当心数字身份证攻击

最新推荐文章于 2024-06-08 01:08:56 发布
最新推荐文章于 2024-06-08 01:08:56 发布
阅读量181 收藏
点赞数
分类专栏: SCA安全通信联盟 数据安全 文章标签: SCA 数字身份
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40344166/article/details/123593209
版权

 

欧盟网络安全局(ENISA)通过两份新的报告显示了对自我主权身份(SSI)的分析以及对主要面部攻击背后数字身份识别的关注。

对自然人或法人身份的信任已成为我们在线活动的基石。因此,必须保持数字身份的高度安全,以便安全访问金融服务、电子商务、交付或运输平台、电信和公共行政服务。

欧盟网络安全局执行主任Juhan Lepassaar表示:“随着COVID-19病毒的无情传播以及对依赖数字服务的需求不断增长,确保电子识别的安全仍然是实现数字单一市场的弹性和信任的关键目标。”

根据这一观点,欧盟关于电子识别和信托服务法规(eIDAS法规)的出台是为公民、企业和公共当局之间的电子交易提供共同的基础。

eIDAS法规的一个关键目标是确保成员国内部提供的跨境在线服务中的电子识别和认证安全。此外,该法规还涉及在需要信任数字身份的不同情况下的身份证明,并详细说明了合格的证书以允许其他识别方法。

在过去几年中,识别领域出现了一种新的趋势,即自我主权的身份技术( self-sovereign identity technologies),也称为SSI。本文解释了这些技术是什么,并探讨了它们的潜力,正如eIDAS法规所要求的那样,可以更好地控制用户的身份和数据、跨境互操作性、相互认可和技术中立性。

ENISA关于远程身份证明的报告建立在上一份报告远程ID证明的基础上,它分析了用于远程执行身份证明的不同方法和不同类型的人脸识别攻击,并提出了对策。它还验证了上一份报告中引入的安全控制措施,并就如何缓解已识别的威胁提供了进一步的建议。

对远程身份证明方法中的人脸演示攻击,我们需要知道什么?

远程识别验证过程通常通过网络摄像头或移动设备进行。用户需要出示官方文件,如合法身份证或护照。

但是,犯罪分子已经设计了许多策略来绕过这些系统的安全性并冒充其他人。

主要人脸攻击呈现的特征是:

照片攻击基于通过设备屏幕打印或显示的面部图像的面部证据的呈现。

在摄像机前面放置事先录制好的视频是攻击者常用的方法。

3D面具攻击,其中3D面具被制作以再现人脸的真实特征,甚至包括眼睛瞳孔,以欺骗基于眼睛凝视、眨眼和运动的活体检测。

Deepfake攻击是利用能够创建真实代表他人的合成视频或图像的软件。攻击者被怀疑可以访问包含其目标的图像或视频的广泛数据集。

可以做些什么来防止它们?

比如:

环境控制,例如设置最低视频质量级别;

身份证明文件控制,例如在相关数据库中检查文件是否未丢失、被盗或过期;

演示攻击检测,例如检查用户的人脸深度以验证其是否为三维或查找由deepfake操纵导致的图像不一致之处;

组织控制,例如遵循行业标准。

在选择要实施的对策时,没有理想的选择。最佳选择仍然是与业务类型,用户概况和数量以及您希望实现的保证程度相关的选择。

什么是自我主权身份(SSI)?

自我主权身份(SSI)技术是让身份持有者更好地控制其身份。SSI技术的主要优点是,它使用户可以更好地控制其身份如何向依赖身份信息的第三方展示。更具体地说,它提供了对个人信息的更大控制权。用户可以为不同的活动发布多个“分散标识符”,并且可以分离出与每个标识符关联的属性。

这些分散的数字身份可用于支持假名以保护身份隐私。因此,启用了潜在私有属性与数字标识的分离,用户可以选择要披露的属性,以保护其他属性的隐私。

为什么要报告SSI?

