 |
Введение. Определения и терминология.. Аутентификационные технологии.
|
|
|
|
Введение.
Аутентификационные требования вычислительных систем и сетевых протоколов варьируются весьма широко. Пароли, уязвимые для атак пассивного типа, не удовлетворяют современным требованиям Интернет (CERT94). А попимо пассивных, в сетевой среде сплошь и рядом предпринимаются активные методы (Bellovin89, Bellovin92, Bellovin93, CB94, Stoll90). Так так масштаб сетевых угроз нарастает быстро-стремительно, приходится разрабатывать вс более изощрённые алгоритмы идентификации.
Определения и терминология.
Активная атака - попытка некорректной модификации данных с целью аутентификации или авторизации с помощью вставления ложных пакетов в поток данных или их модификации.
Ассиметричная криптография (криптография с общедоступным ключом) - криптографическая система, использующая разные ключи для шифрования и дешифрования. Оба ключа математически связаны.
Аутентификация - идентификация источника информации.
Авторизация - предоставление прав доступа на основе аутентификации.
Конфиденциальность - защита информации, чтобы лицо, не авторизованное для доступа к данным, не могло их читать даже если имеется доступ к каталогу или сетевому пакетк.
Шифрование - механизм обеспечения конфиденциальности.
Целостность - защита информации от неавторизованной модификации.
Сертификат ключа - информационная структура, состоящая из общедоступного ключа, идентификатора лица, системы и информации, ауткнтифициркющей ключ, и ассоциацию общедоступного ключа с идентификатором. Например, ключи, используемые PEM - сертификат ключа Kent93.
Пассивная атака - атака на систему аутентификации, не предполагающая ввода данных в поток, а базирующийся на мониторинге информации, которой обмениваются другие партнёры, и которая может быть использована позднее.
|
|
|
Исходный текст - текст до шифровки.
Атака воспроизведения - атака до систему аутентификации путём записи и воспроизведения ранее посланных корректных сообщений или их частей. Любая неизменная информация, такая, как пароль или биометрические данные, может быть записана и использована позднее для имитации аутентичности.
Симметричная криптография (криптография с закрытым ключом) - система шифрования, которая использует один ключ для шифрования и дешифрования.
Аутентификационные технологии.
Существует некоторое число различных классов аутентификации, начиная от полного её отсутствия и заканчивая очень строгими механизмами контроля.
Отсутствие аутентификации. Простейшая аутентификационная система не несёт аутентификации вовсе. Например, изолированному от сети частному ПК аутентификация не нужна. Другой пимер- автономная общедоступная рабочая станция, обслуживающая некоторые конференции, где раскрытие информации или её модификация не критичны.
Аутентификационные механизмы, уязвимые для пассивных атак.
Простая проверка пароля является наиболее общей формой аутентификации Простые проверки имеют различные формы: ключ может быть паролем, запомненным пользователем, физическим или электронным объектом, принадлежащим пользователю, его уникальной биологической характеристикой. Простые аутент. системы считаются " раскрывающими", так как если ключ передаётся по сети, он может быть перехвачен злоумышленником. Есть сообщения об атаках в Интернете с помощью уже " расколотых" ЭВМ. Механизмы раскрывающей аутентификации уязвимы для атак воспроизведения. Ключи доступа могут быть запомнены в атакующей машине и, при наличии бреши в СБ, можно получить доступ ко всем паролям. Обычно форма их хранения допускает сверку, но не чтение.
|
|
|
Аутентификационные механизмы, уязвимые для активных атак.
Нераскрывающие парольные системы созданы для предотвращения атак воспроизведения. Разработано несколько систем для генерации нераскрываемых паролей. Например, Bellcore S/Key генерирует много одноразовых паролей из одного секретного ключа (Haller94). В системах одноразовых паролей они могут менятся раз в минуту или чаще. Такие системы используют только аппаратные средства. Bellcore не использует физических объектов (token), потому удобна для аутентификации машина-машина. S/Key не требует запоминания секретного ключа пользователя, что является преимуществом при работе с ненаджными выч. системами. В её сегодняшнем виде S/Key узвима для переборных атак со словарём в случае неудачного выбора пароля. Система CHAP протоколо PPP не является раскрывающей, но применима только локально.
Аутентификационные механизмы, неуязвимые для пассивных атак.
По мере расширения применения сетей растёт необходимость более жёсткой аутентификации. В открытых сетях большое число пользователей может получить доступ к информации, переносимой по сети. При желании пользователь может сымитировать ситуацию, при которой посланная им информация может восприниматься как посланная другим сетевым объектом.
Более мощные аутентификационные системы используют вычислительные мощности партнёров, участвующих в процессе аутентификации. Он может быть однонаправленной (например, аутентификация пользователей в вычислительной системе) или взаимной, когда оба партнёра должны идентифицировать друг друга. Некоторые аутент. системы используют криптографические методы и формируют общий секретный код (например, ключ сессии), который можно использовать в последующем обмене. Например, пользователю после завершения аутентификации может быть предоставлен аутентификационный билет, который можно использовать для получения других услуг без дополнительной аутентификации. Эти системы могут также обеспечить, когда требуется, конфиденциальность (используя шифрование) при передаче данных по незащищённым сетям.
|
|
|
