Ταυτοποίηση και Πιστοποίηση (Identification & Authentication) Εισαγωγή - Βασικές Έννοιες Τεχνικές Ταυτοποίησης και Πιστοποίησης Συστήµατα που βασίζονται στην πληροφορία Συστήµατα που βασίζονται στην κατοχή αντικειµένου Συστήµατα που βασίζονται στη βιοµετρία ιαχείριση εδοµένων Πιστοποίησης Εφάπαξ Πιστοποίηση Μέτρα προστασίας Μερικά σχετικά εργαλεία 1
Εισαγωγή - Βασικές Έννοιες Ταυτοποίηση: η διαδικασία δήλωσης ταυτότητας από το χρήστη στο σύστηµα Πιστοποίηση: η διαδικασία µε την οποία ο χρήστης επιβεβαιώνει τον ισχυρισµό για την ταυτότητά του Σκοπός διαδικασιών ταυτοποίησης και πιστοποίησης : να εµποδιστεί η πρόσβαση µη εξουσιοδοτηµένων χρηστών ή διαδικασιών Ταυτότητα ή login name: ένας κωδικός όνοµα (π.χ. k_antonis) Πολλά συστήµατα παρέχουν µια ταυτότητα γενικού χρήστη (π.χ. guest) µε ελάχιστα δικαιώµατα 2
Εισαγωγή - Βασικές Έννοιες Κωδικός πρόσβασης password: µια µυστική λέξη Έστω ο χρήστης Α: Ο κωδικός πρόσβασης είναι γνωστός µόνο στο συγκεκριµένο χρήστη Α Κανείς άλλος δεν µπορεί να ισχυριστεί ότι είναι ο χρήστης Α Ο διαχειριστής του συστήµατος µπορεί να ελέγχει τις ενέργειες του Α Οι υπόλοιποι χρήστες µπορούν να ανταλλάσσουν µηνύµατα µαζί του 3
Εισαγωγή - Βασικές Έννοιες Λογαριασµός (account): διάθεση χώρου και δικαιωµάτων πρόσβασης από ένα σύστηµα σε ένα χρήστη που έχει κάποια ταυτότητα και κωδικό πρόσβασης Σηµεία µελέτης κατά το σχεδιασµό και την υλοποίηση διαδικασιών πιστοποίησης: συλλογή δεδοµένων πιστοποίησης ασφαλής µετάδοση δεδοµένων πιστοποίησης διασφάλιση του γεγονότος ότι ο χρήστης του οποίου η ταυτότητα που πιστοποιήθηκε είναι ο ίδιος µε αυτόν που συνεχίζει να χρησιµοποιεί το σύστηµα 4
Τεχνικές Ταυτοποίησης και Πιστοποίησης Α. Συστήµατα που βασίζονται στην πληροφορία Ορισµός: βασίζονται στο συσχετισµό ενός ονόµατος χρήστη µε µια πληροφορία που κατέχει ο χρήστης (password) Χρησιµοποιούνται εδώ και πολλά χρόνια Οι χρήστες είναι αρκετά εξοικειωµένοι µε αυτά Παρέχουν ικανοποιητικό επίπεδο ασφάλειας υπό την προϋπόθεση ότι διαχειρίζονται σωστά και φυλάσσονται επαρκώς 5
Τεχνικές Ταυτοποίησης και Πιστοποίησης Α.1 ιαδικασία πιστοποίησης Εισαγωγή ταυτότητας και κωδικού Σύγκριση µε τον αποθηκευµένο κωδικό ΤΕΛΟΣ ΝΑΙ Κωδικοί ίδιοι ; ΟΧΙ 6
Τεχνικές Ταυτοποίησης και Πιστοποίησης Α.2 Προβλήµατα που οδηγούν στην αποκάλυψη των κωδικών Κωδικοί που εύκολα µαντεύονται ή δύσκολα αποµνηµονεύονται Τυποποιηµένοι προκαθορισµένοι κωδικοί Παρακολούθηση εισαγωγής κωδικού ιαµοίραση κωδικών πρόσβασης Ηλεκτρονική παρακολούθηση Στο δικτυακό σύστηµα που χρησιµοποιείται για τη µετάδοση Στο ίδιο υπολογιστικό σύστηµα (εγκατάσταση trojan horse) Υποκλοπή αρχείου κωδικών Μεγάλος αριθµός κωδικών 7
