Prostředky osobní identifikace a biometrie
description
Transcript of Prostředky osobní identifikace a biometrie
Prostředky osobní identifikace a biometrie
Luděk Rašek
Zdroje• Smith, Richard E. : Authentication: From Passwords To Public Keys• Todorov, D.: Mechanics of User Identification and Authentication:
Fundamentals of Identity Management • http://en.wikipedia.org/wiki/Authentication• http://en.wikipedia.org/wiki/Authorization
Krátce z historie
• Identifikace/Autentizace v osobním kontaktu– Spoléhá na (netechnologickou) biometrii –
opakované rozpoznání tváře• Identifikace/Autentizace bez přítomnosti osoby– Zprostředkovaná pomocí nástrojů, technologií– Pečeti, podpisy, mechanické klíče, hesla apod.
• Důvody pro identifikaci– Přístup k aktivu (něčemu, co má hodnotu)– Ověření původu
Historické reálné i fiktivní formy autentizace na dálku
Základní pojmy
• Identifikace – určení identity – Co je vlastně identita?
• Autentizace – ověření identity• Autorizace– Odvození oprávnění ze známé a ověřené identity
• Dochází ke splývání uvedených pojmů– Nepřesností – mluvčí nerozlišuje z nedostatku znalosti– Objektivním splynutím – v závislosti na kontextu
může jeden pojem splynout s druhým
Základní atributy informačních aktiv
• Důvěrnost (Confidentiality)– Vyžaduje autentizaci – informace lze vydávat pouze
oprávněným subjektům• Integrita (Integrity)– Vyžaduje autentizaci – provádět lze pouze povolené
změny aktiva • Zodpovědnost (Repudiation)– Vyžaduje autentizaci – za každý přístup k aktivu musí být
zodpovědný konkrétní subjekt• Dostupnost (Availability)
IDENTIFIKACE A IDENTITA
Identifikace
• Určení identity zájmové osoby (systému)• Co je identita (ve světě informačních technologií)– Sada vlastností vázaných k určitému subjektu, na
základě kterých subjekt jedná či s ním jednají ostatní subjekty
– Různá dle kontextu• Identita je většinou reprezentována
jednoznačným identifikátorem• Chybná identifikace může mít fatální následky
Volba identifikátoru
• Musí být jednoznačný ve vybrané množině• Původ identifikátoru– Přirozený - jméno, přezdívka– Umělý identifikátor – identifikační číslo
• Vypovídací hodnota identifikátoru– Významový – nese dodatečnou informaci (např.
RČ)– Bezvýznamový – nenese jinou informaci, než
unikátnost
Mnohotvárnost identity• V různých kontextech je jedna tatáž fyzická identita
prezentována zcela odlišnými atributy– Klient banky – klientské číslo, heslo, číslo karty– Fotbalový hráč – zelený dres s číslem– Náhodný kolemjdoucí – muž věk 30 - 40, džíny, hnědá kožená bunda – Pachatel vraždy – otisk prstu na zkrvaveném noži– Majitel e-mailu - [email protected] – Návštěvník nevěstince – muž se zájmem o blondýnu s velkým
poprsím s dostatečnou finanční hotovostí– Přednášející na JČU PřF - muž s (někdy) barevnými obrázky a
odvahou předstoupit před studenty – Kněz provádějící nedělní mši – muž, sutana, znalost křesťanského ritu
Mnohotvárnost eIdentity
• Facebook, twitter, email, google, geocaching, foursquare, mbank, paypal, icq, jabber, msn, secondlife, moneybookers, bwin………..
