Ασφάλεια ΠΣ Ταυτοποίηση και Αυθεντικοποίηση Πολιτικές και Μοντέλα Ασφάλειας Έλεγχος Προσπέλασης Δημήτρης Μπαλτατζής PhD, Msc, 19/11/2013 1
Ασφάλεια Πληροφοριών Σε νομικό και κοινωνικό επίπεδο, χρειαζόμαστε προστασία του απορρήτου της ηλεκτρονικής αλληλογραφίας (e-mail) των συναλλαγών (αριθμός πιστωτικής κάρτας, τραπεζικό απόρρητο) του ιατρικού απορρήτου των προσωπικών στοιχείων και δεδομένων του κάθε χρήστη του Διαδικτύου, που με διάφορους τρόπους μπορούν να συλλεχθούν από τρίτους και να χρησιμοποιηθούν για οποιονδήποτε σκοπό χωρίς τη συγκατάθεση του. Σε ακαδημαϊκό επίπεδο, χρειαζόμαστε προστασία αποτελεσμάτων ακαδημαϊκής έρευνας ευαίσθητων προσωπικών δεδομένων (βαθμολογία φοιτητών) ακαδημαϊκών μελετών πνευματικών δικαιωμάτων (copyright) των μελών της ακαδημαϊκής κοινότητας. Σε οικονομικό επίπεδο, χρειαζόμαστε ασφάλεια και προστασία των εμπορικών δεδομένων και συναλλαγών εξασφάλιση της εγκυρότητας των συναλλαγών μέσω της αποδοχής μίας ηλεκτρονικής υπογραφής
90/10 Rule 90% People Process 10% Technology
Παράμετροι ασφάλειας Βασικές έννοιες Εμπιστευτικότητα ακεραιότητα διαθεσιμότητα έλεγχος προσπέλασης έλεγχος (audit) κ.λπ. στις ΒΔ 19/11/2013 4
Εμπιστευτικότητα Προστασία από μη εξουσιοδοτημένη πρόσβαση στην πληροφορία. Πρόσβαση: Ανάγνωση πληροφορίας. Αποκάλυψη πληροφορίας σε τρίτους.
Παράδειγμα Ανάγκης για Εμπιστευτικότητα Μια εταιρεία επιτρέπει στους υπαλλήλους της να έχουν απομακρυσμένη πρόσβαση στα αρχεία της. Οι υπάλληλοι της εταιρείας έχουν διαβαθμισμένη πρόσβαση στα δεδομένα της δηλ δεν έχουν όλοι πρόσβαση στην ίδια πληροφορία. Έστω ότι κάποιο στέλεχος της εταιρείας συνδέεται απομακρυσμένα στο δίκτυό της και ζητά πρόσβαση σε ένα πόρο: Το σύστημα πρέπει να αποφασίσει αν έχει τα προνόμια (εξουσιοδότηση) για να χρησιμοποιήσει αυτόν τον πόρο.
Ακεραιότητα Προστασία των δεδομένων από μη εξουσιοδοτημένη μεταβολή τους. Μεταβολή: Δημιουργία νέων δεδομένων. Τροποποίηση ήδη υπαρχόντων δεδομένων. Διαγραφή ήδη υπαρχόντων δεδομένων. Εξασφαλίζει: Αυθεντικότητα των δεδομένων. Μη απάρνηση των δεδομένων (εγγύηση συμμετοχής όλων των εμπλεκομένων μερών στη διακίνηση της πληροφορίας).
Παράδειγμα Ανάγκης για Ακεραιότητα Μια εταιρεία διατηρεί υποκαταστήματα σε διάφορες περιοχές με τα οποία χρειάζεται να επικοινωνεί. Η λύση της διατήρησης ιδιωτικών γραμμών για την επικοινωνία είναι ακριβή Με τη χρήση του Διαδικτύου (δημόσιο δίκτυο) η εταιρεία, αφού δεν μπορεί να προστατέψει το κανάλι μεταφοράς των δεδομένων, πρέπει να προστατέψει τα ίδια τα δεδομένα που διακινούνται.
Διαθεσιμότητα Εξασφάλιση έγκαιρης και έγκυρης πρόσβασης στην πληροφορία. Επικάλυψη με άλλες περιοχές όπως ανοχή βλαβών. Η ασφάλεια επικεντρώνεται στην προστασία από επιθέσεις που έχουν ως στόχο τον περιορισμό της διαθεσιμότητας της πληροφορίας. Επιθέσεις άρνησης παροχής υπηρεσίας (denial of service attacks).
Παράδειγμα Ανάγκης για Διαθεσιμότητα Μια εταιρεία παρέχει μια ηλεκτρονική υπηρεσία αγορών στους πελάτες της. Οι πελάτες πρέπει να μπορούν ανά πάσα στιγμή να έχουν πρόσβαση στην υπηρεσία, να βλέπουν τα προϊόντα και να πραγματοποιούν τις αγορές τους μέσα σε ένα εύλογο χρονικό διάστημα.
19/11/2013 11
19/11/2013 Ι. Ταυτοποίηση Αυθεντικοποίηση 12
Ταυτοποίηση Αυθεντικοποίηση Είναι η διαδικασία επιβεβαίωσης της ταυτότητας ενός χρήστη Γιατί; Αποτελεί παράμετρο για την μετέπειτα λήψη αποφάσεων ελέγχου προσπέλασης Η ταυτότητα του χρήστη καταγράφεται μαζί με πράξεις σχετικές με την ασφάλεια του συστήματος σε ειδικό χώρο (audit trail)
Ταυτοποίηση - αυθεντικοποίηση Ταυτοποίηση (identification) ενός λογικού υποκειμένου καλείται η διαδικασία εκείνη, κατά την οποία το λογικό υποκείμενο παρέχει σε ένα ΠΣ τις πληροφορίες που απαιτούνται προκειμένου να συσχετιστεί με ένα από τα αντικείμενα που δικαιούνται προσπέλασης στους πόρους (resources) του. Αυθεντικοποίηση (authentication) ενός λογικού υποκειμένου, καλείται η διαδικασία εκείνη, κατά την οποία ένα λογικό υποκείμενο παρέχει σε ένα ΠΣ τις πληροφορίες που απαιτούνται προκειμένου να ελεγχθεί η βασιμότητα της συσχέτισης που επιτεύχθηκε κατά τη διαδικασία της ταυτοποίησης.
Αυθεντικοποίηση Οντότητες που συμμετέχουν: Ένα φυσικό πρόσωπο ή και πρόγραμμα (ενάγων - claimant) Παρουσιάζει αποδεικτικά στοιχεία (evidence) Σε μία άλλη οντότητα (επαληθευτής - relying party) Τα οποία μπορούν να έχουν προέλθει αποκλειστικά από την παρουσιαζόμενη ταυτότητα (identity)
Τεχνικές αυθεντικοποίησης-πως; Από στοιχεία που έχει ο χρήστης: Από κάτι που γνωρίζει Από κάτι που κατέχει Από χαρακτηριστικά του ίδιου του χρήστη Προσωπικά χαρακτηριστικά (biometrics) Από μια πράξη Κάτι που λέει κάποιος άλλος (π.χ. εγγυητής) Τοποθεσία όπου βρίσκομαι (π.χ. κονσόλα συστήματος, GPS, διεύθυνση IP) Παραδείγματα Ονοματεπώνυμο, Πατρώνυμο, Κωδικός Εμφάνιση: όψη, ύψος, βάρος, φύλο... Κοινωνική συμπεριφορά Ταυτότητα, διαβατήριο, δημόσιο έγγραφο Φοιτητική κάρτα, κάρτα βιβλιοθήκης Τραπεζική μαγνητική κάρτα και PIN, έξυπνες κάρτες, κουπόνια Δακτυλικό αποτύπωμα, DNA Κλειδί Επιβληθέντα χαρακτηριστικά: βραχιόλι, τατουάζ, εμφύτευση μικροτσίπ - Informatics Laboratory - University of Thessaloniki http://infolab.gen.auth.gr -
Παράδειγμα Προστατευόμενος πόρος Κάτι που γνωρίζει Κάτι που έχει Κάτι που είναι Γεωγραφική θέση Πλατφόρμα, Host Όνομα χρήστη/ συνθηματικό Ιδιωτικό κλειδί - Έξυπνη κάρτα Βιομετρικό σύστημα (δακτυλικό αποτύπωμα, γεωμετρία χεριού, αναγνώριση προσώπου0 Αναγνωριστικό υπολογιστή ή ΙP διεύθυνση Σύστημα Διαχείρισης Δικτύου (σύστημα αρχείων και εκτυπώσεων) Όνομα χρήστη/ συνθηματικό Ιδιωτικό κλειδί - Έξυπνη κάρτα - Ψηφιακό πιστοποιητικό Βιομετρικό σύστημα (δακτυλικό αποτύπωμα, γεωμετρία χεριού, αναγνώριση προσώπου0 Έλεγχος χρονικής στιγμής ή θέση του Η/Υ από τον οποίο γίνεται η πρόσβαση Υπηρεσία Δικτύου (Web, FTP, Telnet) Όνομα χρήστη/ συνθηματικό Ιδιωτικό κλειδί - Έξυπνη κάρτα Διεύθυνση IP Σύστημα Διαχείρισης Βάσεων Δεδομένων Όνομα χρήστη/ συνθηματικό Διεύθυνση IP
Σύστημα Αυθεντικοποίησης Αποτελείται από : Το σύνολο Α που περιέχει τις πληροφορίες με βάση τις οποίες κάθε λογικό υποκείμενο αποδεικνύει την ταυτότητά του. Το σύνολο C που περιέχει τις συμπληρωματικές πληροφορίες που αποθηκεύει και χρησιμοποιεί το σύστημα ώστε να επικυρώνει πληροφορίες αυθεντικοποίησης. Το σύνολο F των συμπληρωματικών συναρτήσεων που δημιουργούν τις συμπληρωματικές πληροφορίες για την αυθεντικοποίηση. Δηλαδή, για f F, τότε f: A C. Το σύνολο L των συναρτήσεων αυθεντικοποίησης που αναγνωρίζουν ένα λογικό υποκείμενο. Δηλαδή, για l L, l: A x C {true, false}. Το σύνολο S λοιπών συναρτήσεων επιλογής που δίνουν τη δυνατότητα σε ένα λογικό υποκείμενο να δημιουργήσει ή να τροποποιήσει τις πληροφορίες της αυθεντικοποίησης ή τις συμπληρωματικές πληροφορίες.
