Hem Tech FIDO vs. PKI
Aktuellt

FIDO vs. PKI

Tech

Skillnaden mellan FIDO och PKI

FIDO är ett system för inloggning utan lösenord. När användaren har registrerat sitt användarnamn och lösenord och systemet aktiverats kan inloggningen ske med hårdvarunyckel, PIN-kod, fingeravtryck eller ansiktsigenkänning. Liksom PKI-lösningar bygger FIDO på asymmetrisk kryptering, men utan att några certifikat och tillhörande katalogtjänster används på slutanvändarnivå.

För att skapa förtroende för de säkerhetsnycklar, eller tokens, som FIDO-protokollen använder behövs ett "ekosystem", dvs. en säker miljö.
Detta ekosystem bygger på följande fyra hörnstenar:

  • Betrodda protokoll
  • Betrodd lagring av säkerhetsnycklar
  • Betrodd miljö
  • Betrodd personalisering

 

Betrodda protokoll 

Protokollen är öppna och utfärdas av FIDO Alliance. De är standardiserade och genomgår en grundlig granskning innan de publiceras.

Betrodd lagring av säkerhetsnycklar 

Detta åstadkoms genom att specifika krav för olika tillämpningar och förtroendenivåer fastställs, till exempel krav på användning av en mjukvarunyckel som lagras i en hårdvaruenhet.

Betrodd miljö 

För att säkerställa tillförlitlighet behövs ett säkert ”ekosystem”. Den förlitande parten, t.ex. en tjänsteleverantör, måste se till att betrodd metadata görs tillgänglig i FIDO-säkerhetsnyckeln. Äktheten hos denna metadata måste kunna verifieras och användarens identitet skyddas, vilket redan är väl hanterat inom PKI. Av öppenhetskäl måste backend-funktionerna utformas med hänsyn till etablerade säkerhetscertifikat (SSL/ETSI/CABF). SSL används ofta i PKI-system. Certifieringsprocesser måste etableras för att säkerställa efterlevnad. Även dessa funktioner används brett i PKI-världen (ETSI/CABF/ISO 27001).

Betrodd personalisering 

Säkerhetsnyckeln måste kunna personaliseras och innehavarens identitet skyddas. Av öppenhetsskäl bör rutinerna för personalisering dokumenteras och granskas av oberoende tredje part. Detta kan göras enligt gängse standard för PKI. 

2020-05-29

Jämförelse av metoder för autentisering och identifiering

Medan PKI-system vanligtvis använder en kombination av autentisering och identifiering gör FIDO en tydlig åtskillnad mellan dessa två processer. Detta har fördelar både för användaren och för den förlitande parten eftersom inloggningen kan ske på ett säkert sätt och med användning av en minimal mängd data.

Både PKI- och FIDO-systemet använder sig av en token som består av ett säkerhetschip och ett operativsystem som är certifierat enligt CC EAL4+. I en FIDO-lösning är denna token redan certifierad och klar att användas. I en PKI-lösning certifieras den enligt EU:s förordning om elektronisk identifiering.

PKI och FIDO kan kombineras på följande sätt: 

  1. Ett befintligt PKI-system flyttas till ett PKI+FIDO-system
  2. Ett befintligt FIDO-system flyttas till ett FIDO+PKI-system

 

FIDO och PKI på företaget

Detta får oss att tänka på tre frågor:

  • Vilka fördelar kan man uppnå genom att använda FIDO-protokoll på företaget?
  • Vilka företagsapplikationer och vilka applikationsprotokoll kan använda PKI?
  • Vilka fördelar kan man uppnå genom att använda både PKI och FIDO?

Dessa frågor kommer regelbundet att behandlas på denna blogg.

Använda PKI på företaget

Digitala certifikat har många användningsområden. Här är några exempel:

  • Autentisering av server
  • Autentisering av klient
  • Inloggning på skrivbordsdator
  • Autentisering av enheter före start
  • Åtkomst till fjärrskrivbord
  • Kryptering och autentisering av e-post
  • Internet Protocol Security (IPSec) för VPN (Virtual Private Networks)
  • Trådlös åtkomst
  • E-underskrift
  • Godkännande av transaktioner
  • Kodsignering
  • Diskkryptering
  • Single Sign On (SSO)
  • Behörighetsadministration med hjälp av federationsprotokoll

Listan ovan visar hur användbart PKI är, men det finns situationer där FIDO är mer fördelaktigt. I allmänhet är en FIDO-lösning lättare att använda för slutanvändarenProtokollet är också enklare att integrera i webb- och mobilappar. Jämfört med PKI-system är FIDO-system vanligtvis billigare med avseende på drift och underhåll eftersom de inte innehåller lika många certifikat som måste förnyas.

