Od anonymity k autentizácii

Od anonymity k autentizácii

Vo virtuálnom svete pôsobí sociálna anonymita. Vo virtuálnej realite  sa vďaka tomu človek môže stať kýmkoľvek. Z hľadiska bytia je to nepochybne povznášajúci pocit, no v oblasti informačnej bezpečnosti je anonymita skôr hanlivým pojmom.

 Opäť trochu filozofie: identita jedinca je definovaná ako individuálna jednota a ucelenosť, v ktorej jedinec prežíva sám seba a pociťuje, že sebou zostáva v rôznosti stavov, ktoré postupne prežíva v priebehu svojej existencie.

Ak pod pojmom virtuálny priestor budeme chápať interaktívne prostredie informačných systémov, akúsi umelú skutočnosť vytvorenú programovými prostriedkami počítača, potom virtuálna alebo tiež digitálna identita je individuálny prejav jedinca vo virtuálnom priestore. V informatike sa pojmom virtuálna alebo digitálna identita označujú akékoľvek autentizačné informácie v informačných systémoch, t.j. prístupové práva do systémov, prihlasovacie mená, certifikáty, užívateľské profily, užívateľské kontá, atď.

Manažment identít (Identity management, IdM) sú všetky úlohy v súvislosti s vytvorením, identifikáciou, administráciou, klasifikáciou, zmenami, zálohovaním, auditom, reportingom a rušením virtuálnych identít, t.j. spravovanie virtuálnych identít počas celého ich životného cyklu.

V moderných počítačových systémoch a počítačových sieťach je vzhľadom na ich rozšírenosť v bežnom živote možné uvažovať s mnohými virtuálnymi identitami jedného a toho istého fyzického jedinca. V podnikových počítačových sieťach je tento fakt prakticky pravidlom. V korporátnom prostredí je preto proces manažmentu identít jedným z kritických riadiacich procesov.

Aby sme sa zjednotili v pojmoch, pre pochopenie základných princípov je opäť nutné spomenúť trochu teórie:

Identifikácia predstavuje procedúru, v ktorej sa používateľ predstavuje systému (identifikuje), ako platný používateľ. Možno to chápať tiež ako nezáväzné, čestné alebo predbežné prehlásenie o vlastnej identite. Vo všeobecnosti sa jedná o zadanie mena, identifikačného čísla, užívateľského profilu, názvu certifikátu, identifikátora, kľúča, atď.

Autentizácia (anglicky authentication) je proces overenia totožnosti používateľa, t.j. zistenie, či je identita, ktorú používateľ uviedol, naozaj pravá.

Identifikácia a autentizácia nasledujú ako dva na seba nadväzujúce, neoddeliteľné procesy.

Autorizácia, ako procedúra, nasleduje až po úspešnej autentizácii. Mnohokrát sa autorizácia a  autentizácia chybne zamieňajú. Pre zjednodušenie si treba zapamätať, že autorizácia využíva výsledky autentizácie na pridelenie príslušných oprávnení v systéme. Typicky je to napríklad „autorizácia platieb“ v elektronickom bankovníctve, zatiaľ čo používateľ je v systéme elektronického bankovníctva „autentizovaný“.

Autentizačný údaj

V zmysle vyššie uvedeného, kontrolovaný prístup do akéhokoľvek systému pozostáva z identifikácie („predstavenia sa“), autentizácie (overenia totožnosti) a autorizácie (pridelenia práv v systéme).

Na overenie totožnosti sa využívajú tri druhy autentizačných údajov, líšiace sa hlavne bezpečnostnou úrovňou a spôsobom ich vytvárania:

  • statické prístupové heslo,
  • OTP (one time password) –  jednorazové, dynamické heslo,
  • rôzne kryptografické algoritmy, predovšetkým metóda súkromného a verejného kľúča.

Autentizácia statickým heslom

Statické prístupové heslo je historicky najstaršia, avšak najmenej bezpečná metóda. V tomto prípade autentizačný údaj predstavuje statické prístupové heslo. V niektorých systémoch si používateľ môže toto heslo meniť. Prípadne je používaná sada statických hesiel – napríklad z tzv. grid karty, keďže u používateľov s minimálnou frekvenciou transakcií môže sada hesiel predstavovať o niečo vyššiu bezpečnosť voči tretej strane, než jediné heslo.

Niekedy sa táto autentizácia dopĺňa o tzv. kontrolné, záložné otázky. Takýto spôsob autentizácie je možné použiť u systémov, ktorých služby sú doplné službou operátora (napr. call-centrá).

Pre statickú autentizáciu sa používa niekoľko rôznych autentizačných protokolov.

