Identifikimi dhe vërtetimi: konceptet bazë

2024 Autor: Howard Calhoun | [email protected]. E modifikuara e fundit: 2023-12-17 10:40

Identifikimi dhe vërtetimi janë baza e mjeteve moderne të sigurisë së softuerit dhe harduerit, pasi çdo shërbim tjetër është krijuar kryesisht për t'u shërbyer këtyre subjekteve. Këto koncepte paraqesin një lloj linje të parë mbrojtjeje që siguron sigurinë e hapësirës së informacionit të organizatës.

Çfarë është kjo?

Identifikimi dhe vërtetimi kanë funksione të ndryshme. E para i jep subjektit (përdoruesit ose procesit që vepron në emër të tij) mundësinë për të dhënë emrin e tij. Me ndihmën e vërtetimit, pala e dytë më në fund bindet se subjekti është me të vërtetë ai që pretendon të jetë. Identifikimi dhe vërtetimi shpesh zëvendësohen nga frazat "mesazh emri" dhe "autentifikimi" si sinonime.

Ata vetë ndahen në disa varietete. Më pas, ne do të shohim se çfarë janë identifikimi dhe vërtetimi dhe çfarë janë ato.

Vërtetimi

Ky koncept parashikon dy lloje: të njëanshme, kur klientiduhet së pari të provojë vërtetësinë e tij në server, dhe dykahëshe, domethënë kur kryhet konfirmimi i ndërsjellë. Një shembull standard se si kryhet identifikimi dhe vërtetimi standard i përdoruesit është procedura për hyrjen në një sistem të caktuar. Kështu, lloje të ndryshme mund të përdoren në objekte të ndryshme.

Në një mjedis rrjeti ku identifikimi dhe vërtetimi i përdoruesit kryhen në anët gjeografikisht të shpërndara, shërbimi në fjalë ndryshon në dy aspekte kryesore:

• që vepron si një vërtetues;
• si saktësisht u organizua shkëmbimi i të dhënave të vërtetimit dhe identifikimit dhe si mbrohet.

Për të vërtetuar identitetin e tyre, subjekti duhet të paraqesë një nga entitetet e mëposhtme:

• informacione të caktuara që ai di (numri personal, fjalëkalimi, çelësi special kriptografik, etj.);
• gjë e caktuar që zotëron (kartë personale ose ndonjë pajisje tjetër me qëllim të ngjashëm);
• një gjë e caktuar që është një element më vete (gjurmët e gishtërinjve, zëri dhe mjete të tjera biometrike për identifikimin dhe vërtetimin e përdoruesve).

Veçoritë e sistemit

Në një mjedis të hapur rrjeti, palët nuk kanë një rrugë të besueshme, që do të thotë se, në përgjithësi, informacioni i transmetuar nga subjekti mund të mos përputhet përfundimisht me informacionin e marrë dhe të përdorurkur vërtetohet. Kërkohet të sigurohet siguria e dëgjimit aktiv dhe pasiv të rrjetit, domethënë mbrojtje nga korrigjimi, përgjimi ose riprodhimi i të dhënave të ndryshme. Opsioni i transmetimit të fjalëkalimeve në tekst të thjeshtë është i pakënaqshëm, dhe në të njëjtën mënyrë, enkriptimi i fjalëkalimit nuk mund të shpëtojë, pasi ato nuk ofrojnë mbrojtje kundër riprodhimit. Kjo është arsyeja pse protokollet më komplekse të vërtetimit përdoren sot.

Identifikimi i besueshëm është i vështirë jo vetëm për shkak të kërcënimeve të ndryshme në internet, por edhe për një sërë arsyesh të tjera. Para së gjithash, pothuajse çdo entitet vërtetimi mund të vidhet, falsifikohet ose konkludohet. Ekziston gjithashtu një kontradiktë midis besueshmërisë së sistemit të përdorur, nga njëra anë, dhe komoditetit të administratorit ose përdoruesit të sistemit, nga ana tjetër. Kështu, për arsye sigurie, kërkohet që përdoruesi të rifusë informacionin e tij të vërtetimit me një farë frekuence (pasi një person tjetër tashmë mund të jetë ulur në vendin e tij), dhe kjo jo vetëm që krijon probleme shtesë, por gjithashtu rrit ndjeshëm mundësia që dikush mund të spiunojë futjen e informacionit. Ndër të tjera, besueshmëria e pajisjeve mbrojtëse ndikon ndjeshëm në koston e saj.

