Главная страница
Навигация по странице:

  • Факторы аутентификации Факторы аутентификации — это группы свойств, которые сравнивают с известными заранее значениями, чтобы подтвердить или опровергнуть подлинность .

  • Нечто, что нам известно, например, какая-либо секретная информация

  • Нечто, чем мы обладаем, например, какой-либо уникальный физический объект

  • Нечто, что является неотъемлемой частью нас самих

  • Для аутентификации нужно два SSH-ключа — открытый и закрытый. Открытый ключ

  • Теперь разберемся, как открытый и закрытый ключи применяются при использовании протокола SSH.

  • По сути, между клиентом и сервером происходит небольшая «перекличка», по которой сервер определяет, свой перед ним или чужой. Аутентификация с помощью USB

  • Специалисты по информационной безопасности уже давно твердят о том, что парольная аутентификация — это самый ненадежный и уязвимый способ проверки подлинности пользователя.

  • Аутентификация на основе smart-карт

  • Наиболее массовые контактные смарткарты — это SIM-карты сотовой связи, таксофонные карты, современные банковские карточки. контактные с USB-интерфейсом;

  • Стандарт для бесконтактных смарт-карт — ISO/IEC 14443, реже ISO/IEC 15693.

  • Многофакторные смарт-карты обеспечивают защиту от вероятной кражи злоумышленником смарт-карты, так как сама по себе смарт-карта окажется для него бесполезной.

    		•

    Аутентификация. Аутентификация (2). Аутентификация с использованием usb и smartкарт и строгая аутентификация Подготовила студентка 3 курса группы пкс1