Password Authentication Protocol (RFC 1334) je jednoduchý autentizačný protokol,  určený primárne na priame pripojenie ku vzdialenému serveru, alebo ku poskytovateľovi internetových služieb. Nevýhodou tohto protokolu je slabá autentizácia, pretože priamo cez sieť sú posielané znakové reťazce hesiel v otvorenej, nezašifrovanej forme.

Challenge-Handshake Authentication Protocol (RFC 1994) využíva typ autentizácie na princípe výzva /odpoveď. Pri tejto metóde sa po sieti neposiela užívateľovo heslo, ale využíva sa heslo „zahešované“, čo znamená, že heslo sa zašifruje jednosmernou hash funkciou. Zašifrované heslo vyzerá teda takto: šifra = hash (heslo). Jednosmernosť hash funkcie spočíva v tom, že ak aj pri známej hash hodnote získa útočník šifru, nevie z nej spätne odvodiť heslo.

Samotný proces overenia užívateľa je takýto:

    1. užívateľ iniciuje prihlasovací proces,
    2. server pošle klientovi náhodný reťazec znakov (challenge),
    3. klient tento reťazec znakov zašifruje pomocou svojho hešovaného hesla a pošle na server (response),
    4. server zašifruje ním vygenerovaný reťazec znakov pomocou šifry užívateľovho hesla, ktorú získa v databáze užívateľov,
    5. server porovná response, ktorý dostal od užívateľa s výsledkom, ku ktorému sa dostal sám v bode 4. Ak tam je úplná zhoda, užívateľ je overený.

SMB Protokol (Server Message Block) nie je priamo autentizačným protokolom, avšak vzhľadom na svoj účel je nepriamo používaný na autentizáciu. Vzhľadom na svoju zastaralosť je značne zraniteľný. História tohto protokolu je celkom pestrá.

Pre komunikáciu medzi sw a hw v malých sieťach IBM v spolupráci s firmou Sytec vyvinuli protokol NetBIOS (Network Basic Input Output System). Neskôr do NetBIOS-u pribudla možnosť presmerovať vstupno-výstupné operácie, čo umožnilo zdieľať periférie a pamäťové médiá prostredníctvom počítačovej siete. Protokol pre zdieľanie periférií a médií bol neskôr premenovaný na SMB, dnes známy ako CIFS. Pracovné stanice na báze Windows používajú pre vyššie uvedený účel protokol CIFS (Common Internet File System), ktorého jadrom je protokol SMB (Server Message Block).

Autentizácia jednorazovým, dynamickým heslom

V tomto prípade je autentizačný údaj pri každom prístupe do systému iný a predstavuje ho jednorázové prístupové heslo OTP (z anglického One-Time Password).

Heslo sa generuje na základe tajnej informácie, poradia OTP a často aj na základe iných náhodných dát.

Ako zdroj unikátnych náhodných veličín môže byť použitý napríklad časový údaj, alebo údaj generovaný náhodne, na základe tzv. „mixujúcej funkcie“. (RFC4086). Mixujúcu funkciu je možné definovať ako funkciu, ktorá zachováva akúkoľvek entropiu (nejasnosť), obsiahnutú v ľubovoľnom z pôvodných zdrojov. Pri silnejšej požiadavke potom na výstupe dáva nelineárnu kombináciu všetkých vstupov (napr. náhodné pohyby myšou, náhodné údery klávesnice, digitalizovaný analógový audio alebo video vstup, atď.).

Na rozdiel od kryptografických autentizačných algoritmov sa tá istá „tajná informácia“ nachádza na oboch stranách – na strane klienta (na generovanie OTP) a na strane systému (na jeho overenie).

Medzi najznámejšie metódy OTP patrí S/Key (RFC1760), alebo OPIE (One-time Passwords In Everything).

Kryptografické autentizačné algoritmy

Najčastejšie používaný  RSA algoritmus založený na metóde asymerického šifrovania bol popísaný v roku 1977 autormi Ronom Rivestom, Adi Shamirom a Lenom Adlemanom z Massachusetts Institute of Technology. Názov algoritmu je odvodený z prvých písmen ich priezvisk.

V tomto prípade je autentizačný údaj pri každom prístupe do systému iný. Je ním elektronický podpis, vytvorený k náhodnej informácii, ktorú systém pošle klientovi pri prihlasovaní sa do systému. Po kontrole správnosti elektronického podpisu má klient umožnenú prácu so systémom.

Protokoly používajúce autentizačné mechanizmy

Nie je v možnostiach a ani cieľom jediného článku popísať podstatu zložitejších autentizačných protokolov (napr. RADIUS, TACACS, KERBEROS a i.).

Rovnako tak aj pravidlá a odporúčania pre tvorbu a údržbu hesiel si ponecháme na niektoré z pokračovaní.

Ivan Makatura

Vyjadrite váš názor v komentároch