Аутентификация с помощью аппаратных средств

PGP

Pretty Good(tm) Privacy (PGP) выпущено фирмой Phil's Pretty Good Software и является криптографической системой с высокой степенью секретности для операционных систем MS-DOS, Unix, VAX/VMS и других. PGP позволяет пользователям обмениваться файлами или сообщениями с использованием функций секретности, установлением подлинности, и высокой степенью удобства. Секретность означает, что прочесть сообщение сможет только тот, кому оно адресовано. Установление подлинности позволяет установить, что сообщение, полученное от какого-либо человека, было послано именно им. Нет необходимости использовать специальные секретные каналы связи, что делает PGP простым в использовании программным обеспечением. Это связано с тем, что PGP базируется на мощной новой технологии, которая называется шифрованием с " общим ключом ".

В криптографической системе с общим ключом каждый имеет два связанных взаимно однозначно ключа: публикуемый общий ключ и секретный ключ. Каждый из них дешифрует код, сделанный с помощью другого. Знание общего ключа не позволяет вам вычислить cоответствующий секретный ключ. Общий ключ может публиковаться и широко распространяться через коммуникационные сети. Кто угодно может использовать общий ключ получателя, чтобы зашифровать сообщение ему, а получатель использует его собственный соответствующий секретный ключ для расшифровки сообщения. Никто, кроме получателя, не может расшифровать его, потому что никто больше не имеет доступа к секретному ключу. Даже тот, кто шифровал сообщение, не будет иметь возможности расшифровать его.

Кроме того, обеспечивается также установление подлинности сообщения. Собственный секретный ключ отправителя может быть использован для шифровки сообщения, таким образом "подписывая" его. Так создается электронная подпись сообщения, которую получатель (или кто-либо еще) может проверять, используя общий ключ отправителя для расшифровки. Это доказывает, что отправителем был действительно создатель сообщения и что сообщение впоследствии не изменялось кем-либо, так как отправитель — единственный, кто обладает секретным ключом, с помощью которого была создана подпись. Подделка подписанного сообщения невозможна, и отправитель не может впоследствии изменить свою подпись.

Эти два процесса могут быть объединены для обеспечения и секретности, и установления подлинности: сначала подписывается сообщение вашим собственным секретным ключом, а потом шифруется уже подписанное сообщение общим ключом получателя. Получатель делает наоборот: расшифровывает сообщение с помощью собственного секретного ключа, а затем проверяет подпись с помощью вашего общего ключа. Эти шаги выполняются автоматически с помощью программного обеспечения получателя.

В связи с тем, что алгоритм шифрования с общим ключом значительно медленнее, чем стандартное шифрование с одним ключом, шифрование сообщения лучше выполнять с использованием высококачественного быстрого стандартного алгоритма шифрования с одним ключом. Первоначальное незашифрованное сообщение называется "открытым текстом" (или просто текст). В процессе, невидимом для пользователя, временный произвольный ключ, созданный только для этого одного "сеанса", используется для традиционного шифрования файла открытого текста. Тогда общий ключ получателя используется только для шифровки этого временного произвольного стандартного ключа. Этот зашифрованный ключ "сеанса" посылается наряду с зашифрованным текстом (называемым "ciphertext" — "зашифрованный") получателю. Получатель использует свой собственный секретный ключ, чтобы восстановить этот временный ключ сеанса, и затем применяет его для выполнения быстрого стандартного алгоритма декодирования с одним ключом, чтобы декодировать все зашифрованное сообщение.

Общие ключи хранятся в виде "сертификатов ключей", которые включают в себя идентификатор пользователя владельца ключа (обычно это имя пользователя), временную метку, которая указывает время генерации пары ключей, и собственно ключи. Сертификаты общих ключей содержат общие ключи, а сертификаты секретных ключей — секретные. Каждый секретный ключ также шифруется с отдельным паролем. Файл ключей, или каталог ключей ("кольцо с ключами" — "keyring") содержит один или несколько таких сертификатов. В каталогах общих ключей хранятся сертификаты общих ключей, а в каталогах секретных — сертификаты секретных ключей.

На ключи также внутренне ссылаются "идентификаторы ключей", которые являются "сокращением" общего ключа (самые младшие 64 бита большого общего ключа). Когда этот идентификатор ключа отображается, то показываются лишь младшие 24 бита для краткости. Если несколько ключей могут одновременно использовать один и тот же идентификатор пользователя, то никакие два ключа не могут использовать один и тот же идентификатор ключа.