    Скачать 473.23 Kb.
    НазваниеАутентификация с использованием usb и smartкарт и строгая аутентификация Подготовила студентка 3 курса группы пкс1
    АнкорАутентификация
    Дата16.03.2023
    Размер473.23 Kb.
    Формат файлаpptx
    Имя файлаАутентификация (2).pptx
    ТипДокументы
    #994866
    Аутентификация с использованием USB и smart-карт и строгая аутентификация
    Подготовила студентка 3
    курса группы ПКС-1
    Мандрыгина Мария
    Аутентификация
    Основой программно-технических средств безопасности информации является идентификация и аутентификация. Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя). С помощью аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. Как синоним слова «аутентификация» иногда используют словосочетание «проверка подлинности».
    • В любой системе аутентификации обычно можно выделить несколько элементов:
    • субъект, который будет проходить процедуру
    • характеристика субъекта — отличительная черта
    • хозяин системы аутентификации, несущий ответственность и контролирующий её работу
    • сам механизм аутентификации, то есть принцип работы системы
    • механизм управления доступом, предоставляющий определённые права доступа субъекту
    Факторы аутентификации
    Факторы аутентификации — это группы свойств, которые сравнивают с известными заранее значениями, чтобы подтвердить или опровергнуть подлинность.
    • Нечто, что нам известно, например, какая-либо секретная информация. Это тайные сведения, которыми должен обладать только авторизованный субъект. Секретом может быть некая фраза или пароль, например в виде устного сообщения, текстового представления, комбинации для замка или личного идентификационного номера (PIN).
    • Нечто, чем мы обладаем, например, какой-либо уникальный физический объект. Здесь важно обстоятельство обладания субъектом каким-то неповторимым предметом. Это может быть личная печать, ключ от замка, для компьютера это файл данных, содержащий характеристику. Характеристика часто встраивается в особое устройство аутентификации, например, пластиковая карта, смарт-карта.
    • Нечто, что является неотъемлемой частью нас самих — биометрика. Характеристикой является физическая особенность субъекта. Это может быть портрет, отпечаток пальца или ладони, голос или особенность глаза.
    Ключи SSH
    SSH — это зашифрованный протокол, который используется для взаимодействия компьютера с сервером и его управления. Для работы по протоколу можно использовать один из основных способов авторизации — связку логин/пароль либо SSH-ключи.   Благодаря SSH-ключам можно произвести аутентификацию без пароля. Ключи представляют собой набор из сотен различных символов, включая латиницу верхнего и нижнего регистров, а также спецсимволы. Общая длина часто составляет от 1024 до 4096 бит.  Для аутентификации нужно два SSH-ключа — открытый и закрытый.
    Открытый ключ
    Открытый, или публичный, ключ доступен всем. Он используется для шифрования данных при обращении к серверу. Проще говоря, это набор символов, при помощи которых мы шифруем информацию. 
    При передаче публичного ключа не нужно подстраховываться — даже если он попадет в руки злоумышленников, они не смогут его использовать. Открытый ключ — лишь замок на двери, за которой находится важная информация. Без второго SSH-ключа он не имеет смысла.  Закрытый ключ
    Закрытый, или приватный, SSH-ключ — это ключ к замку. Он расшифровывает данные. С ним нужно быть в разы осторожнее: хранить, соблюдая правила безопасности, и не передавать вторым лицам. Забегая вперед, скажем, что при генерации SSH-ключей закрытый ключ можно и нужно запаролить, чтобы обеспечить дополнительную защиту.  Теперь разберемся, как открытый и закрытый ключи применяются при использовании протокола SSH. 
    При создании пользователя на сервере ему можно разрешить вход по SSH-ключу. Для этого необходимо указать открытый ключ. Когда пользователь захочет подключиться, он отправит запрос на сервер. После чего сервер ответит случайной фразой, которую пользователь шифрует. Имея случайную фразу и открытый ключ, сервер при помощи криптографической магии подтверждает, была ли фраза подписана именно этим пользователем. Проще говоря, идентифицирует его. По сути, между клиентом и сервером происходит небольшая «перекличка», по которой сервер определяет, свой перед ним или чужой. 
    Аутентификация с помощью USB
    Специалисты по информационной безопасности уже давно твердят о том, что парольная аутентификация — это самый ненадежный и уязвимый способ проверки подлинности пользователя.
    На современном этапе развития науки в области информационной безопасности все чаще вводится относительно новая технология — биометрия. Однако, на практике, в корпоративной среде находим лишь единицы крупных серьезных внедрений биометрии. Биометрические системы достаточно дороги, но главным недостатком биометрии является вероятностный подход к определению личности. Отпечаток пальца сравнивается с эталонным на «сходство», и всегда есть вероятность того, что один человек окажется «похожим» на второго, или же оригинал окажется «не похожим» сам на себя. Не простым является решение вопроса по централизованному хранению биометрических данных сотрудников — стоимость работ по обеспечению безопасности такой базы данных вполне может оказаться не намного меньше стоимости внедрения самой системы биометрической аутентификации. USB-ключи базируются на высокозащищенной платформе, которая разработана для производства смарт-карт, в которой традиционно предъявляют повышенные требования в отношении информационной безопасности. Поэтому USB-ключи фактически является миниатюрным компьютером, обеспечивает безопасное хранение персональных данных и надежно защищенным от несанкционированного вмешательства. USB-токен разработан таким образом, чтобы удовлетворить потребности большинства пользователей. USB-ключи и смарт-карты USB-токенов включают в себя устройства, выполняющие базовые функции безопасности, а также комбинированные продукты, сочетающие в себе возможности нескольких устройств.
