Siden maj måned har WAYF (Where Are You From) benyttet et HSM (Hardware Security Module) til at signere de login-oplysninger, tjenesten sender til serviceudbydere. Det gør det vanskeligere at hacke systemet.
Når en bruger logger ind via WAYF, sender WAYF informationer om brugeren til den tjeneste, brugeren logger ind på. For at bevise, at informationerne kommer fra WAYF, signerer WAYF oplysningerne med en privat nøgle.
"Hidtil har vi signeret data i software på vores server med en privat nøgle. Det indebærer en risiko: Hvis en hacker får adgang til serveren, kan vores nøgle blive kompromitteret. Den risiko fjerner HSM'en," siger David Simonsen. Han var leder af WAYF, da projektet begyndte.
Hvis uvedkommende får fat i den private nøgle, kan de udgive sig for at være enhver bruger af WAYF.
Specialbygget hardware
HSM'en er en specialbygget computer, der udelukkende kan bruges til at kryptere og signere. Det foregår i hardware. Boksen danner en privat nøgle, der aldrig forlader boksen. Derfor kan hackere ikke få fat i den.
Det var blandt andet sårbarheden Heartbleed, der gjorde WAYF opmærksom på sårbarheden i det eksisterende system. Heartbleed gjorde det muligt at få adgang til data fra en servers arbejdslager – herunder også private krypteringsnøgler.
"Vi var gået i gang med HSM-projektet inden da, men Heartbleed understregede risikoen. Vi tror ikke, at vores private nøgle er kompromitteret. Men alligevel har vi erstattet den med en nøgle fra HSM'en," fortæller David Simonsen.
Andre identitetsføderationer rundt om i verden bruger også HSM'er. Men de bruger dem typisk kun til at signere metadata, der måske ændres en gang om ugen.
1.200 signeringer i sekundet
WAYF bruger HSM'en til at signere hver eneste besked til serviceudbyderne. Derfor skal systemet kunne signere op til 240 beskeder i sekundet.
"Systemet er overdimensioneret, det kan signere 1.200 i sekundet. På den måde er vi forberedt på de belastningstoppe, der opstår, når en masse studerende fx skal logge ind til en digital eksamen på samme tid," siger David Simonsen.
WAYF er den første centraliserede identitetsføderation i forskningsverdenen, der signerer alle beskeder med en HSM.
Indførelsen af HSM har betydet, at WAYF måtte skrive ny programkode, der sender beskeder til HSM'en og tager imod signerede eller krypterede data fra den.
"De organisatoriske ændringer har været den største udfordring. Vi har skullet sætte et nyt system i drift og udarbejde en beredskabsplan i tilfælde af nedbrud," siger David Simonsen.
David Simonsen forlod WAYF i juli. Posten som chef for WAYF er overtaget af Henrik Larsen, der også er chef for DKCERT.