• Online svět generuje množství různých pohledů a virtuálních identit pro jednu fyzickou osobní identitu
Propojování atributů identity
• Žádoucí– Vyšetřování vraždy
• Nežádoucí – Poškození soukromí– Aktuální v dne internetu a sociálních sítí
Vědomá vs. nevědomá identifikace
• Vědomá– Uživatel vědomě sděluje svou identitu ve formě
identifikátoru• Bez vědomí subjektu– Hodnoty uložené na pozadí (cookies)– Tzv. fingerprinting (https://panopticlick.eff.org/browser-uniqueness.pdf)
• Např. projekt http://panopticlick.eff.org
Důvody pro zavedení identifikace
• Správa přístupu k aktivům – Aktivum• Cokoli, co má pro nás hodnotu• Typy - fyzická, informační, jiná (reputace)
– Přístup• Možnost aktivum, využívat, modifikovat, ničit či
vytvářet
AUTENTIZACE
Autentizace
• Potvrzení identity subjektu na základě důkazů• Založena na:
– Něco vím – znalost– Něco mám – vlastnictví – Něčím jsem – rysy osoby
VÍMAutentizace založená na znalosti
• Znalost, která je známa jen osobě s danou identitou– Heslo, postup
• Postup ověření – Subjekt prokazuje
znalost hesla
FLASH THUNDER4 67 3
VÍM - vlastnosti
• Riziko vytvoření kopie/zcizení– Bez možnosti detekce
• Zpravidla nutnost odhalit tajemství při provádění autentizace– Možno využít tzv. zero
knowledge postupy
MÁMAutentizace založená na vlastnictví
• Vlastnictví konkrétního předmětu– Čipová karta, mobilní telefon, OTP generátor,
autorizační kalkulátor aj.• Postup ověření– Subjekt prokazuje vlastnictví předmětu– Bez specializovaného HW– Se specializovaným HW• Např. čtečka čipových karet
MÁM - Prostředky• PKI – Public Key Infrastructure
– SW – privátní klíč na disku– HW – privátní klíč na čipové katě
• Statické OTP – GRID tabulka• Dynamické OTP generátory
– Tokeny• Založené na čase• Založené na čítači
– Mobilní kód – SMS, bankovní SMS
• Autentizační kalkulátor• EMV CAP/DPA• Kombinace (karta s klávesnicí/displejem apod.)
MÁM - vlastnosti
• Fyzický předmět – snadná detekce zcizení• Není možné vytvořit kopii– Krom GRID, SW PKI
• Bez kombinace s VÍM autentizací snadno zneužitelné přizcizení
• Nutnost nošení dalšího přemětu• Někdy nutnost připojovat pomocí speciálního
HW
JSEMAutentizace založená na vlastnosti subjektu
• Biometrické charakteristiky– Otisky prstů, obraz duhovky, hlasová analýza …
• Postup ověření– Srovnání vzorku získaného v reálném čase se
vzorkem uloženým– Není schopna rozhodovat se 100% úspěšností
JSEM - Vlastnosti
• Vždy u sebe • Malé riziko nezjištěného zcizení• Obtížné kopírování – I když u některých prvků je možné
• Nutnost využívat specializovaný HW• Nekompatibilita a špatná porovnatelnost
různých implementací• Nikdy není 100%
Více-faktorová autentizace
