Autentizace ( anglicky autentizace ← řecky αὐθεντικός [authentikos] „skutečný, autentický“ ← αὐτός [autos] „sám; on je nejvíc“) je ověřovací postup, například:
V ruštině se tento termín používá hlavně v oblasti informačních technologií .
Vzhledem ke stupni důvěry a bezpečnostní politice systémů může být autentizace jednosměrná nebo vzájemná . Obvykle se provádí pomocí kryptografických metod.
Autentizaci nelze zaměňovat s autorizací (postup pro udělení určitých práv subjektu) a identifikací (postup pro rozpoznání subjektu podle jeho identifikátoru ).
Od pradávna stáli lidé před poměrně těžkým úkolem – ověřit pravost důležitých zpráv. Byla vynalezena hesla řeči, složité pečeti. Vznik metod ověřování pomocí mechanických zařízení značně zjednodušil úkol, například konvenční zámek a klíč byly vynalezeny již dávno. Příklad autentizačního systému lze vidět ve staré pohádce „Dobrodružství Ali Baby a čtyřiceti zlodějů“ . Tento příběh vypráví o pokladech ukrytých v jeskyni. Jeskyně byla zablokována kamenem. Mohlo být potlačeno pouze pomocí jedinečného hesla : „ Sim-Sim , otevři ! “.
V dnešní době, díky rozsáhlému rozvoji síťových technologií, se všude používá automatické ověřování.
Dokumenty definující standardy autentizace
GOST R ISO/IEC 9594-8-98 - Základy autentizaceTento standard:
Tato mezinárodní norma specifikuje dva typy autentizace: jednoduché, používající heslo jako ověření deklarované identity, a silné, používající identity vytvořené pomocí kryptografických technik.
FIPS 113 - Autentizace počítačových datTato norma specifikuje algoritmus ověřování dat (DAA), který lze použít k detekci neoprávněných změn dat, záměrných i náhodných, na základě algoritmu specifikovaného ve standardu Data Encryption Standard (DES) Federal Information Processing Standards Publication (FIPS PUB) 46 , a je kompatibilní jak se zásadami ministerstva financí pro elektronické fondy a převody cenných papírů, tak s americkým národním institutem pro standardy (ANSI) a se standardem pro ověřování zpráv finančních institucí.
Tento standard se používá ke kontrole integrity přenášených informací pomocí kryptografické autentizace.
V každém autentizačním systému lze obvykle rozlišit několik prvků:
Autentizační prvek | Jeskyně 40 zlodějů | Registrace v systému | bankomat |
---|---|---|---|
Předmět | Osoba, která zná heslo | Autorizovaný uživatel | Držitel bankovní karty |
Charakteristický | Heslo " Sim-Sim , otevři !" | Tajné heslo | Bankovní karta a osobní identifikátor |
Vlastník systému | 40 lupičů | Společnost, která vlastní systém | banka |
Mechanismus autentizace | Magické zařízení, které reaguje na slova | Software pro kontrolu hesla | Software, který kontroluje kartu a osobní ID |
Mechanismus kontroly přístupu | Mechanismus, který posune kámen od vchodu do jeskyně | Proces registrace, kontrola přístupu | Povolení k výkonu bankovní činnosti |
Ještě před příchodem počítačů se používaly různé charakteristické rysy předmětu, jeho charakteristiky. Nyní závisí použití té či oné charakteristiky v systému na požadované spolehlivosti, bezpečnosti a nákladech na implementaci. Existují 3 autentizační faktory:
Federální zákon č. 63-FZ ze dne 6. dubna 2011 „o elektronickém podpisu“ (ve znění pozdějších předpisů) stanoví následující typy elektronického podpisu:
Jedním ze způsobů autentizace v počítačovém systému je zadání vašeho uživatelského ID, hovorově nazývaného " login " ( anglicky login - uživatelské jméno, účet), a hesla - nějaké důvěrné informace. Platný (referenční) pár login-heslo je uložen ve speciální databázi.
Jednoduché ověřování má následující obecný algoritmus :
Heslo zadané subjektem lze po síti přenést dvěma způsoby:
Z hlediska nejlepšího zabezpečení při ukládání a přenosu hesel by měly být používány jednosměrné funkce . Obvykle se pro tyto účely používají kryptograficky silné hashovací funkce . V tomto případě je na serveru uložen pouze obrázek hesla. Po obdržení hesla a provedení transformace hash systém porovná výsledek s referenčním obrázkem v něm uloženým. Pokud jsou stejná, jsou stejná hesla. Pro útočníka, který získal přístup k obrazu, je téměř nemožné vypočítat samotné heslo.