Sistemet moderne të identifikimit dhe autentifikimit mbështesin konceptin e hyrjes së vetme në rrjet, i cili kryesisht ju lejon të përmbushni kërkesat për sa i përket komoditetit të përdoruesit. Nëse një rrjet standard i korporatës ka shumë shërbime informacioni,duke parashikuar mundësinë e trajtimit të pavarur, atëherë futja e përsëritur e të dhënave personale bëhet shumë e rëndë. Për momentin, nuk mund të thuhet ende se përdorimi i një hyrjeje të vetme konsiderohet normale, pasi zgjidhjet dominuese nuk janë formuar ende.

Kështu, shumë po përpiqen të gjejnë një kompromis midis përballueshmërisë, komoditetit dhe besueshmërisë së mjeteve që ofrojnë identifikim/autentifikim. Autorizimi i përdoruesve në këtë rast kryhet sipas rregullave individuale.

Vëmendje e veçantë duhet t'i kushtohet faktit që shërbimi i përdorur mund të zgjidhet si objekt i një sulmi disponueshmërie. Nëse sistemi është konfiguruar në atë mënyrë që pas një numri të caktuar përpjekjesh të pasuksesshme, aftësia për të hyrë është bllokuar, atëherë në këtë rast, sulmuesit mund të ndalojnë punën e përdoruesve të ligjshëm vetëm me disa shtypje tasti.

Vërtetimi i fjalëkalimit

Përparësia kryesore e një sistemi të tillë është se është jashtëzakonisht i thjeshtë dhe i njohur për shumicën. Fjalëkalimet janë përdorur nga sistemet operative dhe shërbimet e tjera për një kohë të gjatë, dhe kur përdoren në mënyrë korrekte, ato ofrojnë një nivel sigurie që është mjaft i pranueshëm për shumicën e organizatave. Por nga ana tjetër, për sa i përket grupit të përgjithshëm të karakteristikave, sisteme të tilla përfaqësojnë mjetin më të dobët me të cilin mund të kryhet identifikimi/autentikimi. Autorizimi në këtë rast bëhet mjaft i thjeshtë, pasi fjalëkalimet duhet të jenëkombinime të paharrueshme, por në të njëjtën kohë të thjeshta nuk janë të vështira për t'u marrë me mend, veçanërisht nëse një person i njeh preferencat e një përdoruesi të caktuar.

Ndodh që fjalëkalimet, në parim, të mos mbahen sekret, pasi kanë vlera mjaft standarde të specifikuara në dokumentacion të caktuar dhe jo gjithmonë pasi të instalohet sistemi, ato ndryshohen.

Kur futni fjalëkalimin, mund të shihni, dhe në disa raste njerëzit përdorin edhe pajisje optike të specializuara.

Përdoruesit, subjektet kryesore të identifikimit dhe vërtetimit, shpesh mund të ndajnë fjalëkalimet me kolegët në mënyrë që ata të ndryshojnë pronësinë për një kohë të caktuar. Teorikisht, në situata të tilla do të ishte mirë të përdoreshin kontrolle speciale të aksesit, por në praktikë kjo nuk përdoret nga askush. Dhe nëse dy njerëz e dinë fjalëkalimin, kjo rrit shumë shanset që të tjerët të mësojnë përfundimisht për të.

Si ta rregulloni këtë?

