Autentizační metody v operačních systémech typu Linux a UNIX

Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Vyšší odborná škola informačních služeb v Praze Pavlína Chmelová Autentizační metody v operačních systémech typu Linux a UNIX Bakalářská práce 2010

Prohlášení Prohlašuji, že jsem bakalářskou práci na téma Autentizační metody v operačních systémech typu Linux a UNIX zpracovala samostatně a použila pouze zdrojů, které cituji a uvádím v seznamu použité literatury. V Praze dne 14.5.2010 Pavlína Chmelová

PODĚKOVÁNÍ Ráda bych poděkovala touto cestou především mému vedoucímu bakalářské práce, panu RNDr. Tomáši Jeníčkovi, Dr. za jeho cenné rady, ochotu, vstřícnost a trpělivost při vedení této bakalářské práce. V neposlední řadě bych chtěla poděkovat svým rodičům, bez jejichž trpělivosti a ochoty bych tuto práci nemohla dokončit.

OBSAH 1. ÚVOD... 4 2. ZÁKLADNÍ POJMY... 5 3. POPIS AUTENTIZAČNÍCH METOD... 7 3.1. AUTENTIZACE HESLEM... 7 3.2. AUTENTIZACE PŘEDMĚTEM... 9 3.2.1. OTP tokeny... 10 3.2.2. Čipové karty (Smart Cards)... 11 3.2.3. USB tokeny... 12 3.3. BIOMETRICKÁ AUTENTIZACE... 13 3.3.1. Verifikace otisku prstu... 16 3.3.2. Verifikace hlasu... 18 3.3.3. Verifikace podpisu... 18 3.3.4. Verifikace oka... 19 3.3.5. Verifikace ruky... 22 4. INTERNÍ AUTENTIZACE... 23 4.1. UŽIVATELSKÁ JMÉNA A HESLA... 23 4.1.1. Uživatel... 24 4.1.2. Skupina... 24 4.1.3. Heslo a hašovací funkce... 25 4.2. KERBEROS... 26 4.2.1. Autentizační proces... 27 4.2.2. Problémy systému Kerberos... 30 4.3. NIS... 32 4.3.1. Mapy... 32 4.3.2. NIS doména... 34 4.4. LDAP... 35 4.4.1. Adresářové služby... 35 4.4.2. Protokol LDAP... 37 4.4.3. Informační model... 38 4.4.4. Jmenný model... 41 4.4.5. Funkční model... 42 4.4.6. Bezpečnostní model... 45 4.4.7. LDIF... 46 4.4.8. Autentizace pomocí LDAP... 48-1 -

5. IMPLEMENTACE LDAP... 50 5.1. INSTALACE... 50 5.2. KONFIGURACE... 51 5.3. TVORBA OBSAHU... 56 5.4. ZMĚNA OBSAHU... 58 6. ZABEZPEČOVACÍ POLITIKA... 60 6.1. VÝVOJ BEZPEČNOSTNÍ POLITIKY... 60 6.2. ZABEZPEČENÍ FYZICKÉHO PŘÍSTUPU... 61 6.3. ZABEZPEČENÍ POČÍTAČOVÉHO SYSTÉMU... 62 6.3.1. Práce s elektronickou poštou... 62 6.3.2. Práce na internetu... 63 6.4. ZABEZPEČENÍ INFORMACÍ... 64 6.5. EKONOMICKÉ A PRÁVNÍ ZABEZPEČENÍ... 64 6.6. POČÍTAČOVÁ KRIMINALITA... 64 6.6.1. Přesměrování portů... 64 6.6.2. Man-in-the-middle attack... 65 6.6.3. DoS útoky... 65 6.6.4. Malicious code attacks... 66 7. ZÁVĚR... 68-2 -

ABSTRAKT Cílem práce je vytvořit ucelený přehled nejběžnějších autentizačních metod, které se používají na systémech typu Linux a UNIX se zaměřením na LDAP protokol. Jednotlivé metody jsou popsány a porovnány z hlediska jejich složitosti implementaci a bezpečnosti. U protokolu LDAP je popsána reálná implementace tohoto protokolu do systému včetně využití LDAP jako autentizačního mechanismu. Klíčová slova: autentizace, LDAP, Kerberos, šifrování, adresářové služby. ABSTRACT The aim of the project is to create a comprehensive overview of the most common authentication methods used on systems like Linux and UNIX, with a focus on the LDAP protocol. The various methods are described and compared in terms of their complexity of implementation and security. The LDAP is described by a real implementation of this Protocol to the system including the use of LDAP as an authentication mechanism. Keywords: Authentication, LDAP, Kerberos, Cryptography, Directory Services - 3 -

1. ÚVOD Snahou této práce je vytvořit ucelený přehled nejpoužívanějších autentizačních metod, které mohou být použity v systémech typu Unix a Linux. Zaměříme se zejména na standardizovaný protokol LDAP a využití adresářových služeb v praxi. V dnešní době je nejčastějším požadavkem, aby systém byl zapojen do veřejné informační sítě = Internetu. Snad každá firma potřebuje, aby byla ve veřejné síti (Internetu) viděna. Veřejná síť je však považována za síť nezabezpečenou. Je tedy nezbytné rozdělit přístup k systému tak, aby se všichni uživatelé z lokální podčásti systému mohli připojit do sítě veřejné, ale připojení v opačném směru aby bylo možné teprve tehdy, pokud uživatel prokáže, že má oprávnění se k danému systému (službě systému) připojit. Nejčastěji přitom také musí prokázat svou identitu. Autentizace je tak základním prvek bezpečnosti každého informačního systému či počítačové sítě. Každý administrátor si uvědomuje, že je nutné omezit přístup k informačnímu systému tak, aby se do něj nemohla dostat nepovolaná osoba či potencionální útočník, který by odtud mohl odcizit informace nebo znemožnit správný chod systému. Proto se zavádějí různé autentizační mechanismy umožňující kontrolu toho, zda je uživatel oprávněn k danému systému se přihlásit a jaké jeho služby může využívat. Autentizační metody lze odstupňovat dle jejich bezpečnosti. Platí tu však přímá úměrnost - čím bezpečnější autentizační mechanismus, tím dražší a nebo komplikovanější je jeho implementace a správa. Proto se používají kombinace těchto mechanismů, které zvyšují odolnost proti útoku a zároveň vzájemně kompenzují své nedostatky. - 4 -

2. ZÁKLADNÍ POJMY Identifikace Proces, který určuje identitu subjektu nebo objektu. Autentizace Je to proces ověřování identity uživatele, který přistupuje k systému. Systém tedy ověřuje, zda se jedná opravdu o uživatele, který má oprávněný vstoupit do informačního systému. Autentizační systém Systém, který má prostředky pro ověření oprávněnosti uživatelů a zároveň umožňuje řídit přístup k systému. Autorizace Proces přiřazení oprávnění uživateli pro určitou činnost na základě autentizace. Počítačová síť Označení pro technické prostředky, které realizují datová spojení a výměnu informací mezi jednotlivými počítači Heslo Jedná se o skupinu písmen, číslic a dalších zvláštních znaků, které se uživatel snaží držet v tajnosti. Heslo je jedním z elementů, jimiž uživatel prokazuje svoji identitu. PIN (Personal Identification Number) Jedná se o jedinečný identifikátor, pomocí kterého je možné se autentizovat. PIN se skládá pouze z číslic. Token Jedná se o předmět či zařízení, který se používá při autentizace a potvrzuje identitu svého vlastníka. Biometrie Vědní obor, který se zabývá rozpoznáváním živých organizmů na základě jejich jedinečných biologických (nejčastěji morfologických) vlastností. Distribuovaný systém Technický termín, který označuje síť, která má jeden nebo více síťových serverů a jednu nebo více síťových pracovních stanic. - 5 -

