Identifikace - proces určení identity

-1Identifikace
- proces určení identity
- identita je sada vlastností vázaných k určitému subjektu, na základě kterých subjekt jedná či s ním jednají ostatní subjekty
- identita je většinou reprezentována jednoznačným identifikátorem
 musí být jednoznačný ve vybrané množině
 přirozený/umělý - jméno, přezdívka/rodné číslo
 významový/bezvýznamový – nese/nenese dodatečnou informaci (např. RČ)
- vědomá/nevědomá identifikace
 vědomá - uživatel vědomě sděluje svou identitu ve formě identifikátoru
 bez vědomí subjektu - hodnoty uložené na pozadí (cookies)
- důvod zavedení identifikace - Správa přístupu k aktivům
 aktivum je cokoli, co má pro nás hodnotu
 přístup - možnost aktivum využívat, modifikovat, ničit či vytvářet
Autentizace
- proces ověření identity, potvrzení identity subjektu na základě důkazů
- Něco vím
 znalost, která je známa jen osobě s danou identitou (heslo, postup)
 riziko vytvoření kopie/zcizení bez možnosti detekce, nutno odhalit tajemství při provádění autentizace
- Něco mám
 vlastnictví konkrétního předmětu (Čipová karta, mobilní telefon, OTP generátor, autorizační kalkulátor aj.)
 snadná detekce zcizení, není možné vytvořit kopii
- Něčím jsem
 autentizace založená na vlastnosti subjektu, biometrické znaky
 srovnání vzorku získaného v reálném čase se vzorkem uloženým (není však 100% přesná)
 obtížné kopírování, specializovaný HW,
- používá se zpravidla vícefaktorová autentizace (např. znalost + vlastnictví = čipová karta s PINem
Autorizace
- určení, zda daný subjekt (po autentizaci) je oprávněn přistupovat k aktivu
- Discretionary Access Control – DAC (DACL): K objektu je připojen seznam oprávnění pro jednotlivé subjekty (uživatele, skupiny)
s popisem oprávnění pro tu kterou operaci. Oprávněné subjekty (vlastník) mohou poskytovat oprávnění dále. UNIX oprávnění,
Windows ACL
- Mandatory Access Control – MAC (multi level security): Přístupová oprávnění jsou určována globální politikou na základě
atributů objektů a subjektů. SeLinux, různá rozšíření UNIXů
- Role Based Access Control – RBAC: kombinace DAC a MAC
Základní atributy informačních aktiv
- Důvěrnost (confidentiality): vyžaduje autentizaci – informace lze vydávat pouze oprávněným subjektům
- Integrita (integrity): vyžaduje autentizaci – provádět lze pouze povolené změny aktiva
- Zodpovědnost (repudiation): vyžaduje autentizaci – za každý přístup k aktivu musí být zodpovědný konkrétní subjekt
- Dostupnost (Availability)
Inverzní Turingův test
- stroj se snaží o odlišení lidského uživatele od automatu
- založeno na úlohách pro lidský mozek snadných a pro stroj téměř neřešitelných
- Captcha, kognitivní testy
- autentizace systému - systém, do kterého vkládám své přístupové údaje, musí být důvěryhodný (fyzická kontrola, ověřování web
adres – certifikátů (EV HTTPS)
- autentizace osob v životě – ID doklad, cestovní pas
- občanský průkaz - papírový/plastový doklad určený pro vizuální inspekci, obsahuje jednoznačný identifikátor (číslo OP, rodné
číslo), osobní údaje, fotografii, tiskové a materiálové ochranné prvky pro prokázání pravosti dokladu
- eId - jako běžné ID + elektronické rozšíření, v EU standardizace prostřednictvím CEN a následně ETSI, formát čipové karty (ISO
7816), kontaktní nebo bezkontaktní rozhraní, Funkce: nese základní identifikační údaje v el. formě, může nést biometrické údaje,
rozšířené funkce pro přímé použití v počítači pro autentizaci vůči eGovernmentu, podpora tvorby elektronického podpisu
- ePas - knížka vybavená bezkontaktním čipem, který nese osobní údaje, biometrickou fotografii obličeje, obrazy otisků prstů
-2Krádeže identity
- slovníkový útok, útok silou (brute force), odposlech hesel, Man In The Middle – odposlech na síti, Man In The Browser –
