Autentizace

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 8. září 2022; kontroly vyžadují 3 úpravy .

Autentizace ( anglicky  autentizaceřecky αὐθεντικός [authentikos] „skutečný, autentický“ ← αὐτός [autos] „sám; on je nejvíc“) je ověřovací postup, například:

V ruštině se tento termín používá hlavně v oblasti informačních technologií .

Vzhledem ke stupni důvěry a bezpečnostní politice systémů může být autentizace jednosměrná nebo vzájemná . Obvykle se provádí pomocí kryptografických metod.

Autentizaci nelze zaměňovat s autorizací (postup pro udělení určitých práv subjektu) a identifikací (postup pro rozpoznání subjektu podle jeho identifikátoru ).

Historie

Od pradávna stáli lidé před poměrně těžkým úkolem – ověřit pravost důležitých zpráv. Byla vynalezena hesla řeči, složité pečeti. Vznik metod ověřování pomocí mechanických zařízení značně zjednodušil úkol, například konvenční zámek a klíč byly vynalezeny již dávno. Příklad autentizačního systému lze vidět ve staré pohádce „Dobrodružství Ali Baby a čtyřiceti zlodějů“ . Tento příběh vypráví o pokladech ukrytých v jeskyni. Jeskyně byla zablokována kamenem. Mohlo být potlačeno pouze pomocí jedinečného hesla : „ Sim-Sim , otevři ! “.

V dnešní době, díky rozsáhlému rozvoji síťových technologií, se všude používá automatické ověřování.

Normy

Dokumenty definující standardy autentizace

GOST R ISO/IEC 9594-8-98 - Základy autentizace

Tento standard:

  • určuje formát autentizačních informací uložených v adresáři;
  • popisuje způsob získávání autentizačních informací z adresáře;
  • vytváří předpoklady pro způsoby tvorby a umístění autentizačních informací v adresáři;
  • definuje tři způsoby, jakými mohou aplikační programy používat takové autentizační informace k provádění autentizace, a popisuje, jak mohou být s autentizací poskytovány další bezpečnostní služby.

Tato mezinárodní norma specifikuje dva typy autentizace: jednoduché, používající heslo jako ověření deklarované identity, a silné, používající identity vytvořené pomocí kryptografických technik.

FIPS 113 - Autentizace počítačových dat

Tato norma specifikuje algoritmus ověřování dat (DAA), který lze použít k detekci neoprávněných změn dat, záměrných i náhodných, na základě algoritmu specifikovaného ve standardu Data Encryption Standard (DES) Federal Information Processing Standards Publication (FIPS PUB) 46 , a je kompatibilní jak se zásadami ministerstva financí pro elektronické fondy a převody cenných papírů, tak s americkým národním institutem pro standardy (ANSI) a se standardem pro ověřování zpráv finančních institucí.

Tento standard se používá ke kontrole integrity přenášených informací pomocí kryptografické autentizace.

Prvky autentizačního systému

V každém autentizačním systému lze obvykle rozlišit několik prvků:

  • subjekt , který zákrok podstoupí
  • charakteristika předmětu – rozlišovací znak
  • vlastníka autentizačního systému, který zodpovídá a řídí jeho provoz
  • samotný autentizační mechanismus , tedy princip fungování systému
  • mechanismus řízení přístupu , který subjektu uděluje určitá přístupová práva
Autentizační prvek Jeskyně 40 zlodějů Registrace v systému bankomat
Předmět Osoba, která zná heslo Autorizovaný uživatel Držitel bankovní karty
Charakteristický Heslo " Sim-Sim , otevři !" Tajné heslo Bankovní karta a osobní identifikátor
Vlastník systému 40 lupičů Společnost, která vlastní systém banka
Mechanismus autentizace Magické zařízení, které reaguje na slova Software pro kontrolu hesla Software, který kontroluje kartu a osobní ID
Mechanismus kontroly přístupu Mechanismus, který posune kámen od vchodu do jeskyně Proces registrace, kontrola přístupu Povolení k výkonu bankovní činnosti

Faktory autentizace

Ještě před příchodem počítačů se používaly různé charakteristické rysy předmětu, jeho charakteristiky. Nyní závisí použití té či oné charakteristiky v systému na požadované spolehlivosti, bezpečnosti a nákladech na implementaci. Existují 3 autentizační faktory:

