Identitetskontroll online

Med allt mer avancerad teknik har det blivit svårare att fastställa vem som är vem, framför allt online och med okonventionella identifieringsmetoder.

Spionprogram samlar användarnamn och lösenord. Kreditkortskimmare stjäl information som borde vara säkrad från betalkort. Och varje dag får laglydiga människor sina identiteter kapade.

På vår väg mot denna framtid av osäkra identiteter försöker forskarna ligga steget före de elektroniska brottslingarna, såväl i den verkliga världen som i datornätverken.

Dan Bogdanov är forskningsprojektledare för det estniska teknikföretaget Cybernetica, en av parterna i VirtualLife-projektet inom Europeiska kommissionens sjunde ramprogram. Syftet är att skapa en säker plattform för den elektroniska världen. Cybernetica tog även fram Estlands elektroniska röstningssystem, och en hel serie elektroniska lösningar för kommunikation med myndigheter.

Bogdanov nämner några av de stora utmaningarna som Cybernetica ställdes inför i sitt arbete med att ta fram elektroniska identifieringslösningar: hitta källan till informationen, fastställa om informationen är verifierad av en ”verklig person” och fastställa om identiteten hos den person som förefaller kommunicera överensstämmer med identiteten hos den som faktiskt sitter vid datorn.

I jakten på en metod för att verifiera identiteter säger Bogdanov att peer-to-peer-kommunikation är en tillförlitlig lösning.
– När två användare vill kommunicera med varandra etablerar de en direkt nätverksuppkoppling, väljer en säker kanal och bevisar sin identitet för varandra med standardkryptografi med offentlig nyckel. Det är en av de bästa lösningarna som finns.

Problemet med identifiering online avspeglas även i den verkliga världen. HID Global i Irvine Kalifornien anser sig ha utvecklat en teknisk plattform som hanterar problemet med att etablera och kontrollera identiteter – även om den fysiska platsen blir allt sämre definierad och mer fragmenterad.

TIP – Trusted Identity Platform – är en ramlösning som HID Global har tagit fram för att överföra identitetsdata och fastställa identitet via oskyddade nätverk, utan att säkerheten behöver bli sämre än vid kommunikation inom en traditionellt säkrad byggnad.

Detta är en fråga som får allt större betydelse allt eftersom system utvecklas.

Av tradition har passersystem hanterats och hållits säkra genom rent byggnadstekniska lösningar, säger Daniel Bailin, chef för programadministration för strategisk innovation inom HID Global.

– Nu kanske vi vill ha våra identitetsdata i mobilen. Och vi kanske vill ha en läsare på den bärbara datorn och då fungerar inte gamla lösningar för våra nya krav, säger han. Tack vare TIP är det numera möjligt att få tillgång till identifikationslösningar utanför systemet.

TIP bygger på tre primära koncept: Ett “säkert valv”, en nyckelhanteringspolicy och ett tekniskt protokoll som tillåter kommunikation via öppna nätverk.

– Dessa system gav oss möjligheten att hantera kort och kortläsare utanför en säker byggnads fyra väggar, och vi kan nu använda alla medier, även sådana som har inneboende osäkerhet, säger Bailin.

Med TIP-teknik skulle företag kunna etablera en säker anslutning, t.ex. med en mobiltelefon med NFC-kapacitet. Identitetsdata skulle då lagras i telefonen och användaren behöver inte bära med sig ett smartkort för att identifiera sig på ett säkert sätt.

– TIP ger oss på så sätt en stor konkurrensmässig fördel, påpekar Bailin. Tidigare fungerade detta bara på maskinvara från HID, men idag går det att använda maskinvara från godtycklig tillverkare. TIP gör att open source-enheter från andra tillverkare ändå fungerar säkert.

Men även med ett open source-system skulle säker identifiering kunna kräva kostsamma läsare, och det kan göra kostnaden oöverstiglig för stora institutioner med många slutanvändare, t.ex. universitet.

Många universitet söker därför andra sätt att etablera identiteter i den virtuella världen. Detta blir allt viktigare, eftersom t.ex. tentaskrivning online kräver att slutanvändarens identitet kan bekräftas.
USA:s lagstiftare har till och med tagit in denna aspekt i den senaste versionen av Higher Education Opportunity Act. Lagen kräver att universiteten utvecklar säkra metoder för att verifiera identiteten på studenter som studerar på distans och tenterar via dator.

Enligt säkerhetspersonalen på universiteten är nyckeln till ”fjärrövervakning” att hitta en lösning som erbjuder en högre säkerhetsnivå än bara en kombination av användarnamn och lösenord, men som samtidigt innebär en minimal kostnad för slutanvändaren.

Allt vanligare blir rent programvarumässiga lösningar, som tangentnedslagsbiometri. Tangentnedslagsbiometri, och liknande lösningar som analyserar musklick, bygger på programvarumässig analys av mönster i hur länge specifika tangenter på tangentbordet hålls nedtryckta, hur lång tid det tar att utföra en viss kombination av tangentnedslag, unika musrörelsemönster och andra individuella vanor som varje datoranvändare utvecklar under åren. Med denna information går det att identifiera vem som sitter bakom tangentbordet.

University of Maryland University College använde just sådana lösningar i ett enmånads pilotprogram med 27 studenter och tre lärare. Studenter som anmälde sig som frivilliga till programmet använde rörelsebiometri för att styrka sin identitet inför en online-tenta. De flesta av deltagarna rapporterade att lösningen var effektiv, diskret och bekväm.

Andra universitet undersöker en mängd andra alternativ för att uppfylla kravet på identifieringsmöjlighet. Vissa alternativ bygger på den webbkamera som i princip är standard på alla nya datorer. Det kan vara så enkelt som att ta en bild av användaren, eller fastställa identiteten med hjälp av ansiktsigenkännande programvara. Andra universitet överväger att kräva att studenterna skaffar sig en relativt billig USB-ansluten fingeravtrycksläsare, så att man kan ta stickprov på studenterna under tentan.

Ett av de största problemen med biometri är den relativt höga förekomsten av ”falska negativ”, dvs. att systemet avvisar en legitim användare. Detta kan vara extremt frustrerande för en student mitt i en tenta. Flera system som använder teknik liknande den i pilotprogrammet vid UMUC har en förekomst av falska negativ som närmar sig 4 procent, mycket högre än med de mer beprövade metoder som används inom TIP-tekniken.

– I framtiden, säger Bogdanov, blir det allt viktigare att kunna fastställa identiteter i de mest skilda sammanhang. Samtidigt håller datorer på att bli allt bättre på röst- och bildsyntes, och en vacker dag kan de komma att lura vilket ID-kontrollsystem som helst. Därför får forskningen inom autentisering inte stanna av, säger Bogdanov.