ZH2 Azonosítás, Hitelesítés, Feljogosítás Flashcards
(23 cards)
Alapfogalmak
Azonosítási folyamat két lépése:
-Azonosítás: Azonosító megadása
-Hitelesítés: Azonosságot igazoljuk egy ellenőrző adat megadásával.
Feljogosítás: Az erőforrásokhoz való hozzáférés megadása.
Hitelesítés módjai
Tudás alapú: jelszó, PIN, előre meghatározott kérdésre válasz
Birtoklás alapú: kulcs, elektromos kártya.. Ezeket tokeneknek nevezzük.
Biometrikus:
-Statikus: Ujjlenyomat, írisz, retina, DNS
-Dinamikus: Aláírás, beszéd, gépelési ritmus
Jelszavas hitelesítés (Azonosító (ID) használata)
Jelszóval hitelesítjük a felhasználót, amely a rendszerben azonosítóval szerepel.
ID szerepe:
-Jogosult-e egyáltalán a rendszerbe való belépésre.
-Azonosító alapján tudja a rendszer a jogosultságot a rendszeren belül.
-Szerepe van a diszkrecionális hozzáférés-vezérlésben. ID alapján tud egy erőforráshoz jogosultságot adni egy felhasználó.
Jelszavas hitelesítés (Miért elterjedt?)
-Könnyen érthető az azonosítás folyamata.
-Nincs szükség kiens oldali szoftverre, hogy a kiens oldali harvert használni tudjuk.
-Tokenek drágák és hordozásuk nehéz.
Helyi hitelesítés (Jelszavas hitelesítés, só (hash), Unix állományok)
A felhasználó választ, vagy kapcs egy jelszót.
Ehez tartozik egy fix hosszúságú só érték amely lehet idő alapú (régi) vagy véletlen (új) generetorok által megadott véletlen szám.
Kiszámoljuk a jelszó és a só konkatenációjának lenyomatát.
A jelszófájlban tároljuk a sót (nyíltan) és a lenyomatot a megadott azonosítóval.
Unix password file és részei (Nem tartalmaz lenyomatot)
oracle:x:1021:1020:oracle user:/data/network/oracle:/bin/bash
1 felhasználói név
2 jelszó( csak *)
3 felhasználó azonosító (UID)
4 csoport ID
5 felhasználói információ
6 home könyvtár (abszolút út)
7 shell (abszolút út)
Unix shadow file és részei (Lenyomatot tartalmaz, csak a superuser olvashatja)
vivek:$1$fnfffc$GteyHdicp..:13064:0:99999:7:::
1 felhasználói név
2 hashelt jelszó
3 utolsó jelszóváltoztatás ideje
4 minimum hány nap múlva változtatható
5 érvényességi idő
6 lejárat előtt hány nappal jelezzen
Unix azonosítási folyamat
1 A felhasználó megadja az azonosítóját.
2 Az op rendszer az ID segítségével kikeresi a nyílt sót és a lenyomatot.
3 Kiszámítja a lenyomatot és összehasonlítja a tárolttal.
4 A só jelentősége:
- Lenyomat különbözik azonos jelszavaknál is.
- Nehezíti az offline szótártámadást. Lassítja azt, több próbálkozás.
- Nehezíti annak az ellenőrzését, hogy egy felhasználó más rendszereken is használja-e ugyan azt a jelszót.
Unix-szerű implementációk -OpenBSD
- OpenBSD op rendszer amely híresen biztonságra törekszik
- Blowfish szimmetrikus titkosításon alapuló hash függvényt (Bcrypt) használ. Ez elég lassú.
- Bcrypt legfeljebb 55 karakter hosszú jelszavakat és 128 bites sóhoz 192 bites hash értéket ad meg.
- Bcrypt egy költség változót is kezel aminek növelésével a hash kiszámítása több időbe telik.
- Új jelszó megadásakor a költség változó köfigurálható. Pl.: egy nagyobb privilégiumú felhasználó esetében nagyobb költség rendelhető.
- SUSE Linux is Bcrypt-et használ.
Offline szótár támadás, szivárvány táblák
Offline szótár támadás:
A támadó megszerzi a lenyomatokat tartalmazó állományt. Vannak lehetséges jelszavaik és ezeket (minden sóval) hash-elik és hasonlítják a lenyomatokhoz. Ha sikertelen akkor a szótáron tranformációkat hajtanak végre.
Szivárvány táblák:
A támadó a szótár létrehozásakor kiszámolja előre a hash értékeket a sókkal, ennek eredményeképpen egy hatalmas táblázatot kap.
Számítási kapacitás és gépi tanulás felhasználásával ezek a támadások egyre erősebbek.