    • – усовершенствовать процесс аутентификации (двухфакторная аутентификация) на локальном компьютере и в корпоративной сети, а также защищенный доступ к бизнес-приложениям;
    • – зашифровать данные на серверах, ноутбуках и рабочих станциях;
    • – обеспечить защиту персональных данных;
    • – защитить электронную почту и взаимодействие с коллегами в системах электронного документооборота;
    • – обезопасить финансовые операции в системах дистанционного банковского обслуживания (ДБО)
    • – внедрить электронную цифровую подпись (ЭЦП) и защитить документы в системах сдачи электронной отчетности через Интернет;
    • – обеспечить защиту корпоративного сайта в Интернет.
    Электронный USB-ключ — носитель ключевой информации, предназначенный для использования в системах информационного доступа, электронного документооборота, авторизации пользователей и защищенного хранения ключевой информации.
    • – аппаратный криптографически стойкий генератор случайных чисел;
    • – генерация пары ключей ЭЦП;
    • – формирование и проверка ЭЦП (эллиптические кривые)
    • – генерация ключей шифрования;
    • – шифрования и расшифровки;
    • – формирование и проверка имитовставки (последовательности данных фиксированной длины, получаемой по определенному правилу из открытых данных и секретного ключа и добавляется к данным для обеспечения имитозащиты);
    • – вычисление хэш-функции.
    Аутентификация на основе smart-карт
    Смарт-карты представляют собой пластиковые карты со встроенной микросхемой. В большинстве случаев, смарт-карты содержат микропроцессор и операционную систему, контролирующую устройство и доступ к объектам в его памяти. Кроме того, смарт-карты, как правило, обладают возможностью проводить криптографические вычисления (это и представляет в данном случае интерес, так как позволяет производить аутентификацию).
    • контактные с интерфейсом ISO 7816;
      • Контактные смарт-карты имеют зону соприкосновения, содержащую несколько небольших контактных лепестков. Когда карта вставляется в считыватель, чип соприкасается с электрическими коннекторами, и считыватель может считать и/или записать информацию с чипа. Форма карты, контактов, их расположение и назначение регламентируются в стандартах ISO/IEC 7816 и ISO/IEC 7810. Стандарт ISO/IEC 7816 регламентирует также протоколы обмена и некоторые аспекты работы с данными, которые используются и для других смарт-карт. Контактные карты не содержат батареек; энергия подается считывателями. Наиболее массовые контактные смарткарты — это SIM-карты сотовой связи, таксофонные карты, современные банковские карточки.
    • контактные с USB-интерфейсом;
    • бесконтактные (RFID).
      • Бесконтактные смарт-карты — карты, в которых карта общается со считывателем с помощью технологии RFID. Требуется подносить карточки достаточно близко к считывателю, чтобы провести необходимые операции. Они часто применяются в областях, где необходимо провести операцию быстро, например, в общественном транспорте. Стандарт для бесконтактных смарт-карт — ISO/IEC 14443, реже ISO/IEC 15693.
      Для работы с бесконтактными смарт-картами применяется технология RFID. Как и контактные смарт-карты, бесконтактные не имеют батареек. В них встроена катушка индуктивности, чтобы запасти энергию для начального радиочастотного импульса, который затем выпрямляется и используется для работы карточки.
    Многофакторные смарт-карты обеспечивают защиту от вероятной кражи злоумышленником смарт-карты, так как сама по себе смарт-карта окажется для него бесполезной.
     Смарт-карты позволяют повысить надежность служб PKI (Public Key Infrastructure) путем использования для безопасного хранения закрытых ключей пользователя, а также путем выполнения криптографических преобразований и вычислений. Для хранения и использования закрытых ключей разные разработчики применяют разные подходы. Один из них (самый простой) – это использование смарт-карты в качестве дискеты: при необходимости карта экспортирует закрытый ключ, и криптографические вычисления производятся на рабочей станции. Такой подход не является самым надежным с точки зрения безопасности. Его можно использовать в случае работы с низким уровнем информации. Два других подхода – более безопасны, т.