![]() Specializovaný týdeník o výpočetní technice |
|
![]() |
Seriál o bezpečnosti a informačním soukromí |
Identifikace a řízení přístupu -- aneb někdo je za dveřmiAntonín Beneš
Psst. Slyšíte, někdo zvoní. Jdete ke dveřím a podíváte se špehýrkou, kdo se to domáhá vstupu do vašeho domova. Ale, to je Pepík, měl přijít dnes na návštěvu. Otevřete tedy dveře, a pozvete ho dál.
Zcela automaticky, aniž se na to musíte nějak zvlášť soustředit, řešíte každý den úkoly, které jsou základním posláním každého bezpečnostního systému. Totiž otázky přístupu k systémovým zdrojům. Rozeberme si celou situaci ještě jednou, tentokrát více z pohledu bezpečnosti. Nejdříve jste zaslechli zvonek. Zvonění bychom mohli označit za požadavek na poskytnutí jisté služby systému. V tomto případě jde o vpuštění dovnitř, usazení do křesla a následnou konzumaci příslušných poživatin. Bezpečnostní mechanismus zde představujete vy sami. Jdete ke dveřím a pohledem skrz špehýrku zjistíte, kdo je venku. Jinými slovy, provedli jste identifikaci subjektu, který je zdrojem požadavku. Na základě tohoto poznatku a na základě dalších dostupných informací, jako např. vaše momentální nálada, obsah lednice, vzpomínka na pozvání dotyčné osoby apod. dospějete k rozhodnutí, zda požadovanou službu poskytnete, či nikoliv. Je-li vše v pořádku, tedy venku stojící osoba je skutečně váš přítel Pepík, je správné datum, správný čas atd., dveře otevřete a žadatele vpustíte dovnitř. Formálně řečeno, bezpečnostní mechanismus shledal požadavek legálním a rozhodl se umožnit jeho zpracování. Následovat bude zmíněná konzumace a jiné druhy zábavy. To však již je nad rámec našeho zkoumání. Na tomto místě bychom naopak rádi upozornili na dva zajímavé detaily. Zaprvé, jste-li opatrní, zjišťujete, kdo je za dveřmi pokaždé, než dveře otevřete. Zadruhé, výsledek vašeho rozhodování, zda dveře otevřít, či nikoliv, do značné míry závisí na zjištění, kdo je venku. Pravděpodobně byste se rozhodli jinak, kdyby se k vám domů namísto vašeho přítele dobýval opilý vagabund s nožem v ruce. Dále si všimněme, že zatímco někdy zjišťujeme, zda za dveřmi je ta hromádka organické hmoty zvaná Pepík, jindy se spokojíme se zjištěním, že za dveřmi je pošťák, aniž by nás zajímalo, jak se jmenuje. V principu jde o rozdíl mezi absolutní a relativní identifikací. Velmi důležitou informací, se kterou bezpečnostní mechanismus pracuje při rozhodování o poskytnutí, či neposkytnutí požadované služby, je identifikace žadatele. A právě otázce -- jak bezpečnostní systém pozná, s kým má tu čest -- se budeme věnovat v tomto článku. V dalším textu budeme toho, kdo prokazuje svoji identitu, nazývat dokazovatelem. Ověřovatel je potom ten, komu dokazovatel svoji identitu prokazuje. Ověřovatel provádí zkoumání, zda udaná identita odpovídá skutečnosti -- provádí autentizaci.
