Hitelesítés feljogosítás

Question 1

Alapfogalmak

Answer 1

Azonosítási folyamat két lépése:
-Azonosítás: Azonosító megadása
-Hitelesítés: Azonosságot igazoljuk egy ellenőrző adat megadásával.
Feljogosítás: Az erőforrásokhoz való hozzáférés megadása.

Question 2

Hitelesítés módjai

Answer 2

Tudás alapú: jelszó, PIN, előre meghatározott kérdésre válasz
Birtoklás alapú: kulcs, elektromos kártya.. Ezeket tokeneknek nevezzük.
Biometrikus:
-Statikus: Ujjlenyomat, írisz, retina, DNS
-Dinamikus: Aláírás, beszéd, gépelési ritmus

Question 3

Jelszavas hitelesítés (Azonosító (ID) használata)

Answer 3

Jelszóval hitelesítjük a felhasználót, amely a rendszerben azonosítóval szerepel.
ID szerepe:
-Jogosult-e egyáltalán a rendszerbe való belépésre.
-Azonosító alapján tudja a rendszer a jogosultságot a rendszeren belül.
-Szerepe van a diszkrecionális hozzáférés-vezérlésben. ID alapján tud egy erőforráshoz jogosultságot adni egy felhasználó.

Question 4

Jelszavas hitelesítés (Miért elterjedt?)

Answer 4

-Könnyen érthető az azonosítás folyamata.
-Nincs szükség kiens oldali szoftverre, hogy a kiens oldali harvert használni tudjuk.
-Tokenek drágák és hordozásuk nehéz.

Question 5

Helyi hitelesítés (Jelszavas hitelesítés, só (hash), Unix állományok)

Answer 5

A felhasználó választ, vagy kapcs egy jelszót.
Ehez tartozik egy fix hosszúságú só érték amely lehet idő alapú (régi) vagy véletlen (új) generetorok által megadott véletlen szám.
Kiszámoljuk a jelszó és a só konkatenációjának lenyomatát.
A jelszófájlban tároljuk a sót (nyíltan) és a lenyomatot a megadott azonosítóval.

Question 6

Unix password file és részei (Nem tartalmaz lenyomatot)

Answer 6

oracle:x:1021:1020:oracle user:/data/network/oracle:/bin/bash
1 felhasználói név
2 jelszó( csak *)
3 felhasználó azonosító (UID)
4 csoport ID
5 felhasználói információ
6 home könyvtár (abszolút út)
7 shell (abszolút út)

Question 7

Unix shadow file és részei (Lenyomatot tartalmaz, csak a superuser olvashatja)

Answer 7

vivek:$1$fnfffc$GteyHdicp..:13064:0:99999:7:::
1 felhasználói név
2 hashelt jelszó
3 utolsó jelszóváltoztatás ideje
4 minimum hány nap múlva változtatható
5 érvényességi idő
6 lejárat előtt hány nappal jelezzen

Question 8

Unix azonosítási folyamat

Answer 8

1 A felhasználó megadja az azonosítóját.
2 Az op rendszer az ID segítségével kikeresi a nyílt sót és a lenyomatot.
3 Kiszámítja a lenyomatot és összehasonlítja a tárolttal.
4 A só jelentősége:
- Lenyomat különbözik azonos jelszavaknál is.
- Nehezíti az offline szótártámadást. Lassítja azt, több próbálkozás.
- Nehezíti annak az ellenőrzését, hogy egy felhasználó más rendszereken is használja-e ugyan azt a jelszót.

Question 9

Unix-szerű implementációk -OpenBSD

Answer 9

OpenBSD op rendszer amely híresen biztonságra törekszik
Blowfish szimmetrikus titkosításon alapuló hash függvényt (Bcrypt) használ. Ez elég lassú.
Bcrypt legfeljebb 55 karakter hosszú jelszavakat és 128 bites sóhoz 192 bites hash értéket ad meg.
Bcrypt egy költség változót is kezel aminek növelésével a hash kiszámítása több időbe telik.
Új jelszó megadásakor a költség változó köfigurálható. Pl.: egy nagyobb privilégiumú felhasználó esetében nagyobb költség rendelhető.
SUSE Linux is Bcrypt-et használ.

Question 10

Offline szótár támadás, szivárvány táblák

Answer 10

Offline szótár támadás:
A támadó megszerzi a lenyomatokat tartalmazó állományt. Vannak lehetséges jelszavaik és ezeket (minden sóval) hash-elik és hasonlítják a lenyomatokhoz. Ha sikertelen akkor a szótáron tranformációkat hajtanak végre.
Szivárvány táblák:
A támadó a szótár létrehozásakor kiszámolja előre a hash értékeket a sókkal, ennek eredményeképpen egy hatalmas táblázatot kap.

Számítási kapacitás és gépi tanulás felhasználásával ezek a támadások egyre erősebbek.

