Používáte nástroj pro blokování reklamy. Pokud nám chcete pomoci, vypněte si blokování reklamy na našem webu. Zde najdete jednoduchý návod. Děkujeme.

Autentizační prvky a metody pod drobnohledem II.

Autentizační prvky a metody pod drobnohledem II.
Přečtěte si dokončení článku o metodách autentizace a zabezpečování proti zneužití komunikace třetí osobou. Dnes o kalkulátorech, mobilním klíči, biometrice a také o tom, zda budoucnost patří spíše čipovým kartám, nebo tokenům.

Ve včerejším článku jsme téma nakousli a rozebrali metody jméno a heslo, autentizace po telefonu a certifikát na nechráněném médiu. Dnes je první na řadě... 

Levná biometrika

Tato metoda nabízí nízkou úroveň zabezpečení, neboť ji lze velmi snadno oklamat. Nejběžnějším způsobem ochrany je v této kategorii otisk prstu, který ovšem sám o sobě nepatří k příliš bezpečným prvkům. Hlavní problém spočívá v tom, že je velmi jednoduché oklamat tyto levné čtečky, které se integrují například do myši. Stačí, aby uživatel odešel z práce domů a není nic jednoduššího, než udělat odlitek otisku prstu, který je následně použit pro autentizaci. Tento velmi triviální postup lze snadno použít, protože zmíněné levné čtečky kontrolují pouze otisk prstu a nikoli další vlastnosti, jako například vodivost. Zhotovit odlitek otisku přitom není nijak složité, protože internet se jen hemží návody "jak na to" a navíc je zdrojový otisk k dispozici přímo na zmíněné myši. Největší problém tohoto typu zabezpečení vidím v tom, že uživateli "dává křidélka", tedy že navozuje falešný pocit bezpečí.

Kalkulátory bez PINu

 

U kalkulátorů, kde se nezadává PIN, představuje největší riziko jejich ztráta, odcizení či to, že je někdo zapomene na  pracovišti. Útočník pak může bez problémů kompletně předstírat identitu oprávněného uživatele, protože zde neexistuje žádný další ochranný prvek.



Mobilní klíč

Mobilní klíč rozhodně není typickou autentizační metodou, i když v bankovnictví v ČR zaznamenává tato metoda velký boom. Princip je velmi podobný jako u níže uvedených kalkulátorů používajících PIN. Zatímco kalkulátory jsou původně k autorizaci určeny, tak o SIMkartách se to říci nedá. Existuje sice standard pro ukládání informací na SIMkartu, ale tento standard ani jiná certifikace neumožňují ukládání šifrovacích klíčů na SIMkartu s garancí, že tento klíč SIMkartu nikdy neopustí. Těmito certifikacemi běžně disponují tokeny a čipové karty. Na druhé straně je nutné říci, že tato metoda poskytuje vyšší úroveň zabezpečení, než autentizace jménem a heslem či často používaným certifikátem na nechráněném médiu (viz první díl článku).


Kalkulátory chráněné PINem

 

Slabiny tohoto systému autentizace vycházejí ze známého faktu, že skutečná bezpečnost není založena na tom, co útočník nezná, tedy že nezná nějaký algoritmus, který výrobce systému používá. Skutečná bezpečnost je totiž založena na známých a prověřených standardech a algoritmech. V tomto případě je navíc použit princip sdíleného tajemství, které je uloženo kromě kalkulátoru také na nějakém serveru na "druhé straně" a nikdo kromě provozovatele neví, v jaké formě je tam uloženo a jak je zabezpečeno.
Stejně jako u předchozí varianty kalkulátorů je i v tomto případě nevýhodou, že je nelze "připoutat k tělu", i když se nejedná o tak velké nebezpečí jako u metody předchozí. Zapomene-li uživatel kalkulátor třeba ve své kanceláři, útočník kromě samotného kalkulátoru potřebuje ještě PIN.
Poslední nevýhodou této možnosti autentizace je skutečnost, že nepoužívá standardy a navíc je jednoúčelová. Není ji tedy jednoduše možné zaintegrovat do stávající PKI infrastruktury a není možné tyto kalkulátory použít pro více aplikací (certifikát pro poštovního klienta, PGP, klíče k šifrování disku, standard 802.1x atd.)

Čipové karty a tokeny

 

Tyto autentizační předměty jsou chráněny PINem a v některých případech mají i tzv. PUK. Jedná se o kód, který  uživatel musí zadat, pokud chce se systémem pracovat. Důležitou vlastností je snadná implementace těchto autentizačních předmětů do stávající PKI infrastruktury. Dále je velmi významnou skutečností, že jsou u této metody zabezpečení  používány obecně uznávané standardy, jako je např PKCS#11 a také  obecně známé šifrovací algoritmy,  jako  například AES. Nezanedbatelný není ani fakt, že veškeré šifrovací operace probíhají "uvnitř" tokenu či čipové karty, což prakticky znemožňuje dostat se k šifrovacímu klíči, pomocí nějakého červa či trojského koně v operačním systému. U kvalitních tokenů a čipových karet výrobce garantuje, že tajný klíč nikdy neopustí token.

