De perfecte webbanking oplossing?

Naar aanleiding van nieuws: Virus ontfutselt geld van klanten ABN Amro - update, start ik hier een discussie. Het doel is om een perfecte webbanking-applicatie te ontwikkelen, die theoretisch (onder bepaalde voorwaarden) onkraakbaar is.

Mijn eerste voorstel is voor een stukje gebaseerd op Kerberos. Lees en huiver

• Iedere klant krijgt een USB-key en een stuk software om deze USB-key aan te spreken. In deze USB-key zit een RSA encoder, waar de private key 1 van de bank in is gestoken. Deze is voor elke klant anders.
• Op de USB-key zit ook een RSA decoder, waar de public key 2 van de bank in is gestoken.
• De USB-key bevat verder een display en een knopje 'Bevestigen'.
• Een transactie wordt als volgt gemaakt:
  • Bank stuurt de volledige transactie gecodeerd (key2) naar de client, samen met een willekeurige string.
  • De usb-key decodeert de transactie en toont deze op zijn display.
  • Indien de gebruiker de transactie aanvaardt (ie: drukt op 'Bevestigen'-knop) wordt de transactie + willekeurige string versleuteld mbv key1.
  • De bank decodeert de ontvangen boodschap en kijkt of deze hetzelfde is als de verstuurde boodschap.
  • Een man in the middle attack is onmogelijk. De verstuurde transactie van de bank kan niet gefaked worden. Het antwoord van de usb-key kan niet gefaked worden. Een replay attack is ook niet mogelijk.

De enige zwakheden in dit systeem zijn, voor zover ik kan zien

1. Portable drivers noodzakelijk
2. De 'Bevestigen'-knop kan hardwired worden. Dat wil ik echter een trojan nog wel eens zien doen ;-)
3. Er kan een man-in-the-middle attack gebeuren tussen de encoder-chip en de display. Dat is echter OOK onmogelijk voor trojans.
4. Dure USB-key

Het systeem is onkraakbaar onder volgende voorwaarden:

• De usb-key is zo ontworpen dat de keys softwarematig onmogelijk te ontfutselen zijn. (timing attack bijvoorbeeld)
• De gebruiker leest de transactie na voor hij/zij op 'bevestigen' drukt
• Black hats hebben geen fysieke toegang tot de usb-key, noch kunnen ze hem softwarematig herprogrammeren

Er zullen vast wel fouten in mijn redenering zitten, commentaar dus graag!

MisterBlue schreef op donderdag 16 augustus 2007 @ 16:49:
Zoals je in de vorige replies ziet, valt men niet zozeer over de veiligheid, maar over het gebruik ervan en andere zaken. Misschien handig om daarom eerst de randvoorwaarden (platform, gebruiksgemak, wel of geen software installeren, etc.) op een rijtje te zetten. Als we dat hebben kunnen we binnen deze voorwaarden de perfecte oplossing bedenken.

Heel erg constructief! Even samenvatten:

Ja, ik gebruik graag lijstjes

• De oplossing moet simpel zijn.
• De oplossing moet minder kosten dan het bedrag wat banken anders door fraude verliezen
• De oplossing moet op elke computer kunnen werken

Nu even reageren op iedereen in deze thread:

Ik dacht zelf meer aan een simpellere oplossing. Mensen gebruiken internet bankieren omdat het eenvoudig is. Niet omdat je er een compleet security system voor moet hebben.

Het is niet omdat de uitwerking ingewikkeld is, dat het voor de gebruiker ingewikkeld is. Het enige wat de gebruiker moet doen is een stukje software installeren, en af en toe op een 'OK' knopje drukken. Dat is stukken simpeler dan numerieke codes zitten overtikken.

Men (klant) wil geen ingewikkelde dingen zo als een token/usb die je steeds moet mee slepen.

De bestaande oplossingen moet je ook meeslepen. Die 'rekenmachine'-achtige dingen waar je een code moet ingeven die die dan versleutelt. Dat is bijna hetzelfde als dit, maar omslachtiger.

Ik denk dat het geen optie is om per klant/gebruiker iets te moeten aanpassen aan het apparaat.

Wat is een bankkaart dan? Dat is precies hetzelfde: een RSA encoder met een unieke key per klant.

Je zoekt naar iets waar niemand in geinteresseerd zijn. Banken willen beveiliging die makkelijk is voor hun klanten en die niet teveel geld kost.

Dit is natuurlijk een heel sterk punt. De ontwikkeling van bankkaarten heeft heel veel geld gekost. Hetzelfde geldt voor de elektronische identiteitskaarten die hier in Belgie zijn ingevoerd. Echter, een beetje elektrotechnisch ingenieur maakt dit in drie maand tijd. En je onderschat de positieve marketing van een bank die zegt: Ons systeem is theoretisch onkraakbaar!

Je beperkt je direct tot een x aantal operating systems, want er zijn er nogal wat in de markt.

Als straks de elektronische identiteitskaart ingevoerd wordt in online toepassingen, wordt het hetzelfde verhaaltje. Er zijn libraries voor windows, linux en MacOSX, maar daar houdt het op. Echter, de specificatie van de library kan makkelijk gepubliceerd worden zonder veiligheidsrisico. En dan zullen er drivers komen, kijk naar alle linux drivers!

Wanneer ik op vakantie ben kan ik in een Internetcafe zonder problemen bankieren.

Weet je wel hoe gevaarlijk dat is? Op vliegvelden zetten ze altijd in grote letters op publieke terminals: "HIER GEEN PERSOONLIJKE INFORMATIE BEWAREN!". Er moet maar 1 trojan op de internet-cafe-bakken ge-installeerd staan, en je bent gezien. Met deze oplossing zou je dit WEL kunnen doen zonder bang te hoeven zijn voor veiligheid. Als het tenminste gemeengoed wordt...

Wat een leuke vondst! Blijkbaar zijn er dus toch banken die in dezelfde richting hebben gedacht. Hier heb je wel nog steeds een man-in-the-middle attack, of een trojan op je computer die roet in het eten kan strooien.

Ik ga eens zoeken of het apparaatje niet via standaard USB-drivers icm java applets kan werken.