关键词:
欧盟网络安全局(ENISA)通过两份新的报告显示了对自我主权身份(SSI)的分析以及对主要面部攻击背后数字身份识别的关注。
对自然人或法人身份的信任已成为我们在线活动的基石。因此,必须保持数字身份的高度安全,以便安全访问金融服务、电子商务、交付或运输平台、电信和公共行政服务。
欧盟网络安全局执行主任Juhan Lepassaar表示:“随着COVID-19病毒的无情传播以及对依赖数字服务的需求不断增长,确保电子识别的安全仍然是实现数字单一市场的弹性和信任的关键目标。”
根据这一观点,欧盟关于电子识别和信托服务法规(eIDAS法规)的出台是为公民、企业和公共当局之间的电子交易提供共同的基础。
eIDAS法规的一个关键目标是确保成员国内部提供的跨境在线服务中的电子识别和认证安全。此外,该法规还涉及在需要信任数字身份的不同情况下的身份证明,并详细说明了合格的证书以允许其他识别方法。
在过去几年中,识别领域出现了一种新的趋势,即自我主权的身份技术( self-sovereign identity technologies),也称为SSI。本文解释了这些技术是什么,并探讨了它们的潜力,正如eIDAS法规所要求的那样,可以更好地控制用户的身份和数据、跨境互操作性、相互认可和技术中立性。
ENISA关于远程身份证明的报告建立在上一份报告远程ID证明的基础上,它分析了用于远程执行身份证明的不同方法和不同类型的人脸识别攻击,并提出了对策。它还验证了上一份报告中引入的安全控制措施,并就如何缓解已识别的威胁提供了进一步的建议。
对远程身份证明方法中的人脸演示攻击,我们需要知道什么?
远程识别验证过程通常通过网络摄像头或移动设备进行。用户需要出示官方文件,如合法身份证或护照。
但是,犯罪分子已经设计了许多策略来绕过这些系统的安全性并冒充其他人。
主要人脸攻击呈现的特征是:
照片攻击基于通过设备屏幕打印或显示的面部图像的面部证据的呈现。
在摄像机前面放置事先录制好的视频是攻击者常用的方法。
3D面具攻击,其中3D面具被制作以再现人脸的真实特征,甚至包括眼睛瞳孔,以欺骗基于眼睛凝视、眨眼和运动的活体检测。
Deepfake攻击是利用能够创建真实代表他人的合成视频或图像的软件。攻击者被怀疑可以访问包含其目标的图像或视频的广泛数据集。
可以做些什么来防止它们?
比如:
环境控制,例如设置最低视频质量级别;
身份证明文件控制,例如在相关数据库中检查文件是否未丢失、被盗或过期;
演示攻击检测,例如检查用户的人脸深度以验证其是否为三维或查找由deepfake操纵导致的图像不一致之处;
组织控制,例如遵循行业标准。
在选择要实施的对策时,没有理想的选择。最佳选择仍然是与业务类型,用户概况和数量以及您希望实现的保证程度相关的选择。
什么是自我主权身份(SSI)?
自我主权身份(SSI)技术是让身份持有者更好地控制其身份。SSI技术的主要优点是,它使用户可以更好地控制其身份如何向依赖身份信息的第三方展示。更具体地说,它提供了对个人信息的更大控制权。用户可以为不同的活动发布多个“分散标识符”,并且可以分离出与每个标识符关联的属性。
这些分散的数字身份可用于支持假名以保护身份隐私。因此,启用了潜在私有属性与数字标识的分离,用户可以选择要披露的属性,以保护其他属性的隐私。
为什么要报告SSI?
本研究报告了SSI和现有eID解决方案的当前技术格局。分析了与这些解决方案相关的标准和正在进行的试点项目。考虑了可能的架构元素和治理机制,并确定了安全风险和机遇,以实现eIDAS法规设定的目标。
主要建议是什么?