Bezpečnostní politika Bezpečnostní politika je struktura pravidel a algoritmů, jejímž cílem je zajistit požadovanou úroveň bezpečnosti systému a současně definovat způsoby a typy oprávnění přístupu jednotlivých uživatelů k systému, respektive jeho službám. Hash Specifický algoritmický produkt, nejčastěji ve formě řetězce znaků. Speciální algoritmus přiřadí vstupnímu řetězci výstupní řetězec. Přiřazení výstupního řetězce ke vstupnímu je jednoznačné. - 6 -

3. POPIS AUTENTIZAČNÍCH METOD Jak již bylo řečeno v předchozí kapitole, autentizace je proces, kterým se ověřuje identita uživatele. Je proto nedílnou a důležitou součástí bezpečnostní politiky každého systému. Autentizační proces může být založen na několika základních skutečnostech: uživatel něco zná (například heslo), uživatel něco má (autentizační předmět čipovou kartu), uživatel něčím je (je schopen poskytnout adekvátní biometrickou informaci). Z těchto jednotlivých skutečností pak vycházejí základní metody, které se při autentizaci používají: 1. autentizace heslem 2. autentizace předmětem 3. biometrická autentizace Aby se co nejvíce kompenzovaly výhody a nevýhody, jsou jednotlivé metody mezi sebou často kombinovány. Mluvíme pak o autentizaci vícefaktorové. V případě, že jsou kombinovány 2 metody, jde o autentizaci dvoufaktorovou (například PIN s čipovou kartou) atd. Po autentizaci obvykle následuje fáze autorizace, v níž se již autentikovanému uživateli přiděluje určité oprávnění pro práci s daným systémem. Jednotlivé autentizační metody jsou blíže popsány v následujících kapitolách. 3.1. AUTENTIZACE HESLEM Autentizace s použitím hesla je jednou z nejjednodušších a zřejmě i nejpoužívanějších metod autentizace. Bohužel je potřeba říci, že i jednou z nejméně bezpečných. Pokud se chce uživatel přihlásit k nějakému zabezpečenému systému, musí většinou zadat tajné heslo. Toto tajné heslo je zahashováno a porovnáno s hashem, který je - 7 -

uložen na autentizačním serveru. Heslo si buď uživatel vytvoří sám nebo je mu vygenerováno pomocí generátoru kódů. Když si uživatel má možnost vytvořit heslo sám, má obvykle tendenci si vymýšlet hesla lehce zapamatovatelná. Vzniká tak potenciální bezpečností díra pro útok na systém. Na druhou stranu, pokud je uživateli heslo přiděleno, nezřídka si je někam poznamená, protože bývá špatně zapamatovatelné. Heslo je pak sice dostatečně bezpečné, ale uživatel není schopen si ho zapamatovat a tudíž ho dává k dispozici např. na papíře potenciálnímu útočníkovi. Při tvorbě a používání hesla by měl uživatel nebo administrátor systému dodržovat určité zásady a to zejména: Minimální délka hesla by měla činit alespoň 8 znaků. Takovéto heslo je považováno za relativně silné. Čím více znaků použijeme, tím je heslo bezpečnější. Heslo by mělo obsahovat kombinaci čísel, velkých a malých písmen a také zvláštní symbolů jako jsou například +, > < $ % & * atd. Heslo by se mělo dát těžko odhadnout. Nemělo by vycházet z obecně známé věci o vlastníkovi. Máme zde na mysli hesla typu jméno dcery, telefonní číslo, datum narození, místo bydliště, jméno psa a podobně. Nemělo by jít o běžnou frázi či slovo, aby heslo nemohlo být rozluštěno pomocí slovníkového útoku. Uživatel by neměl mít heslo nikde napsané a neměl by ho za žádnou cenu sdělovat další osobě, a to ani v případě, že se jedná o manžela, přítelkyni či kamaráda. Heslo by mělo být periodicky obměňováno. Je vidět, že požadavky na heslo jsou velmi vysoké. Při dodržování těchto základních zásad však může uživatel minimalizovat úspěšnost eventuálního útoku. Důležitou součástí bezpečnosti systému je i kvalitní zabezpečení databáze z hesly a její důsledná správa s dodržením všech pravidel předem definované bezpečnostní politiky. - 8 -

Autentizace za pomoci hesla má několik zásadních nevýhod. 1. Pokud není heslo dostatečně zabezpečené a nemá vhodnou strukturu, může dojít k tomu, že ho neoprávněná osoba použije pro útok na systém. Problém hesel je v tom, že mohou být odpozorovatelná. Což znamená, že ve chvíli, kdy uživatel zadává heslo a například neumí psát všemi deseti prsty, dochází k tomu, že heslo píše pomalu a jiná osoba v jeho blízkosti, ho může odpozorovat. 2. Dalším problémem může být obsahová stránka hesla. Lidé si často jako heslo dávají obecně známé informace. Stačí si tedy zjistit základní údaje o uživateli (datum narození, telefonní číslo, bydliště, jména dětí, atd.) a postupně tyto údaje vyzkoušet s případnými obměnami - jako heslo. 3. Dalším důležitým problémem je možný slovníkový útok. Pokud uživatel má jako heslo zadané obyčejné, běžně používané slovo, pro neoprávněnou osobu není problém pomocí slovníkové databáze toto slovo identifikovat. Taková operace je překvapivě časově nenáročná. Dalším možnost odchycení hesla nastává při přenosu hesla mezi cílovými uzly. Proto by heslo mělo být přenášeno v nečitelné podobě. Na druhou stranu má tento druh autentizace i několik výhod. Tou nejdůležitější je jednoduchá a levná implementace, bohužel na úkor bezpečnosti. Ověření pomocí hesel je jednou z nejpoužívanějších metod autentizace vůbec. 3.2. AUTENTIZACE PŘEDMĚTEM Autentizace předmětem je založena na tom, že daný uživatel něco má tedy vlastní nějaký fyzický předmět. Tento předmět se nazývá token a vlastník jím potvrzuje svou identitu. Vlastnosti tokenu by měly být následující: Token by neměl být vůbec anebo přinejmenším těžko kopírovatelný. Měl by být zabezpečený proti krádeži Musí nést autentizační informaci Jeho použití by mělo být jednoduché - 9 -