• Snižuje komfort• Zvyšuje bezpečnost• Typické kombinace– Znalost + vlastnictví = čipová karta s PINem– Vlastnost + vlastnictví = čipová karta s match on-
card biometrií
AUTORIZACE
Autorizace
• Určení, zda daný subjekt (po autentizaci) je oprávněn přistupovat k aktivu
• F(subjekt,operace,aktivum) -> {povolit,odepřít}
Modely autorizace• Discretionary Access Control – DAC (DACL)
– K objektu je připojen seznam oprávnění pro jednotlivé subjekty (uživatele, skupiny) s popisem oprávnění pro tu kterou operaci
– Oprávněné subjekty (vlastník) mohou poskytovat oprávnění dále– UNIX oprávnění, Windows ACL
• Mandatory Access Control – MAC (multi level security)– Přístupová oprávnění jsou určována globální politikou na základě atributů
objektů a subjektů– SeLinux, různá rozšíření UNIXů
• Role Based Access Control – RBAC – Kombinace DAC a MAC
DAC – UNIX oprávnění
drwxr-xr-x 2 root root 0 Jul 11 09:21 bindrwxrwxrwt 5 root root 1280 Oct 16 12:41 devdrwxr-xr-x 12 root root 0 Jul 11 09:24 etcdrwxr-xr-x 27 root root 4096 May 30 20:14 homedrwxr-xr-x 11 root root 0 Jan 1 1970 jffsdrwxr-xr-x 4 root root 0 Dec 29 2009 libdrwxr-xr-x 9 root root 0 Oct 16 12:41 mntdr-xr-xr-x 48 root root 0 Jan 1 1970 procdrwxr-xr-x 16 root root 154 Dec 29 2009 romdrwxr-xr-x 4 root root 0 Apr 29 12:55 rootdrwxr-xr-x 2 root root 0 Apr 29 12:49 sbindrwxr-xr-x 10 root root 0 Jan 1 1970 sysdrwxrwxrwt 8 root root 340 Oct 16 14:43 tmpdrwxr-xr-x 7 root root 0 Dec 2 2009 usrlrwxrwxrwx 1 root root 4 Dec 29 2009 var -> /tmpdrwxr-xr-x 5 root root 69 Dec 29 2009 www
DAC – Windows DACL
C:\Documents and Settings NT AUTHORITY\SYSTEM:F BUILTIN\Administrators:F BUILTIN\Users:R BUILTIN\Power Users:R Everyone:R NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F BUILTIN\Administrators:(OI)(CI)(IO)F BUILTIN\Users:(OI)(CI)(IO)(special access:) GENERIC_READ GENERIC_EXECUTE
BUILTIN\Power Users:(OI)(CI)(IO)(special access:) GENERIC_READ GENERIC_EXECUTE
Everyone:(OI)(CI)(IO)(special access:) GENERIC_READ GENERIC_EXECUTE
DAC –Windows DACL
MAC - SELinux• Každý objekt ma přiřazen bezp. kontext
– jméno:role:typ:úroveň• $ ls -Z /usr/bin/passwd -rwsr-xr-x root root system_u:object_r:passwd_exec_t:s0 /usr/bin/passwd
• Každý proces/uživatel má přiřazen bezp. kontext– uživatel:role:doména:úroveň
• unconfined_u:unconfined_r:passwd_t:s0-s0:c0.c1023 6314 pts/1 S+ 0:00 passwd
• V politice systému existuje:– Definice uživatelů, domén, …– Definice pro označování objektů (labelling)– Definice povolených přechodů mezi doménami– Definice povolených operací
• Pravidla SELinux jsou vynucována současně s DAC, pokud SELinux akci povolí, ještě může selhat na DAC a opačně.
