验证新购买的硬件安全令牌(HST)是否真实且未经修改的最终责任在于最终用户。然而,最近报道的针对此类令牌的攻击表明,即使广泛部署了真实性检查,用户也不能将其hst的安全保证视为理所当然。我们提出了第一个全面的市场审查,评估了最常用的hst的真实性检查的有效性和可用性。此外,我们进行了一项调查(n=194),以检查用户对这些检查的看法和使用情况。
我们发现,由于缺乏透明度和信息,用户通常不执行——甚至没有意识到——必要的检查,而是依赖于没有意义的方法。此外,我们的结果证实,当前部署的真实性检查受到不正确的感知有效性的影响,并且不能缓解所有变体的分布攻击。此外,不同厂商的一些真伪概念相互矛盾。为了应对这些挑战,我们建议(i)结合传统和新颖的真实性检查,以及(ii)以用户为中心的透明设计。”
找到这里是技术文件(开放)。
USENIX安全研讨会2021年8月
SBA Research的Katharina Pfeffer和Alexandra Mai;加州大学欧文分校的Adrian Dabrowski;Matthias Gusenbauer,东京工业大学& SBA研究所;SBA Research的Philipp Schindler;维也纳大学Edgar Weippl;迈克尔·弗朗茨,加州大学欧文分校;Katharina Krombholz, CISPA Helmholtz信息安全中心
留下回复