Vzhledem k tomu, že token je přenositelný, disponuje každý, kdo má k tokenu fyzický přístup a je schopen jej použít, současně i autentizační informací. Díky přenositelnosti tokenu tu nacházíme také potenciální hrozbu, a to jeho odcizení a zneužití. Pro použití tokenu je potřeba speciální komunikační (např. optické čtecí nebo bezdrátové) zařízení, které však zvyšuje nákladnost řešení. Výhodou a zároveň i nevýhodou takového tokenu je jeho přenositelnost. Díky přenositelnosti je snadno odcizitelný, a proto se používá většinou v kombinaci ještě s další metodou, aby se zabezpečilo jeho zneužití. Jedná se tedy často o vícefázovou autentizaci. Nejčastěji se v praxi můžeme setkat s následujícími tokeny: OTP tokeny čipové karty USB tokeny 3.2.1. OTP TOKENY OTP (One Time Password) tokeny jsou tzv. autentizační kalkulátory nebo je také můžeme najít pod pojmem PIN kalkulátory. Jedná ze o dvou faktorové tokeny. Znamená to tedy, že uživatel něco má (token) a zároveň něco zná (PIN). Kalkulátor pracuje tak, že pokud uživatel zadá správně PIN, kalkulátor vygeneruje jednorázové heslo, které je pak použito pro danou relaci přístupu k systému. Důležitou podmínkou je, že obě komunikující strany musí znát parametry kalkulátoru. Je to dáno tím, že z předchozího jednorázového hesla se dá pomocí těchto parametrů určit heslo následující. S ohledem na bezpečnost tak parametry nesmějí být známy třetí osobě. Autentizace probíhá tak, že klient zadá PIN a pokud je PIN správný, jeho OTP token vygeneruje jednorázový kód, který je poslán autentizačnímu serveru. Ten, jelikož zná parametry daného autentizačního kalkulátoru, vygeneruje dle parametrů také kód, který potom porovná s příchozím kódem. Pokud jsou oba kódy shodné, je klient autentizován. - 10 -

Výhodou použití OTP tokenu je jeho bezpečnost. Jak již bylo řečeno, už jen to, že uživatel nosí svoji autentizační informaci při sobě (tedy ji vlastní), zvyšuje míru bezpečnosti. Při odcizení je token stále chráněn PIN kódem, který útočník nezná, a tudíž je pro něj token jako takový bezcenný, pokud nějakým způsobem PIN nezjistí či neuhodne. Délka a bezpečnost PINu jsou tak klíčovými faktory tohoto způsobu ověřování identity. Jedna z forem ochrany OTP tokeny spočívá v tom, že při pokusu uhodnout PIN opakovaným vkládáním číselných kombinací vede k nevratnému zablokování a znefunkčnění tokenu (obvykle po třech neúspěšných pokusech). 3.2.2. ČIPOVÉ KARTY (SMART CARDS) Čipová karta je plastická destička, která má v sobě zabudovaný čip, zpravidla s jednočipovým procesorem. Tím, že je procesor zabudován v čipu, je považována čipová karta za jedno z velmi bezpečných zařízení, která umožňují autentizaci uživatele. Čipové karty dokáží provádět s uloženými či zaslanými daty různé operace jako jsou například šifrování, hashovací funkce apod. Existují dva typy čipových karet - kontaktní a bezkontaktní. Již z názvu vyplývá, že kontaktní čipová karta musí přijít do fyzického (nejčastěji elektrického) kontaktu se čtecím zařízením. Jedná se tedy o čipovou kartu, na které je vidět skupina kontaktů, zpravidla jich je osm. Tyto kontakty musí přijít do přímého styku se čtečkou čipových karet. Známe je například jako telefonní karty (tzv. SIM karty) nebo platební karty. Druhým typem karet, jak už bylo řečeno, jsou karty bezkontaktní. Tyto čipové karty se nemusejí vkládat přímo do čtečky. Uživatel je může mít v peněžence, v kapse nebo pouze zavěšené na oděvu. Bezkontaktní čipové karty používají pro spojení se čtecím zařízením tzv. elektromagnetickou indukční smyčku. Na schopnostech čipu závisí veškeré vlastnosti čipové karty. Zřejmě nejznámějším a nejpoužívanějším typem čipových karet jsou kontaktní procesorové čipové karty. - 11 -

Obr. 1 Ukázka čipové karty V tomto druhu karty najdeme 3 základní paměti. Jsou to paměti: RAM (Random Access Memory) Paměť slouží pro dočasné uložení výsledků. Ve chvíli, kdy je karta vyjmuta z napájení, paměť je vymazána a tudíž ztrácí svůj obsah. ROM (Random Only Memory) Na této paměti je uložen operační systém a samotná aplikace karty. Paměť ROM je nepřepisovatelná, což znamená, že je pouze ke čtení. EEPROM (Electrically Erasable Programmable Read Only Memory) Tuto paměť je možno mazat a zároveň programovat. Při odpojení od napájení si stále udržuje svůj obsah. V této paměti jsou uloženy veškerá data (soubory) aplikace. Soubory většinou bývají členěny do stromové struktury a jsou zabezpečeny pomocí přístupových práv. Pokud uživatel správně zadá svůj PIN (Personal Identification Number), jsou mu tyto práva přidělena. Čipové karty jsou často těsně spjaty s informačními systémy, které vyžadují vyšší míru zabezpečení. V takovém případě je při jejich použití vyžadován ještě jeden způsob ověření a to většinou zadáním PIN kódu. Jde tu opět o dvoufázovou autentizaci. Pokud útočník odcizí čipovou kartu, je pořád omezen tím, že nezná příslušný PIN kód. Mezitím majitel nahlásí odcizení čipové karty a karta bude zablokována i pro případ, že útočník PIN kód zjistí. Dochází zde tedy k překažení útoku a zajištění, že bezpečnost systému nebude porušena. 3.2.3. USB TOKENY Jak již bylo řečeno, token je zařízení, které nese nějakou autentizační informaci. V dnešní době jsou stále oblíbenější tzv. USB tokeny. Je to z jednoduchého důvodu: tato zařízení bez větších problémů uživatel připojí k většině dnešních počítačů či jinému - 12 -

zařízení díky jednoduché podpoře USB rozhraní. Implementace je tedy podstatně levnější, protože není třeba žádné speciální čtecí zařízení. USB tokeny jsou konstrukčně podobné čipovým kartám. Jejich velikou výhodou je možnost generování privátních klíčů přímo v tokenu. Je to zejména výhodné v tom, že klíče se nemusí posílat přes žádný nezabezpečený kanál a tím se minimalizuje i možnost útoku. Také USB token je používán v kombinaci s dalšími autentizačními metodami, a to zejména v kombinaci s heslem, PIN kódem nebo biometrickou informací. Jak již bylo uvedeno výše, důvodem je zvýšení bezpečnosti zejména při odcizení USB tokenu. 3.3. BIOMETRICKÁ AUTENTIZACE Slovo biometrie vzniklo v řečtině a to ze slov bios (= život) a metron (= měřit). Doslova bychom tedy mohli říci měření živého. Biometrie (biometric) je vědní obor, který se zabývá rozpoznáváním a měřením biologických vlastností živých organizmů, především tedy člověka. Jedná se tedy rozpoznávání živých organizmů na základě jejich jedinečných vlastností. Biometrická autentizace funguje na základě automatizovaného zjišťování a porovnávání biometrických charakteristik uživatelů systému. Původně byla biometrická autentizace používána v systémech, které vyžadovaly nejvyšší míru zabezpečení. V dnešní době je ale biometrie stále rozšířenější a dostává se i do oblastí jako například bankovnictví, veřejný sektor ale i soukromá sféra. Jedná se o jednu z nejbezpečnějších možností autentizace.[13.] Mezi základní biometrické charakteristiky patří především: otisky prstů tón a zabarvení hlasu tvar ruky geometrie obličeje obraz sítnice - 13 -