  • Něco, co víme, jako jsou nějaké tajné informace . Jedná se o tajnou informaci, kterou by měl mít pouze oprávněný subjekt. Tajemstvím může být fráze nebo heslo, jako je verbální zpráva, textová reprezentace, kombinace pro zámek nebo osobní identifikační číslo ( PIN ). Mechanismus hesel lze implementovat poměrně snadno a má nízkou cenu. Má ale značné nevýhody: často je obtížné udržet heslo v tajnosti, útočníci neustále vymýšlejí nové způsoby, jak heslo ukrást, prolomit a uhodnout (viz kryptoanalýza banditů , metoda hrubé síly ). Díky tomu je mechanismus hesla slabě bezpečný.
  • Něco, co vlastníme, například nějaký jedinečný fyzický objekt . Zde je důležitá okolnost, že subjekt vlastní nějaký jedinečný předmět. Může to být osobní pečeť, klíč k zámku , u počítače je to datový soubor obsahující charakteristiku. Tato charakteristika je často zabudována do specifického ověřovacího zařízení, jako je plastová karta , čipová karta . Pro útočníka je obtížnější získat takové zařízení než prolomit heslo a subjekt může okamžitě nahlásit, pokud je zařízení odcizeno. Díky tomu je tato metoda bezpečnější než mechanismus hesel, ale náklady na takový systém jsou vyšší.
  • Něco, co je nedílnou součástí nás samých – biometrie . Charakteristika je fyzický rys subjektu. Může to být portrét, otisk prstu nebo dlaně , hlas nebo rys oka . Z pohledu subjektu je tato metoda nejjednodušší: nemusíte si pamatovat heslo ani s sebou nosit autentizační zařízení. Biometrický systém však musí být vysoce citlivý, aby mohl potvrdit oprávněného uživatele, ale odmítnout útočníka s podobnými biometrickými parametry. Také náklady na takový systém jsou poměrně vysoké. Ale i přes své nedostatky zůstává biometrie docela slibným faktorem.

Metody autentizace

Autentizace elektronickým podpisem

Federální zákon č. 63-FZ ze dne 6. dubna 2011 „o elektronickém podpisu“ (ve znění pozdějších předpisů) stanoví následující typy elektronického podpisu:

  • Jednoduchý elektronický podpis  je elektronický podpis, který pomocí kódů, hesel nebo jiných prostředků potvrzuje skutečnost vytvoření elektronického podpisu určitou osobou.
  • Nekvalifikovaný elektronický podpis  je elektronický podpis, který:
  1. získané jako výsledek kryptografické transformace informací pomocí klíče elektronického podpisu;
  2. umožňuje identifikovat osobu, která elektronický dokument podepsala;
  3. umožňuje odhalit skutečnost provedení změn v elektronickém dokumentu po okamžiku jeho podpisu;
  4. vytvořené pomocí nástrojů elektronického podpisu.
  • Kvalifikovaný elektronický podpis  je elektronický podpis, který splňuje všechny vlastnosti nekvalifikovaného elektronického podpisu a následující doplňkové vlastnosti:
  1. klíč pro ověření elektronického podpisu je uveden v kvalifikovaném certifikátu ;
  2. k vytvoření a ověření elektronického podpisu se používají nástroje elektronického podpisu, které obdržely potvrzení o splnění požadavků stanovených v souladu s tímto federálním zákonem.

Ověření hesla

  • Opakovaně použitelné ověřování heslem
  • Jednorázové ověření hesla
Opakovaně použitelné ověřování heslem

Jedním ze způsobů autentizace v počítačovém systému je zadání vašeho uživatelského ID, hovorově nazývaného " login " ( anglicky  login  - uživatelské jméno, účet), a hesla  - nějaké důvěrné informace. Platný (referenční) pár login-heslo je uložen ve speciální databázi.

Jednoduché ověřování má následující obecný algoritmus :

  1. Subjekt požádá o přístup do systému a zadá osobní ID a heslo.
  2. Zadaná unikátní data jsou odeslána na autentizační server, kde jsou porovnána s referenčními daty.
  3. Pokud se data shodují s referenční autentizací, je považována za úspěšnou, pokud existuje rozdíl, subjekt přejde na 1.

