Студопедия
Новини освіти і науки:
МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах


РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання


ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ"


ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ


Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків


Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні


Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах


Гендерна антидискримінаційна експертиза може зробити нас моральними рабами


ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ


ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів



Класи механізмів автентифікації, коли пред’явник є ініціатором

Класифікація уразливостей

Основні механізми, що застосовуються для автентифікації

Відносно механізмів автентифікації переважно можуть здійснюватись атаки, що обмежують їх ефективність. Вони можуть здійснюватись у фазі передавання. Їх можна застосовувати відносно загроз(и), проти яких ці механізми є невразливими. Механізми базуються на принципі автентифікації, який можна назвати «дещо відомо». Усі такі механізми можна застосовувати до об’єктів автентифікації, а механізми з цифровим підписом або геш-значенням можна застосовувати й для автентифікації джерела даних.

Міжнародний стандарт [12, 93] рекомендує використовувати для оцінки захищенності такі класи механізмів автентифікації:

Клас 0 – незахищений;

Клас 1 – захищений від розкриття заявленої ІА;

Клас 2 – захищений від розкриття заявленої ІА й атаки типу «повтор» для різних перевірників;

Клас 3 – захищений від розкриття заявленої ІА й атаки типу «повтор» на одного перевірника;

Клас 4 – захищений від розкриття заявленої ІА й атаки типу «повтор» на одного перевірника або різних перевірників.

Під час розгляду механізмів автентифікації й аналізу криптографічних протоколів усе вищезазначене робиться з точки зору пред’явника, і тому пред’явник завжди є ініціатором. На основі цього застосовують усі класи механізмів направленої автентифікації, а потім проводиться уточнення, де ініціатором є перевірник, оскільки вони застосовуються для однонаправленої та взаємної автентифікації.

Для забезпечення захисту у разі автентифікації джерела даних необхідно використовувати ЕЦП, або її деякий аналог засобом застосування асиметричного

направленого шифрування. Може також застосовуватись симетричне шифрування, наприклад, у вигляді коду автентифікації повідомлення (імітовставки), або криптографічного контрольного значення від даних, що виготовлені з використанням особистого ключа ЕЦП.

 

Незахищений клас автентифікації 0.У механізмах автентифікації класу 0 заявлена ІА відправляється як обмінна ІА від пред’явника перевірнику разом із розпізнавальним ідентифікатором. Також для автентифікації застосовуються симетричні криптоперетворення. Механізми автентифікації цього класу вразливі до розкриття інформації автентифікації та атаки типу «повтор».

На рис. 20.13 наведено механізм формування та передавання – приймання маркера – обмінної ІА безпосередньо із вхідних даних.

 

Рис. 20.14. Механізм класу 1, що захищений від розкриття заявленої ІА

Для криптографічного перетворення при генеруванні обмінної ІА може застосовуватись таке:

1) у разі використання однонаправленої функції – перевірка ґрунтується на використанні перевірочної ІА замість заявленої ІА та наступного порівняння з одержаною обмінною ІА;

2) у разі використання симетричного шифрування – перевірка ґрунтується на використанні перевірочної ІА для розшифрування одержаної обмінної ІА, а потім – на перевірці справжності розшифрованих даних шляхом перевірки збігу розшифрованого розпізнавального ідентифікатора з розпізнавальним ідентифікатором пред’явника, а також правильності цифрового підпису (електронного підпису), паролю та постійних значень;

3) у разі використання цифрового підпису – перевірка ґрунтується на обчисленні цифрового «відбитку» від одержаних даних та використанні перевірочної ІА для перевірки того, що одержаний підпис є дійсним для даного відбитку (електронного підпису);

4) додатково, у разі автентифікації джерела даних – цифровий відбиток (електронний підпис), який одержано з обмінної ІА, порівнюють з генерованим перевірником цифровим відбитком даних. Коли розпізнавальний ідентифікатор комбінують із заявленою ІА, складність екзистенційної (exhaustive) атаки суттєво підвищується. Причому атаку, за необхідності, можна вести одноразово тільки на визначеного комітента, замість виконання атаки на всіх комітентів разом.

Для забезпечення конфіденційності ІА функція перетворення має бути однонаправленою, або мати експоненційну складність зворотного криптографічного перетворення.

Клас автентифікації 2 – захищений від розкриття заявленої ІА та атаки типу «повтор» на різних перевірників.Клас механізмів автентифікації 2 дозволяє при його застосуванні забезпечити захист від розкриття заявленої ІА та атак типу «повтор» на різних перевірників, але не може забезпечити захист від атак типу «повтор» з одним перевірником. Цей клас механізмів ідентичний класу 1, але додатково для надання додаткового захисту на вхід функції перетворення подається унікальна характеристика обраного перевірника.

Клас автентифікації 3 – захищений від розкриття заявленої ІА та атаки типу «повтор» на одного перевірника.Цей клас механізмів автентифікації 3 забезпечує захист від розкриття заявленої ІА та атак типу «повтор» на одного перевірника. Механізми цього класу для надання додаткового захисту від атаки типу «повтор» на одного перевірника ґрунтуються на використанні функції перетворення разом з унікальною інформацією. Заявлена ІА та унікальний номер захищаються з використанням криптографічних перетворень і передаються разом з розпізнавальним ідентифікатором.