obraz duhovky dynamika podpisu Jednou z prvních fází procesu biometrické autentizace je získání a zápis tzv. etalonů. Jedná se o získání referenčních vzorků dané biometrické charakteristiky. Tyto etalony pak při autentikaci slouží jako referenční vzorky, vůči kterým jsou aktuální údaje porovnávány. Vzorky proto musí být kvalitní, aby nedošlo k autentizaci neoprávněné osoby a aby zároveň nebyla odmítnuta osoba, která má na úspěšnou verifikaci právo. Odebírá se proto více etalonů, ty jsou následně zprůměrňovány a vznikne z nich jeden reprezentativní vzorek, který je uložen do databáze, proti které je při verifikaci biometrický údaj porovnáván. Často se ve spojení s biometrickou autentizací používají ještě další autentizační metody, a to buď autentizace pomocí čipové karty nebo hesla. K danému reprezentativnímu vzorku je tedy přiřazen další identifikátor (heslo, čipová karta, PIN atd.). Druhou částí procesu autentizace je ukládání etalonů. Referenční vzorky mohou být uloženy zároveň v typově různých a topologicky různě umístěných úložištích. Různé typy a různá umístění úložišť mají však své výhody a nevýhody. Úložištěm často bývají vzdálené centrální databáze. V oblasti IT se toto řešení nabízí jako nejjednodušší. Problémem můžou ale být výpadky sítě. Jakmile přestane fungovat sít, není autentizace možná, není-li zároveň dostupné jiné, náhradní úložiště. V tomto případě je tedy potřeba zajistit ještě záložní způsob verifikace tedy uložit etalony na jiné místo. Řešením takového problému může být uložení reprezentativních vzorků přímo v biometrickém čtecím zařízení. Výhodou takovéhoto úložiště je rychlá interakce a není nutné mít výkonné datové spojení. Mezi nevýhody lze zařadit vysokou závislost na funkčnosti daného zařízení. Pokud autentizační zařízení nebude plně fungovat, autentizace bude opět nemožná. Dalším řešením tohoto problému může být uložení biometrických informací v přenosných tokenech. Mezi největší výhody tokenů patří jeho přenosnost. Bohužel tato vlastnost musí být zahrnuta i mezi nevýhody. Uživatel se sice může autentizovat kdekoliv, protože má token stále u sebe, ale zároveň hrozí i odcizení tokenu, který je nositelem etalonu. Proto nejlepším způsobem zabezpečení autentizace je použití kombinací uvedených biometrických způsobů autentizace. - 14 -

Dalším krokem k úspěšné autentizaci je proces verifikace. Verifikační proces je vyvolán zadáním hesla nebo PINu do systému, případně použitím tokenu. Bezprostředně po zadání těchto informací je sejmut biometrický vzorek, který je porovnán s uloženým etalonem. Pokud souhlasí heslo, PIN či token a zároveň biometrický vzorek, je uživatel úspěšně verifikován a může být přihlášen do systému. Veškeré výsledky verifikace jsou ukládány. Důležitým prvkem zabezpečení je povolený počet neúspěšných pokusů o autentizaci. Je potřeba zajistit, aby uživatel měl možnost opravit si špatně zadaný vzorek či PIN k verifikaci, avšak zároveň omezit počet možných pokusů. Tedy je potřeba říci autentizačnímu systému, kolikrát uživatel může zadat dané údaje. Pokusů však nesmí být takové množství, aby umožňovalo neoprávněným uživatelům prolomit systém. Poslední fází autentizačního procesu je ukládání výsledků verifikačního procesu. V každém autentizačním systému je důležité vést určitou evidenci verifikačních výsledků. Tyto výsledky se většinou odesílají na jiné místo v síti, případně mohou být uloženy lokálně. Výhodou síťového uložení je možnost shromažďování úplné historie výsledků autentizačních procedur. Znamená to, že všechny výsledky jsou zaznamenány a nedochází k přepisu starých údajů novými z důvodu nedostatku místa. Lze zde tedy dohledat transakce od počátku používání systému. Výkonnost autentizačního systému se měří koeficienty. Jedná se zejména o koeficient nesprávného přijetí, koeficient nesprávného odmítnutí, koeficient vyrovnané chyby. Dále to je doba zápisu etalonu a doba ověření.[16.] Koeficient nesprávného odmítnutí (False Rejection Rate) vyjadřuje pravděpodobnost, s jakou biometrický systém odmítne oprávněnou osobu. Tato chyba nemá vliv na bezpečnost, pouze ovlivňuje spokojenost uživatele. N FR FRR = 100 N [%] EIA N FR počet chybných odmítnutí N EIA počet všech pokusů oprávněných osob k identifikaci - 15 -

Koeficient nesprávného přijetí (False Acceptance Rate) vyjadřuje pravděpodobnost, s jakou biometrický systém přijme neoprávněnou osobu jako oprávněnou. Tento koeficient tedy udává míru bezpečnosti. N FA FAR = 100 N [%] IIA N FA počet chybných přijetí N IIA počet všech pokusů neoprávněných osob k identifikaci Koeficient vyrovnané chyby vyjadřuje, že k nesprávnému přijetí nebo k nesprávnému odmítnutí může dojít se stejnou pravděpodobností. Mezi výhody biometrické autentizace tedy patří: vysoký stupeň bezpečnosti rychlost praktičnost efektivnost nulové provozní náklady na autentizaci 3.3.1. VERIFIKACE OTISKU PRSTU Verifikace pomocí otisku prstu je jedna z nejznámějších a v dnešní době také jedna z nejpoužívanějších biometrických metod autentizace. Metoda používání obrazců papilárních linií na vnější straně prstů se začala používat již v 19. století, kdy vznikly tzv. Galtonovy body. Jedná se o charakteristické body na prstu, které jednoznačně identifikují člověka. Na vnitřním povrchu prstů se nacházejí brázdovité útvary, které vytvářejí vlastní otisk prstu. Pro porovnání takového otisku se používají tzv. markanty. Jedná se o identifikační body, které se nacházejí v rýhách vzoru. Mezi základní rozpoznávací vzory markant patří především oblouk, smyčka a vír. - 16 -

Obr. 2 Základní rozpoznávací vzory markant Z použití markant potom vycházejí základní metody zachycení otisků prstů. Pokud opomineme běžné získání otisku prstu pomocí inkoustu a papíru, dostaneme se k nejpoužívanějším metodám, jako je statické či šablonové snímání. Při statickém snímání uživatel položí svůj prst na senzor bez toho, aby s ním pohyboval. Výhodou takového snímání je jeho jednoduchost. Mnohem oblíbenější a častější metodou je dnes snímání šablonováním. Uživatel přejíždí svým prstem po senzoru a ten si otisk sestavuje postupně po pruzích. Obr. 3 Ukázka snímání šablonováním Nevýhodou takovéhoto snímání je obtížnost získání vyhovujícího otisku a určitý návyk uživatele. Uživatel se nejprve musí osvojit správnou polohu prstu a vhodnou rychlost přejíždění nad senzorem. Tato metoda se dnes používá například na přenosných počítačích (noteboocích) pro přihlášení do operačního systému. Základní používaný algoritmus při snímání otisků prstů (markantografu) vytváří obrazec tak, že spojuje spojnice mezi nalezenými markantami. Sleduje tedy přítomnost identifikačních bodů a umístění v daném otisku. Tyto body a dané umístění poté systém porovnává se vzorem, který má uložen v databází etalonů. Pokud údaj odpovídá, uživatel je autentizován a může pracovat s daným systémem. - 17 -

