20.3.3. Класи механізмів автентифікації, де перевірник є ініціатором, та взаємна автентифікація
Механізми, що наведені нижче, можуть застосовуватися для випадків, коли ініціатором обмінів при автентифікації виступає перевірник. У табл. 20.1 наведено кількість передавань для випадків, коли ініціатором виступає пред’явник або перевірник.
Використання сертифікатів автентифікації. Механізми автентифікації, у яких ініціатором є перевірник, можна класифікувати за методами одержання перевірочної ІА. Для реалізації механізмів можуть використовуватись інтерактивні або автономні сертифікати, а також перевірочна ІА, яка надається додатковим шляхом, наприклад, з використанням захищених каналів. У механізмах, що розглядаються, сертифікат автентифікації надає доказ того, що ТДС здійснила зв’язок між даним розпізнавальним ідентифікатором та спеціалізованою перевірочною ІА.
Взаємна автентифікація. Взаємна автентифікація може здійснюватись із застосуванням однопрохідних механізмів (обмінів). Для цього можуть застосовуватись проміжні класи механізмів 1, 2, 3 та 4а. Причому обмін необхідно здійснювати в обох напрямках. Таким же чином і для проміжного класу механізмів автентифікації 4b однаковий тип механізму можна використовувати в обох напрямках, тобто перший запит на перевірку пароля може надсилатися разом із запитом на автентифікацію. Далі перетворення першого запиту на перевірку пароля має надсилатися разом із другим запитом на перевірку пароля (див. рис. 20.19). Проміжний клас механізму 4b, при його застосуванні в обох напрямках, вимагає однакового числа обмінів, тобто як і для звичайної направленої автентифікації.
При використанні проміжного класу 4с перетворення першого запиту на перевірку пароля може надсилатися разом із запитом на автентифікацію, а перетворення другого запиту на перевірку пароля може надсилатися з першим запитом на перевірку пароля.
Проміжний клас механізмів 4b може також використовуватися разом із механізмами класу 4с. У цьому випадку два запити на перевірку пароля поміщають разом із даними на передачу. У випадку симетричного шифрування заявлена та перевірочна ІА є однаковими, а перетворення виконується тільки один раз. У рзі асиметричного шифрування виконуються два перетворення окремо для перевірочної та заявленої ІА.
У проміжному класі 4d для реалізації направленої автентифікації необхідно не менше трьох обмінів між пред’явником і перевірником, у той час як для взаємної автентифікації потрібно щонайменше чотири передавання.
Необхідно враховувати, що передавання розпізнавальних ідентифікаторів у цих механізмах узгоджуються згідно з проміжними класами.
Рис. 20.19. Взаємна автентифікація з використанням механізмів із запитом на перевірку пароля (об’єкт А – ініціатор процесу автентифікації, об’єкт В – відповідач у процесі автентифікації)
20.3.4. Загальна характеристика класів
У табл. 20.1 подано характеристики та можливості захисту від уразливостей для різних класів та проміжних класів.
Таблиця 20.1
Характеристики класів захищеності
Проміжний клас уразливості |
0 |
1 |
2 |
3 |
4a |
4b |
4c |
4d |
Розкриття заявленої ІА |
Так |
Ні |
Ні |
Ні |
Ні |
Ні |
Ні |
Ні |
Атака типу «повтор» на різних перевірників |
Так |
Так |
Ні |
Так |
Ні |
Ні |
Ні |
Ні |
Атака типу «повтор» на одного перевірника |
Так |
Так |
Так |
Ні |
Ні |
Ні |
Ні |
Ні |
Атака типу «підміна» з порушником-ініціатором |
Ні |
Ні |
Ні |
Ні |
Ні |
Ні |
Ні |
Ні |
Атака типу «підміна», у якій порушник є відповідачем |
Так |
Ні |
Ні |
Ні |
Ні |
Ні |
Ні |
Ні |
ДодатокА
Основні стандарти на протоколи автентифікації
Основними стандартами на криптографічні протоколи є:
ISO 7498-2 1989, Information processing systems – Open Systems Interconnection – Basic Reference Model – Part 2: Security Architecture.