odchycení přímo v počítači, sociální inženýrství – phishing, pharming, využití chybného návrhu aplikací - Cross Site Scripting (XSS)
a Cross Site Request Forgery (CSRF)
- obrana proti kompromitaci uloženého hesla: Fyzická ochrana, šifrování, jednosměrné hash funkce (ukládá se SALT a
HASH(SALT+Hodnota hesla))
Čipová karta
- kartička vybavená čipem a komunikačním rozhraním, standard ISO 7816
- paměťová karta (telefonní karty)/procesorová karta (SIM, EMV platební karta, OpenCard)
- kontaktní/bezkontaktní/kombinované(duální – 1 čip, hybridní – 2 čipy)
- souborový systém - hierarchický systém souborů, soubory adresovány dvěma bajty XX.YY, kořenový adresář Master File (MF) –
3f.00, složka Dedicated File (DF), datový soubor – Elementary File (EF)
- postup práce s kartou: 1) Reset karty, 2) Nastavit globální bezpečnostní kontext, 3) Nastavit DF (SELECT DF), 4) Nastavit EF
(SELECT EF), 5) Nastavit per EF/DF bezpečnostní kontext, 6) Provést operaci s aktuálně vybraným souborem (číst, zapisovat,
provést operaci (použít priv. klíč))
- Ověření původu karty: 1) statická autentizace - interní datové struktury jsou el. podepsány, 2) Dynamická - Karta generuje
unikátní podpis (např. včetně výzvy z terminálu), INTERNAL AUTHENTICATE – použije interní privátní/soukromý klíč k tvorbě
důkazu
- Karta je jen částí celé infrastruktury (karta; Card Management Systém (CMS) - vydání, předání, stažení; čtecí zařízení (terminály);
SW)
- EMV - standard pro čipové karty v oblasti plateb
Biometrie
- měření fyzických charakteristik statických/dynamických
- statické: duhovka, sítnice, tvář, tvar ucha, otisky geometrie prstů a ruky, topografie žil, dlaně, zápěstí, DNA
- dynamické: hlas, pohyb, písmo, podpis, dynamika psaní na klávesnici
- využití bezpečnostně komerční/policejně soudní
- Biometrický vzorek (sample) - obraz otisku prstu, obraz obličeje
- Biometrická charakteristika (characteristics) - určující informace po zpracování vzorku (křížení linií, vzdálenosti bodů apod.)
- Biometrické markanty (identificators) - charakteristiky rozhodující pro identifikaci
- Biometrická šablona (template) - výsledek zpracování vzorku určený pro uložení pro identifikaci při porovnání s budoucími vzorky
- identifikace 1:N – vyhledává v N šablonách shodu, výpočetně náročné, neefektivní
- verifikace 1:1 – porovnává šablonu se vzorkem, rychlé
- biometrie není 100% přesná: FAR – False Accept Rate – pravděpodobnost chybného přijetí (neoprávněnému je umožněn přístup),
FRR – False Reject Rate – pravděpodobnost chybného odmítnutí (oprávněný je odmítnut)
- Otisky prstů – senzory kontaktní (optické, elektronické, optoelektronické, kapacitní, tlakové, teplotní), bezkontaktní (optické,
ultrazvukové)
- WSQ – Wavelet Scalar Quantization, formát obrazu otisku prstu
- ePasy (1 prst z každé ruky), čtečky otisků na notebooku,
- Obraz obličeje – nepříliš vhodný, mění se časem, složité zpracování
- 12 bodů na obličeji postačuje k identifikaci
- formát uložení CBEFF, JPEG, JPEG2000
- detekce tváře je výbavou fotoaparátů
Identity & Access management
- Vytvoření identity – určení zdroje identity, identifikátor, zřízení identity
- Předání identity – uživatelské jméno, heslo, čip. karty, USB tokeny, OTP tokeny, nasnímání biometrie
- Používání identity – přihlašování, přidělování přístupu, změna/reset hesla, řešení ztráty/zapomenutí, auditing a reporting
využívání identit
- Ukončení identity – identita se blokuje, nemaže, nutno promítnout do všech systémů
- Intranet – uzavřené důvěryhodné prostředí, striktně spravované stanice se známým SW vybavení, technologie LDAP, Kerberos,
SAML, …
- Internet – heterogenní nedůvěryhodné prostředí, technologie OpenID, OAuth, SAML
- Cílem je implementace Single Sign On (uživatel se po přihlášení ke stanici již nadále nemusí přihlašovat a při tom jeho identita je
bezpečně předávána mezi službami, realizace Kerberos, PKI)