Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Autentisering, smartkort og biometriske systemer

PublisertLucas Andresen Endret for 9 år siden

Liknende presentasjoner

Presentasjon om: "Autentisering, smartkort og biometriske systemer"— Utskrift av presentasjonen:

1 Autentisering, smartkort og biometriske systemer
3. november 2004 Atle Nes

2 Oversikt Autentisering Smartkort Nettverkssikkerhet Kerberos
Biometriske systemer

3 Autentisering

4 Hva er autentisering? Systemet forsøker å avgjøre om brukeren er den han/hun utgir seg for å være. Autentiseringen avgjør så om brukeren gis adgang og tildeles berretiget sikkerhetsnivå, eller nektes adgang til tjenesten

5 Hvor bruker man autentisering?
Datamaskiner og dataprogrammer Bankautomater Mobiltelefoner Alarmsystemer Dører

6 Datamaskiner og dataprogrammer
Løses vanligvis ved at brukeren taster inn sitt brukernavn og passord og dermed beviser sin identitet ovenfor systemet Passordet representerer kunnskap som ideelt sett bare er kjent av systemet og brukeren selv

7 Noe man vet Passordet består normalt av en tekststreng eller en PIN-kode Andre metoder kan være å benytte visuell informasjon eller personlige spørsmål Problemer: Noe man vet kan glemmes, tekststrenger er utsatt for ordbokangrep

8 Minibank og mobiltelefon
Løses ved at brukeren setter inn sitt kort og taster inn sin kode Kombinerer PIN-kode (noe man vet) og bankkort/SIM-kort (noe man har). Noe av den hemmelige kunnskapen er altså plassert på en gjenstand som man har med seg

9 Noe man har Gjenstanden kan være et smartkort, en nøkkel, et sertifikat, eller rett og slett en papirbit med informasjon En enkel utvidelse kan altså være å skrive ned noe av passordet og huske resten Problemer: Noe man har kan mistes, stjeles eller glemme å ta det med

10 Smartkort Har utviklet seg fra enkle magnetkort med minne til mer kompliserte kort med evne til å utføre dataprosessering Benyttes for å lagre hemmeligheter og personlig data på en sikker måte, samt interagere med en smartkortleser

11 Historie Oppfunnet og patentert av franskmannen Roland Moreno i 1974
Først kommersielt benyttet i franske telekort (Telecarte) i 1983 Det arbeides med å bytte teknologi fra magnetstripe til smartkort for VISA og Mastercard

12 Kryptering i smartkort
Sensitive data lagres kryptert på kortet og skal ikke kunne leses av hvis ikke brukeren er autentisert Vanligste krypteringsalgoritmene som benyttes er DES, AES (secret key), RSA, DSS, DH (public/private key), samt en rekke proprietære formater

13 Angrep på smartkort Analysere variasjon i strømforbruket for dermed å avsløre den lagrede hemmeligheten (regnekrevende operasjoner krever mer strøm) Få smartkortet til å lekke informasjon ved å endre temperatur, strømforsyning, klokkefrekvens etc. Koble seg direkte til bestemte komponenter på kortet

14 Noen mottiltak Utføre flere like regneoperasjoner for å forvirre
Sensorer på kortet for temperatur, strømforsyning, klokkefrekvens etc. Aldri ha hemmeligheter i klartekst mellom komponenter på kortet Dagens smartkort er generelt sett godt beskyttet

15 Betale med kort i butikk
I tillegg til kort og kode sjekker kassadamen bildet på bankkortet for å se at det er deg Hvis kortet ikke får kontakt med sentralen kan man underskrive med signatur Bilde og signatur er begge eks. på biometriske egenskaper (noe man er)

16 Noe man er Biometrisk identifikasjon er basert på at alle mennesker er forskjellige De vanligste systemene er basert på fingeravtrykk, øyemønster, stemme, signatur eller ansikt Problemer: Egenskapene er ikke hemmelige, målinger er ikke eksakte (åpner for feil), dyrt utstyr

17 Kort oppsummert Noe man vet (kunnskap) Noe man har (gjenstand)
Noe man er (personlighet) Best sikkerhet oppnås ved å kombinere flere av disse

18 Nettverkssikkerhet

19 Sikkerhetstrusler i et nettverk
Kapret arbeidsstasjon Falsk nettverksadresse Tyvlytting på forbindelsen  Alle disse tre kan føre til at en uautorisert bruker får tilgang til sikre tjenester og data.