本研究报告了SSI和现有eID解决方案的当前技术格局。分析了与这些解决方案相关的标准和正在进行的试点项目。考虑了可能的架构元素和治理机制,并确定了安全风险和机遇,以实现eIDAS法规设定的目标。

主要建议是什么?

在整理SSI解决方案的架构时,需要考虑许多元素,例如在钱包的认证过程中就需要实施与 SSI 架构带来的风险相关的关键安全措施,例如:

数据最小化 – 仅使用必要的数据;

同意和选择 - 用户控制用于识别的过程和数据;

准确性和质量 - 各方都可以信任钱包存储和提供的身份数据。

此研究的目标受众有哪些?

欧盟私营公司以及致力于或打算诉诸远程身份证明解决方案和SSI技术的公共团体和学术组织都可以适用此方案。

国家政府和公共机构考虑为客户、公民、员工、学生或其他用户或已经配备此类系统并有兴趣改进安全的组织实施远程身份证明和SSI解决方案。

已经参与eIDAS生态系统的利益相关者,如信托服务提供商、合格评定机构和监督机构以及安全研究人员、学术界和更广泛的安全社区。

关于欧盟的数字身份提案

欧盟网络安全局(ENISA)欢迎欧盟委员会审查eIDAS法规的提案。欧洲数字身份旨在提供给所有欧盟公民,居民和企业,用以识别自己或提供个人信息的确认。公民将能够证明自己的身份,并通过单击手机上的图标从其欧洲数字身份钱包中共享电子文档。他们将能够通过其国家数字身份访问在线服务,这将在整个欧洲得到认可。

新的欧洲数字身份钱包将允许所有欧洲人访问在线服务,而不必诉诸私人身份识别方法或共享不必要的个人数据。借助此解决方案,用户将完全控制他们共享的数据。

附:远程身份证明 - 攻击和对策

https://www.enisa.europa.eu/publications/remote-identity-proofing-attacks-countermeasures

(本文出自SCA安全通信联盟,转载请注明出处。)