PGP использует "дайджесты сообщений " для формирования подписи. Дайджест сообщения — это криптографически мощная 128-битная односторонняя хэш-функция от сообщения. Она несколько напоминает контрольную сумму, или CRC-код, она однозначно представляет сообщение и может использоваться для обнаружения изменений в сообщении. В отличие от CRC-кода (контроля циклическим избыточным кодом), дайджест не позволяет создать два сообщения с одинаковым дайджестом. Дайджест сообщения шифруется секретным ключом для создания электронной подписи сообщения.

Документы подписываются посредством добавления перед ними цифровой подписи, которая содержит идентификатор ключа, использованного для подписи, подписанный секретным ключом дайджест сообщения и метку даты и времени, когда подпись была сгенерирована. Идентификатор ключа используется получателем сообщения, чтобы найти общий ключ для проверки подписи. Программное обеспечение получателя автоматически ищет общий ключ отправителя и идентификатор пользователя в каталоге общих ключей получателя.

Шифрованным файлам предшествует идентификатор общего ключа, который был использован для их шифрования. Получатель использует этот идентификатор для поиска секретного ключа, необходимого для расшифровки сообщения. Программное обеспечение получателя автоматически ищет требуемый для расшифровки секретный ключ в каталоге секретных ключей получателя.

Эти два типа каталогов ключей и есть главный метод сохранения и управления общими и секретными ключами. Вместо того, чтобы хранить индивидуальные ключи в отдельных файлах ключей, они собираются в каталогах ключей для облегчения автоматического поиска ключей либо по идентификатору ключа, либо по идентификатору пользователя. Каждый пользователь хранит свою собственную пару каталогов ключей. Индивидуальный общий ключ временно хранится в отдельном файле, достаточно большом для посылки его вашим друзьям, которые добавят его в свои каталоги ключей.

Аутентификация пользователей на базе аппаратных средств является надежным, но более дорогим и, как следствие менее распространенным решением. Для удостоверения личности принципала, используются специализированные аппаратные средства хранения (и генерации) идентификационных данных пользователя. Наиболее распространенными устройствами хранения являются пластиковые карты (смарт-карты), токены и устройства генерации одноразовых паролей.

Пластиковые смарт-карты представляют собой интеллектуальные карты, оснащенные микропроцессором и способные хранить данные пользователя.

Во время аутентификации при помощи пластиковых карт, пользователь вставляет карту в специальное устройство – считыватель, с помощью которого происходит считывание данных с карты. Информация на карте может быть защищена паролем, что обеспечивает повышенный уровень безопасности.

Токены – это небольшие устройства, предназначенные для хранения идентификационных данных пользователя, использующие для обмена информации USB-порт компьютера. Во время аутентификации, основанной на использовании токенов, пользователю необходимо подключить токен к USB-порту, своего компьютера и при использовании дополнительной защиты ввести пароль доступа к токену.

Решение о применении в качестве средств хранения идентификационных данных пользователя, основанное на использование токенов является экономически более выгодным за счет отсутствия необходимости в приобретении дополнительного оборудования, для чтения информации с носителя.

Устройства генерации одноразовых паролей – это активные аутентификационные устройства, которым не нужно передавать свой базовый секрет, чтобы аутентифицировать принципала. Вместо этого оно использует секретные данные для генерации одноразового пароля.

Традиционные устройства генерации одноразовых паролей имеет размер карманного калькулятора с клавиатурой. Такие устройства генерируют аутентификационные данные (одноразовый пароль), которые затем набираются с клавиатуры. Они способны взаимодействовать с любой интерактивной компьютерной системой и не требуют специальной аппаратной поддержки. Другие устройства генерации одноразовых паролей могут непосредственно подключаться к компьютеру. Одноразовые пароли обычно генерируются с использованием базового секрета и некоторой синхронизирующей информации – показаний синхронизирующего счетчика или синхронизируемых часов.

По сравнению с парольной, данный вид аутентификации является наиболее защищенным за счет того, что аутентифицироваться может, только тот пользователь, который обладает аппаратным носителем идентификационной информации. Также отпадает необходимость в запоминании (записывании) сложных паролей для пользователей, что является одной из причин несанкционированного доступа.

Дата добавления: 2014-01-04; Просмотров: 1172; Нарушение авторских прав?; Мы поможем в написании вашей работы!