к предполагают выполнение криптографических вычислений непосредственно на смарт-карте. В первом подходе пользователь генерирует ключи на рабочей станции, импортирует их на смарт-карту. Во втором подходе – происходит генерирование ключей непосредственно на смарт-карте. В обоих случаях, после сохранения закрытого ключа, ключ невозможно извлечь из смарт-карты. Для хранения и использования закрытых ключей разные разработчики применяют разные подходы. Один из них (самый простой) – это использование смарт-карты в качестве дискеты: при необходимости карта экспортирует закрытый ключ, и криптографические вычисления производятся на рабочей станции. Такой подход не является самым надежным с точки зрения безопасности. Его можно использовать в случае работы с низким уровнем информации. Два других подхода – более безопасны, т.к предполагают выполнение криптографических вычислений непосредственно на смарт-карте. В первом подходе пользователь генерирует ключи на рабочей станции, импортирует их на смарт-карту. Во втором подходе – происходит генерирование ключей непосредственно на смарт-карте. В обоих случаях, после сохранения закрытого ключа, ключ невозможно извлечь из смарт-карты. Некоторые системы дискового шифрования-на-лету, такие как  и Microsoft BitLocker, могут использовать смарт-карты для безопасного хранения ключей, а также для добавления дополнительного уровня шифрования для критичных частей на защищаемом жестком диске.
    • пользователю не требуется помнить сложные пароли, которые необходимо периодически менять (в зависимости от важности информации, к которой имеется доступ);
    • надежность (смарт-карта устойчива к внешним воздействиям – влажность, давление, изгиб, статическое электричество);
    • невысокая стоимость;
    • удобство в хранении и эксплуатации (смарт-карту можно использовать для доступа к различным информационным ресурсам с различным набором прав, а также использовать ее для доступа на объект\помещение).
    Строгая аутентификация
    Строгая аутентификация подразумевает, что для установления личности пользователя требуется проверка дополнительных сведений, т.е. одного пароля или одного ключа недостаточно. Это решение повышает уровень безопасности СКУД, как правило, без существенных дополнительных затрат или роста сложности системы. Зачастую, понятие строгой аутентификации, путают с двухфакторной или мультифакторной аутентификацией. Однако это не совсем верно. Строгая аутентификация может быть реализована без использования нескольких независимых факторов. Например, система контроля доступа, требующая от пользователя пароль + ответ на один или несколько контрольных вопросов, - относится к сегменту строгой аутентификации, но не является многофакторной, т.к. использует только один фактор, логический. Также строгая аутентификация происходит в биометрической системе, требующей последовательно предъявить разные пальцы пользователя для считывания отпечатков. Таким образом, строгая аутентификация не всегда многофакторная, но многофакторная аутентификация – всегда строгая. Проверка принадлежности идентификаторов и АИ конкретному владельцу также входит в задачу аутентификации как процедуры, тесно связанной с процедурой подтверждения подлинности. При этом используется протокол доказательства принадлежности (Proof of Possession, РоР), в рамках которого заявитель доказывает проверяющей стороне владение и управление аутентификатором (ключом или паролем) при обмене сообщениями между заявителем и проверяющей стороной, согласно правилам определённого протокола аутентификации. Принадлежность идентификаторов и секрета (аутентификатора) конкретному владельцу подтверждается проверкой и квитированием валидности его электронного удостоверения, связывающего идентификаторы и секрет с конкретным владельцем. Электронное удостоверение подписывается удостоверяющим центром и является аналогом электронного паспорта. Аутентификатор может вырабатываться различными способами, но в рамках строгой аутентификации в обязательном порядке с помощью криптографических алгоритмов. В качестве аутентификатора в строгой аутентификации применяется закрытый ключ. От того, каким образом и где вырабатывается ключевая пара (закрытый и соответствующий ему открытый ключ), а также от условий хранения аутентификатора в значительной степени зависят уровни строгости аутентификации. Проверка принадлежности идентификаторов и АИ конкретному владельцу также входит в задачу аутентификации как процедуры, тесно связанной с процедурой подтверждения подлинности. При этом используется протокол доказательства принадлежности (Proof of Possession, РоР), в рамках которого заявитель доказывает проверяющей стороне владение и управление аутентификатором (ключом или паролем) при обмене сообщениями между заявителем и проверяющей стороной, согласно правилам определённого протокола аутентификации. Принадлежность идентификаторов и секрета (аутентификатора) конкретному владельцу подтверждается проверкой и квитированием валидности его электронного удостоверения, связывающего идентификаторы и секрет с конкретным владельцем. Электронное удостоверение подписывается удостоверяющим центром и является аналогом электронного паспорта. Аутентификатор может вырабатываться различными способами, но в рамках строгой аутентификации в обязательном порядке с помощью криптографических алгоритмов. В качестве аутентификатора в строгой аутентификации применяется закрытый ключ. От того, каким образом и где вырабатывается ключевая пара (закрытый и соответствующий ему открытый ключ), а также от условий хранения аутентификатора в значительной степени зависят уровни строгости аутентификации. Спасибо за внимание!

    написать администратору сайта