20 Sikring av arbeidsstasjonen
Begrens kommunikasjonen til og fra maskina med brannmur Kjør regelmessig anti-virus/spyware Hold maskina sikkerhetsoppdatert Ha en god autentisering av brukerne (sterke passord)

21 Sikring av nettverksforbindelsen
For å øke forståelsen er det lurt å studere vanlige angrepsmetoder Klassisk persongalleri: Alice Bob Evil Eve / Malicious Mallory (angriper)

22 Tyvlytting på forbindelsen (Eavesdropping)
Er et såkalt passivt angrep der meldinger snappes opp og leses av uvedkommede personer uten at deltagerne i samtalen aner det Tyvlytting sikres vanligvis ved å kryptere samtalen (meldingene) Bob Alice Evil Eve

23 Man in the middle attack
Er et aktivt angrep fordi tyvlytter i tillegg er i stand til å forfalske meldingene (også krypterte!) Alice tror hun snakker med Bob Bob tror han snakker med Alice Malicious Mallory Bob Alice Alice spør om Bobs PK, men Mallory snapper opp meldingen og sender sin egen PK i stedet. Alice krypterer så meldingene med Mallorys PK som Mallory kan kryptere opp med sin private nøkkel. Samme taktikk ovenfor Bob.

24 Man in the middle attack
Er et alvorlig sikkerhetsproblem for offentlig-nøkkel-kryptering En vanlig løsning er å la alle offentlige nøkler signeres av en betrodd tredjepart Kan sammenlignes med at man stoler på de som utsteder pass Trusted Trent (betrodd tredjepart)

25 Trusted Trent (betrodd tredjepart)
Den betrodde tredjeparten har offentlig nøkkel til alle de som ønsker å delta i samtalene Trusted Trent (betrodd tredjepart) Bob Alice Alice får Bobs offentlige nøkkel fra en felles betrodd tredjepart Trent. Det må antas at Alice kan stole på at hun mottar Bobs offentlige nøkkel dersom hun stoler på Trent.

26 Autentisering i et nettverk
Klientene autentiserer sine brukere og serverne gir tilgang til tjenester basert på brukerID Klientene sender brukernavn og passord til serverne for å få tilgang på tjenestene. Bedre alternativ -> Kerberos

27 Kerberos

28 Hva er Kerberos? Protokoll for nettverksautentisering
Har som mål å la klienter (brukere) og servere (tjenester) i nettverket autentisere seg selv overfor hverandre

29 Kerberos i gresk mytologi
Mangehodet hund, vokter inngangen til dødsriket Hades. Fluffy fra Harry Potter og de vises sten

30 Historie Utviklet ved MIT på 1980-tallet
Første versjon kom i 1989 (v4) Siste versjon (v5) standardisert i RFC 1510 i 1993 Tilgjengelig både som OpenSource og innebygget i kommersiell programvare God støtte i flere operativsystemer (Windows 2000/XP, Unix/Linux etc.)

31 Kerberos autentisering
Ticket Granting Server TGS Autentication Server AS klient/bruker server/tjeneste Trent Alice Bob

32 Basert på Needham-Schroeder nøkkelutveksling
Hver maskin tilknyttet nettverket deler sin hemmelige krypterings-nøkkel (PK) med en felles autentiseringsserver (AS). Når en bruker eller tjeneste mottar en melding kryptert med sin PK, vet den at AS har autentisert avsender.

33 Symmetrisk kryptering
Samme krypteringsnøkkel (PK) blir altså brukt både til å kryptere og dekryptere meldinger. v4: Data Encryption Standard (DES) v5: Valgfri krypteringsalgoritme - DES, Triple-DES, Advanced Encryption Standard (AES) etc.