Τεχνικές Ταυτοποίησης και Πιστοποίησης Β. Συστήµατα που βασίζονται στην κατοχή αντικειµένου Κάρτες µνήµης Χωρητικότητα περίπου 250Β Τα δεδοµένα πιστοποίησης καταγράφονται σε λωρίδα µαγνητικού υλικού Η λωρίδα µαγνητικού υλικού προσαρµόζεται στην επιφάνεια της κάρτας Οι κάρτες µνήµης ΜΟΝΟ αποθηκεύουν, ΕΝ επεξεργάζονται πληροφορία (π.χ. ΑΤΜ κάρτες) Πλεονέκτηµα: παρέχουν υψηλά σηµαντικότερα επίπεδα ασφάλειας από τους κωδικούς πρόσβασης 8
Τεχνικές Ταυτοποίησης και Πιστοποίησης Β. Συστήµατα που βασίζονται στην κατοχή αντικειµένου Κάρτες µνήµης Προβλήµατα κόστος ειδικών συσκευών διαχείριση απώλεια κάρτας δυσαρέσκεια χρηστών παραχώρηση δεδοµένων πιστοποίησης 9
Τεχνικές Ταυτοποίησης και Πιστοποίησης Β. Συστήµατα που βασίζονται στην κατοχή αντικειµένου Έξυπνες κάρτες (smart cards) Χωρητικότητα περίπου 35ΚΒ Έχουν ενσωµατωµένο µικροεπεξεργαστή Προσπελαύνονται µέσω ειδικών συσκευών Οι επαφές µε το εσωτερικό κύκλωµα έχουν τη µορφή επιχρυσωµένων περιοχών Το πρωτόκολλο ISO/IEC 7816 καθορίζει: την τοποθέτηση των επαφών το µέγεθος της κάρτας τα πρωτόκολλα επικοινωνίας µε τη συσκευή ανάγνωσης 10
Τεχνικές Ταυτοποίησης και Πιστοποίησης Β. Συστήµατα που βασίζονται στην κατοχή αντικειµένου Έξυπνες κάρτες (smart cards) Κατηγορίες πρωτοκόλλων: Στατικής ανταλλαγής κωδικών πρόσβασης: όπως οι κάρτες µνήµης, µε τη διαφορά ότι ο χρήστης πρώτα πιστοποιεί την ταυτότητά του στην κάρτα και κατόπιν η κάρτα στο σύστηµα υναµικής δηµιουργίας κωδικών πρόσβασης: η κάρτα παράγει κωδικό που µεταβάλλεται περιοδικά Ερώτησης απάντησης (σε περίπτωση που ο κωδικός είναι αποθηκευµένος στην κάρτα): βασίζονται στην κρυπτογραφία και η κάρτα πιστοποιεί το χρήστη 11
Τεχνικές Ταυτοποίησης και Πιστοποίησης Β. Συστήµατα που βασίζονται στην κατοχή αντικειµένου Έξυπνες κάρτες (smart cards) Πλεονεκτήµατα: παρέχουν µεγαλύτερη ασφάλεια από τις µαγνητικές κάρτες, λόγω του ότι ο χρήστης πρώτα πιστοποιεί την ταυτότητά του στην κάρτα δίνουν λύση στο πρόβληµα ηλεκτρονικής παρακολούθησης µε τη χρήση περιοδικών κωδικών πρόσβασης δεν µπορούν να αντιγραφούν παροχή πρόσβασης στο σύνολο των υπολογιστικών συστηµάτων ενός οργανισµού, µε πιστοποίηση µια µόνο φορά 12
Τεχνικές Ταυτοποίησης και Πιστοποίησης Β. Συστήµατα που βασίζονται στην κατοχή αντικειµένου Έξυπνες κάρτες (smart cards) Μειονεκτήµατα: κόστος χρήσης και διαχείρισης απώλεια κάρτας δυσαρέσκεια χρηστών κόστος συσκευής ανάγνωσης 13
