Jeton de sécurité – Wikipédia

Jetons Matrix, différentes tailles

UNE Jeton de sécurité (Facile: Jeton) est un composant matériel utilisé pour identifier et authentifier les utilisateurs. Parfois, il est également utilisé pour désigner les jetons logiciels. Ils font généralement partie d’un système de contrôle d’accès avec authentification à deux facteurs.

Avec les termes clé électronique ou Chipschlüssel un jeton est aussi appelé.

Si nécessaire, d’autres fonctionnalités doivent être utilisées pour l’authentification contre les abus. connaissance d’un mot de passe ou d’un code PIN ou des caractéristiques biométriques de l’utilisateur. Les jetons de sécurité peuvent être personnalisés, ils sont ensuite clairement attribués à un utilisateur spécifique.

Le terme générique technique Jeton fait référence à toutes les technologies utilisées de manière égale et ne dépend pas d’une apparence spécifique du matériel. Cela inclut tous les objets qui peuvent stocker et transmettre des informations à des fins d’identification et d’authentification.

Médias passifs[Bearbeiten | Quelltext bearbeiten]

Les cartes à puce sont également des jetons. Les jetons USB connectés à un port USB présentent les avantages d’une carte à puce sans avoir besoin d’un lecteur de carte.

Les jetons sans contact sont également utilisés, voir RFID. Ces soi-disant transpondeurs peuvent être intégrés dans des porte-clés (appelés porte-clés), des cartes à puce et tout autre produit, tant que leurs propriétés n’interfèrent pas avec la fonction. Le produit respectif devient ainsi lui-même un jeton. L’autre station doit activer le jeton et être également capable de le lire.

Utilisations courantes :

  • Clés du véhicule et du bâtiment
  • Vêtements, montres et bijoux
  • Implants chez les animaux (puce)

Il existe également des générateurs de jetons qui affichent une combinaison de nombres en constante évolution et limitée dans le temps en tant que jetons de sécurité basés sur la méthode du mot de passe à usage unique (OTP). Le générateur et le serveur calculent ce nombre pseudo-aléatoire en même temps. Une authentification claire est ainsi possible. Si nécessaire, ce numéro est également généré avec une carte à puce dans un lecteur portable. Un code PIN et/ou un code de demande doivent souvent être saisis dans l’appareil en tant que fonctions de sécurité supplémentaires. Un exemple de ceci est le processus Sm @ rt TAN.

Les Trusted Platform Modules (TPM) sont des puces qui stockent des clés secrètes similaires à une carte à puce. Dans ce cas, cependant, la puce est installée de manière permanente dans un appareil, par ex. B. soudé sur une carte mère d’ordinateur. L’ensemble de l’appareil devient un jeton. Il est désormais possible d’attribuer un appareil clairement identifiable via le TPM à un utilisateur. En parallèle, le TPM offre la possibilité de sécuriser l’accès à l’appareil (authentification pré-boot). De cette façon, l’utilisateur peut être authentifié (indirectement).

Médias actifs[Bearbeiten | Quelltext bearbeiten]

Il existe également des appareils disponibles dans le commerce qui fonctionnent comme des jetons et transmettent un facteur d’authentification. Pour cela, la communication entre l’appareil et l’appareil de test ou le poste de travail doit être possible. De plus, une transmission bidirectionnelle, par exemple, doit être possible pour une authentification sécurisée.

Des exemples bien connus sont :

  • Téléphones portables ou smartphones etc. avec cartes à broche selon les normes 3GPP
  • Tokens USB, NFC et Bluetooth basés sur le standard ouvert U2F de l’alliance FIDO
  • transpondeur UHF actif (RFID UHF actif 868 MHz, tout propriétaire, pas de norme internationale) ou (RFID UHF actif 433 MHz ISO / IEC 18000-7 ou propriétaire, RFID hyperfréquence 2,45 GHz ISO / IEC 18000-4 ou propriétaire)
  • Transpondeur LF actif (RFID LF actif 128 kHz, 134 kHz, tous propriétaires, pas de norme internationale)
  • Transpondeur HF actif (RFID HF actif 13,56 MHz, tout propriétaire, pas de norme internationale)
  • jetons couplés galvaniquement (1-Wire, les puces ne sont plus recommandées pour les nouveaux développements)
  • cartes à puce conventionnelles selon les normes ISO ISO/IEC 10536, ISO/IEC 14443 (carte de proximité), ISO/IEC 15693 (carte de proximité),
  • RFID NFC (Near Field Communication nach ISO 18092, ISO 21481 etc.)