在整理SSI解决方案的架构时,需要考虑许多元素,例如在钱包的认证过程中就需要实施与 SSI 架构带来的风险相关的关键安全措施,例如:
数据最小化 – 仅使用必要的数据;
同意和选择 - 用户控制用于识别的过程和数据;
准确性和质量 - 各方都可以信任钱包存储和提供的身份数据。
此研究的目标受众有哪些?
欧盟私营公司以及致力于或打算诉诸远程身份证明解决方案和SSI技术的公共团体和学术组织都可以适用此方案。
国家政府和公共机构考虑为客户、公民、员工、学生或其他用户或已经配备此类系统并有兴趣改进安全的组织实施远程身份证明和SSI解决方案。
已经参与eIDAS生态系统的利益相关者,如信托服务提供商、合格评定机构和监督机构以及安全研究人员、学术界和更广泛的安全社区。
关于欧盟的数字身份提案
欧盟网络安全局(ENISA)欢迎欧盟委员会审查eIDAS法规的提案。欧洲数字身份旨在提供给所有欧盟公民,居民和企业,用以识别自己或提供个人信息的确认。公民将能够证明自己的身份,并通过单击手机上的图标从其欧洲数字身份钱包中共享电子文档。他们将能够通过其国家数字身份访问在线服务,这将在整个欧洲得到认可。
新的欧洲数字身份钱包将允许所有欧洲人访问在线服务,而不必诉诸私人身份识别方法或共享不必要的个人数据。借助此解决方案,用户将完全控制他们共享的数据。
附:远程身份证明 - 攻击和对策
https://www.enisa.europa.eu/publications/remote-identity-proofing-attacks-countermeasures
(本文出自SCA安全通信联盟,转载请注明出处。)
河南某211信息内容安全2022期末试题
...素值失真攻击B.敏感性分析攻击C.置乱攻击D.梯度下降攻击数字水印技术通过在数字化的多媒体数据中嵌入隐蔽的水印标记,可以有效实现对数字多媒体数据的版权保护功能。以下关于数字水印的描述中,不正确的是(... 查看详情
非对称加密的不足
...送公钥的时候,把自己的认证也带上A到B,如果中间人把身份证也换了那咋办;【除非非常熟悉,否则人的思路很难跟着走很远】【上面这段分析还要加深】下面说说CA,每个网站都会从CA上申请一个数字证书,数字证书,数字证... 查看详情
摘要式身份验证如何防止重放攻击?
】摘要式身份验证如何防止重放攻击?【英文标题】:Howdoesdigestauthenticationpreventsreplayattacks?【发布时间】:2010-10-2709:29:50【问题描述】:我在***上发现了很多关于摘要式身份验证的问题。我找不到摘要身份验证如何防止重放攻... 查看详情
javascript当心匿名函数(代码片段)
使用 JWT 进行身份验证时是不是可以消除私钥攻击向量?
】使用JWT进行身份验证时是不是可以消除私钥攻击向量?【英文标题】:IsitpossibletoeliminateprivatekeyattackvectorwhenusingJWTsforauthentication?使用JWT进行身份验证时是否可以消除私钥攻击向量?【发布时间】:2019-12-2107:20:57【问题描述】... 查看详情
在 HTTP 连接中使用基于令牌的身份验证时如何防止重放攻击
】在HTTP连接中使用基于令牌的身份验证时如何防止重放攻击【英文标题】:HowtopreventreplayattackswhenusingtokenbasedauthentificationinanHTTPconnection【发布时间】:2017-09-0518:32:16【问题描述】:在使用基于令牌的身份验证(例如:JSONWeb身份... 查看详情
通过用户身份验证(Node/Vue/Passport)防止中间人攻击
】通过用户身份验证(Node/Vue/Passport)防止中间人攻击【英文标题】:Preventingman-in-the-middleattackswithuserauthentication(Node/Vue/Passport)【发布时间】:2019-06-2002:13:13【问题描述】:我目前有一个使用Passport处理身份验证的Node/Vuejs编写的w... 查看详情
在 ZAP 工具中添加身份验证以攻击 URL
】在ZAP工具中添加身份验证以攻击URL【英文标题】:AddingauthenticationinZAPtooltoattackaURL【发布时间】:2015-10-0913:42:30【问题描述】:如何将身份验证详细信息传递给ZAP工具以扫描网站。请帮我解决问题。【问题讨论】:【参考方案1... 查看详情
我是不是需要使用 Google 帐户身份验证而不是 Spring 身份验证来避免 Firesheep cookie 嗅探攻击?
