气电子工程师学会 2019-03-01 21:35

点击

上方“IEEE电气电子工程师学会”即可订阅公众号。网罗全球科技前沿动态,为科研创业打开脑洞。

插图来源iStockphoto 

你知道黑客窃取了你的哪些密码吗?如果你不知道那么你可以随时使用这个网站https://haveibeenpwned.com/来查查。总之,你可能更清楚地得的是你丢失手机的次数,而不是你被黑的次数

这就是Rivetz首席执行官Steven Sprague226MWC Barcelona展会(以前称为MWC,即世界移动通信大会)上提出的安全论点背后的原因:我们应该相信人们要密切留意是他们的设备,而不是他们的密码。

多年来硬件制造商建立了所谓的可信执行环境(TEE),它们是处理器中隔离出来的一个部分,旨在防止日常应用程序或程序访问我们最敏感的信息。英特尔提供了SGX,ARM提供Trustzone。荷兰特文特大学的Roland van Rijswijk-Deij说“这是很有用的功能。理论上,TEE可以防止‘正常’操作系统上的应用程序获得凭据访问权

为了取代传统密码,Sprague的初创公司将用户的一个私钥放入TEE,另一个放入用户的SIM卡。这意味着使用两个密钥加密的任何消息都必须来自拥有设备及其在移动网络运营商的活动帐户的发送者

这使得信息非常可信——例如,银行可以更加确信信息来自其客户,而不是来自黑客。而且,这些消息可以存储在一个区块链上,以证实消息是在该硬件安全空间中创建的,且消息自创建以来没有发生过任何事情

这种可靠性使得服务对Civic合作伙伴具有吸引力。Civic正在使用Rivetz技术,让客户选择他们希望向在线企业透露他们身份的哪些部分比如他们的年龄,而不需要提供任何不必要的信息。

SIM卡包含在解决方案内,可以让的运营商提供另一种便捷的服务:如果你的设备丢失了,那么你可以联系的运营商,通过其他可信设备向他们核实你的身份,并远程阻止丢失的设备。与将信用卡报失时不同,如果以后重新得到该设备,那么你可以利用其他那些受信任设备之一重新激活它。

Sprague在演讲中说“我们是一个设备集合,不是中任何一个设备

是,与任何涉及TEE的功能一样Rivetz技术仅适用于某些设备。目前,Rivetz提供的软件位于硬件和第三方通过软件开发套件编写的应用程序之间,仅能运行在某些版本的Android操作系统上。这意味着如果没有兼容设备,则无法从其他设备(例如工作计算机或朋友的手机)登录受Rivetz保护的应用程序。

对于普通用户来说,核实给定的TEE是否真的安全,也不是一件很容易的事。van Rijswijk-Deij说:“TEE可能是一种完全安全的设计,但用户很难去证实。实际上,你将不得不相信制造商的)安全声明,这可能是公平的信任必须从某个地方开始。

Sprague说这些是值得做的权衡,银行和其他机构早就应该这么做了,而不是聚焦于涉及用户名和密码的系统(以便任何人可以从任何设备登录)。他告诉IEEE Spectrum说:“这不是关于人的身份的问题,这是关于物的身份的问题。


点击

阅读原文

了解更多详情

IEEE电气电子工程师学会 IEEE是全球最大的专业技术协会之一,一直致力于推动电气电子技术在理论方面的发展和应用方面的进步。IEEE在全球160多个国家有超过四十万名会员。
评论
热门推荐
相关推荐
我要评论
0
0
点击右上角,分享到朋友圈 我知道啦
请使用浏览器分享功能 我知道啦