宛如清风
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
区块链学习心得
m0_63839730的博客
07-29 8424
《区块链基础知识25讲》学习总结笔记
身份证验证攻击(网络不繁忙式攻击)
qq_43776408的博客
12-15 364
在繁忙的网络上破解WEP密钥是比较容易。在繁忙的网络中,数据的数量增加得非常快 我们可以通过统计攻击进行破解密码 如果网络不忙,则数据的数量将非常缓慢地增加 也就是说通过命令airodump-ng wlan0mon中#Data那一栏为0 则为不繁忙网络 这种情况是经常发生的 要解决这个问题,可以做的是将数据包注入流量 当我们这样做时,可以强制AP创建一个包含新IV的新数据包,然后捕获这些IV ...
英语教学系列之雅思词汇篇V1.1(持续更新)
热门推荐
欢迎!欢迎来到17号城市!
06-23 15万+
按场景记忆是最高效的,这里给出的音标全部是英氏。 跟你没有相关性的表达你也要记下来, 不仅可以用在听力、阅读、写作, 还因为在雅思口语PART 3中可能会问一些分类讨论的话题, 不仅仅只说自己的情况。
<网络> HTTPS
weixin_61522065的博客
04-25 1006
上篇文章(<网络> HTTP)我们详细讲解了HTTP协议后,我们发现HTTP协议并不是安全的,所以这篇文章会详解基于HTTP进行传输加密的HTTPS协议。上篇文章(<网络> HTTP)我们详细讲解了HTTP协议后,我们发现HTTP协议并不是安全的。数据传输的明文HTTP协议传输的数据是明文的,即未经过加密处理。这使得任何人都可以截获传输的数据并进行监听、分析或篡改,导致数据的安全性受到威胁。HTTP协议没有对传输的数据进行完整性校验的机制,意味着在传输过程中数据可能会被篡改,而无法被检测到。
52 https
qq_43422358的博客
05-31 958
加密就是把明文(要传输的信息)进行一系列变换,生成密文解密就是把密文再进行一些列变换,还原成明文在这个加密和解密的过程中,往往需要一个或者多个中间的数据,辅助进行这个过程,这样的数据称为密钥(正确发声yue四声,平时都读yao四声)比如7是要发送的明文,5是密钥,把7和5计算一下得到密文发送给客户端,客户端拿到了秘钥5,就可以对密文再次异或得到要发送的数据7| 83版《火烧圆明园》,有人要谋反干掉慈禧太后,恭亲王依苏给慈溪第的折子,| | 内容只是家常,套上一张挖了洞的纸就能看到真实表达的意思。
【JavaEE初阶系列】——HTTPS协议
m0_74438843的博客
04-25 861
👩🏻‍💻Https协议👩🏻‍💻Https协议当前网络上,主要都是HTTPS了,很少能见到HTTP,实际上HTTPS也是基于HTTP(前面讲过HTTP的各个方面的内容,对于HTTPS同样适用),只不过HTTPS在HTTP基础之上,引入了“加密机制”。引入HTTPS防止你数据被黑客篡改(尤其是反针对 运营商劫持)下载一个 天天动听未被劫持的效果,点击下载按钮就会弹出天天动听的下载链接已被劫持的效果点击下载按钮就会弹出QQ浏览器的下载链接。
小白也能看懂的HTTPS协议
IT说人话 的专栏
03-02 175
数字指纹(数据摘要),其基本原理是利用单向散列函数(Hash函数)对信息进行运算,生成一串固定长度的数字摘要。数字指纹并不是一种加密机制,但可以用来判断数据有没有被窜改。摘要常见算法:有MD5、SHA1、SHA256、SHA512等,算法把无限的映射成有限,因此可能会有碰撞(两个不同的信息,算出的摘要相同,但是概率非常低)摘要特征:和加密算法的区别是,摘要严格意义不是加密,因为没有解密,只不过从摘要很难反推原信息,通常用来进行数据对比常见的摘要算法有: MD5 和 SHA 系列。
【Linux进阶之路】HTTPS = HTTP + S
Shun_Hua的博客
03-15 1018
带领读者先对 Session ID, 数据摘要,数据指纹,明文,密文,密钥,公钥,私钥,HTTPS结构进行了铺垫,由浅入深讨论了对称加密,非对称加密(两种方式),对称加密与非对称加密,证书学习了比较成熟的加密方法。
[线程与网络] 网络编程与通信原理(六):深入理解应用层http与https协议(网络编程与通信原理完结)
最新发布
无需多言
06-08 3076
HTTP(全称为"超文本传输协议")是一种应用非常广泛的应用层协议.URL基本格式平时我们俗称的"网址"其实就是说的URL统一资源定位符).下面我们来拿一个具体的URL来解释URL都有哪些部分构成.协议方案名,常见的有https与http.描述的是接下来URL要干什么.当然也有其他的类型.(例如我们在之前JDBC编程的时候,使用的是jdbc:mysql)登录信息,现在的网站一般会通过登录页面来验证,一般不通过URL的方式,这个部分经常省略服务器IP地址,也叫"域名"用来确定访问的主机。