...帐户身份验证而不是Spring身份验证来避免Firesheepcookie嗅探攻击?【英文标题】:DoIneedtouseGoogleAccountAuthenticationinsteadofSpringauthenticationtoavoidaFiresheepcookie-sniffingattack?我是否需要使用Google帐户身份验证而不是Spring身份验证来避免Fireshe... 查看详情
NSManagedObject 没有被保存——当心反向关系
】NSManagedObject没有被保存——当心反向关系【英文标题】:NSManagedObjectsnotbeingsaved--BewareofInverseRelationships【发布时间】:2012-11-2706:15:27【问题描述】:(找到答案。见下文。)在下面的代码中,我通过链接一些关系来更新大约350,... 查看详情
在基于 OAuth2 的身份验证中,状态参数可以防止啥样的 CSRF 攻击?
...在基于OAuth2的身份验证中,状态参数可以防止啥样的CSRF攻击?【英文标题】:WhatkindofCSRFattackdoesstateparameterpreventinOAuth2-basedauthentication?在基于OAuth2的身份验证中,状态参数可以防止什么样的CSRF攻击?【发布时间】:2020-03-0810:49:2... 查看详情
csrf的攻击与防御(代码片段)
...息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向相关对应服务器发送请求,从而完成非法操作。攻击原理以银行转账示例:1.用户A登录银行网站,通过身份验... 查看详情
security+学习笔记44网络攻击
...击者最常见的动机是窃取敏感信息,如信用卡号码或身份证号码,或以未经授权的方式改变信息。然而,有些攻击的重点是破坏系统的合法使用。与其他攻击不同ÿ 查看详情
分布式数字身份——从创建一个weidentity数字身份开始(代码片段)
分布式数字身份——创建一个Weidentity数字身份前言DIDWeid前置环境准备基础配置FISCOBCOS链部署Weidentity合约部署WeidentityRestSerivce使用WeidentityPythonSDK项目分享参考链接总结关于作者前言DID基于区块链技术的分布式数字身份是一种自... 查看详情
当心,你搞的scrum可能是小瀑布
...,怎么解决资源等待的问题呢?本文分享自华为云社区《当心,你搞的Scrum可能是小瀑布》,作者:敏捷小智。为了更好的拥抱变化,很多团队选择使用敏捷去管理组织或者团队的研发过程,Scrum作为最常用的敏捷框架之一,备... 查看详情
当心即时值
Whatagotcha!#immediatevalues#e.g.true,falseandIntegersa=true#=>trueb=true#=>true defa.foo"bar"end a.foo#=>"bar"b.foo#=>"bar" #referencedvaluesc="foo"#=>"foo"d="foo"#=>"foo" defc.meep"blub... 查看详情
数字水印的攻击类型
数字水印的攻击类型引言数字水印技术作为信息隐藏技术的一种,不可见性和鲁棒性是它的主要特点。通常在水印嵌入时我们需要来确定水印的嵌入量,以此来平衡不可见性和可见性之间的关系。方法对于不可见性,... 查看详情
黑道vs白道,从网络攻击到数字加密
...论标准三、加密技术3.1对称加密技术3.2非对称加密技术3.3数字签名3.3.1数字签名的要求3.3.2数据签名的实现3.4非对称加密与数字签名统一3.5单向加密(不可逆加密)和双向加密(可逆加密)四、密钥分配(针对... 查看详情