Autentizace uzivatelu

systemy pro spravu informaci musi zajistit dodani techto informaci autorizovanym uzivatelum

navic autentizace je nutna i pri zajistovani napr. fyzicke bezpecnosti

Mechanismus autentizace muze byt zalozen na nekterem z nasledujicich faktu:

Hesla

Charakteristika dobreho hesla:

Skupinova hesla

z ruznych duvodu obcas systemy pripousteji hesla spolecna skupinam uzivatelu - tato hesla jsou malo bezpecna, byvaji casto vyzrazena

Piny

(personal identiifcation number)

jsou ciselne retezce standardni delky, slouzici k podobnym ucelum jako hesla

v souvislosti s platebnimi a kreditnimi kartami casto pouzivany 4-mistne piny

Challenge-Response systemy

heslo muze byt zachyceno v prubehu vkladani, nebo pri prenosu cilovemu uzlu

caste zmeny hesla jsou pro uzivatele zatezujici

vhodnejsi je, pokud system zasle vyzvu v podobe nahodne zpravy a uzivatel jako heslo vrati spravnou reakci na tuto zpravu - napr. jeji zasifrovani tajnym klicem apod.

Vymena tajnosti

protokol pro pripad, ze komunikujici strany prilis neduveruji svemu okoli a nechteji vyzradit svoji identitu

pokud sdileji tajny klic e:

  1. A zasle B zpravu E(m, e)
  2. B vrati A zpravu E(m + <heslo>, e)

pokud tajny klic nesdileji, neobejdou se bez centralni autority C:

  1. A zasle C zpravu E(<B, m>, eA)
  2. C vytvori transakcni klic k
  3. C zasle E(<B, m, k, E(<A, m, k>, eB)>, eA) zpet A
  4. Desifrovanim zpravy A ziska m, k a E(<A, m, k>, eB)
  5. A zasle E(<A, m, k>, eB) uzlu B

pro zajisteni ochrany proti znovupouziti starych zprav m musi obsahovat timestamp

Passphrases

jde vlastne o dlouha hesla, mohou to byt casti pisni, basnicek, casti citatu ...

pokud pouzijeme vhodny kompresni algoritmus, lze passphrazi transformovat ve velmi kvalitni heslo

navic je mozne aplikovat ruzne dalsi mereni - napr. rytmus stisku jednotlivych klaves, jez byva pro kazdeho charakteristicky

Tokeny, smard cards

token je obecne oznaceni pro predmet, ktery autentizuje sveho vlastnika

musi byt jedinecny a nepadelatelny

obvykla implementace jsou nejruznejsi magneticke nebi cipove karty

pokud karta umi reagovat na vnejsi podnety, ma napr. vlastni vypocetni kapacitu, pamet, hovorime o tzv. smart card

predlozeni tokenu byva casto kombinovano s nutnosti zadat odpovidajici heslo

Tokeny pouze s pameti

jsou obdobou mechanickych klicu, pamet muze obsahovat jednoznacny identifikacni retezec

Tokeny udrzujici hesla

token po zadani jednoducheho uzivatelskeho hesla vyda urceny kvalitni klic, ktery udrzuje

Tokeny s logikou

umi zpracovavat jednoduche podnety typu vydej nasledujici klic, vydej cyklickou sekvenci klicu, muze mit omezen pocet pouziti

pomoci techto tokenu lze realizovat system s one-time hesly

kazdy klic cyklicke sekvence muze zpristupnovat jistou cast vypocetniho systemu

tyto tokeny lze pouzivat tez k ochrane programu, pristupum k nejruznejsim placenym sluzbam apod.

Inteligentni tokeny (smart cards)

jsou idealnim doplnkem chalenge-response systemu, mohou mit vlastni vstupni zarizeni pro komunikaci s uzivatelem, vlastni casovou zakladnu, mohou zajistovat napr. sifrovani, generovat nahodna cisla apod.

nevyhodou hesel a tokenu je jejich transferovatelnost a staticnost.

Biometriky

jde o techniky identifikace lidi na zaklade jejich osobnich charakteristik

navzajem se odlisuji ruznou mirou spolehlivosti, ceny a v neposledni rade i spolecenske prijatelnosti

hledame charakteristiky majici dostatecnou mezi-osobni variabilitu pri zachovani vnitro-osobni reproducibility

kvalitu biometrik lze charakterizovat:

Verifikace hlasu

testovany subjekt precte systemem nahodne zvolenou frazi, sejmuta zvukova stopa je kmitoctove omezena (nejcasteji na 3kHz) a je proveden rozbor zvuku na zaklade puvodu jednotlivych slozek zvuku v cinnosti hlasoveho aparatu - fonace, frikace.

Vysledek je vhodnym zpusobem komprimovan na vzorek velikosti 1 az 2 kB a porovnan se srovnavacim vzorkem

Vyhodou je prirozenost a moznost provadet verifikaci napr. prostrednictvim telefonu.

Verifikace dynamiky podpisu

Sleduji se zmeny tlaku, zrychleni v jednotlivych castech, celkovy prubeh zrychleni, zarovnani jednotlivych casti podpisu, celkova rychlost, celkova draha a doba pohybu pera na a nad papirem apod.

Ze ziskanych hodnot je opet vytvoren vzorek, ktery je porovnan se srovnavacim vzorkem.

Vyhodou opet prirozenost a socialni akceptovatelnost, nevyhodou mala mechanicka odolnost snimacu, a znacna variabilita podpisu u nekterych lidi.

Verifikace otisku prstu

System provadi statisticky rozbor vyskytu tzv. markant - hrbolku, smycek a spiral v otisku prstu a jejich vzajemne polohy

casto se provadi testovani uzivetelem zvoleneho vyberu nekolika prstu

Vyhodou je vynikajici mezi/vnitro-osobni variabilita, a dobra zpracovatelnost vstupnich dat, nevyhodou jsou mozne negativni asociace uzivatelu, a vyssi cena technologie

Geometrie ruky

Metoda zkouma delku a sirku dlane a jednotlivych prstu, bocni profil ruky apod.

Vysledkem je velmi maly vzorek - cca 18 bytu. Metoda je pomerne spolehliva avsak ponekud drazsi. Moznost podstrceni odlitku ruky.

Obrazy sitnice

Zarizeni poridi obraz struktury sitnice v okoli slepe skvrny, tento obraz je digitalizovan a preveden na vzorek delky priblizne 40 bytu (!)

Obrazky sitnice maji stejne charakterizacni vlastnosti jako otisky prstu

Vyhodnou metody je znacna spolehlivost a velmi obtizna napodobitelnost. Proto jde o metodu vhodnou k nasazeni v prostredi nejvyssiho utajeni. Nevyhodou jista subjektivni neprijemnost, opet jde o velmi drahou technologii.

Dalsi biometriky

rysy obliceje, Bertillonovy miry, rytmus psani na klavesnici, EEG, EKG, otisky dlani a chodidel, otisky chrupu, geneticke rozbory, ...


© Tonda Benes, KSI MFF UK Praha, 1996
Toto je revision 1.1, 24.5.1996
Tuto stranku shledlo jiz <pocet navstevniku> zvedavcu ...