Metody získání otisku prstu mají poměrně velkou přesnost. Některé dokáží dokonce rozpoznat, zda se jedná o živý nebo o mrtvý prst. Biometrická autentizace pomocí otisku prstu je dnes jednou z cenově nejdostupnějších a zároveň také nejrozšířenějších metod biometrické autentizace. 3.3.2. VERIFIKACE HLASU Verifikace hlasu využívá rozšířenou analýzu digitalizované formy hlasu. Hrají tu roli rozdíly ve tvarech hlasivek, ústní dutiny, jazyka, zubů. Díky nim je interpretace jedné věty u každého člověka odlišná. Pro ověření identity uživatele slouží uložený vzor hlasu zpravidla se jedná o větu. Věta nese více akustických informací než samotné slovo. Každý člověk vysloví danou větu jiným hlasem a s jinou intonací. Pomocí určení těchto faktorů může systém spolehlivě určit mluvčího. Věta má velký význam i v bezpečnostní politice. Neoprávněný uživatel neví jakou větu oprávněný uživatel používá, natož aby věděl, jakou intonací ji má říci. Ve verifikaci hlasu však nastává jeden zásadní problém, a to problém okolního prostředí. I sebelepší systém stále nedokáže odstranit šum a ostatní zvuky z okolí. Verifikace proto může být někdy obtížná. Často také záleží na zdravotním stavu verifikované osoby. Pokud je člověk nastydlý, má jinou intonaci a hlavně jiný tón hlasu, což může verifikační systém také zmást a může to vést k neúspěšné autentizaci. Mezi hlavní výhody verifikace hlasu patří nižší cena, nízké hardwarové nároky, vysoká spolehlivost, rychlost, jednoduchost a naprostá nezávaznost technologie. Nevýhody jsou hlavně vliv okolního prostředí a zdravotní stav uživatele. Autentizace za pomoci hlasu se dnes začíná čím dál více uplatňovat. Používá se zejména při ověřování uživatele prostřednictvím telefonu například v telefonním bankovnictví nebo pro vzdálený přístup do informačního systému. 3.3.3. VERIFIKACE PODPISU Pro verifikace podpisu se používá metoda dynamického podpisu. Tato metoda byla použita již v roce 1977. Využívá vlastností člověka, které se projeví, když se - 18 -

podepisuje. Pro ověření používá tedy dynamiku podpisu, provedení tahů, časování, sílu, tlak na podložku a rychlost psaní a tvar písma. Při tvorbě vzoru se používá speciální podložka se speciálním perem, která je citlivá na dotek. Technologie je tedy podobná jako u dotykových tabulí či PDA. Tato podložka zaznamenává veškeré vlastnosti podpisu v souřadnicovém systému. Osy x a y slouží k zachycení rychlosti a směru tahu, osa z! slouží k zachycení tlaku na podložku. Obr. 4 Verifikace pomocí podpisu Tento způsob verifikace je zařazen mezi metody s vyšším stupněm bezpečnosti. Pro potencionální útočníky není problém naučit se vzhled podpisu podle obrázku, ale již nemohou z podpisu okoukat jeho dynamiku, tlak a další vlastnosti, na kterých je tato metoda založena. Implementace verifikace podpisu není vůbec složitá ani nákladná. Stačí pouze do systému přidat vhodné zařízení (PDA) a správný software. Mezi výhody tedy patří nižší náklady, spokojenost uživatelů, jednoduchost. Metoda dynamiky podpisu patří mezi méně používané biometrické metody autentizace, i když pro uživatele patří k jedněm z nejoblíbenějších. Je to dáno tím, že jsou již zvyklí se na některých místech podepisovat podle vzoru, i když ne elektronicky. Tato metoda se používá nejčastěji v bankovním sektoru. 3.3.4. VERIFIKACE OKA Mezi verifikace oka patří dvě metody. Jedná se o verifikace sítnice a verifikaci duhovky. Každá z těchto metod má svoje výhody a nevýhody. Nicméně oba druhy verifikace jsou považovány za jedny z nejbezpečnějších metod vůbec. - 19 -

3.3.4.1. VERIFIKACE SÍTNICE Sítnice je vlastním orgánem zraku. Jedná se o tenkou vrstvu, která zevnitř pokrývá oční stěnu. Sítnice má vlastně stejnou funkci jako film ve fotoaparátu. Jejím úkolem je snímat světelné signály, které přicházejí na sítnici skrz čočku. Pomocí těchto signálů zachycuje obraz, který poté posílá pomocí zrakových nervů do mozku. Na vnitřní straně sítnice najdeme fotoreceptorické buňky, které jsou děleny na čípky a tyčinky. Najdeme zde také tzv. slepou skvrnu, na které čípky a tyčinky úplně chybí. Biometrická technika verifikace sítnice zkoumá okolí slepé skvrny oka a to tak, že používá zdroj světla s nízkou intenzitou záření ve spojení s optoelektronickým systémem. Obraz je poté převeden do vzorku, který má délku cca 40 bitů. Tento vzorek je porovnávám se vzorky v referenční databázi. Verifikace sítnice je pro uživatele nepříjemnou záležitostí. Za prvé se uživatel musí dívat do přesně vymezeného bodu a zda druhé musí mít těsný kontakt se snímacím zařízením. Tato metoda je proto nevhodná pro lidi s brýlemi a pro ty, jimž vadí těsný kontakt. Mezi výhody patří nejvyšší míra bezpečnosti, vysoká spolehlivost, obtížná napodobitelnost. Nevýhodami je vyšší cena zařízení, nepříjemnost uživatelů. Díky těmto nevýhodám je tento způsob verifikace málo využívaný. Používá se pouze na místech, kde je nutná nejvyšší míra zabezpečení. 3.3.4.2. VERIFIKACE DUHOVKY Duhovka je orgán v oku, který odděluje s čočkou přední a zadní komoru oční. Hlavní funkcí duhovky je funkce světelné clony a ohraničení předního a zadního segmentu oka. Barva duhovky závisí na množství pigmentu a skladbě duhovkové tkáně. Každý člověk má tedy jedinečnou duhovku, a proto ho lze podle duhovky rozpoznat. Zajímavostí je, že člověk má obě duhovky oka rozdílné. - 20 -