RBAC
Komponenty autorizace
Architektura IS s ohledem na autentizaci/autorizaci
• Důvěryhodné komponenty– Pod kontrolou provozovatele systému– Lze důvěřovat předávaným informacím a
identifikace je dostatečná• Nedůvěryhodné komponenty– Mimo kontrolu provozovatele systému – Vždy je třeba požadovat explicitní autentizaci
koncového uživatele
Příklad „3 vrstvá“ architektura
• Prohlížeč - není důvěruhodnou komponentou• pouze zobrazuje už. rozhraní a přijímá vstup uživatele včetně
autentizačních údajů• běží pod identitou uživatele v OS, kterou rovněž může předat na apl. serv., ale pro
apl. server není důvěryhodná• Aplikační server – důvěryhodná komponenta• přímo ověřuje autentizační údaje uživatele, sám běží pod servisním účtem• aplikuje přístupová oprávnění
• Databázový server – důvěryhodná komponenta• po autentizaci systému (není nezbytná, ale doporučená) AS důvěřuje veškerým
datům včetně předávaných uživatelských identit
Princip oddělení zodpovědností
• Separation of Duties – SoD• Významný prvek bezpečnosti systémů• Jeden uživatel nemůže sám provádět všechny
citlivé operace• Pro dokončení operace je nutná účast více
uživatelů v různých rolích• Koncept „čtyř očí“• Kombinace s důsledným auditingem
Princip oddělení zodpovědnosti - příklad
• Správa uživatelů– Správce účtů • Má oprávnění zavést nového uživatele• Nemá právo zařadit uživatele do role (skupiny)
– Správce rolí• Má oprávnění zařadit uživatele do role• Nemá právo vytvořit uživatele
– Uživatel není schopen bez přidání do role pracovat se systémem -> pro zřízení uživatele je nutná spolupráce minimálně dvou správců systému
Autorizace operací
• Používá se pro provádění citlivých operací v prostředí internetu
• Autentizovaná relace je využita pro zadání citlivé operace (platební příkaz)
• Je vyžadována dodatečná explicitní autorizace dané operace zadavatelem– SMS kód, el. podpis, EMV CAP/DPA potvrzení,
telefonické schválení
ČLOVĚK NEBO STROJ
Inverzní Turingův test
• V internetových aplikacích je často nutné odlišit lidského uživatele od automatu
• Není prováděna autentizace v pravém slova smyslu, ale třídění uživatelů do kategorií– Člověk– Stroj
• Většinou z důvodu zabránit zneužití zdrojů (SPAM, přetížení systému apod.)
Inverzní Turingův test• Turingův test – úloha spočívající v rozpoznání, zda protistranou
v komunikaci je stroj• Inverzní Turingův test (Reversed Turing Test) –rozpoznání stroje• Založen na úlohách pro lidský mozek snadných a pro stroj téměř
neřešitelných• Captcha
– rozpoznání písmen • Kognitivní testy
– Založené na sémantice• Psaný text • Obrázky
Captcha
• Rozpoznání zkresleného textu• Např. projekt ReCaptcha• Zkreslení textů cílené proti konkrétním technikám
OCR (segmentace, …)• Útočníci se zlepšují, cílený útok na konkrétní systém
je vždy úspěšný• Triviální útok – lidskou silou – Stránky chráněné pomoci captcha byly napadány tak, že
útočníci přeposílali obrázky k vyluštění lidským uživatelům zcela jiného webu
Kognitivní testy
• Kladou otázky či úkoly pro stroj nerozluštitelné
Zdroj: http://www.csc.kth.se/utbildning/kandidatexjobb/datateknik/2010/rapport/pedersen_niklas_K10032.pdf
– Kategorizace obrázků
– Odpověď na textovou otázku (Jaký je dnes den?)
AUTENTIZACE SYSTÉMU
Důvěryhodnost systému
• Systém, do kterého vkládám své přístupové údaje, musí být důvěryhodný
• Fyzická kontrola – Můj/firemní počítač– Bankomat/Platební terminál (POZOR!)
• Internet– Známé stránky – Ověřená adresa
Autentizace systému vůči uživateli
• HTTPS - Certifikát serveru – vydaný důvěryhodnou CA– vydaný důvěryhodnou CA s rozšířenou validací
(EV)• Obecně přijímaná politika ověřování identity držitele
certifikátu
• Kognitivní techniky– Personalizovaná pozadí, barevná schémata apod.