Τεχνικές Ταυτοποίησης και Πιστοποίησης Γ. Συστήµατα που βασίζονται στη βιοµετρία Πιστοποίηση µε βάση ατοµικά χαρακτηριστικά: δακτυλικά αποτυπώµατα χαρακτηριστικά µατιού χροιά φωνής γραφικός χαρακτήρας κλπ. Είναι κατάλληλα για περιβάλλοντα στα οποία απαιτείται πολύ υψηλός βαθµός ασφάλειας 14
Τεχνικές Ταυτοποίησης και Πιστοποίησης Γ. Συστήµατα που βασίζονται στη βιοµετρία Μειονεκτήµατα: η τεχνολογία δεν είναι ακόµη τόσο ώριµη µεταβολή ατοµικών χαρακτηριστικών (π.χ. χροιά φωνής) τεχνική πολυπλοκότητα µεγάλο κόστος 15
Γενικά περιλαµβάνει: ιαχείριση εδοµένων Πιστοποίησης τη δηµιουργία δεδοµένων πιστοποίησης τη διανοµή δεδοµένων πιστοποίησης τακτική και σωστή ενηµέρωση των δεδοµένων πιστοποίησης την αποθήκευση δεδοµένων πιστοποίησης ώστε να πληρούνται οι κανόνες: εµπιστευτικότητας ακεραιότητας διαθεσιµότητας 16
ιαχείριση εδοµένων Πιστοποίησης Για τα συστήµατα που βασίζονται στην πληροφορία περιλαµβάνει: τον ορισµό πολιτικής ορισµού κωδικών πρόσβασης τον ορισµό πολιτικής ανανέωσης των κωδικών πρόσβασης τη συντήρηση του αρχείου κωδικών Για τα συστήµατα που βασίζονται στην κατοχή αντικειµένου περιλαµβάνει: δηµιουργία και διανοµή καρτών και κωδικών εγκατάσταση και συντήρηση συστήµατος αναγνώρισης καρτών κωδικών Για τα συστήµατα που βασίζονται στην βιοµετρία περιλαµβάνει: δηµιουργία και αποθήκευση προφίλ χρηστών 17
Εφάπαξ Πιστοποίηση Ορισµός : δυνατότητα πιστοποίησης ταυτότητας µόνο µια φορά για χρήση όλων των υπολογιστικών πόρων σε ένα οµογενές δίκτυο Κατηγορίες τεχνικών εφάπαξ πιστοποίησης για ετερογενή δίκτυα: Πιστοποίηση µεταξύ υπολογιστικών συστηµάτων: πιστοποίηση µια φορά σε ένα κεντρικό Η/Υ που αναλαµβάνει την πιστοποίηση στα άλλα υπολογιστικά συστήµατα Εξυπηρετητές πιστοποίησης: µια εφαρµογή-εξυπηρετητής αναλαµβάνει την πιστοποίηση των χρηστών, π.χ. Kerberos, SPX Πιστοποίηση µεταξύ χρήστη και συστήµατος: γίνεται σε κάθε σύστηµα ξεχωριστή πιστοποίηση, αλλά κάποιο κουπόνι (κάρτα ή πακέτο πληροφορίας που κινείται στο δίκτυο) διευκολύνει τη διαδικασία 18
Μέτρα Προστασίας Επιβολή κανόνων στη δηµιουργία κωδικών πρόσβασης (π.χ. χρήση 8 χαρακτήρων, µίξη κεφαλαίων πεζών γραµµάτων, κλπ.) Να µην διαµοιράζονται οι κωδικοί Οι κωδικοί να αποµνηµονεύονται εύκολα και να πληκτρολογούνται γρήγορα Χρήση πρακτικών µεθόδων στην εύρεση κωδικών πρόσβασης Χρήση προγραµµάτων που βοηθούν στην παραγωγή ασφαλών κωδικών πρόσβασης (password generators) Επιβολή ορίου αποτυχηµένων προσπαθειών πιστοποίησης και κλείδωµα λογαριασµού µε ικανοποίηση αυτού του ορίου Κρυπτογράφηση αρχείων κωδικών 19