Question 11

Offline szótár támadás, szivárvány táblák elleni védelem

Answer 11

Elég hosszú só és hash érték használata.
Jelszófájlok illetéktelen hozzáféréstől való védelme (shadow file).
Behatolásérzékelő rendszerek, ha ezek jelet küldenek a új jelszó gyors beállítása.

Question 12

Általános védelmi intézkedés

Answer 12

Felhasználók oktatása
Számítógép-generált jelszavak használata (FIPS 181)
Reaktív jelszó ellenőrzés (Megpróbálják bentről feltörni, akinek sikerült annak ezt jelzik.)
Összetett eljárásrendszer.

Question 13

Birtoklás alapú hitelesítés: Kártyák típusai

Answer 13

Dombornyomott kártyák : vésett karakterek
Mágnescsíkos kártyák : mágnes csík és vésett karakterek
Memória kártyák : chipp egy formája, tud adatot tárolni

Question 14

Smart kártya (jellemzés, típusai)

Answer 14

Mikrokontrollerel és memóriával rendelkezik.
Hatékony kriptográfiai és hitelesítési algoritmusok bevezetésére nyújt lehetőséget.

Kontaktusos: Eszközhöz kell érinteni.
Kontaktusmentes: nem kell az eszközhöz érinteni.

Question 15

Smart kártya hitelesítés

Answer 15

Statikus :
A felhasználó hitelesíti magát a tokennek és a token a rendszernek.
Dinamikus jelszó generátor :
A token időközönként új jelszót generál, amelyet a felhasznalónak meg kell adnia.
Kihívás-és-válasz :
A rendszer generál egy véletlent (kihívás), amelyre a token választ ad.

Question 16

Biometrikus hitelesítés (Jellemző)

Answer 16

Felhasználó egyedi, fizikai tulajdonságát veszi alapul.
Drágább és összetettebb mint a jelszó vagy birtoklás alapú.
Fizikai tulajdonságok lehetnek dinamikusak vagy statikusak.

Question 17

Biometrikus hitelesítés fizikai tulajdonságok

Answer 17

Arcfelismerés : Arc részeinek felismerése, vagy hőkamera
Ujjlenyomat : A bőrlécrendszer vizsgálata
Kéz-geometria : Kéz alakja
Retina minta : A szem hátső falán lévő erek
Írisz : Szem szivárványhártyájának vizsgálkata
Aláírás : Mindenkinek egyedi, de egy személytől több minta is jöhet
Hang : Idővel változhat

Question 18

Távoli hitelesítés (fogalma, további veszélyek és annak megoldása)

Answer 18

Interneten vagy hálózaton keresztül történik.
További fenyegetést jelent a csatorna lehallgatása vagy az üzenet-visszajátszás. Amelyre a kihívás-és-válasz protokollok adnak megoldást.

Question 19

Jelszó protokoll (Távoli hitelesítés)

Answer 19

A felhasználó elküldi az azonosítót.
Az ellenőrző fél egy véletlen r-t küld, amely neve NONCE és ennek két függvényét visszaküldi.
Felhasználói válasz : f(r’h(P’))
Ellenőrző fél a hash értéket tárolja h(P(U)) U felhasználónál
Ha f(r’,h(P’)) = f(rh(P(U))) akkor a felhasználót sikeresen itelesítettük.

Biztonsági kérdések:
A felhasználó hash-e van letárolva?
Az f védi a lenyomatot a lehallgatástól?
A nonce a visszajátszásos támadással szemben véd?

Question 20

Token protokoll (Távoli hitelesítés)

Answer 20

A felhasználó elküldi az azonosítóját.
Ellenőrző generál egy r noncet, és két függvényt.
A token megad egy W’ jelszókódot.
A felhasználó P’-t megadja és ezzel aktiválja W’-t.
Token elküldése: f(r’,h(W’))
Ha f(r’,h(W’)) == f(r, h(W(U))) akkor hitelesítettük a felhasználót.

Question 21

Statikus biometrikus protokoll (Távoli hitelesítés)

Answer 21

A felhasználó elküldi az azonosítót.
Ellenőrző r noncet és egy titkosító függvény nevével visszaküldi.
Kliens oldalon legenerálódik BT’ biometrikus minta B’ adatból. Ezt titkosítva E(r’,D’,BT’) küldi el, D’ a biometrikus eszköz.
Ezt ellenőrízzuk a tárolthoz képest.

Question 22

Dinamikus biometrikus protokoll (Távoli hitelesítés)

Answer 22

A felhasználó elküldi az azonosítót.
Ellenőrző csinál egy r noncet és egy x véletlen karaktersorozatot, amely a kihívás.
Ezt kell a felhasználónak valamilyen dinamikus biometrikus hitelesítési módszerrel elvégeznie.
A kliens ezt és a véletlent titkosítja.
Az ellenőrző fél visszafejti és összehasonlítja.