Методы и протоколы аутентификации

1.

Методы и протоколы
аутентификации
Кукарцев
Анатолий
Михайлович,
канд. физ.-мат. наук

2.

Методы передачи пароля по сети
Выделяют следующие методы передачи пароля по сети:
1. Передача в открытом виде;
2. Передача в виде хеш-свёртки;
3. Передача в зашифрованном виде;
4. Передача пароля без передачи пароля (системы с нулевым
разглашением).
2

3.

Password authorization protocol
Client
pwd
pwd
? Server
pwd0
Примеры: ftp, http, smtp, pop3, telnel
Client
pwd
hash(pwd)
? Server
hash(pwd)0
Примеры: smtp
Основная проблема: сервер ожидает то, что может быть перехвачено
злоумышленником и вновь отправлено
3

4.

Передача в зашифрованном виде
pwd
Client
pwd
? Server
pwd0
Примеры: http + ssl/tls = https, ssh, l2tp + IPsec (PSK)
Основная проблема: требуется ключевая система симметричная или PKI, в
случае ассиметричной системы.
4

5.

Challenge-Handshake Authentication Protocol
Есть нулевое разглашение
X
Client
pwd
Server
pwd0
hash(pwd, X)
?
hash(pwd0, X)
X
Client
pwd
hash(hash(pwd) , X)
Server
hash(pwd0)
?
hash(hash(pwd0) , X)
Основная проблема: нет подтверждения подлинности сторон
5

6.

One-time password protocol
Есть нулевое разглашение
Client
pwd1
pwd2
pwd3
pwd4
pwd5
Server
pwdi
…
pwd01
? pwd02
pwd03
pwd04
pwd05
…
Примечание. Не является рекламой
Основная проблема: требуется синхронизация сторон
6

7.

Аутентификация на симметричных ключах шифрования
Есть нулевое разглашение
X
Client
key
Client
key
Ekey(X)
?
Ekey(X)
Server
key
X
Server
key
X
? X
Есть токены с невыгружаемым ключом,
которые выполняют
шифрование/расшифрование внутри себя
Основная проблема: нужно вести БД
ключей, т.к. клиенты должны быть
уникальны
Примечание.
Не является
рекламой
7

8.

Аутентификация на ассиметричных ключах шифрования
Client
pr_key
Epub_key/cert(X)
Есть нулевое разглашение
X
Server
pub_key/cert
?
X
X
Client
pr_key
Epr_key(hash(X))
Server
pub_key/cert
? X
Есть токены с невыгружаемым ключом, которые выполняют
шифрование/расшифрование внутри себя
Примечание.
Не является
рекламой
Основная проблема: требуется PKI
8

9.

Extensible Authentication Protocol (EAP)
Запрос с типом аутентификации
Client
Server
Подтверждение типа аутентификации
Аутентификация

10.

Kerberos
{IDcl, TScl, IDTGS}k_cl
Key distribution center
(KDC)
TG-Ticket={k, IDcl ,TL, TSKDC, IPcl}k_TGS
k_cl
{k, IDTGS ,TL}k_cl
k_TGS
Client
k_cl
Authentication Server
(AS)
IDsvc, {IDcl, TS'cl}k + TG-Ticket
{IDcl ,TS''cl}k_session
+ Ticket
{TS''cl+1}k_session
k_TGS
k_svc
{k_session, IDcl ,TL'}k
Ticket={k_session, IDcl ,TL', TS'KDC, IPcl}k_svc
k_svc
Ticket granting server
(TGS)
Внимание! У Microsoft свой искажённый Kerberos!

11.

Remote Authentication in Dial-In User Service (RADIUS)
Запрос с типом аутентификации
Подтверждение типа аутентификации
Client
Аутентификация
Service
Pre-shared key
(PSK)
RADIUS
Запросы, подтверждения и аутентификация
передаются на RADIUS-сервер по зашифрованному
симметричному каналу на PSK

12.

IEEE 802.1X
Client
802.1X-фреймы
внутри которых
процесс
аутентификации
Pre-shared key
(PSK)
RADIUS

13.

IPsec
IPsec
Authentication
Header (AH)
номер 51
Encapsulating Security
Payload (ESP)
номер 50
Internet Key
Exchange (IKE)
порт UDP 500
NAT traversal
(NAT-T)
порт UDP 4500
13

14.

Анонимайзеры
14

15.

TOR
15