 

Tabellen visar vilka tillämpningar som kan hanteras med PKI respektive FIDO.

Tabell 1

Tillämpning

PKI

FIDO

Inloggning

Ja

Ja

Autentisering före start

Ja

Ja

Autentisering av webbklient

Ja

Ja

Autentisering av tjock klient 

Ja

Ja

Kryptering och signering av e-post – S/MIME

Ja

Nej

VPN-IPSec

Ja

Nej

TLS

Ja

Nej

EAP-TLS för trådlös åtkomst

Ja

Nej

Godkännande av transaktioner 

Ja

Ja

E-underskrift

Ja

Ja

Kodsignering

Ja

Ja

Diskkryptering

Ja

Nej

Single Sign On

Ja

Ja

Behörighetsadministration (federation)

Ja

Nej

 

 

I vilka situationer fungerar FIDO lika bra som PKI?

  • Autentisering av webbklient. FIDO-protokollet använder TLS med autentiseringsläget server-only, medan PKI använder TLS med certifikatbaserad autentisering på klientsidan.
  • Tjocka klienter. Här används inbyggda API:er för att autentisering av användaren. En tjock klient kan till exempel vara en mobilapp eller ett datorprogram. PKI kan utföra en certifikatbaserad autentisering utan åtgärd från användaren. I en FIDO-lösning krävs alltid en åtgärd från användaren. Se certifikatbaserad autentisering
  • E-underskrift. För den förlitande parten är det lättare att verifiera en digital underskrift av ett dokument inom den egna domänen, dvs. där användarens FIDO-säkerhetsnyckel är registrerad. Att kontrollera underskriften utanför den förlitande partens domän är en komplicerad uppgift som FIDO-protokollen inte är avsedda att lösaoch som PKI-Iösningar är bättre lämpade för.
  • Kodsignering kan utföras med FIDO om verifieraren (vanligtvis den förlitande parten) har tillgång till den offentliga FIDO-nyckeln.
  • Single Sign On. FIDO-protokollet kan användas för Single Sign On om det används i kombination med ett federationsprotokoll som Security Assertion Markup Language (SAML) eller OpenID Connect (OIDC). Den förlitande parten fungerar då som Identity Provider (IdP) och hanterar autentiseringen av användaren.
     
  • Autentisering före start. Både PKI och FIDO kan användas för att autentisera användaren innan datorn startas och de två systemen fungerar på liknande sätt. 
  • Godkännande av transaktioner. Denna tillämpning stöds av två FIDO-protokoll och är avsedd för mindre transaktioner som kan utföras på en liten display i en mobil enhet. Möjlighet finns att visa ett kondensat (hash) av ett dokument som kan verifieras utanför appen. Därefter kan kondensatet visas på den mobila enhetens display. 

 

Den stora fördelen med FIDO:

  • Interna PKI-lösningar använder elektroniska certifikat som ges ut av en Certificate Authority (CA). Dessa certifikat gör det möjligt att kontrollera att en viss publik nyckel tillhör den påstådda ägaren. Detta behövs inte för FIDO.

 

Fördelar med PKI:

  • Eftersom PKI använder sig av certifikat från en Certificate Authority (CA) som består av en publik och en privat nyckel kan certifikatet skickas över internet. FIDO-säkerhetsnycklar är bundna till en viss förlitande part och kan därför bara användas inom en viss säkerhetsdomän.
  • Certifikatbaserad autentisering. Se punkten om Tjocka klienter

  • Kryptering och signering av e-post. Historiskt sett har kryptering av e-post skett med protokollet S/MIME som kräver ett X.509-certifikat. Eftersom FIDO-protokoll inte använder elektroniska certifikat kan de inte användas för denna tillämpning.

