Ідентифікація та аутентифікація за допомогою ЕЦП

Аутентифікатори та системи аутентифікації.

Для захисту від несанкціонованого доступу до персональних комп'ютерів, серверів та іншого обладнання застосовують механізми автентифікації, що використовують різні характеристики користувачів (рис. 1).

ідентифікація

Мал. 1. Інформація, що використовується для аутентифікації користувачів

Найпростіший механізм аутентифікації, вбудований майже будь-яку операційну систему, пропонує після введення імені підтвердити його паролем, відповідним даному імені. У таких поширених операційних системах, як Windows та Unix, паролі зберігаються у зашифрованому вигляді. При цьому для шифрування паролів використовуються стандартні криптоалгоритми з вбудованими разами і назавжди ключами. Існує безліч способів перехопити відкритий пароль і пройти аутентифікацію від чужого імені, тому у всіх посібниках рекомендується якнайчастіше змінювати паролі, а також робити їх якнайменше закономірними і довшими.

Ідентифікація та аутентифікація в мережі

На першій стадії переважали двосторонні відносини між продавцями та партнерами. Двосторонні відносини вимагали ідентифікації та аутентифікації один одного при взаємодії через мережу. Цей тип взаємовідносин незручний для користувачів послуг, оскільки потребує персональної ідентифікації та автентифікації кожного продавця.

На другому етапі ідентифікація та аутентифікація покупця проводяться один раз для багатьох продавців за наявності їхньої спільної згоди. На третій стадії покупці та продавці покладаються на провайдера послуг ідентифікації та аутентифікації, що повністю виключає процедуру двосторонньої взаємної аутентифікації між покупцем і продавцем. Цей спосіб ідентифікації називається циклом довіри. Він дозволяєвключати у процедуру взаємодії постачальника та одержувача послуг третю сторону, наприклад банк. Наступна стадія розвитку ідентифікації та аутентифікації в мережі пов'язана із взаємодією безлічі серверів щодо надання послуг ідентифікації та аутентифікації між собою. Такий спосіб сервісу зветься "федеральна служба мережевої аутентифікації".

Усі випадки мережної аутентифікації зводяться до двосторонньої аутентифікації лише на рівні протоколів аутентифікації між компонентами автоматизованих систем. Причому поява постійного пароля в мережевому трафіку різко знижує безпеку аутентифікації мережі. Тому в мережній аутентифікації необхідно використовувати одноразові паролі або аутентифікацію за допомогою апаратних засобів.

Аутентифікація за допомогою апаратних засобів

Аутентифікація за допомогою апаратних засобів буває двох видів:

  • за схемою запит-відповідь;
  • за схемою автентифікації із синхронізацією.

ідентифікація

У першому випадку користувач підключається до сервера автентифікації та передає йому PIN або User ID. Сервер передає користувачеві випадкове число, яке пересилається на підключену до машини інтелектуальну карту. Карта шифрує отримане число та передає результат серверу. Сервер також шифрує надіслане ним випадкове число, використовуючи ключ користувача. Порівняння шифртексту, отриманого від користувача, та шифртексту, обчисленого на сервері, дозволяє аутентифікувати користувача. У схемі із синхронізацією за часом на апаратному пристрої користувача (інтелектуальній карті тощо) та на сервері працює секретний алгоритм, який синхронно виробляє нові паролі та замінює старі паролі на нові. Під час аутентифікації користувач вводить свій PIN або User ID тавстановлює у рідері персональну інтелектуальну картку. Порівняння пароля, зчитаного з карти, з отриманим на сервері, чи дозволяє аутентифікувати користувача.

Ідентифікація та аутентифікація за допомогою ЕЦП

Електронно-цифровий підпис може використовуватися як засіб аутентифікації, якщо він поміщений на апаратні засоби типу інтелектуальної карти. Карта представляє серверу підписаний ЕЦП ідентифікатор або PIN користувача, сервер перевіряє електронно-цифровий підпис і цим проводить автентифікацію користувача. Така автентифікація можлива у разі обмеженої кількості користувачів, що дозволяє зберігати на сервері інформацію про електронно-цифрові підписи всіх користувачів.

Технології аутентифікації

Прикладом системи одноразових паролів є система S/Key (RFC 1760), яка дозволяє генерувати одноразові паролі на основі стандартів MD4, МD5. Протокол аутентифікації полягає в наступному:

  • Клієнт надсилає серверу пакети ініціалізації;
  • сервер відправляє клієнту порядковий номер та випадкове число (seed);
  • клієнт вводить пароль (щонайменше 8 символів).
  • Пароль з'єднується з випадковим числом та порядковим номером;
  • функція виходу переводить отримане 64-бітове число в форму, що читається, і це число використовується в якості одноразового пароля;
  • пароль може вводитися такими способами: за допомогою програмного забезпечення, що включає паролі даних, за допомогою спеціальної функції (cut and paste) або за допомогою ручного введення.