Použití opakovaně použitelných hesel má řadu významných nevýhod. Nejprve je na ověřovacím serveru uloženo samotné hlavní heslo nebo jeho hashovaný obraz. Často je heslo uloženo bez kryptografických transformací v systémových souborech. Po získání přístupu k nim se útočník může snadno dostat k důvěrným informacím. Za druhé, subjekt je nucen si zapamatovat (nebo si zapsat) své opakovaně použitelné heslo. Útočník ho může získat jednoduše použitím dovedností sociálního inženýrství , bez jakýchkoli technických prostředků. Bezpečnost systému je navíc značně snížena v případě, kdy si subjekt zvolí vlastní heslo. Často se ukáže, že jde o nějaké slovo nebo kombinaci slov přítomných ve slovníku. V GOST 28147-89 je délka klíče 256 bitů (32 bajtů). Při použití generátoru pseudonáhodných čísel má klíč dobré statistické vlastnosti. Heslo, které je např. slovem ze slovníku, lze zredukovat na pseudonáhodné číslo dlouhé 16 bitů, které je 16krát kratší než klíč GOST. S dostatkem času může útočník prolomit heslo jednoduchým útokem hrubou silou. Řešením tohoto problému je použití náhodných hesel nebo omezení doby trvání hesla subjektu, poté je nutné heslo změnit.
Databáze účtůNa počítačích s operačními systémy UNIX je základem soubor /etc/master.passwd (v linuxových distribucích je soubor /etc/shadow obvykle čitelný pouze rootem ), ve kterém jsou uživatelská hesla uložena jako hashovací funkce z otevřených hesel, ve stejném souboru jsou navíc uloženy informace o právech uživatele. Původně na unixových systémech bylo heslo (v zašifrované podobě) uloženo v souboru /etc/passwd , který byl čitelný pro všechny uživatele, což nebylo bezpečné.
Na počítačích se systémem Windows NT / 2000 / XP / 2003 (nezahrnuté v doméně Windows ) se taková databáze nazývá SAM ( Security Account Manager - Account Protection Manager). V základně SAM jsou uloženy uživatelské účty , které obsahují všechna data nezbytná pro fungování systému ochrany. Nachází se v adresáři %windir%\system32\config\.
V doménách Windows Server 2000/2003 je tato databáze Active Directory .
Použití speciálního hardwaru (komponent) je však uznáváno jako spolehlivější způsob ukládání ověřovacích dat.
Pokud je potřeba zajistit práci zaměstnanců na různých počítačích (s podporou bezpečnostního systému), využívají hardwarové a softwarové systémy, které umožňují uložení autentizačních dat a kryptografických klíčů na serveru organizace. Uživatelé mohou volně pracovat na libovolném počítači ( pracovní stanici ) s přístupem ke svým autentizačním datům a kryptografickým klíčům.
Jednorázové ověření heslaJakmile útočník získá opakovaně použitelné heslo subjektu, má trvalý přístup k ohroženým důvěrným informacím. Tento problém je vyřešen použitím jednorázových hesel ( OTP - One Time Password ). Podstatou této metody je, že heslo je platné pouze pro jedno přihlášení, při každé další žádosti o přístup je vyžadováno nové heslo. Autentizační mechanismus pro jednorázová hesla může být implementován jak hardwarově, tak softwarově.
Technologie pro použití jednorázových hesel lze rozdělit na:
První metoda používá generátor pseudonáhodných čísel se stejnou hodnotou pro subjekt i pro systém. Heslo vygenerované subjektem může být předáno systému při následném použití jednosměrné funkce nebo při každém novém požadavku na základě jedinečných informací z předchozího požadavku.
Druhá metoda používá časová razítka. Příkladem takové technologie je SecurID . Je založen na použití hardwarových klíčů a časové synchronizace. Autentizace je založena na generování náhodných čísel v určitých časových intervalech. Jedinečný tajný klíč je uložen pouze v základně systému a v hardwarovém zařízení subjektu. Když subjekt požádá o přístup do systému, je vyzván k zadání PIN a také náhodně vygenerovaného čísla zobrazeného v daném okamžiku na hardwarovém zařízení. Systém spáruje zadaný PIN a tajný klíč subjektu ze své databáze a na základě parametrů tajného klíče z databáze a aktuálního času vygeneruje náhodné číslo. Dále se kontroluje identita vygenerovaného čísla a čísla zadaného subjektem.
Třetí metoda je založena na jediné databázi hesel pro subjekt a systém a na vysoce přesné synchronizaci mezi nimi. V tomto případě lze každé heslo ze sady použít pouze jednou. Z tohoto důvodu, i když útočník zachytí heslo používané subjektem, již nebude platné.
Ve srovnání s používáním opakovaně použitelných hesel poskytují jednorázová hesla vyšší stupeň zabezpečení.
Naléhavost zajištění bezpečnosti mobilních komunikací, jako je ip-telefon, podněcuje nový vývoj v této oblasti. Mezi nimi je autentizace pomocí SMS zpráv.
Postup ověření zahrnuje následující kroky:
Atraktivita této metody spočívá v tom, že klíč se nezíská přes kanál, kterým se autentizace provádí (mimo pásmo), což prakticky eliminuje útok typu „ man in the middle “. Další úroveň zabezpečení může poskytnout požadavek na zadání PIN kódu mobilního zařízení.
Tento způsob se rozšířil v bankovních operacích přes internet.
