PKI和裝置認證的謬誤

根據Verizon釋出的《2021年資料洩露調查報告》，弱使用者身份驗證和人機界面錯誤約占去年所有資料漏洞的85%。這些統計資料中，備受矚目的資料洩露和線上欺詐成為新聞頭條，進一步證明了該報告的分析。

随着世界向數字認證、移動駕照、護照和其他遠端認證方法的發展，了解各種可能存在的系統、架構群組件的潛在漏洞自然是很重要的，以便我們能夠主動防範可能導緻的漏洞。我們相信，現代身份管理系統（IDMS）模型，包括各種電子身份證(eID)和移動駕照(mDL)模型，同樣存在漏洞，容易受到Verizon報告中提到的相同的攻擊。

例如，引發臭名昭著的SolarWinds的漏洞攻擊影響了數千家公司和數百家政府機構，利用弱使用者身份驗證保護不足的“強”裝置身份驗證，目标是通路網絡并最終執行遠端通路木馬(RAT)惡意軟體供應鍊攻擊。弱使用者驗證和認證為攻擊者提供了在合法使用者賬戶下并行注冊新的、但同樣強身份驗證的裝置的機會。這使得攻擊者能夠重複進行身份驗證，建立“進階持久威脅”(APT)，這是一種長時間未檢測到的入侵。在這種情況下，攻擊者可以無限制地通路受害者的網絡長達9個月。

此外，美國聯邦和州政府COVID-19大流行财政支援的配置設定一直并繼續受到遠端環境中薄弱的身份驗證、認證和使用者身份驗證的影響。迄今為止，與大流行病有關的身份欺詐估計價值超過700億美元，而且還在增加。任何依賴于這種強裝置認證和弱使用者認證組合的身份管理系統(IDMS)都容易受到網絡釣魚、中間人、裝置欺騙和RAT攻擊，以及潛在的APT的攻擊。

此漏洞可以稱為“PKI謬誤”或“裝置認證謬誤”，這表明如果公鑰基礎設施(PKI)證書、令牌或裝置被确定性身份驗證，裝置的使用者也會是以某種方式進行身份驗證。這是一個錯誤的邏輯程序，基于錯誤的行業偏好“确定性”決策（二進制是/否），而不是“機率”決策（統計機率）。PKI對裝置是确定性的，而生物特征比對是機率的。網絡和裝置認證的支援者似乎選擇了PKI的确定性結果，而不是生物識别的機率結果，因為100%似乎強于99.9%。

考慮到裝置中的PKI不知道，甚至不關心哪個使用者身份驗證機率小于100%正确，那麼使用者身份驗證事務上是多麼“确定性”？從邏輯上講，在依賴100%确定性裝置身份驗證（PKI）時未能識别裝置持有人，可能會産生錯誤的安全感。實際上，100%的PKI确定性結果錯誤地驗證了小于100%的機率使用者身份驗證仍然是機率性的，并且該機率可能遠低于99.9%，這取決于使用者身份驗證的方法。這取決于使用者身份驗證的方法。這正是斷裂所發生的情況。強大的生物識别特性和比對能力解決了這一漏洞。

考慮到裝置中的PKI不知道，甚至不關心使用者持有它，如果使用者認證機率小于100%，裝置認證事務到底有多“确定性”?從邏輯上講，當依賴100%确定的裝置認證(PKI)時，不能識别裝置持有者可能會産生一種錯誤的安全感。實際上，100%的PKI确定性結果錯誤地驗證了機率小于100%的使用者身份驗證。綜合起來，最終的驗證結果仍然是機率性的，這個機率可能遠低于99.9%，這取決于使用者驗證的方法。這就是Solarwinds入侵的情況。強大的生物識别活性和比對性解決了這個漏洞。

行業偏向于确定性模型而遠離機率模型的原因是兩方面。首先，确定性裝置身份驗證是自動化的、使用簡單且不貴。其次，大多數生物識别技術還沒有達到令人滿意的機率比對可信度或保證水準，即生物識别樣本是從正确的活的人類中實時收集的，是以，許多IDMS設計了非生物識别身份驗證器，通常是第二個密碼驗證的裝置，支援密碼。換句話說，這些系統通常使用由密碼支援的裝置身份驗證來支援也由密碼支援的裝置身份驗證。

此外，大多數手持裝置上的生物特征比對系統不會将生物特征與實際使用者的身份配置檔案關聯或綁定。相反，他們隻是在裝置的安全元件中匿名注冊生物特征資料，并在使用者身份驗證交易期間将匿名存儲的生物特征與新收集的生物特征資料進行比對。在這個場景中，信任是關鍵，因為目前使用者隻被信任為可信特權所有者。我們可以稱之為“匿名生物識别”。“匿名生物識别”降低了使用者認證的可能性或比對置信度，進而降低了裝置認證的可能性。”錯誤資料輸入就是錯誤資料輸出。如果您不知道誰在裝置上注冊了，您就不太可能知道實際上是誰在使用裝置。

此外，這種組合可能會導緻欺詐和攻擊。如果欺詐性使用者将裝置作為合法特權持有人一樣進行身份驗證。另外，如果裝置不能知道裝置使用者是否是合法的特權所有者，則依賴的第三方（應用程式、伺服器或企業）也不能知道裝置使用者是否是合法的特權所有者。這也是Solarwinds入侵所發生的情況。

重要的是，最近在生物識别比對置信度方面取得了重大進展，特别是随着 3D人臉活性和比對的發明，極大增加了移動或遠端生物識别驗證和身份驗證的效用。一種更加平衡的方法已經開始出現。在資料中添加第三個次元增加了可通路的、唯一的和一緻性的生物特征資料的數量級，大大提高了比對置信度，并嚴重限制了2D照片和視訊在冒名頂替者攻擊中的作用。生物識别技術的這種進步使機構能夠以很高的可信度驗證明際使用者——綁定到實際使用者檔案，而不是隻假定由适當的人控制的裝置。這将關閉PKI和裝置身份驗證謬誤漏洞。

認為PKI和裝置認證謬論漏洞不那麼重要或“不能擴充”的說法是幼稚的，與Solarwinds的例子嚴重沖突。一個設計合理的身份管理系統必須包含強大、完善的身份驗證和認證，以減少此類漏洞，并在遠端移動生态系統中實作完整的功能。然而，今天的eID和mDL系統不僅主要關注基于PKI的裝置身份驗證，而且通常還支援注冊期間的弱使用者驗證和主動使用期間的弱使用者身份驗證。正如美國機動車管理者協會(AAMVA)、DHS和其他利益相關方最近幾次主要資訊請求(RFI)中所描述的，eID/mDL系統實際上忽略了強大的使用者驗證和身份驗證，而專注于确定性的裝置驗證。相關的ISO eID和mDL标準通過驗證裝置或數字對象來驗證mDL證書，但是沒有也不能實際驗證或驗證授權的mDL特權持有者。

為了減輕目前方法的固有缺陷，我們強烈建議除了标準化的強裝置認證外，還需要經過活性生物識别驗證、注冊和使用者身份認證。