Un dispositif de test spécial (standard RFID ou solution propriétaire) ou une interface (1-Wire) doit être connecté à chaque poste de travail individuel.

D’autre part, lors de l’utilisation de Bluetooth V4.0, l’infrastructure nécessaire est incluse dans tous les PC, PDA et smartphones modernes (probablement à partir du 2e trimestre 2011). Le smartphone fonctionne alors comme un agent intelligent un processus de vérification autonome qui ne nécessite aucune action de l’opérateur pour une authentification simple.

Des exemples bien connus sont :

  • Téléphones portables ou smartphones etc. avec interface Bluetooth IEEE 802.15.1 (fonction protocoles standard Bluetooth V4.0 2,45 GHz avec différents profils standard)
  • Jetons Bluetooth spéciaux (fonction protocole Bluetooth V4.0 « Stack Low Energy » 2,45 GHz)

Les jetons de sécurité sont principalement utilisés comme identifiants (utilisateurs) pour sécuriser les transactions :

  • pour se connecter aux ordinateurs des postes de travail, aux réseaux (d’entreprise ou d’autorité), par ex. B. un domaine Windows
  • pour l’utilisation de services Internet, notamment en tant que carte HBCI pour la banque en ligne
  • en tant que conteneur de clés pour le cryptage des données et des e-mails ainsi que pour les signatures numériques
  • comme autorisation d’accès et pièce d’identité (par ex. identité d’entreprise, passeport électronique, clé de voiture)
  • pour la saisie du temps du personnel
  • comme carte SIM dans les téléphones portables
  • comme moyen de paiement et/ou carte client aux machines et terminaux clients (ex : cabine téléphonique)
  • comme carte d’accès aux offres de télévision payante
  • en tant que carte bancaire, généralement en une seule unité avec la carte de paiement, pour l’utilisation des distributeurs automatiques de billets et des terminaux de paiement
  • comme carte d’assurance maladie; la (future) carte de santé électronique servira également de jeton d’accès à un réseau de données
  • comme billets et billets d’entrée
  • comme module de sécurité pour une identification sans ambiguïté, par ex. B. Module de plate-forme de confiance
  • en gestion des droits numériques ; ici le droit d’utilisation des données (logiciel, musique, e-books, …) peut être lié au matériel

En général, les systèmes décentralisés dans lesquels les données étaient stockées sur le token lui-même sont de plus en plus remplacés par des systèmes en réseau dans lesquels le token n’est utilisé que comme identification.

L’émetteur du token intègre de préférence plusieurs fonctions dans un token afin d’obtenir une « valeur ajoutée » grâce à l’utilisation du token et de créer des profils d’utilisation et de déplacement complets.

  1. L’utilisateur initie l’échange de données entre le jeton et le système de test par z. B. tient le jeton devant un lecteur.
  2. Le lecteur identifie le jeton via son ou ses numéro(s) d’identification unique, tel que son numéro de type, un numéro de série de support, un numéro d’enregistrement de transporteur et/ou un numéro de classe d’utilisateur.
  3. L’enregistrement de données lu à partir du jeton est comparé par le système de test avec les données de référence locales correspondantes selon une procédure de test bien définie : le jeton est authentifié à l’aide d’une authentification par défi-réponse ; d’autres données de test peuvent être demandées au porteur de jeton comme sécurité supplémentaire fonctions, telles qu’un code PIN.
  4. Par mesure de sécurité, les données de référence locales sont comparées à d’autres données de référence d’une base de données sur un serveur distant (par exemple via une ligne dédiée ou une ligne commutée protégée).
  5. Si le jeton n’est pas valide ou si des données de référence supplémentaires sont invalides, le système de test rejette les autres accès.
  6. Pour tracer l’authentification, les données d’événement du processus de test sont renvoyées au serveur.
  7. Le système de test libère l’usage autorisé pour le porteur du jeton, comme les fonctions et/ou les données.

Pour les applications critiques pour la sécurité, un jeton de sécurité doit être un élément unique spécialement protégé contre la manipulation, la duplication ou la falsification.

Haute sécurité[Bearbeiten | Quelltext bearbeiten]

Le jeton de sécurité doit générer une clé de session unique à partir d’un secret fixe stocké dans le jeton, appelé clé primaire. À cette fin, un processeur cryptographique est utilisé, qui sont des microcontrôleurs spécialement équipés qui sont équipés de fonctions de sécurité supplémentaires. Ces fonctions de sécurité protègent principalement contre les lectures involontaires et la rétro-ingénierie, par exemple en manquant complètement les interfaces de développement habituelles telles que JTAG sur le circuit. Des procédures cryptographiques sont utilisées pour cela. Les processus cryptographiques ont alors lieu au sein de la puce.

