Onderzoekers van de Technische Universiteit Eindhoven (TU/e) hebben onkloonbare eigenschappen ontdekt in grafische kaarten. De minuscule verschillen in hardware bieden volgens de TU/e de sleutel tot online authenticatie. Dit nieuws komt van het Europese onderzoeksproject 'Physically unclonable functions found in standard PC components' (PUFFIN). Het PUFFIN-project duurt tot februari 2015 en heeft een totaalbudget van 1,3 miljoen euro.
In dit project hebben de Technische Universiteit Eindhoven, de Katholieke Universiteit Leuven, de Technische Universität Darmstadt en het bedrijf Intrinsic-ID uit Eindhoven de krachten gebundeld om het bestaan aan te tonen van unieke eigenschappen in standaard computerhardware. Deze is ook wel bekend als Physically Unclonable Functions (PUF's). Ze gaan nu op zoek naar nog meer PUF's, bijvoorbeeld in mobieltjes.
Identiteitsdiefstal
De onderzoekers hebben ontdekt dat software in staat is om minuscule fabricageverschillen te detecteren in schijnbaar identieke grafische processoren. Daardoor is de software in staat de processoren goed van elkaar te onderscheiden. Deze verschillen kunnen gebruikt worden als een PUF om een specifieke grafische kaart veilig te koppelen aan een specifiek gebruikersprofiel, met als doel de gebruiker te beschermen tegen identiteitsdiefstal.
Vooral gamers zijn bekend met de investering die nodig is om een goed spelkarakter op te bouwen en het risico dat je loopt op identiteitsdiefstal. Door het identificeren van de hardware van gamers kan identiteitsdiefstal worden voorkomen. Bovendien heeft authenticatie door middel van PUF-eigenschappen als voordeel dat de producenten van het gameplatform de extra beveiliging kan introduceren via software-updates, zonder dat de gebruiker iets hoeft te doen.
Versleutelen harde schijven
Nu deze PUF-eigenschappen zijn gevonden in grafische processoren, zoeken de PUFFIN-onderzoekers verder naar soortgelijke fabricageverschillen in andere apparaten, zoals mobieltjes. Gelijktijdig gaan de onderzoekers andere toepassingen verkennen van deze makkelijk toegankelijke en niet te kopiëren elektronische identiteiten. Een voorbeeld is de mogelijkheid harde schijven te versleutelen met PUF's, zodat gegevens beschermd zijn tegen diefstal zonder dat de gebruiker lange wachtwoorden hoeft te onthouden.
Ja lekker en dan gaat je grafische kaart stuk of wil je een keer vanaf een andere plek inloggen en dan kan het niet. Ik denk dat het voor licentie koppeling vanuit de fabrikanten weer een extra licentie beschermingstool zal zijn, net als de dongle. De gebruiker gaat hier echt niet blij van worden, hij heeft er alleen maar last van.
@Wouter: als je grafische kaart kapot gaat (en dat zal niet iedere maand zijn), zul je inderdaad opnieuw een authenticatie- en verificatieproces moeten doorlopen. Daar moet wel een procedure voor zijn ja. In geval je ergens anders wilt inloggen zou de verificatie van je identiteit bijvoorbeeld via je mobiele telefoon kunnen verlopen (zoals het artikel aangeeft, is men op dat vlak ook op zoek naar PUF’s).
Technisch gesproken kan het allemaal wel, ik weet alleen niet of dat in de praktijk allemaal vlekkeloos gaat (ver)lopen…
Als het de cheaters bij het gamen de nek omdraait,..mooi toch!
DE plaag van het on-line gamen op dit moment
Laten we het trucje ’s omdraaien: Dadelijk weet men je overal te traceren obv je hardware!
@Joker:
Inderdaad; dat is het allereerste waar ik aan dacht. Dit levert zeer grote pricavy-problemen op. Die zullen worden weggewimpeld door de markt. De overheid zal er niks aan doen, zo wijst het verleden uit. En de consument die niks anders kan dan volgen, zal er aan gewennen en hoppa… ‘Weg’ privacy-probleem: niet langer een probleem (voor verreweg de meerderheid) maar gewoon een geaccepteerd iets.
@GoedZoPetertje:
Kan best zijn dat dit cheaters de nek omdraait, maar dat is een drogreden.
Als je bijv. 1 miljoen steelt, heb je ook voordelen: dan kan je meer spullen kopen. Deze voordelen praten het eigenlijke probleem (de diefstal) ook niet goed.
Als een OS trouwens een computerprogramma niet direct toegang geeft tot de videokaart (zoals toch het geval is als er bijv. DirectX gebruikt wordt?), vraag ik me af of genoemde software uberhaupt wel een kans krijgt?
“De minuscule verschillen in hardware bieden volgens de TU/e de sleutel tot online authenticatie.”
Nee. Het biedt _een_ mogelijke sleutel, maar niet ‘de’ en zeker geen gewenste.
Neem liever een hardwarematige RSA-sleutel bijvoorbeeld.
“Een voorbeeld is de mogelijkheid harde schijven te versleutelen met PUF’s, zodat gegevens beschermd zijn tegen diefstal zonder dat de gebruiker lange wachtwoorden hoeft te onthouden.”
Bij harddisks speelt het probleem dat je een probleem hebt als je niet meer bij je data kan. Als een harddisk in kwaliteit achteruit gaat, zal je PUF-decodering opeens kunnen stoppen te werken omdat de harddisk immers niet meer hetzelfde is. Een spelletje dat niet meer werkt omdat je videokaart niet meer als dezelfde wordt gedetecteerd is daaraantoe, maar een harddisk die zijn bestanden niet meer wil prijsgeven: dat wil je echt niet.