Řešení Infineon Security Platform

Opatření ochrany před slovníkovým útokem

Poznámky: Toto téma je platné pouze pro platformy Security Platform s čipem Trusted Platform Module 1.2. Podrobnosti o mechanismu zabezpečení proti slovníkovému útoku platformy Security Platform jsou platné pouze pro platformy Security Platform s čipem Infineon Trusted Platform Module 1.2. Toto téma je zaměřeno hlavně na vlastníka platformy Security Platform.

Aplikace Security Platform Solution čelí slovníkovým útokům pomocí následujících opatření:

• Pokud došlo k několika neúspěšným pokusům o ověření, platforma Security Platform se dočasně vypne až do dalšího restartování systému. Tímto způsobem může vlastník platformy Security Platform provést doplňující opatření proti útoku předtím, než platformu Security Platform opět zapne.
• Případně se uplatní čas blokování: Další pokusy o ověření budou po určitou dobu zamítnuty. Při každém dalším neúspěšném pokusu o ověření se úroveň ochrany zvyšuje, což znamená, že se čas blokování zdvojnásobí.
• Pokud v určité době nedojde k žádným dalším neúspěšným pokusům o ověření, úroveň ochrany se opět sníží.
• Vlastník platformy Security Platform může úroveň ochrany resetovat.

Následující obrázky popisují tato opatření.

Úroveň ochrany se při opakovaných neúspěšných pokusech o ověření zvyšuje

Tento obrázek popisuje, jakým způsobem neúspěšné pokusy o ověření zvyšují úroveň ochrany a čas blokování, pokud by platforma Security Platform nebyla dočasně vypnuta.

úroveň ochrany   čas blokování   čas°                pokusy o ověření

V tomto příkladě je práh ochrany pátým pokusem o ověření. Útočník se postupně pokouší o ověření. To znamená, že úroveň ochrany se zvyšuje jakmile vyprší čas blokování aktuálního stavu.

Předejití zvýšení úrovně ochrany dočasným vypnutím platformy Security Platform

Chcete-li blokovat další útoky v počáteční fázi a vyhnout se dlouhým časům blokování, platforma Security Platform se dočasně vypne, jakmile je dosaženo prahu ochrany.

úroveň ochrany       blokováno    dočasně vypnuto   čas°                pokusy o ověření

V tomto případě nelze na platformu Security Platform již útočit, i když dojde k vypršení času blokování. Platforma Security Platform se zapne pouze po dalším restartování systému.

Automatické snížení úrovně ochrany

Tento obrázek ukazuje, že úroveň ochrany po určité době opět klesá, pokud nedojde k dalším neúspěšným pokusům o ověření.

úroveň ochrany čas automatického snížení       čas°   pokus o ověření automatické snížení

V tomto příkladě je vidět zvýšení úrovně ochrany a čas blokování (červená), způsobený neúspěšným pokusem o ověření. Předpokládá se, že systém se po krátké době restartuje (šedá). Po uplynutí času automatického snížení se úroveň ochrany automaticky sníží. Při nízkých úrovních ochrany je čas automatického snížení daleko delší než čas blokování.

Poznámky: Čas automatického snížení je nezávislý na čase blokování a restartování systému. Automatické snížení nevyžaduje restartování systému. Při nízkých úrovních ochrany je čas automatického snížení daleko delší než čas blokování.

Obnovení úrovně ochrany

Tento obrázek ukazuje obnovení úrovně ochrany provedené vlastníkem platformy Security Platform.

úroveň ochrany         čas° pokus o ověření obnovení

Podobně jako u předchozího obrazu uvidíte zvýšení úrovně ochrany, čas blokování (červená) a dočasné vypnutí systému až do dalšího restartování (šedá). Zde se předpokládá, že vlastník platformy Security Platform obnoví úroveň ochrany, protože nechce čekat na automatické snížení zvýšené úrovně ochrany.

Typické parametry ochrany před slovníkovým útokem.

Následující tabulka ukazuje některé parametry ochrany proti slovníkovému útoku typické pro čip Infineon Trusted Platform Module. Vypsané hodnoty se mohou lišit v závislosti na čipu Trusted Platform Module.

Povolené pokusy o ověření klíče (například pro ověření uživatele platformy Security Platform)	5	Po 5 neúspěšných pokusech během 6 hodin se provedou opatření proti slovníkovému útoku (viz zásady Konfigurace prahu slovníkového útoku a Konfigurace nastavení ochrany proti slovníkovému útoku).
Povolené pokusy pro ověření vlastníka platformy Security Platform	3	Po 3 neúspěšných pokusech během 6 hodin se provedou opatření na ochranu proti slovníkovému útoku (viz zásady Konfigurace prahu slovníkového útoku a Konfigurace nastavení ochrany proti slovníkovému útoku).
Povolené pokusy pro ověření dat (použité například aplikací Windows BitLocker v kombinaci s kódem PIN)	10	Po 10 neúspěšných pokusech během 6 hodin se provedou opatření proti slovníkovému útoku (viz zásady Konfigurace prahu slovníkového útoku a Konfigurace nastavení ochrany proti slovníkovému útoku).
Minimální čas blokování	10 s	Počáteční čas blokování po překročení prahu je 10 sekund.
Maximální čas blokování	24 h	Maximální čas blokování je 24 hodin. Tohoto limitu je dosaženo při méně než 15 neúspěšných pokusech o ověření po překročení prahu.
Čas automatického snížení úrovně ochrany	6 h	Přibližně 6 hodin po dosažení určité úrovně ochrany se úroveň ochrany automaticky sníží o 1. To platí, pouze pokud nedojde během 6 hodin k žádnému dalšímu neúspěšnému pokusu o ověření. To by vedlo ke zvýšení úrovně ochrany o 1.

Tato nastavení vedou k vyšší úrovni zabezpečení v případě reálného slovníkového útoku. Na druhou stranu neúmyslné zadání nesprávného hesla je zpracováno uživatelsky přívětivým a flexibilním způsobem.

Čas blokování a čas automatického snížení úrovně ochrany vyprší pouze na spuštěných systémech.

©Infineon Technologies AG