Offline szótár támadás, szivárvány táblák elleni védelem
Elég hosszú só és hash érték használata.
Jelszófájlok illetéktelen hozzáféréstől való védelme (shadow file).
Behatolásérzékelő rendszerek, ha ezek jelet küldenek a új jelszó gyors beállítása.
Általános védelmi intézkedés
Felhasználók oktatása
Számítógép-generált jelszavak használata (FIPS 181)
Reaktív jelszó ellenőrzés (Megpróbálják bentről feltörni, akinek sikerült annak ezt jelzik.)
Összetett eljárásrendszer.
Birtoklás alapú hitelesítés: Kártyák típusai
Dombornyomott kártyák : vésett karakterek
Mágnescsíkos kártyák : mágnes csík és vésett karakterek
Memória kártyák : chipp egy formája, tud adatot tárolni
Smart kártya (jellemzés, típusai)
Mikrokontrollerel és memóriával rendelkezik.
Hatékony kriptográfiai és hitelesítési algoritmusok bevezetésére nyújt lehetőséget.
Kontaktusos: Eszközhöz kell érinteni.
Kontaktusmentes: nem kell az eszközhöz érinteni.
Smart kártya hitelesítés
Statikus :
A felhasználó hitelesíti magát a tokennek és a token a rendszernek.
Dinamikus jelszó generátor :
A token időközönként új jelszót generál, amelyet a felhasznalónak meg kell adnia.
Kihívás-és-válasz :
A rendszer generál egy véletlent (kihívás), amelyre a token választ ad.
Biometrikus hitelesítés (Jellemző)
Felhasználó egyedi, fizikai tulajdonságát veszi alapul.
Drágább és összetettebb mint a jelszó vagy birtoklás alapú.
Fizikai tulajdonságok lehetnek dinamikusak vagy statikusak.
Biometrikus hitelesítés fizikai tulajdonságok
Arcfelismerés : Arc részeinek felismerése, vagy hőkamera
Ujjlenyomat : A bőrlécrendszer vizsgálata
Kéz-geometria : Kéz alakja
Retina minta : A szem hátső falán lévő erek
Írisz : Szem szivárványhártyájának vizsgálkata
Aláírás : Mindenkinek egyedi, de egy személytől több minta is jöhet
Hang : Idővel változhat
Távoli hitelesítés (fogalma, további veszélyek és annak megoldása)
Interneten vagy hálózaton keresztül történik.
További fenyegetést jelent a csatorna lehallgatása vagy az üzenet-visszajátszás. Amelyre a kihívás-és-válasz protokollok adnak megoldást.
Jelszó protokoll (Távoli hitelesítés)
A felhasználó elküldi az azonosítót.
Az ellenőrző fél egy véletlen r-t küld, amely neve NONCE és ennek két függvényét visszaküldi.
Felhasználói válasz : f(r’h(P’))
Ellenőrző fél a hash értéket tárolja h(P(U)) U felhasználónál
Ha f(r’,h(P’)) = f(rh(P(U))) akkor a felhasználót sikeresen itelesítettük.
Biztonsági kérdések:
A felhasználó hash-e van letárolva?
Az f védi a lenyomatot a lehallgatástól?
A nonce a visszajátszásos támadással szemben véd?
Token protokoll (Távoli hitelesítés)
A felhasználó elküldi az azonosítóját.
Ellenőrző generál egy r noncet, és két függvényt.
A token megad egy W’ jelszókódot.
A felhasználó P’-t megadja és ezzel aktiválja W’-t.
Token elküldése: f(r’,h(W’))
Ha f(r’,h(W’)) == f(r, h(W(U))) akkor hitelesítettük a felhasználót.
Statikus biometrikus protokoll (Távoli hitelesítés)
A felhasználó elküldi az azonosítót.
Ellenőrző r noncet és egy titkosító függvény nevével visszaküldi.
Kliens oldalon legenerálódik BT’ biometrikus minta B’ adatból. Ezt titkosítva E(r’,D’,BT’) küldi el, D’ a biometrikus eszköz.
Ezt ellenőrízzuk a tárolthoz képest.
Dinamikus biometrikus protokoll (Távoli hitelesítés)
A felhasználó elküldi az azonosítót.
Ellenőrző csinál egy r noncet és egy x véletlen karaktersorozatot, amely a kihívás.
Ezt kell a felhasználónak valamilyen dinamikus biometrikus hitelesítési módszerrel elvégeznie.
A kliens ezt és a véletlent titkosítja.
Az ellenőrző fél visszafejti és összehasonlítja.
Kerberos (Internet alapú hitelesítés)
Még nem néztük meg….