Ka disa mënyra se si mund të sigurohet identifikimi dhe vërtetimi. Komponenti i përpunimit të informacionit mund të sigurohet si më poshtë:

• Vendosja e kufizimeve të ndryshme teknike. Më shpesh, rregulla vendosen për gjatësinë e fjalëkalimit, si dhe përmbajtjen e karaktereve të caktuara në të.
• Menaxhimi i skadimit të fjalëkalimeve, domethënë nevoja për t'i ndryshuar ato në mënyrë periodike.
• Kufizimi i aksesit në skedarin kryesor të fjalëkalimit.
• Duke kufizuar numrin total të përpjekjeve të dështuara të disponueshme gjatë identifikimit. falëNë këtë rast, sulmuesit duhet të kryejnë veprime vetëm përpara se të kryejnë identifikimin dhe vërtetimin, pasi metoda e forcës brutale nuk mund të përdoret.
• Trajnim paraprak i përdoruesve.
• Përdorimi i softuerit të specializuar për gjenerimin e fjalëkalimeve që ju lejon të krijoni kombinime që janë mjaft eufonike dhe të paharrueshme.

Të gjitha këto masa mund të përdoren në çdo rast, edhe nëse përdoren mjete të tjera vërtetimi së bashku me fjalëkalimet.

Fjalëkalime një herë

Opsionet e diskutuara më sipër janë të ripërdorshme dhe nëse zbulohet kombinimi, sulmuesi merr mundësinë për të kryer disa operacione në emër të përdoruesit. Kjo është arsyeja pse fjalëkalimet e njëhershme përdoren si një mjet më i fortë, rezistent ndaj mundësisë së dëgjimit pasiv të rrjetit, falë të cilit sistemi i identifikimit dhe autentifikimit bëhet shumë më i sigurt, megjithëse jo aq i përshtatshëm.

Për momentin, një nga gjeneruesit më të njohur të softuerit të fjalëkalimeve një herë është një sistem i quajtur S/KEY, i lëshuar nga Bellcore. Koncepti themelor i këtij sistemi është se ekziston një funksion i caktuar F që është i njohur si për përdoruesit ashtu edhe për serverin e vërtetimit. Më poshtë është çelësi sekret K, i cili është i njohur vetëm për një përdorues të caktuar.

Gjatë administrimit fillestar të përdoruesit, ky funksion përdoret për tastinnjë numër të caktuar herë, pas së cilës rezultati ruhet në server. Në të ardhmen, procedura e vërtetimit duket kështu:

1. Një numër vjen në sistemin e përdoruesit nga serveri, i cili është 1 më pak se sa herë është përdorur funksioni në çelës.
2. Përdoruesi përdor funksionin për çelësin sekret të disponueshëm sa herë që ishte caktuar në paragrafin e parë, pas së cilës rezultati dërgohet nëpërmjet rrjetit direkt në serverin e vërtetimit.
3. Serveri përdor këtë funksion për vlerën e marrë, pas së cilës rezultati krahasohet me vlerën e ruajtur më parë. Nëse rezultatet përputhen, atëherë përdoruesi vërtetohet dhe serveri ruan vlerën e re, më pas zvogëlon numëruesin me një.

Në praktikë, zbatimi i kësaj teknologjie ka një strukturë paksa më komplekse, por për momentin nuk është aq e rëndësishme. Meqenëse funksioni është i pakthyeshëm, edhe nëse përgjohet fjalëkalimi ose arrihet akses i paautorizuar në serverin e vërtetimit, ai nuk ofron mundësinë për të marrë një çelës sekret dhe në asnjë mënyrë të parashikojë se si do të duket në mënyrë specifike fjalëkalimi i ardhshëm një herë.

Në Rusi, një portal i posaçëm shtetëror përdoret si një shërbim i unifikuar - "Sistemi i unifikuar i identifikimit / vërtetimit" ("ESIA").

Një tjetër qasje ndaj një sistemi të fortë vërtetimi është krijimi i një fjalëkalimi të ri në intervale të shkurtra, i cili gjithashtu zbatohet nëpërmjetpërdorimi i programeve të specializuara apo kartave të ndryshme smart. Në këtë rast, serveri i vërtetimit duhet të pranojë algoritmin e duhur të gjenerimit të fjalëkalimit, si dhe disa parametra të lidhur me të, dhe përveç kësaj, duhet të ketë edhe sinkronizim të orës së serverit dhe klientit.