当心购房踩.doc
09-10
当心购房踩.doc
当心疾病“声东击西”
08-19
当心疾病“声东击西”
当心微波炉伤害身体.docx
12-13
微波炉作为现代厨房的常用电器,为人们的生活带来极大的便利,然而,如果不正确使用,可能会对健康造成潜在的危害。微波炉的工作原理是通过发射微波,使食物内部的水分子振动产生热量,达到加热食物的目的。...
当心这些“胃”伤
08-19
当心这些“胃”伤
如何缓解深度造假
weixin_40344166的博客
11-27 2万+
网络犯罪分子已经存在了几十年,他们经常使用网络钓鱼和恶意软件。但另外两项技术促进了网络犯罪的剧增。 一个是匿名网络或暗网络的使用,比如洋葱网络。另一个是比特币形式的加密货币的引入。这两项创新——暗网和加密货币——允许网络犯罪分子安全地通信和交易,产生了连锁效应,提供了新的网络犯罪服务,同时降低了发起钓鱼和恶意软件攻击的门槛。今天,网络犯罪对企业构成了很大的网络威胁。 同时攻击大量目标、放大信息、甚至在必要时扭曲现实从来没有像现在这样容易。 社交媒体、机器人和深度伪造 创造在线角色和机器人的...
智能手机上很难发现钓鱼攻击
weixin_40344166的博客
11-13 9307
随着网络攻击者试图闯入提供电力和天然气等服务的网络次数的增加,针对能源部门的手机钓鱼攻击也在激增。 能源工业非常关键,为人们提供日常使用所需的重要服务。这一角色使其成为网络罪犯的首要目标。 今年早些时候,殖民管道(Colonial Pipeline)遭到勒索软件攻击,导致美国东部汽油短缺,这种风险得到了证明。Colonial最终向网络犯罪分子支付了约500万美元,以获得恢复网络的解密密钥。 Lookout的网络安全研究人员在一份报告中警告称,侵入这些网络欲望的增加导致针对能源行业的钓鱼攻击急...
花费1000美元就可以进入公司网络?
weixin_40344166的博客
10-19 6254
45%的公司网络接入点在暗网的售价低于1000美元 公司网络是公司的秘密宝库。对黑客来说,能够访问它们并在文件系统中寻找隐藏文件的能力,是黑客的金矿。对网络罪犯分子来说,有价值的不仅仅是文件系统中潜在的个人信息,还有能被转售的文件和报告,或者是有价值的见解和信息。 进入公司网络可能需要做大量的工作来突破防御。一个更简单的选择是付费访问暗网上已经被破坏的网络。一种蓬勃发展的交易——中间商和经纪人出售他们有权访问的网络来换取金钱。 让你吃惊的是,这些赏金居然这么便宜。 Positive Tec...
苹果向在巴西被盗的iPhone客户支付赔偿金
weixin_40344166的博客
12-13 1466
一名巴西消费者在锁定的iPhone被盗后,资金被盗。该消费者认为,是安全性低,才导致手机账户里的钱被交易的,上诉后赢得了针对苹果的法庭诉讼。 2021年6月,这位消费者的智能手机iPhone 12在圣保罗街头被盗。然后,犯罪分子设法快速解锁设备,更改用户的Apple ID,禁用"查找我的iPhone"功能并进行许多金融交易。 原告是一名律师,他表示,像iPhone 12这样的设备,在巴西的起价为5699雷亚尔(1014美元),这么贵的价钱在安全性方面没有提供最低限度,这是不合理的。 ...
A公司和B公司是关联公司,B公司和C公司有业务,但是A不当心给C打了钱,C公司规定不能退款,具体说明A公司财务部门接下去和B公司如何做的步骤?
05-28
如果C公司规定不能退款,可以按照以下步骤来处理: 1. 确认错误:A公司财务部门需要确认错误,并核实转账记录和资料,以确定转账金额、时间和收款方等信息。 2. 与B公司联系:A公司财务部门需要与B公司联系,说明转账错误的情况,并要求B公司协助处理。 3. 协商处理:A公司和B公司可以协商寻找其他的解决方案,例如抵消其他款项、调整业务范围等。如果没有其他合适的方案,可以考虑将多余的款项暂时挂账,待C公司同意后再进行处理。 4. 记录处理过程:A公司和B公司的财务部门需要记录错误的处理过程,包括错误原因、交涉过程、处理方案等信息。 5. 审核账务:A公司和B公司的财务部门需要定期审核账务,确保账目准确无误,并及时发现和纠正错误。 需要注意的是,关联公司之间的业务往来要尤为谨慎,避免出现类似的错误。同时,财务部门需要加强内部控制,避免类似的错误再次发生。在处理类似的问题时,需要充分协商和沟通,找到最适合的解决方案,保证各方利益和合法权益。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值