当心数字身份证攻击
Posted 宛如清风
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了当心数字身份证攻击相关的知识,希望对你有一定的参考价值。
欧盟网络安全局(ENISA)通过两份新的报告显示了对自我主权身份(SSI)的分析以及对主要面部攻击背后数字身份识别的关注。
对自然人或法人身份的信任已成为我们在线活动的基石。因此,必须保持数字身份的高度安全,以便安全访问金融服务、电子商务、交付或运输平台、电信和公共行政服务。
欧盟网络安全局执行主任Juhan Lepassaar表示:“随着COVID-19病毒的无情传播以及对依赖数字服务的需求不断增长,确保电子识别的安全仍然是实现数字单一市场的弹性和信任的关键目标。”
根据这一观点,欧盟关于电子识别和信托服务法规(eIDAS法规)的出台是为公民、企业和公共当局之间的电子交易提供共同的基础。
eIDAS法规的一个关键目标是确保成员国内部提供的跨境在线服务中的电子识别和认证安全。此外,该法规还涉及在需要信任数字身份的不同情况下的身份证明,并详细说明了合格的证书以允许其他识别方法。
在过去几年中,识别领域出现了一种新的趋势,即自我主权的身份技术( self-sovereign identity technologies),也称为SSI。本文解释了这些技术是什么,并探讨了它们的潜力,正如eIDAS法规所要求的那样,可以更好地控制用户的身份和数据、跨境互操作性、相互认可和技术中立性。
ENISA关于远程身份证明的报告建立在上一份报告远程ID证明的基础上,它分析了用于远程执行身份证明的不同方法和不同类型的人脸识别攻击,并提出了对策。它还验证了上一份报告中引入的安全控制措施,并就如何缓解已识别的威胁提供了进一步的建议。
对远程身份证明方法中的人脸演示攻击,我们需要知道什么?
远程识别验证过程通常通过网络摄像头或移动设备进行。用户需要出示官方文件,如合法身份证或护照。
但是,犯罪分子已经设计了许多策略来绕过这些系统的安全性并冒充其他人。
主要人脸攻击呈现的特征是:
照片攻击基于通过设备屏幕打印或显示的面部图像的面部证据的呈现。
在摄像机前面放置事先录制好的视频是攻击者常用的方法。
3D面具攻击,其中3D面具被制作以再现人脸的真实特征,甚至包括眼睛瞳孔,以欺骗基于眼睛凝视、眨眼和运动的活体检测。
Deepfake攻击是利用能够创建真实代表他人的合成视频或图像的软件。攻击者被怀疑可以访问包含其目标的图像或视频的广泛数据集。
可以做些什么来防止它们?
比如:
环境控制,例如设置最低视频质量级别;
身份证明文件控制,例如在相关数据库中检查文件是否未丢失、被盗或过期;
演示攻击检测,例如检查用户的人脸深度以验证其是否为三维或查找由deepfake操纵导致的图像不一致之处;
组织控制,例如遵循行业标准。
在选择要实施的对策时,没有理想的选择。最佳选择仍然是与业务类型,用户概况和数量以及您希望实现的保证程度相关的选择。
什么是自我主权身份(SSI)?
自我主权身份(SSI)技术是让身份持有者更好地控制其身份。SSI技术的主要优点是,它使用户可以更好地控制其身份如何向依赖身份信息的第三方展示。更具体地说,它提供了对个人信息的更大控制权。用户可以为不同的活动发布多个“分散标识符”,并且可以分离出与每个标识符关联的属性。
这些分散的数字身份可用于支持假名以保护身份隐私。因此,启用了潜在私有属性与数字标识的分离,用户可以选择要披露的属性,以保护其他属性的隐私。
为什么要报告SSI?
本研究报告了SSI和现有eID解决方案的当前技术格局。分析了与这些解决方案相关的标准和正在进行的试点项目。考虑了可能的架构元素和治理机制,并确定了安全风险和机遇,以实现eIDAS法规设定的目标。
主要建议是什么?
在整理SSI解决方案的架构时,需要考虑许多元素,例如在钱包的认证过程中就需要实施与 SSI 架构带来的风险相关的关键安全措施,例如:
数据最小化 – 仅使用必要的数据;
同意和选择 - 用户控制用于识别的过程和数据;
准确性和质量 - 各方都可以信任钱包存储和提供的身份数据。
此研究的目标受众有哪些?
欧盟私营公司以及致力于或打算诉诸远程身份证明解决方案和SSI技术的公共团体和学术组织都可以适用此方案。
国家政府和公共机构考虑为客户、公民、员工、学生或其他用户或已经配备此类系统并有兴趣改进安全的组织实施远程身份证明和SSI解决方案。
已经参与eIDAS生态系统的利益相关者,如信托服务提供商、合格评定机构和监督机构以及安全研究人员、学术界和更广泛的安全社区。
关于欧盟的数字身份提案
欧盟网络安全局(ENISA)欢迎欧盟委员会审查eIDAS法规的提案。欧洲数字身份旨在提供给所有欧盟公民,居民和企业,用以识别自己或提供个人信息的确认。公民将能够证明自己的身份,并通过单击手机上的图标从其欧洲数字身份钱包中共享电子文档。他们将能够通过其国家数字身份访问在线服务,这将在整个欧洲得到认可。
新的欧洲数字身份钱包将允许所有欧洲人访问在线服务,而不必诉诸私人身份识别方法或共享不必要的个人数据。借助此解决方案,用户将完全控制他们共享的数据。
附:远程身份证明 - 攻击和对策
https://www.enisa.europa.eu/publications/remote-identity-proofing-attacks-countermeasures
(本文出自SCA安全通信联盟,转载请注明出处。)
以上是关于当心数字身份证攻击的主要内容,如果未能解决你的问题,请参考以下文章