 

Některé tokeny mají také certifikace "na obal". Tato certifikace zajišťuje, že v případě, kdy by se útočník pokusil token rozebrat, veškeré na něm uložené informace budou automaticky zničeny a obal se roztříští na malé kousky.
Řekněme si také něco o rozdílech mezi tokenem a čipovou kartou. Po hardwarové stránce je jejich "vnitřek" stejný. První rozdíl, který hovoří ve prospěch čipových karet, je jejich větší rozšířenost. Na straně druhé je třeba brát v úvahu současné trendy, a ty směřují spíše k používání tokenů. Čipové karty v současné době například běžně umožňují použití v docházkovém systému, kdy spolupracují s bezkontaktními čtečkami, jimiž  se dnes vybavují téměř všechny nové kancelářské budovy. Je však nutno poznamenat, že tokeny dohánějí i tento handicap, například tokeny iKey či eToken mají již stejné funkce. Ve prospěch tokenů dále mluví to, že jsou malé a jsou konstruovány tak, že je lze "připoutat k tělu". Tokeny lze navíc přenášet samostatně, bez čtečky, a to je samozřejmě uživatelsky příjemnější. Právě nutnost nosit čtečku uživatele často odrazuje od používání čipových karet. Lze tedy předpokládat, že ačkoliv jsou čipové karty dnes sice mnohem rozšířenější metodou zabezpečení, budoucnost patří spíše tokenům.


Kvalitní biometrika

 

Skutečně kvalitní biometrika je asi nejbezpečnější ze všech uvedených metod, protože nezkoumá ani znalost, ani vlastnictví, ale  nezaměnitelnou vlastnost uživatele, jakou je například oční sítnice. V tomto případě je nezbytné,  aby taková čtečka nesnímala pouze samotnou sítnici, ale také lesk oka, jeho reakce a pohyby, a ověřila tak, že se skutečně  jedná o živý objekt. Tento způsob autentizace je ovšem velmi drahý, což představuje podstatnou nevýhodu pro běžného uživatele, a  použití těchto zařízení se tak omezuje zpravidla pouze na použití ve firemních prostorách s nejvyšší mírou vnitřního zabezpečení.





Zpět k tokenům

1. Odolnost předmětů vůči vnějším vlivům
Předmět budeme neustále nosit při sobě. Je tedy důležité, aby byl token do určité míry odolný proti nárazům, lidskému potu, statické elektřině, elektromagnetickým polím, vodě a dalším "živlům", se kterými se člověk každodenně potkává. Důležité jsou i provozní a skladovací teploty, maximální vlhkost vzduchu, popřípadě zda se k předmětu prodávají nějaké obaly, pouzdra. Příkladem normy, která se tímto zabývá, je ISO 7816-1. Norma definuje například fyzické rozměry čipových karet, jejich odolnost proti statické elektřině a fyzickou odolnost při ohýbání karty. V této oblasti mají USB tokeny výhodu, neboť čip je chráněn plastovou skořápkou. Pouzdro u USB tokenu může být i vodotěsné. Zatímco USB tokeny standard ISO 7816-1 nepotřebují, u čipových karet je to nutnost, stejně jako splnění dalších částí této normy. Výrobci většinou uvádějí ISO 7816-1 až 4 (méně známé části jsou 5 až 10). Pozn.: normy 7816-2 a vyšší se již nezabývají odolností, ale jinými vlastnostmi čipových karet.

2. Odolnost konektorů a čtecího zařízení
Je dobré zjistit, jaká životnost je výrobcem garantována. Čipové karty, stejně tak čtečky, vydrží jen určitý počet zasunutí (čipová karta například až 10 000 zasunutí/vysunutí). Tato hodnota je většinou dostatečně vysoká, a proto je dobré se soustředit hlavně na hodnotu vlastní čtečky, než na hodnotu čipové karty. Obzvláště využívá-li počítač více uživatelů.
Čtecím zařízením u USB tokenů je vlastní port USB ve vašem notebooku či počítači. Při opotřebení by výměna nebyla dvakrát jednoduchá. Řešením je USB prodlužovací kabel, který stojí jen pár korun. Zároveň tím lze docílit stejného pohodlí, jako u čtečky čipových karet položené na stole (většina dnešních PC zatím nemá konektor USB vyveden na přední straně). Životnost vlastního konektoru na USB tokenu je dána normou USB, ale u některých tokenů výrobci garantují až 50 000 cyklů vysunutí a zasunutí. S tím, že první chyby se začínají objevovat někde okolo 100 000 cyklů.