Není oko jako oko V našem "domovním" příkladě si bezpečnostní mechanismus s problémem identifikace poradil vcelku jednoduše. Prostě se podíval kdo zvoní, a poznal svého přítele. Počítače ovšem ani zdaleka nejsou vybaveny tak dokonalými smysly, jako je lidské oko a už vůbec nedisponují kapacitou, která by byla byť jen vzdáleně srovnatelná se schopností mozku zpracovávat zrakové vjemy. Navíc budeme chtít, aby mechanismus identifikace, tedy rozpoznání protistrany, byl co nejjednodušší. Lze totiž očekávat, že čím jednodušší je používaný mechanismus identifikace, tím bude méně nákladný. A o peníze jde až v první řadě. Nezbývá nám tedy, než použít metody, které jsou dostupné omezeným možnostem počítačů. Navíc, pokud jde o identifikaci lidí, nebo chcete-li uživatelů, musíme volit postupy, které jsou tito lidé schopni zvládnout a které pro ně jsou přijatelné z etického hlediska. Posledně zmíněné problémy samozřejmě odpadají, pokud dokazovatel je též počítač. V zásadě máme několik možností, jak identifikovat, nebo aspoň autentizovat daný subjekt: První z těchto možností je, že subjekt má jakousi výlučnou znalost či dovednost. V takovém případě musíme ověřit, zda dokazovatel má znalosti odpovídající tomu, za koho se vydává. Typickými znalostmi, které se ověřují, je znalost příslušného pinu, hesla, vstupní fráze či specifického algoritmu. Druhou možností, jak identifikovat subjekt, je ověřit, zda vlastní nějaký specifický předmět. Tyto předměty -- budeme jim říkat tokeny -- mohou mít nejrůznější podobu. Navzdory odpudivému názvu si je není třeba představovat nějak dramaticky. V určitém slova smyslu máte jistě několik tokenů ve svých kapsách. Třeba klíče od svého bytu, nebo libovolnou bankovku. Obojí by mělo být nereplikovatelné, lepší tokeny jsou navíc jedinečné. Nejčastěji však vypadají jako nějaké karty či přívěsky. Problematice tokenů bude věnováno celé jedno pokračování tohoto seriálu. Poslední možností je pokusit se zkoumat některé charakteristické rysy samotného subjektu. Tato metoda připadá v úvahu zejména tehdy, pokud identifikovaný subjekt je člověk. Potom vycházíme z předpokladu, že každý lidský jedinec je trochu jiný, než všichni ostatní. Od ostatních se jej snažíme odlišit srovnáváním snadno popsatelných částí jeho těla či odlišností v chování. Souhrnně nazýváme tyto charakteristiky biometrikami. Patří sem například otisky prstů, zvuk hlasu, obraz sítnice, ale třeba i podpis.
Hesla, piny, vstupní fráze Hesla jsou nejstarším a nejčastěji používaným prostředkem k identifikaci protistrany. Že je heslo tvořeno zpravidla nepříliš dlouhým řetězcem znaků, ví pravděpodobně každý. Mechanismus autentizace pomocí hesla je v principu jednoduchý. Při požadavku o přístup se ověřovatel dokazovatele zeptá na jeho identifikaci a následně jej požádá, aby své tvrzení doložil předložením příslušného hesla. Pokud předložené heslo odpovídá sdělené identifikaci, ověřovatel tuto autentizaci uzná jako úspěšnou. Jednoduchý princip však není úplně jednoduché uvést v život. Tak především, lidé se mýlí. Jednou si uživatel splete stroj, ke kterému se přihlašuje, podruhé se netrefí na klávesnici do toho správného písmenka. Je tedy nutné, aby dokazovatel měl více pokusů. Zároveň je potřeba čelit útočníkovi, který zjišťuje cizí heslo tak, že zkouší všechna možná hesla. Dobrou obranou je omezit počet pokusů o zadání hesla. Po překročení tohoto počtu ověřovatel přestane na jistou dobu, nebo již napořád, reagovat na další žádosti o autentizaci ověřovatele. Jiná metoda spočívá v tom, že s rostoucím počtem neúspěšných pokusů o zadání hesla se zpomaluje odezva ověřovatele. Útočník tak nemůže v dostupném čase vyzkoušet příliš mnoho různých hesel. V každém případě je dobré, když systém upozorní (například správce), že došlo k většímu množství neúspěšných pokusů o zadání hesla. K bezpečnosti svého hesla může přispět značnou měrou i sám ověřovatel. Jak vypadá dobré heslo? Především není příliš krátké. Dobré heslo je dlouhé alespoň pět, lépe však šest znaků. Samozřejmě čím delší, tím lepší. Mělo by obsahovat velká i malá písmena, číslice, a nějaký ten znáček z horní řady klávesnice. Jako