Obr. 5 Rozdělení duhovky Verifikace duhovky patří k novějším metodám biometrické autentizace. Vznikla teprve v roce 1994 v USA. Stejně jako u verifikace sítnice je i tato metoda jednou z nejspolehlivějších a nejbezpečnějších metod vůbec. Pro snímání duhovky stačí mít kvalitní digitální kameru s vysokým rozlišením a infračervené světlo. Pro mapování duhovky se používají tzv. fázorové diagramy. V těchto diagramech se nacházejí informace o četnosti, orientaci a pozici specifických plošek. Tyto informace jsou poté použity pro vytvoření duhové mapy a šablony pro identifikaci. Obr. 6 Duhová mapa a šablona pro identifikaci duhovky Při ověřování uživatele se tedy srovnává sejmutá duhová mapa s referenční duhovou mapou, která je uložena v databázi. Pro uživatele je snímání duhovky příjemnější metoda než snímání sítnice. Je to proto, že nepřicházejí do těsného kontaktu se snímacím zařízením. Za výhody lze tedy považovat příjemnost pro uživatele, vysokou bezpečnost, vysokou spolehlivost. Největší nevýhodou je vyšší cena a menší zkušenost s tímto způsobem verifikace. Vzhledem k tomu, že se jedná o poměrně nový systém ověřování uživatele, lze usuzovat, že ho čeká ještě velký rozvoj. - 21 -

3.3.5. VERIFIKACE RUKY Metoda verifikace podle geometrie ruky je jednou z nejstarších metod biometrické verifikace. Již v roce 1985 byla tato metoda patentována a v roce 1986 byla již komerčně využívána. Při této metodě se měří fyzikální charakteristiky ruky a prstů a to z třídimensionální perspektivy. Na ruce je snímána její délka, šířka, tloušťka a povrch. Ruka musí být položena na podložce s 5 speciálně umístěnými kolíky a je snímána CCD kamerou. Obr. 7 Verifikace ruky Snímaná data poté systém redukuje na 9 bitové jednotky. Tato metoda je tedy výhodná pro systémy, které nemají velkou paměťovou kapacitu. Uživatel tedy musí vložit ruku do speciálního optického zařízení, které mu udělá snímek ruky. Data, která zjistí ze snímku jsou vyhodnocena a poté porovnávána s databází vzorků. Tento způsob verifikace není vhodný pro osoby, které mají revmatické ruce nebo podobné poruchy. Systémy s verifikací geometrie ruky patří k bezpečným systémům, protože verifikace pomocí geometrie ruky je unikátní. Vhodný je zejména u organizací, které nemají vysoké požadavky na bezpečnost a do systému má přístup větší množství uživatelů. Nejčastěji se tento způsob ověření používá u docházkových a přístupových systémů. - 22 -

4. INTERNÍ AUTENTIZACE 4.1. UŽIVATELSKÁ JMÉNA A HESLA S uživatelskými jmény a hesly přichází běžný uživatel do styku téměř denně. Jedná se o nejjednodušší způsob autentizace. Autentizace pomocí uživatelských jmen a hesel se používá většinou v kombinaci s jednou z metod, které jsou uvedeny v dalších kapitolách interní autentizace. Pro tvorbu uživatelských jmen a hesel se používají dvě metody. Buď si jméno a heslo uživatel vymyslí sám nebo jsou mu vygenerovány. Oba tyto způsoby, jejich výhody a nevýhody jsou již popsány v kapitole 3.1. Při autentizaci za pomoci uživatelského jména a hesla v operačních systémech typu Linux a Unix se lze setkat s následujícími pojmy. Uživatel (user) Uživatel je osoba, která je schopná interaktivně využívat možností počítače. UID (user ID) Celé číslo, které jednoznačně identifikuje uživatele v systému typu Linux a Unix. Uživatelské jméno (username) Jméno, pod nímž se uživatel přihlašuje do systému. Skupina (group) Množina uživatelů, kteří potřebují sdílet společná data. GID (group ID) Celé číslo, které jednoznačně identifikuje skupinu v systému typu Linux a Unix Heslo (password) Druh bezpečnostního opatření, které zpřístupňuje dané prostředky pouze osobám, které toto heslo znají. V principu je heslo vždy spřaženo s uživatelským jménem. Hešování (hashing) Jedna z metod indexace databáze založená na použití hashovací funkce. Hashovací funkce přiřazuje každému klíči nějaký číselný kód, který ukazuje buď přímo pozici klíče v databázi nebo alespoň pozici pro dohledání za pomoci jiné metody. - 23 -

4.1.1. UŽIVATEL Každý člověk, který je přihlášen do systému, je jeho uživatelem. V případě operačního systému Linux je tento uživatel (user) identifikován podle jednoznačného uživatelského jména a jedinečného čísla tzv. UID (User ID number). Oba údaje musí být v systému naprosto unikátní. Uživatelská jména a UID se ukládají do úložišť různých typů. V nejjednodušším případě je lze v operačním systému Linux nalézt v souboru /etc/passwd. Dříve se do tohoto souboru ukládala i hesla, ale od této metody se časem ustoupilo kvůli zajištění větší bezpečnosti. Tento soubor zahrnuje i skutečné jméno uživatele a jeho domovský adresář. Dalším důležitým souborem v námi uvažovaném nejjednodušším případě ukládání autentizačních informací je soubor /etc/shadow, do kterého se zapisují veškerá hesla uživatelů, a to v hashované podobě. Hesla tak nejsou čitelná. Tento soubor má nastavena přístupová práva pouze pro čtení s výjimkou speciálního uživatele, který jako jediný má právo do souboru i zapisovat. Znamená to, že běžný uživatel ho nemůže upravovat, respektive může ho upravovat pouze v přísně vymezeném případě při změně vlastního hesla. V tomto případě uživatel získá oprávnění změnit položku v daném souboru. 4.1.2. SKUPINA Občas potřebují různí uživatelé společně používat - sdílet některé soubory. Přidělení přístupových práv k těmto datům každému jednotlivému uživateli zvlášť by bylo příliš složité, a proto nám systémy typu Linux a Unix nabízí jednoduchý nástroj uživatelské skupiny. Uživatelé mohou být přidány do jedné skupiny, členství v této skupině jim pak přidělí určitá práva k daným datům. Každý uživatel systému je členem nejméně jedné skupiny (group). Každá skupina je označena jedinečným identifikačním číslem, tzv. GID. Seznam všech skupin včetně jejich GID se opět v námi uvažovaném nejjednodušším případě nachází v souboru /etc/groups. - 24 -

Výchozí stav je ten, že uživatel náleží do privátní skupiny, které má stejné jméno jako je jeho username; systém tuto speciální skupinu vytváří automaticky při přidání uživatele do systému. Primární skupiny jsou důležité, protože soubor vytvořený uživatelem automaticky dědí oprávnění privátní skupiny. Uživatel může být přidán ještě do tzv. sekundární skupiny či skupin, ty mu udělují další práva k souborům a adresářům, které může sdílet s ostatními členy skupiny. 4.1.3. HESLO A HAŠOVACÍ FUNKCE Každé uživatelské jméno je těsně svázáno s heslem. Toto heslo je uloženo v autentizačním úložišti, kterým může být kupř. soubor na lokálním souborovém systému nebo databáze na vzdáleném síťovém serveru dostupná pomocí definovaného autentizačního protokolu, apod.. Je ovšem jasné, že heslo nemůže být uloženo v čitelné podobě, ta by byla lehce zneužitelná. Proto se využívá při ukládání hesla do databáze hashovací funkce. Výstup hashovací funkce se nazývá otisk, hash či výtah. Hashovací funkce vezme řetězec, ze kterého se heslo skládá, a transformuje ho na řetězec s pevnou délkou, který je pak uložen do databáze autentizačního serveru (tento termín používáme v širším významu i pro lokálně uložené autentizační údaje). Konečná velikost hashe je velmi malá, což je výhodné zejména z důvodu úspory místa na autentizačním serveru. Výhodou hashovací funkce je její jednocestnost. Znamená to, že pokud se k hashovaným heslům dostane útočník, je téměř nemožné, aby z nich zjistil původní řetězec znaků. Při autentizaci uživatel tedy zadá své uživatelské jméno a heslo, které je hashovací funkcí převedeno do otisku. Výsledný hash je potom porovnán s otiskem, který je uložen v databázi autentizačního serveru. Pokud otisk odpovídá, uživatel je úspěšně autentizován. - 25 -