Kerberos

Serveri i vërtetimit Kerberos u shfaq për herë të parë në mesin e viteve '90 të shekullit të kaluar, por që atëherë ai tashmë ka marrë një numër të madh ndryshimesh thelbësore. Për momentin, komponentët individualë të këtij sistemi janë të pranishëm pothuajse në çdo sistem operativ modern.

Qëllimi kryesor i këtij shërbimi është të zgjidhë problemin e mëposhtëm: ekziston një rrjet i caktuar i pambrojtur dhe subjekte të ndryshme janë të përqendruara në nyjet e tij në formën e përdoruesve, si dhe sistemet softuerike të serverëve dhe klientëve. Secili subjekt i tillë ka një çelës sekret individual, dhe në mënyrë që subjekti C të ketë mundësinë t'i dëshmojë vërtetësinë e tij subjektit S, pa të cilin ai thjesht nuk do t'i shërbejë atij, ai do të duhet jo vetëm të emërojë veten, por edhe për të treguar se ai njeh një farë çelësi sekret. Në të njëjtën kohë, C nuk ka mundësinë që thjesht të dërgojë çelësin e tij sekret në S, pasi, para së gjithash, rrjeti është i hapur, dhe përveç kësaj, S nuk e di dhe, në parim, nuk duhet ta dijë atë. Në një situatë të tillë, përdoret një teknikë më pak e drejtpërdrejtë për të demonstruar njohuri për këtë informacion.

Identifikimi/autentifikimi elektronik përmes sistemit Kerberos e ofron atëpërdoret si një palë e tretë e besuar që ka informacion për çelësat sekretë të objekteve të shërbyer dhe, nëse është e nevojshme, i ndihmon ata në kryerjen e vërtetimit në çift.

Kështu, klienti fillimisht dërgon një kërkesë në sistem, e cila përmban informacionin e nevojshëm për të, si dhe për shërbimin e kërkuar. Pas kësaj, Kerberos i siguron atij një lloj bilete, e cila është e koduar me çelësin sekret të serverit, si dhe një kopje të disa të dhënave prej tij, e cila është e koduar me çelësin e klientit. Në rast të një ndeshjeje, konstatohet se klienti ka deshifruar informacionin e destinuar për të, domethënë ai ka mundur të demonstrojë se e njeh vërtet çelësin sekret. Kjo sugjeron që klienti është pikërisht ai që pretendon të jetë.

Vëmendje e veçantë këtu duhet t'i kushtohet faktit se transferimi i çelësave sekret nuk është kryer përmes rrjetit dhe ata janë përdorur ekskluzivisht për enkriptim.

Vërtetimi biometrik

Biometrika përfshin një kombinim të mjeteve të automatizuara për identifikimin/autentikimin e njerëzve bazuar në karakteristikat e tyre të sjelljes ose fiziologjike. Mjetet fizike të vërtetimit dhe identifikimit përfshijnë verifikimin e retinës dhe kornesë së syve, gjurmët e gishtërinjve, gjeometrinë e fytyrës dhe të duarve dhe informacione të tjera personale. Karakteristikat e sjelljes përfshijnë stilin e punës me tastierën dhe dinamikën e nënshkrimit. Të kombinuarametodat janë analiza e veçorive të ndryshme të zërit të një personi, si dhe njohja e të folurit të tij.

Sisteme të tilla identifikimi/autentifikimi dhe enkriptimi përdoren gjerësisht në shumë vende të botës, por për një kohë të gjatë ato ishin jashtëzakonisht të shtrenjta dhe të vështira për t'u përdorur. Kohët e fundit, kërkesa për produkte biometrike është rritur ndjeshëm për shkak të zhvillimit të tregtisë elektronike, pasi, nga këndvështrimi i përdoruesit, është shumë më i përshtatshëm të prezantosh veten sesa të mësosh përmendësh disa informacione. Prandaj, kërkesa krijon ofertë, kështu që në treg filluan të shfaqen produkte relativisht të lira, të cilat janë të fokusuara kryesisht në njohjen e gjurmëve të gishtave.