Heslo zadané subjektem lze po síti přenést dvěma způsoby:

Zabezpečení

Z hlediska nejlepšího zabezpečení při ukládání a přenosu hesel by měly být používány jednosměrné funkce . Obvykle se pro tyto účely používají kryptograficky silné hashovací funkce . V tomto případě je na serveru uložen pouze obrázek hesla. Po obdržení hesla a provedení transformace hash systém porovná výsledek s referenčním obrázkem v něm uloženým. Pokud jsou stejná, jsou stejná hesla. Pro útočníka, který získal přístup k obrazu, je téměř nemožné vypočítat samotné heslo.

Použití opakovaně použitelných hesel má řadu významných nevýhod. Nejprve je na ověřovacím serveru uloženo samotné hlavní heslo nebo jeho hashovaný obraz. Často je heslo uloženo bez kryptografických transformací v systémových souborech. Po získání přístupu k nim se útočník může snadno dostat k důvěrným informacím. Za druhé, subjekt je nucen si zapamatovat (nebo si zapsat) své opakovaně použitelné heslo. Útočník ho může získat jednoduše použitím dovedností sociálního inženýrství , bez jakýchkoli technických prostředků. Bezpečnost systému je navíc značně snížena v případě, kdy si subjekt zvolí vlastní heslo. Často se ukáže, že jde o nějaké slovo nebo kombinaci slov přítomných ve slovníku. V GOST 28147-89 je délka klíče 256 bitů (32 bajtů). Při použití generátoru pseudonáhodných čísel má klíč dobré statistické vlastnosti. Heslo, které je např. slovem ze slovníku, lze zredukovat na pseudonáhodné číslo dlouhé 16 bitů, které je 16krát kratší než klíč GOST. S dostatkem času může útočník prolomit heslo jednoduchým útokem hrubou silou. Řešením tohoto problému je použití náhodných hesel nebo omezení doby trvání hesla subjektu, poté je nutné heslo změnit.

Databáze účtů

Na počítačích s operačními systémy UNIX je základem soubor /etc/master.passwd (v linuxových distribucích je soubor /etc/shadow obvykle čitelný pouze rootem ), ve kterém jsou uživatelská hesla uložena jako hashovací funkce z otevřených hesel, ve stejném souboru jsou navíc uloženy informace o právech uživatele. Původně na unixových systémech bylo heslo (v zašifrované podobě) uloženo v souboru /etc/passwd , který byl čitelný pro všechny uživatele, což nebylo bezpečné.

Na počítačích se systémem Windows NT / 2000 / XP / 2003 (nezahrnuté v doméně Windows ) se taková databáze nazývá SAM ( Security Account Manager  - Account Protection Manager). V základně SAM jsou uloženy uživatelské účty , které obsahují všechna data nezbytná pro fungování systému ochrany. Nachází se v adresáři %windir%\system32\config\.

V doménách Windows Server 2000/2003 je tato databáze Active Directory .

Použití speciálního hardwaru (komponent) je však uznáváno jako spolehlivější způsob ukládání ověřovacích dat.

Pokud je potřeba zajistit práci zaměstnanců na různých počítačích (s podporou bezpečnostního systému), využívají hardwarové a softwarové systémy, které umožňují uložení autentizačních dat a kryptografických klíčů na serveru organizace. Uživatelé mohou volně pracovat na libovolném počítači ( pracovní stanici ) s přístupem ke svým autentizačním datům a kryptografickým klíčům.

Jednorázové ověření hesla

Jakmile útočník získá opakovaně použitelné heslo subjektu, má trvalý přístup k ohroženým důvěrným informacím. Tento problém je vyřešen použitím jednorázových hesel ( OTP - One Time Password ). Podstatou této metody je, že heslo je platné pouze pro jedno přihlášení, při každé další žádosti o přístup je vyžadováno nové heslo. Autentizační mechanismus pro jednorázová hesla může být implementován jak hardwarově, tak softwarově.

Technologie pro použití jednorázových hesel lze rozdělit na:

  • Pomocí generátoru pseudonáhodných čísel, společného pro subjekt a systém
  • Použití časových razítek s univerzálním časovým systémem
  • Použití databáze náhodných hesel, která je stejná pro subjekt i pro systém

První metoda používá generátor pseudonáhodných čísel se stejnou hodnotou pro subjekt i pro systém. Heslo vygenerované subjektem může být předáno systému při následném použití jednosměrné funkce nebo při každém novém požadavku na základě jedinečných informací z předchozího požadavku.