Πλεονεκτήματα και μειονεκτήματα 1(2) Τύπος I: Κάτι που γνωρίζει Μειονεκτήματα: Τα τεκμήρια αυθεντικοποίησης εύκολα μπορούν να αντιγραφούν Συνήθως είναι εύκολο να τα μαντέψει κανείς, χωρίς ιδιαίτερες τεχνικές γνώσεις Συνήθως μπορούν να αποκαλυφθούν με αυτοματοποιημένες μεθόδους Πλεονεκτήματα: Εύκολη υλοποίηση και εφαρμογή Τροποποιούνται εύκολα Δε χάνονται ή κλέβονται Αν και είναι απλά στη χρήση τους, στην περίπτωση που είναι ένας μοναδικός συνδυασμός αριθμών και γραμμάτων, δεν αποκαλύπτονται εύκολα
Πλεονεκτήματα και μειονεκτήματα 2(2) Τύπος ΙΙ: Κάτι που κατέχει Μειονεκτήματα: Υψηλό κόστος Μπορούν να χαθούν ή να κλαπούν Πλεονεκτήματα: Δεν αντιγράφονται εύκολα καθώς κατασκευάζονται από ειδικά υλικά τα οποία δεν είναι ευρέως διαθέσιμα Τύπος ΙΙΙ: Κάτι που χαρακτηρίζει το χρήστη Μειονεκτήματα: Δυσκολίες στην κατασκευή αξιόπιστων συσκευών αναγνώρισης με χαμηλό κόστος Δεν είναι αλάνθαστα Πλεονεκτήματα: Παρέχουν μεγαλύτερη ασφάλεια από τον Τύπο I και Τύπο II.
Συνθηματικά Είναι ο πλέον διαδεδομένος τρόπος αυθεντικοποίησης χρηστών. Στην απλούστερη μορφή το συνθηματικό (password) είναι μια μυστική πληροφορία που μοιράζονται ο ενάγων (χρήστης) και ο επαληθευτής (το σύστημα): Ο ενάγων παράγει ένα μυστικό συνθηματικό Ο επαληθευτής καταχωρεί το συνθηματικό για το συγκεκριμένο όνομα του ενάγοντος Κατά την αυθεντικοποίηση ο ενάγων παρουσιάζει το όνομά του και το συνθηματικό του. Ο επαληθευτής επιβεβαιώνει ότι το συνθηματικό ταιριάζει με το ήδη καταχωρημένο.
Συνθηματικά: Πλεονεκτήματα Απλή λειτουργία, περιορισμένη σχεδιαστική πολυπλοκότητα Χαμηλό κόστος (δεν απαιτεί πρόσθετο εξοπλισμό υλοποίησης ή εξειδικευμένες γνώσεις ή επιπλέον εκπαίδευση των χρηστών του ΠΣ) Παροχή ικανοποιητικού βαθμού προστασίας.
Συνθηματικά: Μειονεκτήματα Πιθανότητα τυχαίας αποκάλυψης του συνθηματικού Πιθανότητα αποκάλυψης συνθηματικού με συστηματικό τρόπο Πιθανότητα αποκάλυψης του συνθηματικού κατά τη διάρκεια της μετάδοσής του (ειδικά σε κατανεμημένα περιβάλλοντα δικτύων) Μέθοδοι υποκλοπής Brute force Smart search Social engineering Dictionary attacks Spoofing attacks
Αδυναμίες των συνθηματικών Εύκολη απομνημόνευση: μαντεύονται (π.χ. γενέθλια, αριθμός αυτοκινήτου, όνομα σκύλου) Δύσκολη απομνημόνευση: γράφονται σε χαρτάκια και ατζέντες Λεξικογραφική επίθεση (dictionary attack): Επιλογή ενός συνόλου πιθανών συνθηματικών και δοκιμή όλων Αυτόματο σύστημα που δοκιμάζει όλες τις λέξεις που περιέχονται σε ένα λεξικό Εξαντλητική έρευνα (brute force attack): Δοκιμή όλων των δυνατών συνδυασμών συμβόλων Πολύ αποτελεσματική για την εικασία συνθηματικών με μικρό μήκος και περιορισμένο δείγμα συμβόλων (π.χ. κενό ή 1234 ή ABCD ) Π.χ. L0ptcrack.exe
Αντιμετώπιση αδυναμιών (1) Άμεση αλλαγή των προκαθορισμένων συνθηματικών (π.χ. κενό, manager, system κλπ) Καθορισμός ελάχιστου μήκους συνθηματικού Εμπλουτισμός του συνόλου των συμβόλων (π.χ. Μικρά, κεφαλαία, αριθμοί, μη αλφαριθμητικοί χαρακτήρες) Υποχρεωτική τακτική ανανέωση των συνθηματικών Ορισμός ξεχωριστού συνθηματικού για κάθε πρόσωπο και όχι για ομάδες χρηστών
Αντιμετώπιση αδυναμιών (2) Αποφυγή προφανών συνθηματικών Το προφανές είναι πλέον πολύ ευρεία έννοια (π.χ. ηλεκτρονικά λεξικά σε δεκάδες γλώσσες) Καθυστέρηση μεταξύ διαδοχικών προσπαθειών αυθεντικοποίησης Προσθήκη πλασματικής καθυστέρησης Χρήση αλγόριθμων με μεγάλες επεξεργαστικές απαιτήσεις Καθορισμός ημερομηνίας λήξης συνθηματικού Απαγόρευση χρήσης παλιού συνθηματικού Κλείδωμα λογαριασμού μετά από κάποιες αποτυχημένες προσπάθειες
Αντιμετώπιση αδυναμιών (3) Αυτόματη δημιουργία συνθηματικών από το σύστημα. Όμως: Δύσκολη απομνημόνευση Είναι γνωστά στο σύστημα Κατασταλτικός έλεγχος. Όμως: Απαιτεί πολλούς πόρους Μεγάλο μεσοδιάστημα Προληπτικός έλεγχος: Έλεγχος κατά τη στιγμή της δημιουργίας Καθορισμός κανόνων για ισχυρά συνθηματικά
Κριτήρια Επιλογής Συνθηματικών Μήκος Συνθηματικού: ορίζεται ελάχιστο μήκος για τα συνθηματικά Μορφότυπο Συνθηματικού: συνδυασμός γραμμάτων, αριθμών και ειδικών χαρακτήρων. Αποφυγή εύκολων συνθηματικών: εκπαίδευση των χρηστών Οδηγίες φύλαξης: να φυλάσσονται σε ασφαλές μέρος. Αλλαγή συνθηματικών: να εφαρμόζεται αυτόματος έλεγχος αλλαγής των συνθηματικών από τους χρήστες
Συνθηματικά μιας χρήσης Για το σκοπό αυτό χρησιμοποιείται μια λίστα από συνθηματικά (ξεχωριστή για κάθε χρήστη) και κάθε φορά χρησιμοποιείται ένα από αυτά (για μια μοναδική φορά) μέχρι να εξαντληθούν. Πρέπει να προσεχθεί: ο τρόπος διανομής η προστασία των λιστών από κλοπή
Υποκλοπή συνθηματικών Ψεύτικη οθόνη σύνδεσης Αντιμετώπιση: Επίδειξη πλήθους αποτυχημένων προσπαθειών Εγγύηση ότι ο χρήστης επικοινωνεί με το ΛΣ και όχι με πρόγραμμα υποκλοπής (π.χ. CTRL+ALT+DEL) Αμοιβαία αυθεντικοποίηση (π.χ. κρυπτογραφικά πρωτόκολλα) Υποκλοπή μέσω δικτυακής σύνδεσης Αντιμετώπιση: Κρυπτογράφηση Συνθηματικά μιας χρήσης
Παραβίαση αρχείου συνθηματικών Τα συνθηματικά αποθηκεύονται στον Η/Υ προκειμένου να ελέγχονται οι χρήστες. Αποθήκευση σε κρυπτογραφημένη μορφή (π.χ. Στο Unix: /etc/passwd) Έλεγχος πρόσβασης στο αρχείο Συνδυασμός των παραπάνω για την αποτροπή λεξικογραφικών επιθέσεων Αδιαφανής διαδικασία (π.χ. Windows 2000) Σκιώδη αρχεία συνθηματικών (shadow files, π.χ. /.secure/etc/passwd)
Επίθεση στο ημερολόγιο συμβάντων (system log-audit trail) Στα event log (windows) ή syslog (Unix) καταγράφονται οι αποτυχημένες προσπάθειες αυθεντικοποίησης Συνηθισμένο λάθος των χρηστών είναι να γράφουν το συνθηματικό στη θέση του ονόματος χρήστη Συνεπώς το συνθηματικό καταγράφεται στο ημερολόγιο και είναι αναγνώσιμο από όποιον έχει δικαίωμα ανάγνωσης του ημερολογίου
Αρχείο συνθηματικών Unix Μορφή εγγραφής: Προστασία μέσω μονόδρομης κρυπτογράφησης (αλγόριθμος DES) Ο υπολογισμός των συνθηματικών είναι δύσκολος έως αδύνατος Αργή κρυπτογράφηση Αλάτισμα συνθηματικού (παράγεται μια τυχαία τιμή των 12-bit και χρησιμοποιείται για την μεταβολή του αποτελέσματος του αλγόριθμου DES)