Në shumicën dërrmuese të rasteve, biometria përdoret në kombinim me vërtetues të tjerë si kartat inteligjente. Shpesh, vërtetimi biometrik është vetëm linja e parë e mbrojtjes dhe vepron si një mjet për aktivizimin e kartave inteligjente që përfshijnë sekrete të ndryshme kriptografike. Kur përdorni këtë teknologji, shablloni biometrik ruhet në të njëjtën kartë.

Aktiviteti në fushën e biometrikës është mjaft i lartë. Tashmë ekziston një konsorcium i përshtatshëm, dhe po ashtu po kryhet një punë mjaft aktive për standardizimin e aspekteve të ndryshme të teknologjisë. Sot mund të shihni shumë artikuj reklamues në të cilët teknologjitë biometrike paraqiten si një mjet ideal për rritjen e sigurisë dhe në të njëjtën kohë të aksesueshme për publikun e gjerë.masat.

ESIA

Sistemi i Identifikimit dhe Autentifikimit ("VNMS") është një shërbim i posaçëm i krijuar për të siguruar zbatimin e detyrave të ndryshme që lidhen me verifikimin e identitetit të aplikantëve dhe pjesëmarrësve në ndërveprimin ndër-departamental në rastin e ofrimit të çdo shërbim komunal ose shtetëror në formë elektronike.

Për të pasur akses në "Portalin e Vetëm të Agjencive Qeveritare", si dhe në çdo sistem tjetër informacioni të infrastrukturës së qeverisjes elektronike aktuale, fillimisht do t'ju duhet të regjistroni një llogari dhe si rrjedhojë, merrni një PES.

Nivelet

Portali i sistemit të unifikuar të identifikimit dhe vërtetimit ofron tre nivele kryesore të llogarive për individët:

• Thjeshtuar. Për ta regjistruar atë, thjesht duhet të tregoni mbiemrin dhe emrin tuaj, si dhe një kanal specifik komunikimi në formën e një adrese emaili ose telefoni celular. Ky është niveli parësor, nëpërmjet të cilit një person ka akses vetëm në një listë të kufizuar shërbimesh të ndryshme publike, si dhe në aftësitë e sistemeve ekzistuese të informacionit.
• Standard. Për ta marrë atë, së pari duhet të lëshoni një llogari të thjeshtuar, dhe më pas të jepni të dhëna shtesë, duke përfshirë informacionin nga pasaporta dhe numrin e llogarisë personale individuale të sigurimit. Informacioni i specifikuar kontrollohet automatikisht përmes sistemeve të informacionitFondi i Pensionit, si dhe Shërbimi Federal i Migracionit, dhe nëse kontrolli është i suksesshëm, llogaria transferohet në nivelin standard, i cili hap një listë të zgjeruar të shërbimeve publike për përdoruesit.
• Konfirmuar. Për të marrë këtë nivel llogarie, sistemi i unifikuar i identifikimit dhe autentifikimit kërkon që përdoruesit të kenë një llogari standarde, si dhe verifikimin e identitetit, i cili kryhet nëpërmjet një vizite personale në një degë shërbimi të autorizuar ose duke marrë një kod aktivizimi me postë të regjistruar. Në rast se verifikimi i identitetit është i suksesshëm, llogaria do të kalojë në një nivel të ri dhe përdoruesi do të ketë akses në listën e plotë të shërbimeve të nevojshme qeveritare.

Pavarësisht se procedurat mund të duken mjaft të ndërlikuara, në fakt, ju mund të njiheni me listën e plotë të të dhënave të nevojshme direkt në faqen zyrtare, kështu që një regjistrim i plotë është mjaft i mundur brenda pak ditësh.