34 Autentication Server (AS)
Alle stoler på AS (pålitlig tredjepart) Sentral autentiseringsserver for både klienter og servere i nettverket Har PK til alle brukere og tjenester AS benyttes i Kerberos normalt bare til autentisering

35 Ticket Granting Server (TGS)
Tilbyr adgang til spesifike tjenester i nettverket såfremt autentiseringen er iorden Klienten benytter en såkalt TGT utstedt av AS til å få adgang til TGS, som så utsteder billetter basert på brukerens rettigheter

36 Tidsstempling Klokkene til klientene og serverne må være relativt godt synkronisert Ved autentisering utstedes en TGT med begrenset levetid, vanligvis et døgn Når en TGT er utløpt må maskinen få en ny TGT fra AS for å fortsette å benytte tjenestene

37 Utested vs. Kerberos Utested: Godkjent legitimasjon, der bildet autentiserer deg, alder og gyldighet avgjør om du får tilgang til tjenesten Kerberos: TGT med begrenset levetid utstedt av AS autentiserer brukeren. Billett med begrenset levetid utstedt av TGS gir tilgang til tjenesten.

38 Kerberos autentisering
TGS 3. Request server ticket 4. Send server ticket 5. Request for service 2. Send TGT AS klient/bruker server/tjeneste 1. Request for TGS ticket (TGT) 6. Reply for service

39 Først litt terminologi
Alice: klient/bruker Bob: server/tjeneste Alice ønsker å få tilgang til tjenesten Bob. Ka - Alice sin krypteringsnøkkel Kb - Bob sin krypteringsnøkkel

40 Kerberos autentisering
Alice AS Sesjonsnøkkel og TGT krypteres med Alices PK 2. Ka(Ks, Ktgs(A,Ks)) Billett videresendes, og tidspunktet krypteres med sesjonsnøkkel 3. Ktgs(A,Ks), B, Ks(t) Nøkkel for kommunikasjon mellom Alice og Bob utstedes TGS 4. Ks(B,Kab), Kb(A,Kab) Kryptert nøkkel videresendes og tidspunktet krypteres med felles nøkkel 5. Kb(A,Kab), Kab(t) Bob Bob krypterer opp og får tak i felles nøkkel 6. Kab(t+1) Alice kan nå kommunisere med Bob TGT = Ktgs(A,Ks) : Bevis på at det er Alice

41 Felles nøkkel Alice og Bob deler en felles hemmelighet (nøkkelen Kab)
Bob er sikker på at han snakker med Alice fordi hun har kunnskap om Kab og omvendt Kab ble levert kryptert så ingen andre bør kunne ha snappet den opp

42 Kerberos versjon 4 DES kryptering IP-adressering
Billetter har en maksimal levetid på 21 timer (8-bit x 5 min = 1280 min)

43 Kerberos versjon 5 Krypteringsalgoritmen er valgfri
Adresser behøver ikke være IP Billetter har valgfri levetid definert ved start- og sluttid Tillater autentisering mellom ulike Kerberos systemer

44 Svakheter ved Kerberos
Innbrudd i AS er katastrofalt fordi AS kan utgi seg for å være hvem som helst  Løsning: Høyt sikkerhetsnivå på AS AS må alltid være tilgjengelig  Løsning: Replikert AS Trojansk hest på lokal maskin kan fortsatt føre til at passord blir stjålet  Løsning: Hardwarenøkkel, Smartkort

45 Brannmur vs. Kerberos Ulike funksjoner:
Brannmur er opptatt av å gjøre maskiner sikre for angrep fra utsiden, men ofte opererer inntrengeren på innsiden. Kerberos er opptatt av å gjøre forbindelsene i nettverket sikre. Trojansk hest kan fortsatt snappe opp passordet ved inntasting på klienten.

46 Oppsummering Kerberos
Brukere taster kun inn passord på lokal maskin og passord sendes ikke over nettverket AS gir deg en TGT, vanligvis gyldig resten av dagen, som kan brukes til å få utstedt tickets fra TGS.

47 Biometriske systemer

48 Hva er biometri? Kommer av de to greske ordene bios som betyr liv og metri som betyr måle Biometri betyr altså at man gjør målinger av et levende menneske basert på spesielle biologiske egenskaper/kjennetegn.

49 Biometriske kjennetegn
Fingeravtrykk Øyemønster Ansikt Stemme Bevegelse Håndgeometri Signatur/Håndskrift Tastetrykk DNA Analyse

50 Fingeravtrykk Sjansen for to personer, inkludert tvillinger, har like fingeravtrykk er mindre enn 1 / 1 milliard. Ser på endepunkter og forgreninger. Benyttes av politiet for å fange forbrytere og som adgangskontroll. Levende vev har egenskaper som gjør det mulig å skille mellom finger og andre materialer.