Μονόδρομες συναρτήσεις (1) Χρειαζόμαστε μία συνάρτηση που είναι μονόδρομη για την αποθήκευση συνθηματικών (one-way function): Εύκολος ευθύς υπολογισμός: y = f (x) Δύσκολη η αντιστροφή: x = f 1 (y) ( υπολογιστικά ανέφικτη ) Οι συναρτήσεις σύνοψης (hash) ή ίχνους ή αποτυπώματος έχουν αυτή την ιδιότητα Δέχονται αυθαίρετη είσοδο και παράγουν έξοδο σταθερού μήκους Παραδείγματα: Αλγόριθμος md5 (message digest) έξοδος 128 bits. Αλγόριθμος SHA (secure hash algorithm) έξοδος 160 bits. Πρόσθετες ιδιότητες: Ακόμα και αν τα x 1 και x 2 διαφέρουν ελάχιστα, τα f(x 1 ) και f(x 2 ) θα είναι τελείως διαφορετικά. Είναι πρακτικά αδύνατο να βρεθούν x 1 x 2 έτσι ώστε f(x 1 )=f(x 2 ) ( Ελεύθερο συγκρούσεων - Collision resistant )
Μονόδρομες συναρτήσεις (2) Είσοδος (απειροσύνολο) x 1 Έξοδος (σύνολο όλων των αριθμών 128 bit) 2 128 ~ 3,4*10 38 στοιχεία x 2 y 2 x 3 y 1 y 3
Παράδειγμα Χρήστης Καταχώρηση: g01f Προσπάθεια 1: golf Προσπάθεια 2: g01f Υπολογιστής hash function hash function hash function Αρχείο j1mq9xy3 (αποθήκευση) nks8hwia (σύγκριση) j1mq9xy3 (σύγκριση) Επίθεση:??? j1mq9xy3 (υπολογιστικά ανέφικτο)
Απλές Συναρτήσεις Σύνοψης Λειτουργία μιας συνάρτησης σύνοψης με bit-by-bit XOR... Bit 1 Bit 2 Bit n Block 1 Block 2 Block m Κώδικας σύνοψης b 11 b 21 b n1 b 12 b 22 b n2............ b 1m b 2m b nm C 1 C 2 C n
Συνάρτηση Σύνοψης SHA-1 Διαδικασία παραγωγής σύνοψης μηνύματος Επισύναψη (1 to 512 bits) Μήκος μηνύματος (K) L x 512 bits = N x 32 bits K bits Μήνυμα 100...0 512 512 512 512 IV 160 Y 0 Y 1... Y q... Y L-1 512 512 512 512 160 160 160 H SHA H SHA H SHA H SHA CV1 CVq CV L-1 160-bit σύνοψη
Διαδικασία παραγωγής σύνοψης Η διαδικασία παραγωγής σύνοψης ενός μηνύματος περιλαμβάνει: Βήμα 1: Επισύναψη Επιπρόσθετων Ψηφίων Βήμα 2: Επισύναψη του Μήκους του Μηνύματος Βήμα 3: Αρχικοποίηση του Καταχωρητή MD Βήμα 4: Επεξεργασία Μηνύματος σε Τμήματα των 512 bits ή ισοδύναμα των 16 λέξεων Βήμα 5: Έξοδος
Γενικές Αρχές Ασφαλών Συναρτήσεων Σύνοψης Συγκριτική παρουσίαση των αλγορίθμων σύνοψης MD5, SHA-1, RIPEMD-160 MD5 SHA-1 RIPEMD-160 Μήκος Σύνοψης Βασική μονάδα επεξεργασίας Αριθμός βημάτων Μέγιστο μέγεθος μηνύματος Αρχική τοπική συνάρτηση Επιιπλέον χρησιμοποιούμενες σταθερές 128 bits 160 bits 160 bits 512 bits 512 bits 512 bits 64 (4 rounds of 16) 80 (4 rounds of 20) 160 (5 paired rounds of 16) 2 64-1 bits 4 4 5 64 4 9
Αποθήκευση συνθηματικών Το Unix και τα Windows δεν αποθηκεύουν πουθενά ένα συνθηματικό (p) ενός χρήστη. Αποθηκεύουν μόνο τη σύνοψη, h = f(p), του συνθηματικού. Γνωρίζουμε ότι: Είναι πρακτικά ανέφικτο να υπολογίσουμε το p δοθέντος του h. Κατά τη φάση της αυθεντικοποίησης: Ένας χρήστης δίνει το συνθηματικό p o Το ΛΣ υπολογίζει τη σύνοψη h o = f(p o ), και ελέγχει αν h o = h. Αν πράγματι h o = h τότε θεωρείται βέβαιο ότι p o = p, και άρα ο χρήστης απέδειξε την ταυτότητά του. Συνεπώς: Το αρχείο συνθηματικών δεν χρήζει ιδιαίτερης προστασίας Όμως: Όποιος έχει πρόσβαση στο αρχείο συνθηματικών μπορεί να εκτελέσει εξαντλητική ή λεξικογραφική επίθεση
Eπίθεση μαντέματος κωδικών εκτός σύνδεσης. Αυτή η επίθεση υποθέτει ότι ο επιτιθέμενος: είτε έχει αντίγραφο του κρυπτογραφημένου αρχείου ή το κρυπτογραφημένο αρχείο κωδικών του διακομιστή και μπορεί να δοκιμάζει κωδικούς όσο πιο γρήγορα μπορεί. Υπάρχουν περιπτώσεις όπου αυτή η επίθεση δεν έχει νόημα. Για παράδειγμα, οι κάρτες ATM είναι ασφαλείς ακόμη κι αν έχουν μόνο ένα τετραψήφιο αριθμό PIN, επειδή δεν μαντεύεις κωδικούς εκτός σύνδεσης Το σύστημα κλειδί-εγγύηση (key-escrow) του προγράμματος κρυπτογράφησης είναι σίγουρα πιο ευάλωτο από τον κωδικό πρόσβασης, όπως και κάθε μυστική ερώτηση που έχετε βάλει σε περίπτωση που ξεχάσετε τον κωδικό σας.
Αποκάλυψη κωδικών εκτός σύνδεσης Η εταιρεία AccessData πουλάει το Password Recovery Toolkit, ή PRTK. Ανάλογα με το λογισμικό που επιτίθεται, το PRTK μπορεί να δοκιμάσει μέχρι και εκατοντάδες χιλιάδες κωδικούς ανά δευτερόλεπτο και δοκιμάζει λιγότερο κοινούς κωδικούς πιο γρήγορα από τους πιο σύνθετους. Επομένως, η ασφάλεια του κωδικού εξαρτάται από δύο πράγματα: οι λεπτομέρειες του λογισμικού που καθυστερούν το μάντεμα του κωδικού με ποια σειρά τα προγράμματα όπως το PRTK μαντεύουν διαφορετικούς κωδικούς.
Ορισμένα λογισμικά περιλαμβάνουν ρουτίνες που είναι σκοπίμως σχεδιασμένες για να καθυστερούν το μάντεμα του κωδικού. Τα καλά λογισμικά κρυπτογράφησης δεν χρησιμοποιούν τον κωδικό ως κλειδί κρυπτογράφησης. Υπάρχει μια διαδικασία που μετατρέπει τον κωδικό σε κλειδί κρυπτογράφησης. Και το λογισμικό μπορεί να καθυστερήσει αυτή τη διαδικασία όσο θέλει. Τα αποτελέσματα βρίσκονται παντού. Για παράδειγμα το Microsoft Office έχει μια απλή μετατροπή από κωδικό σε κλειδί, οπότε το PRTK μπορεί να δοκιμάσει 350,000 κωδικούς του Microsoft Word ανά δευτερόλεπτο σε υπολογιστή 3-GHz Pentium 4, που είναι ένας σχετικά χαρακτηριστικός υπολογιστής της εποχής. Το WinZip παλαιότερα ήταν χειρότερο πάνω από ένα εκατομμύριο μαντέματα ανά δευτερόλεπτο για την έκδοση 7.0 αλλά με την έκδοση 9.0, η λειτουργία επαύξησης του κρυπτοσυστήματος έχει βελτιώσει τα πράγματα σημαντικά: το PRTK μπορεί να δοκιμάσει μόνο 900 κωδικούς ανά δευτερόλεπτο. Και το PGP δυσκολεύει σκοπίμως προγράμματα όπως το PRTK, επιτρέποντας 900 μαντέματα το δευτερόλεπτο. Όταν γίνεται επίθεση σε προγράμματα με σκοπίμως αργές αυξήσεις, είναι σημαντικό να υπολογίζεις το κάθε μάντεμα. Μια επίθεση έξι απλών μικρών χαρακτήρων, από αααααα μέχρι ωωωωωω έχει πάνω από 308 συνδυασμούς. Και γενικά δεν είναι παραγωγική, επειδή το πρόγραμμα περνάει τον περισσότερο χρόνο του δοκιμάζοντας απίθανους κωδικούς όπως πςζρςξ. - Informatics Laboratory - University of Thessaloniki http://infolab.gen.auth.gr -
Σύμφωνα με τον Eric Thompson της AccessData, ένας τυπικός κωδικός περιλαμβάνει μια ρίζα συν ένα παράρτημα. Η ρίζα δεν είναι απαραίτητα μια λέξη στο λεξικό, αλλά είναι κάτι που προφέρεται. Το παράρτημα είναι είτε πρόθεμα (90%) ή επίθημα (10%). Επομένως, η πρώτη επίθεση που κάνει το PRTK είναι να δοκιμάσει ένα λεξικό με 1,000 περίπου κοινούς κωδικούς, όπως letmein, password, 123456 και ούτω καθεξής. Στη συνέχεια τους δοκιμάζει με 100 περίπου κοινά επιθήματα 1, 4u, 69, abc και τα λοιπά. Ανακτά περίπου το 24% όλων των κωδικών με αυτούς τους 100,000 συνδυασμούς!!!! Στη συνέχεια, το PRTK ξεφυλλίζει μια σειρά όλο και πιο σύνθετων λεξικών με ρίζες και παραρτήματα. Τα λεξικά με ρίζες περιλαμβάνουν: Κοινές λέξεις λεξικού: 5,000 λήμματα Λεξικό κυρίων ονομάτων: 10,000 λήμματα Αναλυτικό λεξικό: 100,000 λήμματα Λεξικό φωνητικής μορφής: 1/10,000 από εξαντλητική έρευνα χαρακτήρων - Informatics Laboratory - University of Thessaloniki http://infolab.gen.auth.gr -
Η μυστική συνταγή της AccessData είναι η σειρά με την οποία τρέχει τους διάφορους συνδυασμούς λεξικών με ρίζες και παραρτήματα. Η έρευνα της εταιρείας δείχνει ότι το «κλειδί» των κωδικών είναι μια ρίζα από επτά ως εννέα χαρακτήρες συν ένα κοινό παράρτημα και είναι πιο πιθανό να επιλέξει κανείς μια ρίζα δύσκολη από ένα μη κοινό παράρτημα. Κανονικά, το PRTK τρέχει σε δίκτυο υπολογιστών. Το μάντεμα κωδικών είναι μια εργασία που μπορεί να διανεμηθεί και μπορεί να τρέχει στο παρασκήνιο. Ένας μεγάλος οργανισμός, μπορεί εύκολα να έχει εκατοντάδες υπολογιστές να ψάχνουν μανιωδώς για τον κωδικό κάποιου. Μια εταιρεία που λέγεται Tableau κατασκευάζει ειδικό πρόσθετο υλικό (H/W) FPGA για να επιταχύνει το PRTK για αργά προγράμματα, όπως PGP και WinZip, με αύξηση της επίδοσης περίπου 150-300 φορές. - Informatics Laboratory - University of Thessaloniki http://infolab.gen.auth.gr -
Πόσο καλά είναι όλα αυτά; Ο Eric Thompson υπολογίζει ότι μέσα σε 2 βδομάδες με ένα μήνα, το λογισμικό του σπάει 55-65% όλων των κωδικών. (Εξαρτάται, βέβαια, πολύ από την εφαρμογή.) Αυτά τα αποτελέσματα είναι καλά, αλλά όχι τέλεια. Αλλά αυτό δεν προϋποθέτει βιογραφικά στοιχεία. Όποτε μπορεί, η AccessData συγκεντρώνει οποιεσδήποτε προσωπικές πληροφορίες για το υποκείμενο προτού ξεκινήσει. Αν δει άλλους κωδικούς μπορεί να μαντέψει τι είδους κωδικούς χρησιμοποιεί το υποκείμενο. Πόσο μεγάλη ρίζα χρησιμοποίησε; Τι είδους ρίζα; Βάζει παραρτήματα στην αρχή ή το τέλος; Χρησιμοποιεί αντικαταστάσεις; Οι ταχυδρομικοί κώδικες είναι κοινά παραρτήματα, οπότε μπαίνουν στο αρχείο. Όπως και διευθύνσεις, ονόματα από ατζέντα, άλλοι κωδικοί και άλλες προσωπικές πληροφορίες. Τα δεδομένα αυτά κάπως ανεβάζουν το ποσοστό επιτυχίας του PRTK, αλλά αυτό που έχει μεγαλύτερη σημασία είναι ότι μειώνει το χρόνο από βδομάδες σε μέρες ή και σε ώρες. - Informatics Laboratory - University of Thessaloniki http://infolab.gen.auth.gr -
Οπότε αν θέλουμε έναν κωδικό δύσκολο στο μάντεμα, θα πρέπει: να επιλέξουμε κάτι που να μην είναι σε καμία λίστα με ρίζες ή παραρτήματα. να μπερδέύει κεφαλαία με μικρά στη μέση της ρίζας. να υπάρχουν αριθμοί και σύμβολα στη ρίζα που δεν είναι κοινές αντικαταστάσεις. ή να υπάρχει το παράρτημα στη μέση της ρίζας. ή να χρησιμοποιηθούν δύο ρίζες με ένα παράρτημα στη μέση. Ακόμη και κάτι πιο χαμηλά στη λίστα λεξικών του PRTK το λεξικό φωνητικών μορφών επτά χαρακτήρων μαζί με ένα μη κοινό παράρτημα, δεν πρόκειται να το μαντέψουν. Ούτε έναν κωδικό με τα πρώτα γράμματα μιας πρότασης, ειδικά αν τοποθετηθούν αριθμοί και σύμβολα στο σύνολο. Αυτοί οι κωδικοί θα είναι δύσκολοι στην απομνημόνευση, γι αυτό και θα πρέπει να χρησιμοποιηθεί ένα πρόγραμμα σαν το Password Safe που είναι δωρεάν και ανοιχτού κώδικα για να αποθηκευθούν. (Το PRTK μπορεί να δοκιμάσει μόνο 900 κωδικούς του Password Safe 3.0 το δευτερόλεπτο) - Informatics Laboratory - University of Thessaloniki http://infolab.gen.auth.gr -
Ακόμη κι έτσι τίποτα από όλα αυτά μπορεί να μην έχει σημασία. Η AccessData πουλάει ένα άλλο πρόγραμμα το Forensic Toolkit, το οποίο, μεταξύ άλλων, σαρώνει ένα σκληρό δίσκο για κάθε εκτυπώσιμη σειρά χαρακτήρων. Ψάχνει σε έγγραφα, στο Μητρώο, σε e-ταχυδρομείο, σε ανταλλαγμένα αρχεία, σε διαγραμμένο χώρο στο σκληρό δίσκο παντού. Και δημιουργεί ένα λεξικό από αυτά και το ενσωματώνει στο PRTK. Γιατι;;; Αυτό που συμβαίνει είναι ότι η διαχείριση μνήμης του λειτουργικού συστήματος των Windows αφήνει δεδομένα παντού κατά την κανονική ροή των λειτουργιών. Όταν πληκτρολογηθεί ένας κωδικός σε ένα πρόγραμμα, θα αποθηκευτεί σε μια μνήμη κάπου αλλού. Τα Windows ανταλλάσουν τη σελίδα εκτός του δίσκου και γίνεται το πίσω μέρος κάποιου αρχείου. Μεταφέρεται σε κάποιο μακρινό μέρος του σκληρού δίσκου και κάθεται εκεί για πάντα. Ούτε τα Linux και Mac OS είναι καλύτερα στο θέμα αυτό. - Informatics Laboratory - University of Thessaloniki http://infolab.gen.auth.gr -
Θα πρέπει να τονίσουμε ότι τίποτα από αυτά δεν σχετίζεται με τον αλγόριθμο κρυπτογράφησης ή το μήκος κλειδιού. Ένας αδύναμος αλγόριθμος των 40-bit δεν καθιστά πιο εύκολη την επίθεση, ούτε ένας ισχυρός αλγόριθμος των 256-bit την καθιστά πιο δύσκολη. Αυτές οι επιθέσεις προσομοιώνουν τη διαδικασία του χρήστη που εισάγει τον κωδικό του στον υπολογιστή, οπότε το μέγεθος του τελικού κλειδιού δεν αποτελεί πρόβλημα ποτέ. Ο πιο εύκολος τρόπος για να σπάσεις ένα κρυπτογραφικό προϊόν είναι να μην σπάσεις σχεδόν ποτέ τον αλγόριθμο, και σχεδόν πάντα υπάρχει σφάλμα στον προγραμματισμό που σου επιτρέπει να παρακάμψεις τα μαθηματικά και να σπάσεις το προϊόν. Κάτι παρόμοιο συμβαίνει εδώ. Ο πιο εύκολος τρόπος για να μαντέψεις έναν κωδικό είναι να μην τον μαντέψεις καθόλου και να εκμεταλλευτείς ένα εσωτερικό κενό ασφάλειας στο υποκείμενο λειτουργικό σύστημα. - Informatics Laboratory - University of Thessaloniki http://infolab.gen.auth.gr -
Μηχανισμός Πρόκληση-Απάντηση (challenge-response) (1) Το υπολογιστικό σύστημα έχει αποθηκεύσει το συνθηματικό P κατά την εγγραφή του χρήστη Όνομα χρήστη Πρόκληση :R Απόκριση: f (R, P) Το σύνολο των πιθανών P πρέπει να είναι μεγάλο Ο χρήστης να διαθέτει τα μέσα για τον υπολογισμό της f γρήγορα και εύκολα.
Μηχανισμός Πρόκληση-Απάντηση (challenge-response) (2) Τι επιτεύχθηκε; Το σύστημα και ο πελάτης μπορούν να είναι απομακρυσμένοι αφού το συνθηματικό Ρ δεν μεταδίδεται σε καμία φάση της επικοινωνίας τους Συνεπώς: Μικρότερος κίνδυνος υποκλοπής συνθηματικού Δημιουργούνται νέα προβλήματα; Το συνθηματικό Ρ αποθηκεύεται αυτούσιο στο σύστημα (σε φυσικά ασφαλές υποσύστημα) Ο πελάτης χρειάζεται να εκτελέσει ειδικό λογισμικό Προστίθενται επιπλέον βήματα στην επικοινωνία
Συνθηματικά - Περίληψη Μέτρα προστασίας Αυστηρή επιλογή συνθηματικών Κλείδωμα, Καθυστέρηση Συνθηματικά μιας χρήσης Συναρτήσεις σύνοψης Πρόκληση-Απάντηση Προστασία αρχείου συνθηματικών Προστασία ημερολογίων Σημείωση: δεν υπάρχει αντιστοιχία 1-1 μεταξύ των στηλών Κίνδυνοι Εύκολα συνθηματικά Καταγραφή αντί για απομνημόνευση Λεξικογραφική επίθεση Εξαντλητική έρευνα Υποκλοπή Παραβίαση αρχείου συνθηματικών Αλλαγή αποθηκευμένου συνθηματικού Ψεύτικη οθόνη Ημερολόγιο συμβάντων
Μαγνητικές κάρτες Στη μαγνητική κάρτα αποθηκεύεται η πληροφορία αναγνώρισης χρήστη (αριθμ. λογαρ.). Χρησιμοποιείται σε συνδυασμό με PIN. Δύο κατηγορίες συστημάτων επιβεβαίωσης PIN: Off line (αποθηκεύεται σε κρυπτογραφημένη μορφή στην κάρτα) On line (επιβεβαιώνονται κεντρικά)
Χαρακτηριστικά: Έξυπνες κάρτες Σταθερό μέγεθος πιστωτικής κάρτας, αλλά και άλλες μορφές Περιέχει μικροεπεξεργαστή, RAM και ROM με λογισμικό Περιέχει EEPROM για τις ανάγκες της λειτουργίας της Διαφορετικές κάρτες για διαφορετικές εφαρμογές Δύσκολο να αντιγραφούν Κάρτες πολλαπλής χρήσης (π.χ. Ηλεκτρονικό πορτοφόλι) Κρυπτογραφικές λειτουργίες (υπολογισμοί ψηφιακών υπογραφών) Προστασία ανάγνωσης / τροποποίησης περιεχομένου
Έξυπνες Κάρτες: ΤΑΥΤΟΠΟΙΗΣΗ Η ταυτοποίηση του κατόχου της έξυπνης κάρτας γίνεται μέσω του μυστικού προσωπικού κωδικού του (PIN). Ο κωδικός συγκρίνεται με τον αντίστοιχο κωδικό που είναι αποθηκευμένος στη μυστική περιοχή της μνήμης της έξυπνης κάρτας. Η διαδικασία σύγκρισης εκτελείται εσωτερικά στην έξυπνη κάρτα
Έξυπνες Κάρτες: ΑΥΘΕΝΤΙΚΟΠΟΙΗΣΗ Στόχος: Διασφάλιση γνησιότητας της έξυπνης κάρτας (δηλ. έκδοση από εξουσιοδοτημένο φορέα) Η αυθεντικοποίηση μπορεί να γίνει με: χρήση ψηφιακών πιστοποιητικών και ασύμμετρων κρυπτογραφικών αλγορίθμων που προαναφέρθηκαν αξιοποιώντας συμμετρικούς αλγόριθμους κρυπτογράφησης (για παράδειγμα DES).
Βιομετρικές μέθοδοι (1) Μέτρηση ενός ανθρώπινου χαρακτηριστικού και σύγκριση με μία τιμήπρότυπο που έχει προηγουμένως αποθηκευθεί
Βιομετρικές μέθοδοι (2) Η διαδικασία ταυτοποίησης με εφαρμογή συστημάτων βιομετρικής τεχνολογίας, βασίζεται σε φυσικά χαρακτηριστικά του ανθρώπινου σώματος ως αποδεικτικά στοιχεία για την αναγνωρισιμότητα του λογικού υποκειμένου από ένα ΠΣ. Δυνατότητα περιορισμού της αποκάλυψης της ταυτότητας του χρήστη με ενσωμάτωση ψευδωνύμων αντί της πραγματικής ταυτότητάς τους.
Βιομετρικές μέθοδοι (3) Φυσιολογικά χαρακτηριστικά Δακτυλικό αποτύπωμα Ίριδα Φυσιογνωμία προσώπου Γεωμετρία χεριού φλεβικά πρότυπα Δομή DNA Κατανομή ιδρωτοποιών πόρων στο δάχτυλο Σχήμα και μέγεθος αυτιών Οσμή Ηλεκτρική αγωγιμότητα σώματος Θερμογραφία Χαρακτηριστικά συμπεριφοράς Χαρακτηριστικά γραφής και χειρόγραφης υπογραφής Χαρακτηριστικά φωνής Χαρακτηριστικά τρόπου πληκτρολόγησης
Βιομετρικές μέθοδοι (4) Κατηγορίες τεχνική μέτρησης ανθρώπινων φυσικών χαρακτηριστικών τεχνική μέτρησης της συμπεριφοράς. Βασικές Έννοιες ανοχή σε σφάλματα μέθοδος αποθήκευσης των προτύπων ανάλυσης.
Βιομετρικές μέθοδοι (5) Χαρακτηριστικά Ακρίβεια (FAR, FRR, CER) Ταχύτητα (<5sec) Αξιοπιστία Αποθήκευση δεδομένων και Απαιτήσεις επεξεργασίας Διαδικασία Καταχώρησης Μοναδικότητα (αποτύπωμα, ίριδα, αμφιβληστροειδής) Παραποίηση στοιχείων Αποδοχή του χρήστη
Βιομετρικές μέθοδοι (6) Πλεονεκτήματα Δεν απαιτούν χρήση κλειδιού, κάρτας ή άλλης συσκευής από το χρήστη Δεν απαιτούν την απομνημόνευση συνθηματικού πρόσβασης Δεν απαιτούν τη διαχείριση σχετικά με την τροποποίηση στοιχείων συνθηματικών για την πρόσβαση κλπ Η πιθανότητα ορθής αναγνώρισης βασίζεται σε μοναδικά χαρακτηριστικά Τα κριτήρια είναι μόνιμα και δεν απαιτούν ανανέωση (εξαίρεση αποτελεί η αναγνώριση φωνής, η σύγκριση υπογραφής και η αναγνώριση πληκτρολόγησης, που απαιτούν ανανέωση με το γήρας του χρήστη) Μειονεκτήματα Βιομετρικών Συστημάτων Υψηλό κόστος Αργοί χρόνοι απόκρισης Απαιτήσεις για μεγάλες βάσεις δεδομένων Υψηλό ποσοστό απόρριψης, απαίτηση για εφαρμογή τεχνικών λήψης αντιγράφων ασφαλείας για την αυθεντικοποίηση με έμμεσο αποτέλεσμα τη δυσαρέσκεια του χρήστη Υψηλές απαιτήσεις συντήρησης Μακροσκελείς διαδικασίες καταχώρησης Η κοινωνική αντίληψη ότι η λήψη δακτυλικών αποτυπωμάτων συνδυάζεται με εγκληματική δραστηριότητα Η κοινωνική αντίληψη ότι η χρήση ακτινοβολίας βλάπτει την υγεία Η αντίσταση των χρηστών
Βιομετρικές μέθοδοι (7) Εφαρμογές Έλεγχος πρόσβασης σε κρίσιμες εγκαταστάσεις Ευρεία διείσδυση σε τομείς όπως κυβερνητικές υπηρεσίες, αστυνομικές υπηρεσίες, εμπορικούς οργανισμούς κλπ. Ισπανία: εθνικό σύστημα δακτυλοσκόπησης για τα προνόμια των ανέργων και το σύστημα υγείας Ρωσία: μελλοντικά σχέδια για την εγκατάσταση ενός παρόμοιου εθνικού συστήματος στις τράπεζες. Τζαμάικα: Οι πολίτες είναι υποχρεωμένοι να ακουμπούν τον αντίχειρά τους σε οθόνες όποτε συμμετέχουν ως ψηφοφόροι στις εκλογές. Γαλλία και Γερμανία: ελέγχεται σε πειραματική φάση ειδικός εξοπλισμός ο οποίος θα εισάγει την ψηφιακή απεικόνιση του δακτυλικού αποτυπώματος στην πιστωτική κάρτα. Η πιο αμφιλεγόμενη μορφή εφαρμογής των βιομετρικών συστημάτων, είναι η αναγνώριση του DNA. Αστυνομικές υπηρεσίες σε διάφορες χώρες όπως στον Καναδά, τη Γερμανία και τις ΗΠΑ, έχουν δημιουργήσει τεράστιες βάσεις δεδομένων με δείγματα DNA από ανθρώπους που έχουν διαπράξει αξιόποινες πράξεις.
Βιομετρικές μέθοδοι (8) Τα ανθρώπινα χαρακτηριστικά αλλάζουν με το χρόνο. Το σύστημα πρέπει να το προβλέπει. Χρειάζεται ισορροπία μεταξύ δύο τύπων λαθών: Το σύστημα αποτυγχάνει να αναγνωρίσει ένα νόμιμο χρήστη Το σύστημα αποδέχεται ένα εισβολέα
ΙIΙ. Πολιτικές & Μοντέλα Ασφάλειας Έλεγχος Προσπέλασης
Πολιτική Ασφάλειας Μια πολιτική ασφάλειας (security policy) καθορίζει ποιος έχει τη δικαιοδοσία να κάνει τι Ένας μηχανισμός ασφάλειας (reference monitor) μας επιτρέπει την εφαρμογή μιας συγκεκριμένης πολιτικής 67
Πολιτική Ασφάλειας Μια πολιτική ασφάλειας καθορίζει ποιος έχει τη δικαιοδοσία να κάνει τι 1. Τα αποτελέσματα αυτών των αποφάσεων πολιτικής: (α) πρέπει να γνωστοποιηθούν στο σύστημα (αυτό γίνεται με εντολές γραμμένες σε κάποια κατάλληλη γλώσσα ορισμών), και (β) το σύστημα πρέπει να τα θυμάται (αυτό γίνεται με την αποθήκευση τους στον κατάλογο, με τη μορφή κανόνων ασφάλειας (security rule), που είναι γνωστοί και ως κανόνες εξουσιοδότησης (authorization)). 68
Πολιτική Ασφάλειας 2. Για τα αποτελέσματα αυτών των αποφάσεων πολιτικής: Πρέπει να υπάρχει ένα μέσο για τον έλεγχο μιας δεδομένης αίτησης πρόσβασης με βάση τους ισχύοντες κανόνες ασφάλειας. (Με τον όρο "αίτηση πρόσβασης" εδώ εννοούμε γενικά το συνδυασμό αιτούμενη πράξη συν αιτούμενο αντικείμενο συν αιτών χρήστης.) Ο έλεγχος αυτός γίνεται από το υποσύστημα ασφάλειας, που είναι γνωστό και ως υποσύστημα εξουσιοδοτήσεων. 6
Πολιτική Ασφάλειας 3. Το σύστημα για να μπορεί να αποφασίζει ποιοι κανόνες ασφάλειας ισχύουν για μια δεδομένη αίτηση πρόσβασης, πρέπει να έχει τη δυνατότητα να αναγνωρίζει την προέλευση αυτής της αίτησης δηλαδή, τον αιτούντα χρήστη. Γι' αυτόν το λόγο, όταν οι χρήστες εισέρχονται (sign on) στο σύστημα, συνήθως απαιτείται να δίνουν όχι μόνο την ταυτότητα τους (user ID για να δηλώσουν ποιοι είναι) αλλά και ένα συνθηματικό (password για να αποδείξουν ότι είναι αυτοί που ισχυρίζονται ότι είναι). Το συνθηματικό πρέπει να είναι γνωστό μόνο στο σύστημα και στους νόμιμους χρήστες που έχουν τη συγκεκριμένη ταυτότητα χρήστη. 70
Πολιτική Vs.Μοντέλα Vs. Έλεγχος Προσπέλασης Πολιτική ασφάλειας είναι μια δήλωση προδιαγραφές ( το επιθυμητό). Το σύνολο νόμων κανόνων και πρακτικών που ρυθμίζουν πως ένας οργανισμός προστατεύει και κατανέμει ευαίσθητες πληροφορίες. Είναι αυτό που θέλουμε να γίνει. Το μοντέλο ασφάλειας είναι η εφαρμογή. Είναι το πως πετυχαίνω αυτό που θέλω, μια τυπική / μεθοδική περιγραφή της πολιτικής ασφάλειας. Τα μοντέλα ασφάλειας πρέπει να μπορούν να ικανοποιήσουν πολλές πολιτικές. Δεν αποτελούν «συνταγές», αλλά σημείο εκκίνησης για να ορίσουμε τελικά το δικό μας μοντέλο. Ο έλεγχος προσπέλασης είναι ο μηχανισμός που τελικά «επιβάλλει-υλοποιεί» το μοντέλο ασφάλειας που έχουμε επιλέξει.
Ι. Πολιτική Ασφάλειας: Η πολιτική ασφάλειας (security policy) ενός υπολογιστικού συστήματος: Προσδιορίζει τις απαιτήσεις ασφάλειας του ΥΣ είναι ένα σύνολο από αρχές (principles) και οδηγίες υψηλού επιπέδου που αφορούν τη σχεδίαση και διαχείριση των συστημάτων ελέγχου προσπέλασης
Ορισμοί: Το TCSEC ορίζει μια πολιτική ασφάλειας ως: το σύνολο νόμων, κανόνων και πρακτικών που ρυθμίζουν πως ένας οργανισμός διαχειρίζεται, προστατεύει και κατανέμει ευαίσθητες πληροφορίες. Το ITSEC ορίζει την πολιτική ασφάλειας ως: το σύνολο νόμων, κανόνων και πρακτικών που ρυθμίζουν πως τα στοιχεία διαχειρίζονται, προστατεύονται και κατανέμονται μέσα σε έναν οργανισμό χρηστών.
Ορισμός μιας Π.Α.: Μια πολιτική ασφάλειας ορίζεται τυπικά στη βάση των όρων υποκείμενα και αντικείμενα. Ένα υποκείμενο είναι κάτι ενεργό στο σύστημα, π.χ.: οι χρήστες (users), οι διεργασίες (processes), τα προγράμματα (programs). Αντικείμενο είναι κάτι στο οποίο ενεργεί το υποκείμενο, π.χ.: τα αρχεία (files), οι κατάλογοι (directories), οι συσκευές (devices), οι υποδοχές (sockets), τα παράθυρα (windows).
Γενικά, δεν υπάρχουν πολιτικές ελέγχου προσπέλασης που είναι «καλύτερες» από τις υπόλοιπες. Κι αυτό γιατί δεν έχουν όλα τα συστήματα τις ίδιες απαιτήσεις προστασίας. Πολιτικές κατάλληλες για ένα δεδομένο σύστημα πιθανόν να μην κατάλληλες για κάποιο άλλο. Η επιλογή μιας επιμέρους πολιτικής εξαρτάται από τα συγκεκριμένα χαρακτηριστικά του περιβάλλοντος που πρόκειται να προστατευθεί.
ΙΙ. Μοντέλα Ασφάλειας: Μια πολιτική ασφάλειας εκφράζεται-υλοποείται με διάφορα μοντέλα ασφάλειας Το μοντέλο ασφάλειας είναι η εφαρμογή. Είναι το πως πετυχαίνω αυτό που θέλω, μια τυπική / μεθοδική περιγραφή της πολιτικής ασφάλειας. Τα μοντέλα ασφάλειας πρέπει να μπορούν να ικανοποιήσουν πολλές πολιτικές. Δεν αποτελούν «συνταγές», αλλά σημείο εκκίνησης για να ορίσουμε τελικά το δικό μας μοντέλο. Τα μοντέλα ασφάλειας ρυθμίζουν: το πως ελέγχονται οι προσπελάσεις και το πως λαμβάνονται οι αποφάσεις για προσπέλαση.
ΙV. Κατηγορίες Μοντέλων Ασφάλειας Τα ΜΑ μπορούν να καταταγούν σε 7 κατηγορίες: - αναγνώρισης (identification), - αυθεντικοποίησης (authentication), - εξουσιοδότησης (authorization), - έλεγχου προσπέλασης (access control), - ακεραιότητας (integrity), - συνέπειας (consistency), - επίβλεψης (auditing).
ΙΙΙ. Έλεγχος Προσπέλασης Τα μοντέλα ασφάλειας συνήθως επιβάλλονται από διάφορους μηχανισμούς ελέγχου προσπέλασης Οι μηχανισμοί ελέγχου προσπέλασης είναι χαμηλού επιπέδου λειτουργίες του λογισμικού και υλικού που μπορούν να διαμορφώνονται κατάλληλα για την υλοποίηση μιας πολιτικής ασφάλειας. - Informatics Laboratory - University of Thessaloniki http://infolab.gen.auth.gr -
Ασφαλές ή Έμπιστο σύστημα; Υπάρχει διαφορά στο χαρακτηρισμό ενός ΠΣ ως ασφαλούς και ως έμπιστου. έμπιστα σημαίνει ότι αυτά ικανοποιούν τις επιδιωκόμενες απαιτήσεις ασφάλειας και έχουν αρκετά υψηλή και βεβαιωμένη ποιότητα. Οι ειδικοί της ασφάλειας προτιμούν συνήθως να αναφέρονται σε έμπιστα παρά σε ασφαλή συστήματα.
ΑΣΦΑΛΕΣ Είναι ή δεν είναι ασφαλές Ισχυρισμός Βεβαιούμενο στη βάση χαρακτηριστικών του προϊόντος Απόλυτο: χωρίς επιφυλάξεις για το πώς, που, πότε και από ποιον χρησιμοποιείται Σκοπός ΕΜΠΙΣΤΟ Υπάρχουν διάφορες βαθμίδες εμπιστοσύνης Πεποίθηση Κρινόμενο στη βάση γεγονότων και αναλύσεων Σχετικό: θεωρείται στο πλαίσιο της χρήσης Χαρακτηριστικό Πίνακας 1. Αντιπαραβολή ιδιοτήτων ασφαλούς και έμπιστου ΠΣ.
Ασφαλές - Έμπιστο σύστημα Για να δημιουργήσω ένα έμπιστο σύστημα: 1. μοντελοποιώ το σύστημα ώστε να μπορεί να αναλυθεί 2. διατυπώνω μια πολιτική ασφάλειας που αναφέρετε σε κάποιο μοντέλο ασφάλειας 3. δημιουργώ τους κανόνες μηχανισμούς που υλοποιούν αυτή την πολιτική
Ασφαλές σύστημα (συνεχ.) Προβλήματα: Οποιαδήποτε ασυμφωνία ανάμεσα στο μοντέλο μας και στην πραγματικότητα αποτελεί ευπάθεια του συστήματος. Το να επιβάλλω μια πολιτική ασφάλειας δεν σημαίνει αυτόματα ότι και το σύστημα μου είναι ασφαλές. Πολιτική και μοντέλα δεν είναι πάντα ανεξάρτητα. Συγκεκριμένες πολιτικές δεν μπορούν να εφαρμοσθούν με κάποια μοντέλα.
Οι 3 Βασικές κατηγορίες Μ.Α.: κατά-απαίτηση (mandatory, στρατιωτικές), κατά-διάκριση (discretional, εμπορικές) βασισμένες-σε-ρόλους (role-based, RBAC)
ΣΧΕΣΗ ΜΕΤΑΞΥ ΤΩΝ ΔΙΑΦΟΡΩΝ ΜΟΝΤΕΛΩΝ ΑΣΦΑΛΕΙΑΣ All accesses Discretionary AC Mandatory AC Role-Based AC
Κατά-Απαίτηση Μοντέλο (mandatory) MAC Στο κατά-απαίτηση (mandatory) μοντέλο ασφάλειας, το ποιος μπορεί να προσπελάσει τι υπαγορεύεται από μια πολιτική που ισχύει κεντρικά για ολόκληρο το σύστημα.
Κατά-Απαίτηση Μοντέλο Ασφάλειας: Σύμφωνα με το TCSEC: «Ο Κατά-Απαίτηση Έλεγχος Προσπέλασης (MAC) είναι ένας τρόπος περιορισμού της προσπέλασης σε αντικείμενα με βάση: την ευαισθησία της πληροφορίας που περιέχεται σε αυτά, και την εμπιστευτικότητας των υποκειμένων για να προσπελάσουν πληροφορία τέτοιας ευαισθησίας».
Κατά-Απαίτηση Μοντέλο Ασφάλειας Βασικές έννοιες: Το μοντέλο λειτουργίας της πολιτικής αυτής μπορεί να περιγραφεί συνοπτικά με την βοήθεια των δυο παρακάτω κανόνων: Αρχή του Least privilege Eνα υποκείμενο πρέπει να έχει μόνο όσα δικαιώματα του χρειάζονται για να εκτελέσει την εργασία που του έχει ανατεθεί
κανόνας της ανάγκης-για-γνώση (need-to-know requirements): Στο κατά-απαίτηση μοντέλο ασφάλειας η προσπέλαση πληροφοριών περιορίζεται από τον κανόνα της ανάγκηςγια-γνώση (need-to-know requirement): «η προσπέλαση ευαίσθητων δεδομένων επιτρέπεται μόνο σε υποκείμενα που έχουν ανάγκη να γνωρίζουν αυτά τα δεδομένα προκειμένου να εκτελέσουν τις εργασίες τους».
Military model Tο κατά-απαίτηση μοντέλο ασφάλειας χρησιμοποιείται όταν σε ένα σύστημα περιέχονται πληροφορίες με ποικιλία διαβαθμίσεων ασφάλειας (security classifications), και υπάρχουν χρήστες οι οποίοι δεν είναι εξουσιοδοτημένοι για την ανώτατη διαβάθμιση των πληροφοριών που περιέχονται στο σύστημα. Η βασική φιλοσοφία του MAC έχει τις ρίζες του στα στρατιωτικά περιβάλλοντα, όπου είναι κοινή πρακτική η κατηγοριοποίηση των χρηστών και των πληροφοριών (πχ. αδιαβάθμητο, εμπιστευτικό, απόρρητο κλπ.) σε διάφορα επίπεδα ασφαλείας. Για αυτό το λόγο χρησιμοποιείται και ο όρος military ως συνώνυμο του mandatory
Κατά - Απαίτηση Μοντέλα Ασφάλειας(ΜAC) Τα μοντέλα MAC παρέχουν τα μέσα για τον περιορισμό της προσπέλασης σε αντικείμενα, με βάση τόσο την ευαισθησία (sensitivity) της πληροφορίας που περιέχεται σε αυτά, όσο και την εμπιστευτικότητα (clearance) των υποκειμένων που επιθυμούν να τα προσπελάσουν. Ετικέτες (labels) ασφάλειας αποδίδονται και στα δεδομένα και στους χρήστες, για την αποτύπωση αντίστοιχα της ευαισθησίας και της εμπιστευτικότητάς τους. Τα κατά-απαίτηση μοντέλα μπορούν να εγγυηθούν μια συγκεκριμένη κατεύθυνση στη ροή των πληροφοριών: με βάση το δικτυωτό (lattice) των ετικετών ασφάλειας, είναι σε θέση να αποτρέπουν τη ροή των πληροφοριών χαμηλής ακεραιότητας προς αντικείμενα υψηλότερης ακεραιότητας, καθώς και τη ροή πληροφοριών υψηλής εμπιστευτικότητας προς αντικείμενα χαμηλότερης εμπιστευτικότητας.
Διαβάθμιση-βαθμός εξουσιοδότησης Διαβάθμιση (classification)- Αντικείμενα: Η διαβάθμιση των πληροφοριών που πρέπει να προστατευθούν αντανακλά την πιθανή ζημιά που θα μπορούσε να προκληθεί από τη μη εξουσιοδοτημένη διαρροή των πληροφοριών. Βαθμός εξουσιοδότησης (clearance) Υποκείμενα: Ο βαθμός εξουσιοδότησης που αντιστοιχεί σε ένα χρήστη αντικατοπτρίζει την αξιοπιστία του να μην διαρρεύσουν πληροφορίες σε μη έμπιστα άτομα.
Κάθε Υποκείμενο και Αντικείμενο κατατάσσεται σε ένα επίπεδο ευαισθησίας (sensitivity level), για παράδειγμα: αδιαβάθμητο (unclassified), περιορισμένο (restricted), εμπιστευτικό (confidential), απόρρητο (secret), και άκρως απόρρητο (top secret). Χρήστες Πληροφορίες Server 1 Top Secret Server 2 Secret Server 3 Classified
Κάθε Υποκείμενο ή Αντικείμενο μπορεί να σχετίζεται με μια ή περισσότερες δραστηριότητες (έργα) που ονομάζονται υποδιαιρέσεις (compartments). Οι υποδιαιρέσεις βοηθούν στην επιβολή περιορισμών ανάγκης -για- γνώση, ώστε τα άτομα να αποκτούν πρόσβαση μόνο στην πληροφορία που είναι σχετική με τις εργασίες τους. Άρα για κάθε τμήμα πληροφορίας ορίζεται ένα σύνολο σχετικών υποδιαιρέσεων, π.χ. {project1, project4, Athens}. Ο συνδυασμός του βαθμού (επιπέδου διαβάθμισης) και των (συνόλων) υποδιαιρέσεων είναι η ετικέτα του Υποκειμένου/Αντικειμένου
Ετικέτες ασφάλειας Το κατά-απαίτηση μοντέλο ασφάλειας παρέχει ένα υψηλό επίπεδο πιστοποίησης για την ασφάλεια, που βασίζεται στη χρήση ετικετών ασφάλειας, για την προστασία διαβαθμισμένων (classified) πληροφοριών Με αυτό τον τρόπο, επιτρέπουν την ανίχνευση της ροής των πληροφοριών. Κυρίως είναι βολικό στα περιβάλλοντα εκείνα όπου οι χρήστες και τα αντικείμενα μπορούν εύκολα να ταξινομηθούν (π.χ. τα στρατιωτικά).
Ετικέτες ασφάλειας Τα μοντέλα MAC προϋποθέτουν την απόδοση συγκεκριμένων ετικετών ασφάλειας στα αντικείμενα και τα υποκείμενα. Μια ετικέτα ασφάλειας S αποτελείται από δύο στοιχεία: ένα επίπεδο ασφάλειας (L), από μια πλήρως διατεταγμένη λίστα τάξεων προσπέλασης (πχ. άκρως απόρρητο (top secret) > απόρρητο (secret) > εμπιστευτικό (confidential) > αδιαβάθμητο (unclassified) ένα μέλος (C) ενός μη ιεραρχημένου συνόλου κατηγοριών (categories set), που αντιπροσωπεύουν γενικά τάξεις των τύπων των αντικειμένων.
Κυριαρχία Τα επίπεδα διαβάθμισης δεδομένων και βαθμού εξουσιοδότησης χρηστών, είναι πλήρως διατεταγμένα σύνολα, ενώ οι ετικέτες που προκύπτουν από αυτά είναι μερικώς διατεταγμένα, λόγω των συνόλων κατηγοριών. Καλείται δικτυωτό (lattice), το πλέγμα που σχηματίζεται από το σύνολο όλων των ετικετών ασφάλειας, στο οποίο δεν είναι συγκρίσιμες μεταξύ τους όλες οι ετικέτες. Μια ετικέτα S 1 = (L 1, C 1 ) κυριαρχεί (dominates) μιας άλλης ετικέτας S 2 = (L 2, C 2 ), δηλαδή ισχύει S1 S2, αν και μόνον εάν ισχύει L1 L2 και C2 C1. π.χ., (confidential,{student-info}) (public,{student-info}) ΑΛΛΑ (confidential, {student-info}) (public,{student-info, department-info})
Κυριαρχία Εάν οι κανόνες ελέγχου προσπέλασης ικανοποιούνται, η πρόσβαση επιτρέπεται π.χ., ο Joe θέλει να διαβάσει το αντικείμενο «grades». ετικέτα (Joe)=(confidential,{student-info}) ετικέτα (grades)=(confidential,{student-info}) ετικέτα (Joe) >= ετικέτα (grades) Άρα ο Joe επιτρέπεται να διαβάσει το grades
Mandatory Access Control Security Classes (labels): (A,C) A total order authority level C set of categories e.g., A = confidential > public, C = {student-info, dept-info} (confidential,{student-info,dept-info}) (confidential,{student-info}) (confidential,{dept-info}) (confidential,{ }) (public,{student-info,dept-info}) (public,{student-info}) (public,{,dept-info}) (public,{ })
MAC σε Σχεσιακά ΣΔΒΔ: Έλεγχος Προσπέλασης Πολλαπλών Επιπέδων Η υποστήριξη κατά-απαίτηση ελέγχων προσπέλασης στις ΒΔ οδηγεί στις βάσεις πολλαπλών επιπέδων ασφάλειας (multi-level security, MLS). Σε αυτές, οι πίνακες δεδομένων είναι δυνατόν να εμφανίζονται διαφορετικοί σε χρήστες με διαφορετικούς βαθμούς εξουσιοδότησης. Πραγματικά, η ανάγκη για μια πολιτική ελέγχου προσπέλασης πολλαπλών επιπέδων, προκύπτει όταν η βάση περιέχει πληροφορίες με διαφορετικούς βαθμούς διαβάθμισης (εμπιστευτικότητας) και οι χρήστες κατατάσσονται σε διαφορετικούς βαθμούς εξουσιοδότησης. Σε ΣΔΒΔ με υψηλές ανάγκες ασφάλειας, η προστασία των εμπιστευτικών πληροφοριών οφείλει να αφορά όχι μόνο τις προσπάθειες άμεσης προσπέλασης, αλλά και αυτές της έμμεσης, καλύπτοντας όλες τις πιθανές ροές πληροφοριών. Οι MLS βάσεις δεδομένων διαθέτουν τους κατάλληλους μηχανισμούς για την επίτευξη αυτών των στόχων.
granularity Ο κατά-απαίτηση έλεγχος προσπέλασης στα ΣΔΒΔ στηρίζεται στις ετικέτες ασφάλειας των δεδομένων, για αυτό και καλείται και βασισμένος-σεετικέτες (label-based) έλεγχος προσπέλασης. Υπάρχουν δυο τρόποι εκχώρησης επιπέδων διαβάθμισης στα δεδομένα. Ο πρώτος απονέμει τα επίπεδα εμπιστευτικότητας ανά πίνακα δεδομένων. Η προσέγγιση αυτή παρουσιάζει το μικρότερο δυνατό επίπεδο διακριτότητας, για αυτό και τις περισσότερες φορές οδηγεί σε μη ευέλικτες λύσεις. Ο δεύτερος τρόπος διαβαθμίζει τα δεδομένα, εξετάζοντάς τα ανάλογα με το επιθυμητό επίπεδο λεπτομέρειας σε επίπεδο εγγραφής (tuple), στήλης (attribute), ή ακόμη και μεμονωμένου στοιχείου. Ένα παράδειγμα πολλαπλών επιπέδων σχέσης (πίνακα δεδομένων) είναι: R (a 1, c 1, a 2, c 2, a 3, a 4, c 34, a 5, c 5, c t ) Στη σχέση αυτή, η στήλη a 1 έχει επίπεδο διαβάθμισης c 1, η a 2 έχει c 2, οι στήλες a 3 και a 4 έχουν διαβάθμιση c 34, η στήλη a 5 έχει c 5, ενώ το επίπεδο διαβάθμισης ολόκληρης της εγγραφής είναι c t.
παράδειγμα μιας πολυεπίπεδης σχέσης : Έστω η πολυεπίπεδη σχέση R που παρίσταται σαν: R(a1,c1,a2,c2,...,an,cn,T) όπου: - η ιδιότητα α1 έχει σαν αντίστοιχη ιδιότητα (επίπεδο) εμπιστευτικότητας το c1, η α2 το c2,..., και η an το cn. - Τ παριστά την κλάση της εγγραφής (tuple class). - R είναι το όνομα της σχέσης.
Παράδειγμα: Π.χ. Σε ένα περιβάλλον κατά απαίτησης πολιτικής ασφάλειας, ένας πίνακας (σχέση) ενός σχεσιακού τύπου συστήματος database πιθανόν να εμφανίζεται διαφορετικός σε χρήστες με διαφορετικά επίπεδα εξουσιοδότησης. Για παράδειγμα η σχέση ΑΣΘΕΝΗΣ (instance) που ακολουθεί. Μια σχέση R μπορεί να προσπελαστεί στο παράδειγμα αυτό από κάθε χρήστη Χ, όπου class (X) >= class(r).
Παράδειγμα μιας πολυεπίπεδης σχέσης ΑΣΘΕΝΗΣ ----------------------------------------------------------------------------------------------- ----- ΚΩΔ-ΑΣΘ K1 APOTEL-1 K2 APOTEL-2 K T ----------------------------------------------------------------------------------------------- ----- 1957 u 12.1 u 34.5 u u 2352 s 13.1 s 45.7 s s 5321 s 11.7 s 34.8 s s 3764 u 14.1 u 27.6 u u. Αυτή η πολιτική ασφάλειας της ΒΔ επηρεάζει σημαντικά την δομή του μοντέλου δεδομένων της βάσης (εφόσον δεν είναι όλα τα δεδομένα διαθέσιμα σε όλους τους χρήστες).. - Informatics Laboratory - University of Thessaloniki http://infolab.gen.auth.gr -
MLS Β.Δ. Η απλούστερη τεχνική αποκάλυψης πληροφοριών από εξουσιοδοτημένο χρήστη είναι η ανάκτηση τους από τη βάση δεδομένων, η αντιγραφή τους σε ένα αντικείμενο που του ανήκει και η διάθεση του αντίγραφου σε άλλα άτομα. Για να αποφευχθεί αυτό, είναι απαραίτητο να ελέγχεται η ικανότητα του εξουσιοδοτημένου χρήστη να δημιουργεί αντίγραφα. Δηλαδή για παράδειγμα, όταν μία κίνηση έχει ολοκληρώσει μια προσπάθεια ανάγνωσης, το σύστημα προστασίας πρέπει να εξασφαλίζει ότι δεν έγινε εγγραφή σε κατώτερο επίπεδο ασφάλειας από το χρήστη που είναι εξουσιοδοτημένος να εκτελεί κίνηση ανάγνωσης. Σε μια MLS βάση, οι έλεγχοι εγγραφής και ανάγνωσης που εφαρμόζονται βασίζονται στους κατά-απαίτηση κανόνες των μοντέλων BLP και Biba, οπότε όπως ήδη αναφέρθηκε, μπορεί να ελεγχθεί αποτελεσματικά η ροή των πληροφοριών μεταξύ των υποκειμένων με διαφορετικούς βαθμούς εξουσιοδότησης.
Κατά-Διάκριση Μοντέλο Ασφάλειας (discretional, DAC)
Κατά-Διάκριση Μοντέλο (DAC): Στο κατά-διάκριση* (discretionary) μοντέλο ασφάλειας, ο ίδιος ο ιδιοκτήτης (owner) του κάθε πόρου (resource) αποφασίζει το ποιος μπορεί να τον προσπελάσει. Η κατοχή συνήθως αποκτάται ως επακόλουθο της δημιουργίας των αντικειμένων. Στα μοντέλα DAC, όλα τα υποκείμενα και τα αντικείμενα του συστήματος απαριθμούνται, ενώ διευκρινίζονται και όλες οι εξουσιοδοτήσεις προσπέλασης για κάθε υποκείμενο και κάθε αντικείμενο. * (καθώς ο έλεγχος προσπέλασης είναι στη διακριτική ευχέρεια του ιδιοκτήτη του πόρου)
Κατά-Διάκριση Έλεγχος Προσπέλασης (DAC) Περιορίζει την προσπέλαση στα αντικείμενα αποκλειστικά με βάση την ταυτότητα του χρήστη που προσπαθεί να τα προσπελάσει. Χρήστες Πληροφορίες Server 1 Server 2 Server 3 Λίστα προσπελάσεων Όνομα Προσπέλαση Tom Yes John No Cindy Yes
Κατά-Διάκριση Πολιτικές (DAC): Όπως έχει ορισθεί στο TCSEC: «DAC είναι ένας τρόπος περιορισμού της προσπέλασης σε αντικείμενα ο οποίος βασίζεται στην ταυτότητα των υποκειμένων και/ή στις ομάδες όπου αυτά ανήκουν». Οι έλεγχοι που γίνονται είναι κατά-διάκριση με την έννοια ότι: ένα υποκείμενο με μια άδεια προσπέλασης μπορεί να μεταδώσει αυτή την άδεια σε οποιοδήποτε άλλο υποκείμενο, εξουσιοδοτώντας το να έχει πρόσβαση στο συγκεκριμένο αντικείμενο
Αναγκαιότητα: 1. Πέρα από τις στρατιωτικές, στις υπόλοιπες εφαρμογές (π.χ. εμπορικές) συνήθως δεν υπάρχει μια τυποποιημένη αντίληψη των εκκαθαρίσεων / εξουσιοδοτήσεων (clearances). 2. Σαν συνέπεια, οι κανόνες για παροχή αδειών προσπέλασης είναι λιγότερο συστηματοποιημένοι (π.χ. στις εμπορικές εφαρμογές). 3. Επίσης, στις περισσότερες εμπορικές εφαρμογές η ακεραιότητα (integrity) αποτελεί εξ ίσου σημαντικό παράγοντα με την εμπιστευτικότητα (confidentiality) των εγγραφών.
Πότε ενδείκνυται το DAC? Όταν το σύστημα δεν έχει δεδομένα τα οποία μπορεί να αλλοιωθούν από τον δημιουργό τους. Όταν όλα τα δεδομένα μπορούν να διαμοιραστούν με την διακριτική ευχέρεια του δημιουργού τους.
Πότε αντενδείκνυται το DAC? Όταν το σύστημα περιέχει δεδομένα που οι απαιτήσεις προστασίας τους υπερβαίνουν αυτές που μπορεί να αποδώσει ο δημιουργός τους. Όταν το σύστημα περιέχει δεδομένα που οι απαιτήσεις προστασίας τους είναι εξωτερικές όσο αναφορά τις όψεις (views) που βλέπει ο ιδιοκτήτης του αντικειμένου.
Κατά-Διάκριση Έλεγχος Προσπέλασης (DAC) - ΙΙ Αναλυτικότερα, οι βασικές έννοιες είναι οι εξής: το σύνολο των υποκειμένων ασφάλειας (security subjects) S, το σύνολο αντικειμένων ασφάλειας (security objects) O, το σύνολο προνομίων προσπέλασης (access privileges) T, που προσδιορίζουν το είδος της προσπέλασης την οποία μπορεί να έχει ένα υποκείμενο σε ένα συγκεκριμένο αντικείμενο το σύνολο από προϋποθέσεις (predicates) P που παριστάνουν κανόνες προσπέλασης οι οποίοι βασίζονται στο περιεχόμενο των δεδομένων.
Το Κατά-Διάκριση Μοντέλο Ασφάλειας(DAC) βασίζεται στις έννοιες των: αντικειμένων ασφάλειας (security objects), υποκειμένων ασφάλειας (security subjects), και δικαιωμάτων προσπέλασης (access privileges). Το δικαίωμα προσπέλασης t, ενός υποκειμένου s, σε ένα αντικείμενο o, εκφράζεται από μια τριάδα της μορφής (o, s, t), που καλείται κανόνας προσπέλασης (access rule).
Η κατά-διάκριση ασφάλεια που υποστηρίζεται από τα περισσότερα εμπορικά ΣΔΒΣ (DBMS) βασίζεται στην έννοια των απόψεων (database views). Σύμφωνα με αυτήν: αντί να εξουσιοδοτείται ο χρήστης για προσπέλαση στις βασικές σχέσεις (πίνακες δεδομένων) ενός συστήματος, χρησιμοποιείται η πληροφορία του πίνακα ελέγχου προσπέλασης για να περιορίζεται ο χρήστης σε ένα επιμέρους υποσύνολο των διαθέσιμων δεδομένων.