Faible sécurité[Bearbeiten | Quelltext bearbeiten]

Des méthodes qui permettent uniquement l’identification mais pas l’authentification sont également utilisées en pratique pour l’authentification. Un code d’un tel jeton n’est pas infalsifiable, puisque la caractéristique d’identification peut être librement lue et reproduite. Ces méthodes comprennent, entre autres. Solutions avec puces RFID passives qui ont un numéro de série unique et ont été développées conformément à diverses normes ISO pour une utilisation dans les étiquettes électroniques (tags).

Les solutions de stockage pures avec des cartes à puce, des cartes à bande magnétique, des codes-barres, des fichiers clés sur des supports de données tels que des clés USB et la clé classique sont dangereuses dans le sens où elles peuvent être copiées.

Dangers[Bearbeiten | Quelltext bearbeiten]

Une attaque peut également avoir lieu sur la communication entre un token (par ailleurs sécurisé) et le lecteur, dans le cas le plus simple via une attaque par rejeu. Les câbles de connexion librement accessibles (USB) permettent de connecter facilement les enregistreurs de données. En particulier, s’il n’y a pas de contrôle mécanique et/ou optique du jeton par le lecteur ou le personnel d’exploitation, des dispositifs peuvent également être utilisés pour surmonter le système qui n’ont pas besoin d’être similaires en type et en taille au jeton d’origine. Les transmissions radio peuvent souvent être enregistrées à grande distance et offrent ainsi une large cible de manipulation.

Obstacle à la manipulation[Bearbeiten | Quelltext bearbeiten]

Il n’y aura jamais de solution absolument sécurisée avec un seul facteur d’authentification ; chaque méthode de sécurité peut être surmontée. La conception du jeton et le type de transmission des données (mécanique, électrique, magnétique, optique, …) ont une influence majeure sur la protection contre les manipulations. Une carte à puce peut par exemple être totalement retirée et blindée par un lecteur. La mise en œuvre d’un lecteur ou d’un terminal client sous la forme d’un ensemble compact protégé contre le vol, le remplacement et d’autres manipulations contribue également de manière significative à la sécurité.

Discussion sur les solutions[Bearbeiten | Quelltext bearbeiten]

La différenciation des cas d’utilisation est un préalable à une évaluation significative de la sécurité, par exemple pour :

  • Contrôle d’accès depuis les espaces publics
  • Contrôle d’accès dans les espaces publics
  • Contrôle d’accès dans une salle bien sécurisée
  • Contrôle d’accès avec une bonne séparation de l’environnement

Toutes les applications dans les espaces publics sont inévitablement menacées par des tiers non autorisés. Les allégations contraires reposent sur des restrictions qui ne sont généralement pas mentionnées explicitement, par exemple la distance de lecture maximale utilisable[1]. La commodité de la manipulation va toujours de pair avec les risques[2]. Les généralisations ne sont pas utiles.

avantages
L’utilisation des tokens offre une sécurité maximale contre les utilisations non autorisées dans les conditions suivantes :

  • au moins une autre caractéristique d’authentification est utilisée, par ex. B. NIP.
  • le jeton est en fait unique et ne peut pas être copié ou manipulé, voir écrémage avec les cartes EC et les cartes de crédit
  • le token peut être bloqué dans le système en cas de vol ou de perte pour empêcher toute utilisation non autorisée
  • Les jetons peuvent être utilisés secrètement avec des méthodes radio
désavantage
  • Un jeton en tant que fonction d’authentification unique sans deuxième fonction d’authentification indépendante n’offre pas une protection fiable contre la manipulation, la perte ou les attaques ;
  • Comme toute solution technique, l’utilisation des tokens entraîne des coûts de production, d’enregistrement et/ou de personnalisation, de distribution et de mise à disposition d’infrastructures sous forme de dispositifs et logiciels de test ou de lecture ;
  • le jeton peut être détruit ou perdu, puis exclure temporairement l’utilisateur de fonctions importantes de la vie quotidienne ou du travail ;
  • le token, et donc son utilisateur, est toujours clairement identifiable : l’accès aux utilisateurs anonymes n’est pas autorisé en raison d’un manque de sécurité.
  1. ?? Système de paiement NFC
  2. ?? Les détails de la carte de crédit ne sont pas sécurisés

You may also like...

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *