Autentizace Ing. Miloslav Hub, Ph.D. 10. října 2007
Identifikace versus autentizace Identifikace je tvrzení subjektu o své identitě. Identitou subjektu může být jeho totožnost, skupinová příslušnost, schopnost, případně negace určitých hodnot těchto vlastností. Autentizace je důkaz identifikace, je to proces, který toto tvrzení ověřuje s požadovanou mírou záruky. Slovo autentizace pochází z řeckého slova authentikos, latinsky authenticus, což znamená pravý, původní, hodnověrný.
Definice autentizace v české legislativě Pojem autentizace definuje vyhláška Národního bezpečnostního úřadu č. 56/1999 Sb. o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu. Autentizací subjektu se zde rozumí proces ověření jeho identity splňující požadovanou míru záruky ( 2 písm. f).
Princip a základní rozdělení autentizace Subjekt předkládá předem dohodnutý identifikační znak (případně více identifikačních znaků), který je pro daný subjekt jedinečný. Na základě jisté ověřovací informace je tento identifikační znak jako důkaz tvrzené identity přijat, případně odmítnut. Podle druhu identifikačních znaků autentizaci dělíme: Znalostní autentizace (něco znát) Autentizace prostřednictvím autentizačního předmětu (něco mít) Biometrická autentizace (něčím být) Vícefaktorová autentizace Varianta A B C D E F G Znalost Autentizační předmět Biometrika
Rozdělení autentizace (1) Podle toho, co je třeba prokázat: Pozitivní Negativní Podle spolupráce autentizovaného subjektu: Kooperativní Nekooperativní Podle vnímáníprocesu autentizace autentizovaným subjektem: Zjevná Skrytá Podle doby, kdy je autentizace prováděna: Statická Průběžná
Rozdělení autentizace (2) Podle nároků na autentizovanýsubjekt: Obvyklá Neobvyklá Podle autentizovaných subjektů: Veřejná. Soukromá Podle přítomnosti obsluhy: Sobsluhou Bez obsluhy Podle otevřenosti autentizačního systému: Otevřený Uzavřený
Rozdělení autentizace (3) Podle prostředívněmžautentizace probíhá: Standardní prostředí Nestandardní prostředí
Autentizované subjekty Pro účely autentizace rozdělujeme autentizované subjekty na oprávněné uživatele (ang. valid user) a neoprávněné narušitele (angl. impostor). Oprávněný uživatel se identifikuje svojí identitou. Neoprávněný narušitel se identifikuje identitou jiného subjektu.
Chyba přijetí a chyba odmítnutí Chyba přijetí je přijetí důkazu identifikace subjektu předložený jiným subjektem (neoprávněným narušitelem). Chyba odmítnutí je odmítnutí důkazu identifikace oprávněného uživatele. Rozhodnutí Přijmout Odmítnout Situace Oprávněný uživatel Neoprávněný narušitel Žádoucí stav Chybné přijetí Chybné odmítnutí Žádoucí stav
Kvalitativní ukazatelé autentizace False accept rate (FAR) Podmíněná pravděpodobnost, že pokud se buse autentizovat neoprávněný narušitel, dojde k chybě přijetí. False reject rate (FRR) Podmíněná pravděpodobnost, že pokud bude autentizován oprávněný uživatel, dojde k chybě odmítnutí. FRR FAR = P( FR / OU ) = lim N N OU = P( FA/ NN) = lim NN N N N N FR OU FA NN
Znalostní autentizace Založena na určité znalosti, kterou disponuje daný subjekt (skupina subjektů) a kterou by neměl disponovat někdo jiný. Použití např. přístup do op. systému, do e-mailové schránky, mobily, bankomaty, kabelová televize, přístup do WIFI sítě, Možné alternativy: Hesla Passphrase PINy Jednorázová hesla Kontrolní otázky Grafické hesla
Útoky na heslo Útok přehráním Útok odpozorováním Útok ze středu Uhádnutíhesla na základě informacío uživateli Slovníkový útok (dictionary attack) Slovníkový útok spermutací Útok hrubou silou (bruteforce attack)
Požadavky na silné heslo Distribuce zabezpečeným způsobem. Obsahuje malá i velká písmena, číslice a další znaky dostupné na klávesnici. Dostatečná délka. Nejde o obvyklé slovo nebo známou frázi. Neodvoditelné ze znalosti osoby vlastníka. Je často obměňované. Není nikde poznamenáno, nikomu se nesděluje. Pro každou službu jiné heslo. Každý uživatel svoje vlastní heslo. Bezpečné uložení v databázi. V případě kompromitace změna hesla. Kontrola nad počítačem, na němž je heslo zadáváno.
Autentizační předměty Autentizace založena na jedinečným předmětu, kterým disponuje daný subjekt. Magnetické karty, čipové karty, Autentizační předmět má svoji životnost, lze ztratit, zničit, ukrást, půjčit. Třeba speciální čtecí zařízení (kontaktní, bezkontaktní).
Biometrická autentizace Biometrická autentizace je založena na jedinečných vlastnostech lidského těla. Biometrické identifikační znaky nelze ukrást, ztratit, zapomenout,půjčit Zpravidla třeba specální snímací zařízení. V biometrické autentizaci mohou být měřeny: Behaviorální vlastnosti Otisk prstu Geometrie ruky Rozpoznávání obličeje Oční duhovka Fyzilologické vlastnosti Dynamika psaní na klávesnici Ověřování hlasu Dynamika podpisu
Princip biometrické autentizace Zápis etalonů Ukládání etalonů Uložení etalonu v biometrickém čtecím zařízení. Uložení etalonu ve vzdálené centrální databázi. Uložení etalonu v přenosných tokenech, například v čipové kartě. Libovolná kombinace předcházejících způsobů. Verifikace Ukládání výsledků verifikačního procesu
Verifikace v biometrické autentizaci
Závislost FAR a FRR na hranici míry nepod.
DET graf