3. Mobilita
Pokud chceme využít řešení minimálně na několika místech, je nutné brát ohled na to, jaký hardware a software je k tokenu zapotřebí a jak jsou tyto složky "mobilní". Ovladačům a utilitám se asi nevyhneme. U čipových karet je ale jasnou nevýhodou potřeba integrované čtečky, kterou jinak musíte nosit všude sebou. V otázce mobility tedy jasně vychází lépe USB tokeny.
S rostoucí oblibou portu USB bude náskok USB tokenů v této oblasti vůči čipovým kartám stále větší. Již dnes se ve velkém vyrábějí základní desky s portem USB 2.0, který nabízí dostatečnou přenosovou rychlost pro většinu počítačových periférií (teoreticky až 60 MB/s).

4. Čekání na masivní rozšíření
Autentizační předměty rozhodně nejsou výkřikem posledních měsíců, proto je velice zajímavé se zamyslet nad tím, proč se tak pomalu rozšiřují. Zpočátku to byla jistě vysoká cena a fakt, že nebyla nativní podpora v nejrozšířenějších operačních systémech. Tyto dva faktory již delší dobu neplatí, a přesto jsme zatím masivní rozšiřování nezaznamenali. Jedním z důvodů může být to, že většina dodavatelů ke svému řešení zcela nesmyslně dodává svou čipovou kartu či token a s dalším produktem dostane uživatel další čipovou kartu či token, což je samozřejmě neakceptovatelné. Má-li být nasazení čipových karet či ještě lépe tokenů úspěšné, musí zmíněný autentizační předmět řešit více (nejlépe všechny) oblasti. Např.  přihlášení do sítě, autentizace do VPN, uložení PGP klíčů, uložení klíčů pro šifrování částí HDD, uložení certifikátu pro MS Outlook, uložení certifikátů pro některé weby atp. (plánuje se certifikát pro technologii standard 802.1x). Uživateli je nutné nabídnout tak komplexní řešení, aby byl  ochoten nosit u sebe nějaký autentizační předmět.

Autor je konzultantem pro oblast bezpečnosti ve společnosti AskNet.

Také si myslíte, že budoucnost patří spíše tokenům než čipovým kartám?

  • RSS
  • Kindle
  • Poslat e-mailem
  • Vytisknout

Líbil se vám článek?

0
Ano
Ne

Diskuze

Příspěvek s nejvíce kladnými hlasy

4. 8. 2004 17:20, Petr J.

Rád bych pouze trošku opravil názor autora na Mobilní klíč někdy také označovaný jako SMS klíč. Nejedná se o certifikát uložený na SIM kartě ale o zasílání SMS s jednorázovým autorizačním kódem pro určenou bankovní transakci. I když taková textová zpráva zůstane uložena na SIM kartě po použití kódu, v žádném případě nehrozí jeho zneužití.

Reagovat

 

+30
Líbí
Nelíbí

Další příspěvky v diskuzi (7 komentářů)

5. 9. 2004 | 19:09

Dobrý den, v článku byla asi použita špatná formulace. Je jasné, že se nejedná o certifikát, ale spíše o jednorázový autentizační kód jak se píše v této připomínce. Když jsem psal o nižší úrovni zabezpečení, neř poskytují...více

5. 9. 2004 | 19:00

Jak jste na to přišel?? více

4. 8. 2004 | 17:20 | Petr J.

Rád bych pouze trošku opravil názor autora na Mobilní klíč někdy také označovaný jako SMS klíč. Nejedná se o certifikát uložený na SIM kartě ale o zasílání SMS s jednorázovým autorizačním kódem pro určenou bankovní transakci....více

2. 8. 2004 | 12:24 | hacker adviser

Stránky ASKNET.cz hacknuty? více

29. 7. 2004 | 8:10

Ano, udšlal jsem v odpovědi pár překlepů, za což se touto cestou omlouvám. více

Naposledy navštívené

Články

Produkty a instituce

Kalkulačky

Poradna

Finanční subjekty

Nabídky práce

Obchodní rejstřík

Osoby v obchodním rejstříku

Části obce

Městské části

Obce

Okresy

Témata

Kapitálové trhy, Riziko, Fondy národní, česká spořitelna, fintech, eet, elektronická evidence tržeb, lime, hrubý příjem, Michal Nebeský, odpracovaná doba, krása, Sparta, portfolio turnover rate, pracovní tábor, exekutor, kancelářské prostory, zdeněk holeček

2AI4917, 2B70026, 4AI0297, 2SK4714, 2SK4714

Přihlášení

Jméno

Nemáte registraci? Zaregistrujte se zde!

Všechny materiály © 2000 - 2016 Peníze.CZ a dodavatelé. Všechna práva vyhrazena.

ISSN 1213-2217. Doslovné ani částečné přebírání materiálů není povoleno bez uvedení zdroje a předchozího písemného svolení.
Peníze.CZ vydává společnost Partners media, s.r.o.
Člen SPIR - Sdružení pro internetovou reklamu. Člen SVIT - Sdružení vydavatelů internetových titulů při UVDT.

Při poskytování služeb nám pomáhají soubory cookie. Používáním našich služeb nám k tomu udělujete souhlas. Další informace.OK