HTTPS certifikáty• Bežný HTTPS certifikát
• EV HTTPS certifikát
AUTENTIZACE OSOB MIMO IS
Autentizace osob v běžném životě• Identifikační doklad – ID
– Slouží v zemi vydání– Nesou základní údaje o osobě využívané většinou pro prokázání identity
vůči státní moci – V ČR – občanský průkaz
• Cestovní pas– Slouží pro určení totožnosti při cestách do zahraničí– Nese základní údaje– Definované v ICAO (Mezinárodní organizace civilního letectví) Doc 9303
• Probíhá elektronizace dokladů totožnosti– eID– ePassport
ID – občanský průkaz
• Papírový/plastový doklad určený pro vizuální inspekci
• Nese – Jednoznačný identifikátor (číslo OP, rodné číslo)– Základní osobní údaje (jméno, místo narození,
bydliště)– Fotografii– Tiskové a materiálové ochranné prvky pro
prokázání pravosti dokladu
eId• Jako běžné ID avšak s elektronickým rozšířením, platné i v
případě poškození čipové části• V EU standardizace prostřednictvím CEN a následně ETSI• Formát čipové karty
– ISO 7816– Kontaktní nebo bezkontaktní rozhraní
• Funkce– Nese základní identifikační údaje v el. formě– Může nést biometrické údaje (včetně matcho-on-card)– Rozšířené funkce pro přímé použití v počítači pro autentizaci vůči
eGovernmentu– Podpora tvorby elektronického podpisu
Pokročilé funkce eID
• Implemetovány u německého eID • Poskytování určitých typů informací při
zachování soukromí– Potvrzení dosažení věku 18 let při utajení data
narození• Poskytnutí citlivých údajů pouze oprávněným
terminálům – EAC (Extended Access Control)
Česká varianta eID
• Pouze plastový doklad s tiskovými a materiálovými ochrannými prvky zcela bez elektronické části
• Elektronický má být návazný systém Centrálních registrů
• Autentizace držitele do systému – osobním kódem (PIN) zadávaný pouze do důvěryhodných zařízení na úřadě
ePas
• Knížka vybavená bezkontaktním čipem• Čip nese – Osobní údaje
• povinné– Biometrickou fotografii obličeje
• povinná– Obrazy otisků prstů
• od 2009 v EU povinné• Přístupné pouze pověřeným terminálům
– Bezpečnostní informace (el. podpis)• Platný i bez funkční el. části
AUTENTIZACE HESLEM
Architektura systémů pro ověření heslaLokální ověření
Síťové ověření -přímá komunikace
Síťové ověření - nepřímá komunikace
Lokální ověření• Samostatný počítač či systém• Integruje – Prostředky pro zadání identifikátoru a hesla – Databázi uživatelů – Databázi údajů nutných pro ověření hesla
• Operační systém– Zajistí autentizaci– Vytvoří relaci (session)– Přidělí relaci odpovídající bezpečnostní kontext– Bezpečnostní kontext je pak využíván dalšími službami OS k
řízení přístupu
Síťové ověření - přímé
• Klient – Komponenta zprostředkovávající interakci uživatel se systémem– Z hlediska serverových modulů nedůvěryhodná komponenta
• Server – Implementuje logiku včetně autentizace a řízení přístupu– Využívá klienta pro zadání přístupových údajů– Ověření přístupových údajů probíha na serveru, kde je vytvořena relace a odpovídající
bezpečnostní kontext– Vyžaduje nutnost zprostředkovat důvěryhodným způsobem přenos autentizačních
údajů (credentials) z klienta na server– Mezi serverem a klientem je navázána relace na serveru spojená s bezpečnostním
kontextem
• Nevýhoda – co server, to heslo
Síťové ověření – přímé - WEB
• Autentizace– HTTP Basic – přenáší se přímo jméno a heslo– HTTP Digest/NTLM – přenáší se údaje z hesla
odvozené– Web Form – jako basic s tím, že data jsou přenášena
na aplikační úrovni (nikoli na úrovni HTTP)• Relace je identifikována pomocí identifikátoru
relace (cookies nebo jinde v aplikační komunikaci)
Síťové ověření - nepřímé
• Klient – Autentizuje se vůči autentizačnímu serveru– Cílovému serveru předává pověření vydané autentizačním
serverem• Server – Ověří pověření – autonomně nebo s pomocí autentizačního
serveru– Založí relaci a připojí odpovídající bezp. atributy
• Výhoda– Single Sign-On – jedna sada přístupových údajů do mnoha
systémů