Druhá metoda používá časová razítka. Příkladem takové technologie je SecurID . Je založen na použití hardwarových klíčů a časové synchronizace. Autentizace je založena na generování náhodných čísel v určitých časových intervalech. Jedinečný tajný klíč je uložen pouze v základně systému a v hardwarovém zařízení subjektu. Když subjekt požádá o přístup do systému, je vyzván k zadání PIN a také náhodně vygenerovaného čísla zobrazeného v daném okamžiku na hardwarovém zařízení. Systém spáruje zadaný PIN a tajný klíč subjektu ze své databáze a na základě parametrů tajného klíče z databáze a aktuálního času vygeneruje náhodné číslo. Dále se kontroluje identita vygenerovaného čísla a čísla zadaného subjektem.

Třetí metoda je založena na jediné databázi hesel pro subjekt a systém a na vysoce přesné synchronizaci mezi nimi. V tomto případě lze každé heslo ze sady použít pouze jednou. Z tohoto důvodu, i když útočník zachytí heslo používané subjektem, již nebude platné.

Ve srovnání s používáním opakovaně použitelných hesel poskytují jednorázová hesla vyšší stupeň zabezpečení.

SMS autentizace

Naléhavost zajištění bezpečnosti mobilních komunikací, jako je ip-telefon, podněcuje nový vývoj v této oblasti. Mezi nimi je autentizace pomocí SMS zpráv.

Postup ověření zahrnuje následující kroky:

  1. Zadání uživatelského jména a hesla
  2. Ihned poté PhoneFactor ( bezpečnostní služba ) odešle jednorázový autentizační klíč ve formě SMS zprávy .
  3. Výsledný klíč se používá pro autentizaci

Atraktivita této metody spočívá v tom, že klíč se nezíská přes kanál, kterým se autentizace provádí (mimo pásmo), což prakticky eliminuje útok typu „ man in the middle “. Další úroveň zabezpečení může poskytnout požadavek na zadání PIN kódu mobilního zařízení.

Tento způsob se rozšířil v bankovních operacích přes internet.

Biometrické ověřování

Autentizační metody založené na měření lidských biometrických parametrů poskytují téměř 100% identifikaci, řeší problémy se ztrátou hesel a osobních identifikátorů.

Příklady implementace těchto metod jsou uživatelské identifikační systémy založené na vzoru duhovky, otisků dlaní, tvarů uší, infračerveného obrazu kapilárních cév, rukopisu, čichu, zabarvení hlasu a dokonce DNA.

Novým směrem je využití biometrických charakteristik v chytrých platebních kartách, průchozích tokenech a prvcích mobilní komunikace. Například při platbě v obchodě držitel karty přiloží prst na skener, aby potvrdil, že karta je skutečně jeho.

Nejpoužívanější biometrické atributy a související systémy
  • Otisky prstů . Takové skenery jsou malé, univerzální a relativně levné. Biologická opakovatelnost otisku prstu je 10–5  %. V současné době je propagován orgány činnými v trestním řízení kvůli velkým přídělům pro elektronické archivy otisků prstů.
  • geometrie ruky. Příslušná zařízení se používají tam, kde je obtížné používat skenery prstů kvůli nečistotám nebo zranění. Biologická opakovatelnost geometrie ruky je asi 2 %.
  • Duhovka oka . Tato zařízení mají nejvyšší přesnost. Teoretická pravděpodobnost shody dvou duhovek je 1 ku 1078 .
  • Tepelný obraz obličeje. Systémy umožňují identifikovat osobu na vzdálenost až desítek metrů. V kombinaci s prohledáváním databází se tyto systémy používají k identifikaci oprávněných zaměstnanců a vyřazení outsiderů. Při změně světla však mají skenery obličeje poměrně vysoké procento chyb.
  • Rozpoznávání obličejů. Systémy založené na tomto přístupu umožňují za určitých podmínek identifikovat osobu s chybou nejvýše 3 %. V závislosti na metodě je možné identifikovat osobu na vzdálenosti od půl metru do několika desítek metrů. Tato metoda je výhodná v tom, že umožňuje implementaci běžnými prostředky ( webkamera atd.). Sofistikovanější metody vyžadují sofistikovanější zařízení. Některé (ne všechny) metody mají nevýhodu spoofingu: identifikaci lze provést nahrazením tváře skutečné osoby její fotografií.
  • Hlas . Hlasová kontrola je vhodná pro použití v telekomunikačních aplikacích. Požadovaná 16bitová zvuková karta a kondenzátorový mikrofon stojí necelých 25 dolarů. Pravděpodobnost chyby je 2 - 5%. Tato technologie je vhodná pro ověřování hlasem přes telefonní komunikační kanály, je spolehlivější než frekvenční volba osobního čísla. Nyní se vyvíjejí směry identifikace člověka a jeho stavu hlasem - vzrušený, nemocný, říkat pravdu, ne v sobě atd.
  • Vstup z klávesnice. Zde se při zadávání např. hesla sleduje rychlost a intervaly mezi kliknutími.
  • Podpis . Pro kontrolu vlastnoručního podpisu se používají digitizéry.