Μέτρα Προστασίας Περιορισµός πρόσβασης στα αρχεία κωδικών (εφαρµογή µηχανισµού shadow password file για περιορισµό δικαιωµάτων ανάγνωσης των κρυπτογραφηµένων αρχείων) Καταγραφή και αναφορά όλων των προσπαθειών απόκτησης των αρχείων των κωδικών Χρησιµοποίηση εικονικού αρχείου κωδικών µε σκοπό την παραπλάνηση µη εξουσιοδοτηµένων χρηστών Χρήση προγραµµάτων ανίχνευσης «εύκολων» κωδικών και λογαριασµών (π.χ. root) µε ιδιαίτερα προνόµια που κινδυνεύουν να παραβιαστούν Χρήση προγραµµάτων ειδικά σε παραβίαση κωδικών για έλεγχο των κωδικών πρόσβασης 20
Μέτρα Προστασίας Ενηµέρωση για τον χρόνο της τελευταίας εισόδου ενός χρήστη στο σύστηµα Επιβολή κανόνων στις ώρες που κάποιος χρήστης µπορεί να χρησιµοποιεί το σύστηµα Λογαριασµοί που µένουν ανενεργοί για µεγάλο διάστηµα να κλειδώνονται 21
Μερικά Σχετικά Εργαλεία npasswd (http://www.utexas.edu/cc/unix/software/npasswd) έχει αναπτυχθεί από το University of Texas at Austin επιτρέπει την επιβολή κανόνων για ασφαλείς κωδικούς πρόσβασης ελέγχει την ύπαρξη του επιλεγµένου κωδικού πρόσβασης σε διάφορα λεξικά COPS (http://www.ietf.org/proceedings/99jul/slides/rap-security- 99jul/sld001.htm) έχει αναπτυχθεί από τη SUN ελέγχει για κωδικούς πρόσβασης που είναι εύκολο να µαντευθούν ελέγχει λογαριασµούς µε ιδιαίτερα προνόµια που µπορούν εύκολα να παραβιαστούν, κλπ. 22
chkacct είναι ισοδύναµο του COPS Μερικά Σχετικά Εργαλεία John the Ripper (http://www.openwall.com/john/) είναι ισοδύναµο του COPS crack έχει αναπτυχθεί από τo University College of Wales ειδικεύεται στην παραβίαση κωδικών πρόσβασης αναζητεί κωδικούς από δεδοµένα λεξικά µε συνηθισµένους κωδικούς πρόσβασης, τα οποία πρέπει να ανανεώνονται τακτικά 23
Μερικά Σχετικά Εργαλεία kerberos (http://web.mit.edu/kerberos/www) έχει αναπτυχθεί από τo MIT παρέχει πιστοποίηση σε εφαρµογές πελάτη-εξυπηρετητή µε χρήση κρυπτογράφησης µυστικού κλειδιού LDAP (http://tldp.org/cgi-bin/ldpsrch.cgi) ανάλογο του kerberos και επιπλέον παρέχει δυνατότητα αποθήκευσης domain name service (DNS) δυνατότητα αποθήκευσης δεδοµένων χρηστών, όπως bookmarks, mails, κλπ, που επιτρέπουν χρήση roaming εφαρµογών 24
Βιβλιογραφία Hacker Proof, Lars Klander, Jamsa Press, 1997 Ασφάλεια Πληροφοριακών Συστηµάτων και ικτύων, Γ. Πάγκαλος και Ι. Μαυρίδης, ΑΝΙΚΟΥΛΑ, 2002. 25