Для унікального подання механізму можна застосовувати:

1) випадкове або псевдовипадкове число – число, яке не може бути повторено навмисне впродовж життєвого циклу заявленої ІА (з імовірністю більше заданої);

2) випадкове, або псевдовипадкове число певної довжини – дозволяє зменшити ймовірність того, що таке число вже використовувалося;

3) позначку (мітку) часу – є унікальним числом упродовж життєвого циклу заявленої ІА, якщо її одержано з довірчого джерела. Раніше отримані мітки часу, або мітки часу, які попередньо використовували, визначаються з великою ймовірністю;

4) лічильник – значенням лічильника є унікальне число, що постійно збільшується, доки використовують однакову заявлену ІА;

5) криптографічне зв’язування – унікальне число є зв’язаним значенням, якщо воно одержане зі змісту попередніх даних, що передаються між пред’явником і перевірником шляхом застосування в деякий момент часу. Унікальність числа, що отримане зв’язуванням, може гарантуватися пред’явником за рахунок конкатенації його з даними, що є унікальними для пред’явника (наприклад такого, як особистий розпізнавальний ідентифікатор пред’явника). За необхідності для створення унікального числа можна використовувати комбінацію цих методів.

Як функції перетворення в 3 класі можуть застосовуватись:

1) однонаправлена функція – в такому разі унікальне число, заявлена ІА та, можливо, розпізнавальний ідентифікатор перетворюються за допомогою однонаправленої функції. Унікальне число також передається перевірнику, тому він може виконати таке саме перетворення;

2) асиметричний алгоритм – в такому разі заявлена ІА є особистим ключем, при цьому унікальне число підписується на особистому ключі;

3) симетричний ключ, коли заявлена ІА є таємним ключем, при цьому унікальне число зашифровується на таємному ключі.

Розглянутий клас механізмів застосовується для автентифікації джерела даних та об’єкта. Унікальне число генерується згідно з рис. 20.15.

Рис. 20.16. Проміжний клас 4b – механізми із запитом на перевірку паролю

 

Проміжний клас 4с – Спеціалізовані механізми автентифікації із запитом паролю та шифруванням. Механізми цього класу ґрунтуються на трьох обмінах інформацією між пред’явником і перевірником. Сутність механізмів полягає в такому.

1. Пред’явник відправляє перевірникові запит на автентифікацію та розпізнавальний ідентифікатор від пред’явника.

2. Перевірник генерує запит на перевірку пароля та перевірочну ІА, можливо, разом із розпізнавальним ідентифікатором, та відправляє його від перевірника до пред’явника.

3. Пред’явник відправляє перевірникові відповідь, яка отримана за допомогою деякої визначеної функції F від заявленої ІА, можливо, комбінованої з розпізнавальним ідентифікатором, та інформації запиту на перевірку паролю.

Як функція перетворення F для механізмів із запитом паролю та шифруванням можуть бути використані:

1) асиметричний алгоритм – коли заявлена ІА є особистим ключем, при цьому запит на перевірку паролю зашифровується на особистому ключі;

2) симетричний алгоритм – коли заявлена ІА є таємним ключем, при цьому запит на перевірку паролю зашифровують на таємному ключі.

Проміжний клас 4с використовується для автентифікації джерела даних та об’єктів.

Приклад реалізації спеціалізованих механізмів із запитом пароля та шифруванням наведено на рис. 20.120.

Рис. 20.18. Проміжний клас 4d – Механізми з обчисленням відповіді

 

Пред’явник виконує перетворення над запитом на перевірку пароля чи обраними значеннями, використовуючи заявлену ІА, і результати перетворень надсилає перевірникові. Після отримання від пред’явника маркера перевірник, використовуючи перевірочну ІА, виконує зворотне перетворення та перевіряє одержані значення згідно з механізмом автентифікації.

 


Читайте також:

  1. II. Класифікація видатків та кредитування бюджету.
  2. V. Класифікація і внесення поправок
  3. V. Класифікація рахунків
  4. А .Маршалл - основоположник неокласичної теорії.
  5. А. Структурно-функціональна класифікація нирок залежно від ступеню злиття окремих нирочок у компактний орган.
  6. Абстрактні класи
  7. Адміністративні провадження: поняття, класифікація, стадії
  8. Аналітичні процедури внутрішнього аудиту та їх класифікація.
  9. Антагоністичні - критеріальні класифікації надто спрощені, тому дослідники
  10. Атаки типу «підміна», коли ініціатором є порушник
  11. Б. Некласична форма.
  12. Багатоаспектне класифікування об’єктів винаходу




Переглядів: 851

<== попередня сторінка | наступна сторінка ==>
Атака типу «підміна», у якій порушник є відповідачем | Класи механізмів автентифікації, де перевірник є ініціатором, та взаємна автентифікація

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

  

© studopedia.com.ua При використанні або копіюванні матеріалів пряме посилання на сайт обов'язкове.


Генерація сторінки за: 0.005 сек.