  • VPN-IPSec. VPN använder elektroniska certifikat och protokollet IPSec som kräver ett X.509-certifikat. Eftersom FIDO-protokoll inte använder elektroniska certifikat kan de inte användas för denna tillämpning.
  • Transport Layer Security (TLS). TLS och dess föregångare Secure Sockets Layer (SSL) är kryptografiska protokoll som använder publika nycklar för att kryptera trafik mellan två eller flera kommunicerande program, till exempel mellan en webbserver och användarens webbläsare. Servern autentiserar webbläsaren med ett X.509 servercertifikat och webbläsaren autentiserar servern med ett X.509 klientcertifikat. Dessa certifikat ges ut av en Certificate Authority. Även andra metoder kan användas för autentisering, till exempel HTTP Basic eller HTTP Digest. Som nämnts ovan stöder inte FIDO-protokollen certifikatbaserad autentisering och är inte avsedda för klient- eller serverautentisering i TLS. FIDO kan dock användas för klientautentisering i programlagret, i stället för eller i tillägg till autentisering med X.509-certifikat.
  • EAP (Extensible Authentication Protocol)-TLS för trådlös åtkomst. Återigen, FIDO-protokoll använder inte elektroniska certifikat.
  • E-underskrift. På liknande sätt som för godkännande av transaktioner kan FIDO användas för signering av elektroniska dokument. För den förlitande parten är det dock lättare att verifiera en elektronisk underskrift av ett dokument i den domän där användarens FIDO-säkerhetsnyckel är registrerad. Att kontrollera underskriften utanför den förlitande partens domän är en uppgift som FIDO-protokollen inte är avsedda att lösaoch som PKI-Iösningar är bättre lämpade för. Det är dock möjligt att skapa ett program som gör det möjligt att använda registrerade säkerhetsnycklar (FIDO authenticators) för underskrift av dokument.
  • Kodsignering. FIDO-protokoll kan användas för att verifiera kodsignerade program inom domänen, medan PKI-lösningar är bättre lämpade för verifiering av kodsignerade program och installationer utanför domänen, åtminstone för tillfället.
  • Diskkryptering. FIDO-protokoll stöder inte denna tillämpning. Med PKI kan smarta kort skyddas genom kryptering.
  • Behörighetsadministration. I en federationslösning används protokoll som SAML och OIDC för att etablera en förtroenderelation mellan identitetsleverantören (IdP, identity provider) och tjänsteleverantören (den förlitande parten) genom utbyte av certifikat. FIDO-protokoll är inte avsedda för behörighetsautentisering som bygger på utbyte av certifikat.

 

När vi sammanfattar fördelarna med PKI och FIDO finns det en säkerhetsaspekt man bör vara medveten om:

  • Av säkerhetsskäl har elektroniska certifikat vanligtvis en begränsad giltighetstid. Hur lång giltighetstiden ska vara måste alltid vägas mot kostnaden för att utfärda nya certifikat. I FIDO-protokoll anges ingen giltighetstid för de säkerhetsnycklar som registreras hos den förlitande parten. Ur protokollsynpunkt upphör nycklarna därmed aldrig att gälla och protokollet innehåller därför ingen funktion för att återkalla dem.  

 

Fördelarna med att använda en kombination av PKI och FIDO

FIDO är ett system för lösenordsfri inloggning där publika krypteringsnycklar används för autentisering. Detta ger en säkerhet i nivå med certifikatbaserad autentisering utan att man behöver investera i dyr infrastruktur för hantering av certifikat.

FIDO-protokollet kan användas för en mängd olika tillämpningar: 

  • inloggning till webb- och molntjänster
  • inloggning till appar i mobiltelefoner
  • inloggning på skrivbordsdatorer, både offline och online
  • inloggning på delade arbetsstationer
  • säker autentisering av medarbetare som jobbar på distans och extern personal (underleverantörer, besökare etc...). 

 

Organisationer som investerat mycket pengar i en PKI-lösning kan till en rimlig kostnad utöka sin autentiseringslösning med FIDO och på så sätt utnyttja dess fördelar.

För organisationer som inte har investerat i PKI sedan tidigare och är i behov av en säker autentiseringslösning kan FIDO vara en lämplig lösning under förutsättning att säkerhetskraven och affärsmålen uppfylls.

 

Lite om framtiden

PKI kan med fördel användas för att förbättra informationssäkerheten för  IoT (sakernas Internet). Säkerhetskomponenter som PKI managers och device managers kommer att kunna installeras på enheter som är placerade lokalt, i molnet eller i hostade miljöer. PKI är en etablerad och säker lösning – tekniken är beprövad. Rätt använd, och om säkerhetsnyckeln inte är för lång, kan en PKI-lösning vara perfekt för sakernas internet och ge ett bra skydd. IoT-tillämpningar skiljer sig från servrar eftersom de körs lokalt och är isolerade från nätet.

Framtiden för IoT ser lovande ut och många regeringar runt om i världen tar utvecklingen på allvar. Dessutom pågår samarbeten inom näringslivet i syfte att få gemensamma standarder på plats. Vi kommer dock att få se fler cyberattacker vilket gör PKI, med dess höga säkerhetsnivå, till en mycket lämplig lösning.

Kontakta oss

Har du fler frågor? Tveka inte på att kontakta oss så berättar vi mer.