4.2. KERBEROS Kerberos je síťový autentizační protokol, který dovoluje jednotlivým uzlům sítě komunikaci přes nezabezpečenou síť a to tak, že si vzájemně prokáží svoji identitu a to zabezpečeným způsobem. Tento protokol byl vyvinut v Massachusetts Institute of Technology při projektu Athena v letech 1983 až 1991. Cílem projektu bylo vyvinout autentizační a autorizační postup, který by bezpečným způsobem ověřoval identitu a přiděloval přístupová práva, aniž by přitom bylo nutné přes potenciálně nezabezpečenou síťovou infrastrukturu přenášet jakákoli citlivá data, zejména hesla. Kerberos zabezpečoval síťové služby, které poskytoval projekt Athena. Své jméno získal podle antického trojhlavého psa, který hlídal bránu do podsvětí. [22.] Kerberos používá jako základ symetrický Needham-Schroeder protokol, který využívá důvěru ve třetí stranu, tzv. Key distribution center (KDC). KDC obsahuje dvě logické části a těmi jsou: autentikační server (Authentication Server) Ticket Granting Server Kerberos tedy pracuje na základě tzv. ticketů, které slouží k ověření identity uživatele. Znamená to tedy, že Key distribution center udržuje databázi tajných klíčů každého uživatele v síti. Sdílený klíč (například heslo) zná tedy pouze uživatel a Key distribution center. Pro komunikaci mezi serverem a klientem generuje KDC tzv. session key, který je použit pro bezpečnou komunikaci. Jedná se o systém, jehož základem je jeden zabezpečený počítač, na kterém jsou uloženy veškeré autentizační údaje. Jde tedy zejména o hesla, uživatele, přístupová práva další důležité údaje. Tento zabezpečený počítač se nazývá důvěryhodný server a pracuje s distribuovanými systémy. Zabezpečení systému provozujícího službu KDC tak logicky určuje zabezpečení všech dalších přístupů a služeb v infrastruktuře distribuovaného systému. - 26 -

Distribuovaný systém je technicky definován jako síť, která má jeden nebo více síťových serverů a jednu nebo více síťových pracovních stanic. Jedná se zejména o nezabezpečené počítače. Mezi základní charakteristiky Kerberosu patří: existuje pouze jeden důvěryhodný server, systém pracuje s omezeným počtem běžných počítačů, pro řízení přístupu je používán lístek (ticket = šifrovaný soubor), Kerberos používá tzv. principal names, které jednoznačně identifikují uživatele, oblast, kterou spravuje důvěryhodný server, se nazývá říše (realm names). Kerberos je velmi sofistikovaný autentizační systém, který nabízí široké bezpečností služby, a to nejen pro sítě unixového typu, nýbrž i pro sítě využívající systémy a protokoly MS Windows. 4.2.1. AUTENTIZAČNÍ PROCES Důvěryhodný server má jako jediný počítač právo autentizovat uživatele. Tato autentizace je podmínkou zahájení jakékoli další síťové transakce. Existují dvě metody, jak může autentizační server ověřit klientovu identitu. První metoda je následující: 1. Klient si chce otevřít soubor, který má uložen na síťovém disku na serveru, který je zabezpečen proti přístupu neoprávněných uživatelů. Je tedy nutné, aby se uživatel autentizoval. Klient tedy musí požádat autentizační server, o pověření k serveru, na kterém se nachází daný soubor. Žádá tedy autentizační server o lístek a šifrovací klíč. Klient tedy zašle požadavek pro přístup k souboru přímo autentizačnímu serveru a to tak, že ho nejdříve podepíše svým privátním klíčem a poté ho zašifruje pomocí veřejného klíče důvěryhodného serveru. - 27 -

Obr. 8 Klient vysílá zašifrovanou zprávu autentizačnímu serveru. 2. Zašifrované pověření poté odešle autentizačnímu serveru. Server tuto žádost rozšifruje pomocí svého soukromého klíče a zároveň ověří identitu klienta tím, že aplikuje klientův veřejný klíč na digitální podpis, který byl použit u pověření. Tímto způsobem se zajistí, že data jsou opravdu od klienta, který je vytvořil a nebyly cestou pozměněny třetí osobou. 3. Důvěryhodný server zkontroluje oprávnění přístupu klienta k systému a jeho identitu pomocí digitálního podpisu. 4. Pokud klient nemá oprávnění přistupovat k danému souboru, autentizační server jeho žádost zamítne. Nepřidělí mu tedy lístek. 5. Pokud klient je oprávněným uživatelem souboru, důvěryhodný server mu přidělí lístek, který zašifruje veřejným klíčem klienta. Tento lístek obsahuje další lístek pro zdrojový server a zároveň s tím i dočasný šifrovací klíč (klíč relace). Klíč relace je důležitý pro komunikaci mezi klientem a serverem, na kterém je uložen potřebný soubor. Obr. 9 Server zašifruje lístek a odešle klientovi 6. Zároveň s posláním lístku klientovi pošle autentizační server i ticket serveru, na kterém je daný soubor uložen, ve kterém mu říká, aby akceptoval komunikaci s daným klientem. Tento lístek autentizační server zašifruje pomocí veřejného klíče potřebného serveru. - 28 -

Obr. 10 Server zašifruje lístek a odešle ho serveru. 7. Když klient obdrží lístek, spojí se serverem, na kterém je uložen potřebný soubor a vymění si vzájemně lístky. Ty jsou zašifrovány veřejným klíčem protistrany. Tyto lístky jsou navzájem porovnány a pokud jsou shodné, tak server umožní klientovi, připojit se k danému souboru. V opačném případě je přístup k souboru zamítnut. Obr. 11 Klient s daným serverem porovnávají lístky 8. Po ukončení spojení s klientem server kontaktuje autentizační server a dá mu informaci o tom, že spojení s klientem bylo ukončeno. Důvěryhodný server tedy zruší platnost lístku, který náležel k dané relaci. Druhá metoda je považována za metodu bezpečnější. 1. Klient pošle požadavek autentizačnímu serveru jako obyčejný text. Žádá tím o tzv. lístek TGT (Ticket-Granting Ticket = lístek na přidělení lístku). Server ověřuje identitu klienta tím, že použije sdílený tajný klíč (heslo) a odešle - 29 -