Biometrické ověřování má zároveň řadu nevýhod:

  1. Biometrická šablona se neporovnává s výsledkem prvotního zpracování charakteristik uživatele, ale s tím, co přišlo na místo srovnání. Cestou se může stát spousta věcí.
  2. Základ šablony může útočník upravit.
  3. Je třeba vzít v úvahu rozdíl mezi používáním biometrie v kontrolovaném pásmu, pod bedlivým dohledem bezpečnosti, a v „terénních“ podmínkách, kdy může být ke snímacímu zařízení přivedena např. figurína apod. .
  4. Některá lidská biometrická data se mění (jak v důsledku stárnutí, tak zranění, popálenin, řezných ran, nemocí, amputací atd.), takže databáze šablon vyžaduje neustálou údržbu, což vytváří určité problémy jak pro uživatele, tak pro administrátory.
  5. Pokud jsou vaše biometrické údaje odcizeny nebo kompromitovány, je to obvykle na celý život. Hesla lze přes veškerou jejich nespolehlivost změnit jako poslední možnost. Prst, oko nebo hlas nelze změnit, alespoň ne rychle.
  6. Biometrické charakteristiky jsou jedinečné identifikátory, ale nelze je utajit.

Autentizace prostřednictvím geografické polohy

  • GPS ověřování
  • Ověřování na základě polohy na internetu
GPS autentizace

Nejnovějším trendem v autentizaci je prokazování pravosti vzdáleného uživatele podle umístění. Tento obranný mechanismus je založen na použití vesmírného navigačního systému, jako je GPS ( Global Positioning System ).

Uživatel s GPS zařízením opakovaně posílá souřadnice daných satelitů, které jsou v zorném poli. Autentizační subsystém, který zná oběžné dráhy satelitů, dokáže určit polohu uživatele s přesností až na metr. Vysoká spolehlivost autentizace je dána skutečností, že oběžné dráhy satelitů podléhají výkyvům, které je obtížné předvídat. Souřadnice se navíc neustále mění, což neguje možnost jejich zachycení.

Složitost hackování systému spočívá ve skutečnosti, že zařízení přenáší digitalizovaný satelitní signál bez jakýchkoli výpočtů. Všechny výpočty polohy se provádějí na ověřovacím serveru.

Zařízení GPS je jednoduché, spolehlivé a relativně levné. To umožňuje jeho použití v případech, kdy oprávněný vzdálený uživatel potřebuje být na správném místě.

Internet Location Based Authentication

Tento mechanismus je založen na využití informací o umístění serverů, bezdrátových přístupových bodů, přes které se provádí připojení k internetu.

Relativní snadnost hackování spočívá v tom, že informace o poloze lze změnit pomocí takzvaných proxy serverů nebo anonymních přístupových systémů.

Vícefaktorové ověřování

V poslední době se stále častěji používá tzv. rozšířená, neboli vícefaktorová, autentizace. Je postaven na sdílení více autentizačních faktorů. To výrazně zvyšuje bezpečnost systému.

Příkladem je použití SIM karet v mobilních telefonech . Subjekt vloží do telefonu svoji hardwarovou kartu (ověřovací zařízení) a po zapnutí zadá svůj PIN kód (heslo).

