• Гідрологія і Гідрометрія
• Господарське право
• Економіка будівництва
• Економіка природокористування
• Економічна теорія
• Земельне право
• Історія України
• Кримінально виконавче право
• Медична радіологія
• Методи аналізу
• Міжнародне приватне право
• Міжнародний маркетинг
• Основи екології
• Предмет Політологія
• Соціальне страхування
• Технічні засоби організації дорожнього руху
• Товарознавство продовольчих товарів

Списки контролю доступу

Словникові атаки і сіль

Якщо зловмисник володіє списком паролів, зашифрованих односторонньою функ­цією, можлива словникова атака. Зловмисник бере набір найпоширеніших паро­лів, застосовує до них односторонню функцію і зберігає всі зашифровані паролі. Потім він порівнює список зашифрованих паролів із цим файлом (словником) у пошуках збігів.

Один зі способів боротьби із такою атакою пов'язаний із використанням солі (salt). Сіль - це випадковий рядок S, який додають до пароля перед шифруван­ням. У список шифрованих паролів заноситься рядок S + E(S + P), де P - пароль, E - функція шифрування, «+» - конкатенація рядків. Якщо кількість можливих значень солі достатньо велика, то це робить словникову атаку значно складні­шою, оскільки у словник потрібно вносити результати шифрування паролів із усіма можливими значеннями солі.

Солі потрібно досить багато. Наприклад, стандартний її обсяг, прийнятий в UNIX (12 біт, що дає 4096 можливих значень), є не зовсім достатнім (є словни­ки найуживаніших паролів, об'єднані з усіма значеннями солі).

Аутентифікація за принципом «виклик-відповідь»

Більш серйозна проблема, пов'язана із використанням описаного підходу, поля­гає в тому, що пароль передають мережею незашифрованим, і він може бути пере­хоплений зловмисником. Один зі способів вирішення цієї проблеми полягає в то­му, щоб передавати мережею не паролі, а їх односторонні хеші (дайджести). Цей підхід називають аутентифікацією за принципом «виклик-відповідь» (challenge-response authentication) або дайджест-аутентифікацією .

Протокол такої аутентифікації має такий вигляд.

1. Система зберігає значення односторонньої функції від пароля Аліси F₁(P_s) у базі даних облікових записів.

2. Аліса передає системі своє вхідне ім'я (відкритим текстом) і значення F₁(P_A), обчислене із використанням пароля Р_А, який вона ввела.

3. Система генерує випадкове число C, яке називають викликом (challenge), і пе­редає його Алісі.

4. Аліса застосовує іншу односторонню функцію до значення виклику. Ha вхід цієї функції, крім виклику, передають значення F₁(P_A)

R_A = F₂(F_t(P_A), С).

5. Аліса передає системі значення R_A (відповідь, response).

6. Система обчислює аналогічне до R_A значення R_s на підставі інформації із бази даних облікових записів

R_s= F₂(F₁(P₅), C).

7. Якщо значення R_A і R_s, отримані системою на кроках 5 і 6, збігаються, аутенти­фікацію вважають успішною.

Використання випадкового значення виклику в цьому разі зумовлене необ­хідністю запобігання атаці відтворенням (replay attack), під час якої зловмисник перехоплює інформацію, передану Алісою системі для того, щоб пізніше відісла­ти її самому, прикидаючись Алісою.

Цей протокол був основним підходом до аутентифікації у системах лінії Win­dows XP до появи Windows 2000 і дотепер підтримується у цих системах (на­приклад, для локальної аутентифікації). Його надійність залежить від надійності алгоритму, використаного для односторонньої функції (перехоплення зловмис­ником дайджесту дасть можливість здійснити на нього словникову атаку). Зазна­чимо також, що в цьому разі користувач не може бути впевнений, що система на­справді є тією, до якої він запитує доступ.

Більш складним протоколом аутентифікації є протокол Kerberos . Це роз­поділена система аутентифікації користувачів із можливістю аутентифікації клієнта і сервера. Протокол Kerberos є основним протоколом мережної аутенти­фікації у системах лінії Windows XP, починаючи із Windows 2000. Реалізація цього протоколу доступна і для UNIX-систем.

2.

Для реалізації керування доступом операційна система має можливість визнача­ти, що за дії і над якими об'єктами має право виконувати той чи інший користу­вач системи. Звичайний розподіл прав відображають у вигляді матриці доступу, у якій рядки відповідають суб'єктам авторизації (користувачам, групам користу­вачів тощо), стовпці - ресурсам (файлам, пристроям тощо), а на перетині рядка і стовпця зазначені права цього суб'єкта на виконання операцій над даним ресур­сом (рис. 18.1).

Зберігання повної матриці контролю доступу неефективне (вона займатиме багато місця), тому звичайно використовують два базові підходи для її компакт­ного відображення.

1. У разі реалізації списків контролю доступу (Access Control Lists, ACL) збері­гаються стовпці матриці. Для кожного ресурсу задано список суб'єктів, які мо­жуть використовувати цей ресурс.

2. У разі реалізації можливостей (capabilities) зберігаються рядки матриці. Для кожного суб'єкта задано список ресурсів, які йому дозволено використовувати.

Якщо реалізовано ACL, для кожного об'єкта задають список, що визначає, які ко­ристувачі можуть виконувати ті чи інші операції із цим об'єктом. Наприклад, для файлових систем такими об'єктами є файли або каталоги. У найзагальнішій фор­мі елементи цього списку - це пари (користувач, набір дій), які називають еле­ментами контролю доступу (access control elements, АСЕ).

Розглянемо деякі проблеми, які потрібно вирішити у разі реалізації списків контролю доступу.

1.Розмір списку контролю доступу має бути не надто великим, щоб система могла ефективно ним керувати.

2.Права мають бути досить гнучкими, але при цьому не дуже складними. Над­мірне ускладнення системи прав звичайно призводить до того, що користува­чі починають її «обходити», задаючи спрощені права; у результаті загальна безпека не підвищується, а ще більше знижується.

Вирішення цих проблем призвело до особливостей реалізації списків контро­лю доступу в різних OC Так, загальною концепцією у створенні списків є задання прав не лише для окремих користувачів, але й для груп користувачів, а також можливість визначити права доступу всіх користувачів системи. У деяких OC обме­жують кількість елементів у списку (наприклад, в UNIX список обмежений трьома елементами). Водночас у системах лінії Windows XP можна задавати списки контролю доступу, що складаються з необмеженої кілько­сті елементів (для окремих користувачів, груп, користувачів інших комп'ютерів тощо), і задавати різні комбінації прав - від узагальнених до детальних.

Читайте також:

1. D) оснащення виробництва обладнанням, пристроями, інструментом, засобами контролю.
2. IV. Питання самоконтролю.
3. Автоматизація контролю та діагностування вузлів РЕА
4. Антиконкурентні дії органів влади, управління і контролю
5. Аудиторська оцінка системи внутрішнього контролю
6. Аудиторські докази щодо тверджень керівництва у фінансових звітах отримуються безпосередньо в процесі проведення тестів контролю та процедур по суті.
7. Біржова валютна торгівля та ступінь валютного регулювання і контролю
8. ВАРІАНТИ ТЕСТІВ ДЛЯ ПОТОЧНОГО І ПІДСУМКОВОГО КОНТРОЛЮ ЗНАНЬ
9. Ваучерна система обліку і контролю грошових коштів
10. Види державного контролю
11. Види економічного контролю
12. Види і методи контролю у сфері послуг

Переглядів: 1056