Autentizační metody založené na měření lidských biometrických parametrů poskytují téměř 100% identifikaci, řeší problémy se ztrátou hesel a osobních identifikátorů.
Příklady implementace těchto metod jsou uživatelské identifikační systémy založené na vzoru duhovky, otisků dlaní, tvarů uší, infračerveného obrazu kapilárních cév, rukopisu, čichu, zabarvení hlasu a dokonce DNA.
Novým směrem je využití biometrických charakteristik v chytrých platebních kartách, průchozích tokenech a prvcích mobilní komunikace. Například při platbě v obchodě držitel karty přiloží prst na skener, aby potvrdil, že karta je skutečně jeho.
Nejpoužívanější biometrické atributy a související systémyBiometrické ověřování má zároveň řadu nevýhod:
Nejnovějším trendem v autentizaci je prokazování pravosti vzdáleného uživatele podle umístění. Tento obranný mechanismus je založen na použití vesmírného navigačního systému, jako je GPS ( Global Positioning System ).
Uživatel s GPS zařízením opakovaně posílá souřadnice daných satelitů, které jsou v zorném poli. Autentizační subsystém, který zná oběžné dráhy satelitů, dokáže určit polohu uživatele s přesností až na metr. Vysoká spolehlivost autentizace je dána skutečností, že oběžné dráhy satelitů podléhají výkyvům, které je obtížné předvídat. Souřadnice se navíc neustále mění, což neguje možnost jejich zachycení.
Složitost hackování systému spočívá ve skutečnosti, že zařízení přenáší digitalizovaný satelitní signál bez jakýchkoli výpočtů. Všechny výpočty polohy se provádějí na ověřovacím serveru.
Zařízení GPS je jednoduché, spolehlivé a relativně levné. To umožňuje jeho použití v případech, kdy oprávněný vzdálený uživatel potřebuje být na správném místě.
Internet Location Based AuthenticationTento mechanismus je založen na využití informací o umístění serverů, bezdrátových přístupových bodů, přes které se provádí připojení k internetu.
Relativní snadnost hackování spočívá v tom, že informace o poloze lze změnit pomocí takzvaných proxy serverů nebo anonymních přístupových systémů.
V poslední době se stále častěji používá tzv. rozšířená, neboli vícefaktorová, autentizace. Je postaven na sdílení více autentizačních faktorů. To výrazně zvyšuje bezpečnost systému.
Příkladem je použití SIM karet v mobilních telefonech . Subjekt vloží do telefonu svoji hardwarovou kartu (ověřovací zařízení) a po zapnutí zadá svůj PIN kód (heslo).
Také například v některých moderních přenosných počítačích je skener otisků prstů . Při přihlašování tedy musí subjekt projít tímto postupem ( biometrie ) a poté zadat heslo .
Při volbě toho či onoho faktoru či způsobu autentizace pro systém je nutné vycházet především z požadovaného stupně zabezpečení, nákladů na vybudování systému a zajištění mobility subjektu.
Zde je srovnávací tabulka:
Míra rizika | Požadavky na systém | Technologie ověřování | Příklady aplikací |
---|---|---|---|
Krátký | Pro přístup do systému je vyžadována autentizace a krádež, hackování, vyzrazení důvěrných informací nebude mít významné důsledky | Doporučeným minimálním požadavkem je použití opakovaně použitelných hesel | Registrace na portálu na internetu |
Průměrný | Pro přístup do systému je vyžadována autentizace a krádež, hackování, vyzrazení důvěrných informací způsobí malé škody | Doporučeným minimálním požadavkem je použití jednorázových hesel | Plnění podle předmětu bankovních operací |
Vysoký | Pro přístup do systému je vyžadována autentizace a krádež, hackování, vyzrazení důvěrných informací způsobí značné škody | Doporučeným minimálním požadavkem je použití vícefaktorové autentizace | Provádění velkých mezibankovních transakcí vedoucími pracovníky |
Autentizační procedura se používá při výměně informací mezi počítači, přičemž k ochraně komunikační linky před odposlechem nebo záměnou jednoho z účastníků interakce se používají velmi složité kryptografické protokoly . A protože autentizace je zpravidla nezbytná pro oba objekty, které navazují síťovou interakci, může být autentizace vzájemná.
Lze tedy rozlišit několik rodin autentizace:
Ověření uživatele na PC:
Ověření sítě:
Operační systémy řady Windows NT 4 používají protokol NTLM (NT LAN Manager). A v doménách Windows 2000/2003 se používá mnohem pokročilejší protokol Kerberos .
Při přístupu ke službám, jako jsou:
Pozitivním výsledkem autentizace (kromě navázání důvěryhodných vztahů a vygenerování klíče relace) je autorizace uživatele, tedy udělení přístupových práv ke zdrojům definovaným pro plnění jeho úkolů.
Protokoly ověřování a výměny klíčů | |
---|---|
Se symetrickými algoritmy | |
Se symetrickými a asymetrickými algoritmy | |
Protokoly a služby používané na internetu |