uživateli TGT lístek. TGT lístek opět obsahuje klíč relace (session key), který je důležitý pro komunikaci mezi klientem a serverem, na kterém je soubor uložen. Obr. 12 Postup žádosti o TGT 2. Klient použije TGT lístek místo veřejného klíče k tomu, aby od autentizačního serveru získal lístek pro přístup k danému serveru. Tento ticket již obsahuje konkrétní klíč, který je potřebný ke konkrétní operaci. Což znamená, že klient může tento lístek použít pouze pro přístup k danému souboru, ale už ho nemůže použít například pro tisk. Obr. 13 Klient posílá TGT lístek a dostává lístek pro přístup 3. Po získání ticketu klient kontaktuje potřebný server a vymění si s ním lístky. Pokud lístky souhlasí, server klientovi povolí přístup k danému souboru. Dá se tedy říci, že následující postup je již stejný jako v případě předchozí metody. 4.2.2. PROBLÉMY SYSTÉMU KERBEROS Dostupnost autentizačního serveru: Je nutné, aby byl stále centrální server dostupný. Pokud server, na kterém je Kerberos, bude nedostupný, nikdo se nebude moci autentizovat. Tento problém lze vyřešit použitím více - 30 -

redundantních serverů, na kterých bude nainstalovaný Kerberos, nebo eventuálním přechodem na jiný nouzovým autentizační mechanismus. Synchronizace času: Důležitým údajem při autentizaci je čas. Kerberos požaduje po klientovi přesný čas, a proto je nutné, aby byly časové údaje na jednotlivých systémech správně synchronizovány. Pokud čas, který uživatel zašle při autentizaci, neodpovídá času na autentizačním serveru, server žádost o autentizaci zamítne. Tento problém lze vyřešit za pomoci Network Time protokolu, který umožňuji synchronizaci času podle vzdáleného serveru. Přehrávání: Jedná se o krádež lístku, kdy hacker okopíruje lístek a díky němu může prolomit metodu šifrování, použít lístek a může se pokusit dostat se do systému jako klient, který má oprávněný přístup k systému. Z tohoto důvodu je nutné, aby klient poslal autentizačnímu serveru ještě dodatečnou informaci, která umožňuje důvěryhodnému serveru ověřit, zda se jedná o daného uživatele a zda je lístek aktuální. Takovým nástrojem je přidání časového razítka k lístku. Uživatel tedy dodatečně posílá autentizátor (informace, která ověří původ zprávy), který je zašifrován klíčem relace a je k němu přidáno časové razítko. Úkolem časového razítka je zobrazit datum a čas, kdy byl lístek vytvořen. Autentizační server má proto možnost ověřit, že zpráva s lístkem byla vytvořena nedávno a lístek tedy nebyl použit třetí osobou. Nebylo tedy přehrávání použito. Dešifrování offline: Hacker může zaútočit ve chvíli, kdy autentizační server posílá odpověď klientovi. Jak již bylo řečeno, tato odpověď obsahuje lístek, který je zašifrovaný privátním klíčem klienta. Útočník tedy může poté za pomoci slovníkového útoku (dictionary-based attack) zjistit privátní klíč klienta a tím i dešifrovat celou zprávu. Útok odmítnutím služby: Denial service attacks je další z hrozeb, kterým se Kerberos neumí bránit. Útočník zamezí aplikaci, aby se zúčastnila správných autentizačních kroků. Jediným řešením je správné nastavení zabezpečení, které může realizovat každý administrátor daného autentizačního serveru a jeho říše. - 31 -

4.3. NIS Mobilita uživatelů a narůstající stupeň distribuce dat v sítích vyžadují, aby docházelo k synchronizace důležitých dat, jako jsou například informace o uživatelských účtech. Znamená to tedy, že uživatel nemá a nemusí být vázán pouze na jediný (svůj) počítač, ale může přecházet libovolně mezi všemi počítači v síti, přihlásit se k nim pod svým uživatelským jménem a tím získat přístup ke svým datům. Je tedy nutné, aby veškeré informace byly uloženy na jednom centrálním úložišti nebo aby byly z jednoho centrálního úložiště periodicky distribuovány replikovány na další, podřízená úložiště. Dvěma protichůdnými požadavky tu jsou možnost centrální správy určitých dat na straně jedné a jejich spolehlivá a bezpečná distribuce na straně druhé. Samozřejmě je tento systém jednodušší i pro administrátora, protože musí spravovat pouze jednu centralizovanou kopii těchto dat. Na základě uvedených důvodů vyvinula firma Sun systém Yellow pages (YP, žluté stránky). Bohužel ale tento název byl vlastnictvím anglického Telecomu, a proto firma Sun byla nucena systém přejmenovat. Vznikl tedy nový název a to NIS (Network Information System). Tento systém umožňuje definovaný síťový přístup k databázím a jmenné vyhledávání v těchto databázích Ty lze využít třeba k ukládání informací, které bývají jinak ukládány například v lokálních souborech /etc/passwd nebo /etc/hosts. Z venku tedy síť vypadá jako jeden systém s identickými účty na všech počítačích. Komunikace mezi jednotlivými systémy v síti a systémem poskytujícím údaje z databáze je postaven na architektuře klient-server. Původní iniciály Yellow Pages přežívají v názvech jednotlivých balíků a příkazů i poté, co byl tento systém přejmenován na NIS. Serverová část tak v nejčastější implementaci nese název ypserv, klientská ypbind. Funkce klientské i serverové části je postavena na portmapperu a RPC (Remote Procedure Call). 4.3.1. MAPY Systém NIS tedy umožňuje centrálně ukládat různá data. Tyto databázové informace potom uchovává ve speciálních souborech, které se nazývají mapy. Ty vždy obsahují dvě hodnoty a to klíč a hodnotu, například uživatelské jméno a k němu zašifrované - 32 -

heslo. Veškeré mapy jsou uloženy v centrálním stroji, na němž běží server NIS. Klienti za pomoci volání RPC mohou tedy tyto informace číst. Pro každý typ vyhledávacího klíče je vytvořena samostatná mapa a pro některé soubory se vytvoří několik map. V následující tabulce je ukázka hlavních map systému NIS. Hlavní mapy NIS a odpovídající soubory Hlavní soubor Mapa/Mapy Popis /etc/hosts hosts.byname, hosts.byaddr Mapování IP adres na jména hostitelů /etc/networks networks.byname, Mapování síťových IP adres na networks.byaddr jména /etc/passwd passwd.byname, passwd.byuid Mapování hesel na uživatelská jména /etc/group group.byname, group.bygid Mapování identifikátorů skupin na jejich názvy /etc/services services.byname, Mapuje popis služeb na názvy services.bynumber služeb /etc/rpc rpc.byname, rpc.bynumber Mapuje čísla Sun RPC služeb na jejich názvy /etc/protocols protocols.byname, Mapuje čísla protokolů na jejich protocols.bynumber názvy /usr/lib/aliases mail.aliases Mapuje poštovní aliasy na jejich názvy Některé mapy jsou zastoupeny přezdívkami. Výhodou je, že jsou kratší a lépe se tedy píší. Pokud chceme vidět, přehled přezdívek, použijeme příkaz ypcat s parametrem x. Výpis tedy může vypadat následujícím způsobem. $ ypcat -x Use ţpasswdţ for ţpasswd.bynameţ Use ţgroupţ for ţgroup.bynameţ Use ţnetworksţ for ţnetworks.byaddrţ Use ţhostsţ for ţhosts.byaddrţ Use ţprotocolsţ for ţprotocols.bynumberţ Use ţservicesţ for ţservices.bynameţ Use ţaliasesţ for ţmail.aliasesţ Use ţethersţ for ţethers.bynameţ - 33 -