智能令牌安全测试

Question

我有个问题。我的一位同事给了我一个Smart Token，它由内部的公钥/私钥组成，并问我是否可以测试它的安全性。我说过应该在设备齐全的实验室进行测试，以便通过FIPS标准测试。但是，我想知道是否可以使用一些工具测试这个令牌，并检查它是否安全。我搜索了网页，但找不到有用的东西。这里有人在这方面有经验吗？任何帮助都将不胜感激。

编辑:由于我的问题可能并不像我想的那样清楚，我用一些实际的方法来说明，如果我给你一些PKI令牌，并向您展示一些证书，比如FIPS-140，PKCS11，.在您的安全应用程序中，您应该使用什么PKI令牌？换句话说，您通过生产者声称拥有的证书信任安全设备？？如果有一个硬件Torjan或后门实现到设备中呢？

Answer 1

我认为您的方法将取决于您的同事对系统安全性的要求。令牌本身执行一个非常简单的任务，作为身份验证体系结构的一部分。您真正要测试的是服务器上软件的行为，它大概是由供应商提供给您的。为此，以下是一些至少必须通过的测试，让您知道系统正在运行：

1. 认证。为与令牌关联的用户提供正确的凭据，同时提供占有因子(令牌的代码)，并确保您能够访问系统。
2. 用户因素配对。为其他用户提供正确的凭据以及占有系数，并确保身份验证失败。
3. 因素失效连续提供两次相同的占有因子，以及有效的凭据，并确保身份验证第二次失败。
4. 因子过期。提供一个足够老的占有因子以及有效的凭据，并确保身份验证失败。

编辑:我的答案假设您正在处理一个断开连接的多因素身份验证令牌。最常见的情况是时间同步。如果您正在处理一个连接的令牌(如智能卡 )，请原谅我没有进一步推动。