heslo by nemělo být používáno nějaké časté slovo, fráze, nebo dokonce jméno. Obsah hesla by neměl být odvoditelný ze znalosti jeho držitele -- žádná rodná čísla, čísla pojistek, jména dětí, manželky či milenky apod. Všechna tato pravidla směřují k co největšímu zvětšení množství potenciálních hesel, která by útočník musel vyzkoušet. Dále, pokud se uživatel přihlašuje pod několika různými uživatelskými jmény, nebo k více strojům, neměl by používat všude stejné heslo. V neposlední řadě je nutné hesla pravidelně měnit. PIN je zkratka pocházející z anglického Personal Identification Number, tedy cosi ve smyslu osobní identifikační číslo. Jak už název napovídá, skládá se pouze z číslic. Mívá standardní délku (nejčastěji čtyři číslice). Bývá používáno jako dodatečný identifikační prostředek společně s bezpečnostním tokenem (viz dále), např. s kreditní kartou, s klíčkartou apod. V podstatě slouží jako ochrana proti neoprávněnému použití tokenu, ke kterému patří, třeba v případě ztráty, nebo odcizení. Samozřejmě je možno PIN použít samostatně jako jednoduché heslo, nebo k aktivaci dalšího bezpečnostního mechanismu. Příkladem takového použití jsou mobilní telefony. Vstupní fráze (Passphrase) je naopak v podstatě tuze dlouhé heslo. Může to být úryvek z oblíbené knihy, citát, nebo nějaká říkanka. Výhodou je, že se člověku dobře pamatuje. Zároveň při své délce poskytuje dostatek bezpečnosti proti uhádnutí. Další výhoda spočívá v tom, že ověřovatel může při autentizaci požadovat jen náhodně zvolenou část passphrase, kupříkladu páté až desáté slovo. To ztěžuje odposlouchávání či odezírání.
Když hesla nestačí Má-li proběhnout autentizace pomocí hesla, musí dokazovatel poskytnout ověřovateli své heslo, aby tento mohl zjistit, s kým má tu čest. To ovšem znamená, že ověřovatel se kdykoliv může tvářit jakožto dokazovatel. To nemusí být za všech okolností přijatelné. Např. to s sebou přináší riziko, že pokud se útočníkovi podaří tvářit se jako ověřovatel, vyzradíte mu své heslo. Zde je prostor pro použití tzv. důkazů s nulovým rozšířením informací. Jde o to, že ověřovateli musíte dokázat znalost nějaké (tajné) informace tak, aby nezískal žádnou představu o tom, jak ona informace vypadá. Dále požadujeme, aby ověřovatel neměl možnost "naučit se" tvářit jako dokazovatel na základě odpovědí, které od dokazovatele dostane. Princip důkazů s nulovým rozšířením informací ukazuje obrázek. Do bludiště nejprve vpustíme dokazovatele. Ten si náhodně zvolí směr a dojde až ke dveřím. Ověřovatel poté dojde až na rozcestí a do tmy zakřičí, ze které strany má dokazovatel přijít. Dokazovatel předem neví, jakou stranu si ověřovatel vybere, neví tedy, na které straně dveří je lepší stát. Pokud se dokazovatel z určeného směru přiblížit nedokáže, je jasné, že tajné zaříkání k otevření dveří nezná. Pokud přijde, víme s pravděpodobností 50 %, že zaříkání zná. Opakováním postupu můžeme docílit libovolného stupně jistoty.
Biometriky v krychli Jádrem všech biometrických měření jsou rafinované algoritmy, které převedou naměřená data na nepříliš velký vzorek, čítající řádově desítky až stovky bajtů. Tento vzorek je následně porovnán s uloženou předlohou. Pokud jsou si dostatečně podobné, ověřovatel usoudí, že dokazovatele poznal jako osobu XY. Co se měří? Tak třeba zvuk hlasu zkoumané osoby záleží na individuálním anatomickém uspořádání hlasového aparátu. Systém zkoumá rozložení záznamu hlasu na harmonické frekvence. Použijeme-li otisky prstů, hledáme počet a rozložení markant papilárních linií (smyčky, hrbolky na liniích). Namísto otisků prstů můžeme použít otisky dlaně nebo celé ruky, případně kombinované s měřením celkové geometrie končetiny. Za královnu biometrik lze považovat rozpoznávání obrazu sítnice. V tomto případě zkoumáme rozložení cévek v sítnici v okolí místa, kde do oka vstupuje zrakový nerv.
Pokud jste dočetli až sem, gratuluji. Získali jste přibližnou představu, jak vypadá vstupní brána do každého bezpečnostního systému. Račte vstoupit.
Seriál je rovněž dostupný na www.idg.cz/computerworld/bvsk/
| COMPUTERWORLD - seriál o bezpečnosti | COMPUTERWORLD | IDG CZ homepage | |