ISO 9594-8 1995, Information technology – Open Systems Interconnection – The Directory – Part 8: Authentication framework.
ISO 10181-2 1996, Information technology – Open Systems Interconnection – Security frameworks for open Systems: Authentication framework.
ISO 13888-1 (ще не опубліковано)–: Information technology –Security techniques – Non-repudiation – Part 1: General.
ISO/IEC 9798-1: 1997, Information technology –Security techniques – Entity authentication– Part 1: General.
ISO/IEC 11770-2: 1996, Information technology –Security techniques –Key management– Part 2: Mechanisms using symmetric techniques.
ISO/IEC 9797 (all parts), Information technology – Security techniques –Message Authentication Codes (MACs).
ISO/IEC 9796: 1991, Information technology – Security techniques – Digital signature scheme giving message recovery.
–Hash- ISO/IEC 10118-1 (all parts), Information technology –Security techniques functions.
НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ
Інформаційні технології
МЕТОДИ ЗАХИСТУ
АВТЕНТИФІКАЦІЯ ОБ’ЄКТІВ
ЧАСТИНА 1: ЗАГАЛЬНІ ПОЛОЖЕННЯ
(ISO/IEC 9798-1)
ДСТУ ISO/IEC 9798-1
(Проект)
Видання офіційне
Київ
ДЕРЖСПОЖИВСТАНДАРТ УКРАЇНИ
2005
НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ
Інформаційні технології
МЕТОДИ ЗАХИСТУ
АВТЕНТИФІКАЦІЯ ОБ’ЄКТІВ
ЧАСТИНА 2: МЕХАНІЗМИ, ЩО ҐРУНТУЮТЬСЯ НА ВИКОРИСТАННІ АЛГОРИТМІВ СИМЕТРИЧНОГО ШИФРУВАННЯ
(ISO/IEC 9798-2)
ДСТУ ISO/IEC 9798-2
(Проект)
Видання офіційне
Київ
ДЕРЖСПОЖИВСТАНДАРТ УКРАЇНИ
2005
НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ
Інформаційні технології
МЕТОДИ ЗАХИСТУ
АВТЕНТИФІКАЦІЯ ОБ’ЄКТІВ
ЧАСТИНА 3: ПРОТОКОЛИ, ЩО ҐРУНТУЮТЬСЯ НА ВИКОРИСТАННІ ЕЛЕКТРОННОГО ЦИФРОВОГО ПІДПИСУ
(ISO/IEC 9798-3)
ДСТУ ISO/IEC 9798-3
(Проект)
Видання офіційне
Київ
ДЕРЖСПОЖИВСТАНДАРТ УКРАЇНИ
2005
НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ
Інформаційні технології
МЕТОДИ ЗАХИСТУ
АВТЕНТИФІКАЦІЯ ОБ’ЄКТІВ
ЧАСТИНА 4:ПРОТОКОЛИ, ЩО ҐРУНТУЮТЬСЯ НА ВИКОРИСТАННІ ФУНКЦІЙ ОБЧИСЛЕННЯ КРИПТОГРАФІЧНОГО КОНТРОЛЬНОГО ЗНАЧЕННЯ
(ISO/IEC 9798-4)
ДСТУ ISO/IEC 9798-4
(Проект)
Видання офіційне
Київ
ДЕРЖСПОЖИВСТАНДАРТ УКРАЇНИ
2005
НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ
Інформаційні технології
МЕТОДИ ЗАХИСТУ
АВТЕНТИФІКАЦІЯ ОБ’ЄКТІВ
ЧАСТИНА 5: ПРОТОКОЛИ, ЩО ВИКОРИСТОВУЮТЬ МЕТОДИ ЯКІ ГРУНТУЮТЬСЯ НА НУЛЬОВИХ ЗНАННЯХ
(ISO/IEC 9798-5)
ДСТУ ISO/IEC 9798-5
(Проект)
Видання офіційне
Київ
ДЕРЖСПОЖИВСТАНДАРТ УКРАЇНИ
2005