Také například v některých moderních přenosných počítačích je skener otisků prstů . Při přihlašování tedy musí subjekt projít tímto postupem ( biometrie ) a poté zadat heslo .

Při volbě toho či onoho faktoru či způsobu autentizace pro systém je nutné vycházet především z požadovaného stupně zabezpečení, nákladů na vybudování systému a zajištění mobility subjektu.

Zde je srovnávací tabulka:

Míra rizika Požadavky na systém Technologie ověřování Příklady aplikací
Krátký Pro přístup do systému je vyžadována autentizace a krádež, hackování, vyzrazení důvěrných informací nebude mít významné důsledky Doporučeným minimálním požadavkem je použití opakovaně použitelných hesel Registrace na portálu na internetu
Průměrný Pro přístup do systému je vyžadována autentizace a krádež, hackování, vyzrazení důvěrných informací způsobí malé škody Doporučeným minimálním požadavkem je použití jednorázových hesel Plnění podle předmětu bankovních operací
Vysoký Pro přístup do systému je vyžadována autentizace a krádež, hackování, vyzrazení důvěrných informací způsobí značné škody Doporučeným minimálním požadavkem je použití vícefaktorové autentizace Provádění velkých mezibankovních transakcí vedoucími pracovníky

Autentizační protokoly

Autentizační procedura se používá při výměně informací mezi počítači, přičemž k ochraně komunikační linky před odposlechem nebo záměnou jednoho z účastníků interakce se používají velmi složité kryptografické protokoly . A protože autentizace je zpravidla nezbytná pro oba objekty, které navazují síťovou interakci, může být autentizace vzájemná.

Lze tedy rozlišit několik rodin autentizace:

Ověření uživatele na PC:

  • Zašifrované jméno (přihlášení)
  • Password Authentication Protocol , PAP (vazba přihlášení a hesla)
  • Přístupová karta (USB s certifikátem, SSO)
  • Biometrie (hlas, otisk prstu/dlaň/duhovka)

Ověření sítě:

Operační systémy řady Windows NT 4 používají protokol NTLM (NT LAN Manager). A v doménách Windows 2000/2003 se používá mnohem pokročilejší protokol Kerberos .

Internetová autentizace

Při přístupu ke službám, jako jsou:

Pozitivním výsledkem autentizace (kromě navázání důvěryhodných vztahů a vygenerování klíče relace) je autorizace uživatele, tedy udělení přístupových práv ke zdrojům definovaným pro plnění jeho úkolů.

Viz také

Literatura

  • Richard E. Smith. Autentizace : Od hesel k veřejným klíčům První vydání. - M .: Williams, 2002. - S.  432 . — ISBN 0-201-61599-1 .
  • pod. upravil A.A. Shelupanová, S.L. Gruzdeva, Yu.S. Nakhaev. Autentizace. Teorie a praxe poskytování přístupu k informačním zdrojům. = autentizace. Teorie a praxe zajištění přístupu k informačním zdrojům.. - M . : Hotline - Telecom, 2009. - S. 552. - ISBN 978-5-9912-0110-0 .
  • Schneier B. Aplikovaná kryptografie. Protokoly, algoritmy, zdrojový kód v jazyce C = Aplikovaná kryptografie. Protocols, Algorithms and Source Code in C. - M. : Triumph, 2002. - 816 s. - 3000 výtisků.  - ISBN 5-89392-055-4 .
  • Linn J. Přehled společné technologie ověřování,.
  • Bellovin S. a M. Merritt. Omezení autentizačního systému Kerberos.
  • Kaufman, C. Distributed Authentication Security Service (DASS).
  • Anderson, B.,. TACACS User Identification Telnet Option. -prosinec 1984.
  • Tardo J. a K. Alagappan. SPX: Globální ověřování pomocí certifikátů veřejného klíče. - M. Kalifornie, 1991. - S. str. 232-244.
  • A.A. Gladkikh, V.E. Dementiev. Základní principy informační bezpečnosti počítačových sítí - Uljanovsk: UlGTU, 2009. - S. 156.

Odkazy

 Protokoly ověřování a výměny klíčů
Se symetrickými algoritmy
Se symetrickými a
asymetrickými algoritmy
Protokoly a služby používané na internetu