51 Øyemønster Benytter seg enten av mønsteret på hornhinnen eller blodårer på netthinnen/retina Er unik for hvert eneste menneske på jorda og endrer seg lite over tid Benyttes til adgangskontroll på områder med krav til ekstremt høy sikkerhet Så godt som feilfri, men ekstremt påtrengende

52 Ansikt Veldig naturlige. Lite påtrengende.
Mennesker bruker ansiktsanalyse hver eneste dag og kjenner lettere igjen karikaturer. Maskiner bruker mange forskjellige statistiske metoder. Ansiktsgjenkjenning er fortsatt ikke god nok, men mye aktivitet foregår på området.

53 Vanlige problemer Lysforhold Orientering Ansiktsuttrykk
Ansiktshår (skjegg) Aldringsprosesser Hårfrisyre & Sminke Stor database

54 Bevegelse Også veldig naturlig og lite påtrengende.
Kan utnytte en mengde allerede eksisterende videokamerautstyr Kan benyttes til medisinsk diagnostikk av spedbarn og voksne, men også identifikasjon og overvåkning.

55 Interessante utvidelser
Hybride systemer: Mennesker kombinerer til vanlig mange ulike egenskaper, samt utnytter kontekst, følelser etc. 3D: Et normalt bilde mangler dybdeinformasjon.

56 Noen anvendelser Personlig identifikasjon. (pass, valg, førerkort, kredittkort, minibank etc.) Overvåkning (sikkerhet, savnede barn etc.) Styring av systemer ved hjelp av tale eller bevegelse. Medisinsk behandling. Være til hjelp ved diagnose av sykdommer hos spedbarn, sportsskader hos idrettsutøvere eller andre helserelaterte problemer.

57 Spørsmål?

58 Referanser Secret carrying for user authentication, C. Bøsgaard (2001)
Present and future smart cards, J-F. Dhem and N. Feyt (2001) Biometrics: a self-service viewpoint, G. Ross (2001) Cryptography and Network Security: Principles and Practice (3ed), W. Stallings (2002) Distributed systems: Concepts and design (3ed), G. Coulouris, J. Dolimore, T. Kindberg (2001) Computer security, D. Gollmann (1999) Computer networks (3ed), A.S. Tanenbaum (1996)

Laste ned ppt "Autentisering, smartkort og biometriske systemer"

Liknende presentasjoner

HVA ER ?.

HVA ER ?.
Er datasikkerhet viktig for deres firma ? Hva ville dere gjøre hvis alle data plutselig ble borte ved: •Tyveri ? •Brann ? •Datahavari ? •Menneskelig svikt.

Er datasikkerhet viktig for deres firma ? Hva ville dere gjøre hvis alle data plutselig ble borte ved: •Tyveri ? •Brann ? •Datahavari ? •Menneskelig svikt.
GoOnline publisering Hvordan komme i gang med GoOnline. Denne presentasjonen tar deg steg for steg gjennom oppsett av nettsted med bruk av GoOnline Proffesional.

GoOnline publisering Hvordan komme i gang med GoOnline. Denne presentasjonen tar deg steg for steg gjennom oppsett av nettsted med bruk av GoOnline Proffesional.
Kontoinnstillinger Slik kommer du til «Kontoinnstillinger»:

Kontoinnstillinger Slik kommer du til «Kontoinnstillinger»:
Historien er hentet fra lang tid tilbake, da en mann straffer sin 5 årige datter, fordi hun har mistet en verdifull gjenstand. Den gang de ikke hadde så.

Historien er hentet fra lang tid tilbake, da en mann straffer sin 5 årige datter, fordi hun har mistet en verdifull gjenstand. Den gang de ikke hadde så.
Nettevett – utvidet versjon

Nettevett – utvidet versjon
Kapittel 6 Data Backup Service. Tradisjonell arkitektur •Mange klienter •En server (evt. et cluster) •Klientene tar backup m jevne mellomrom •Inkrementell.

Kapittel 6 Data Backup Service. Tradisjonell arkitektur •Mange klienter •En server (evt. et cluster) •Klientene tar backup m jevne mellomrom •Inkrementell.
Lynkursdagene 2011 Webdrive Tilgang til UiO-disker utenfor UiO-nettet Mads Lomholt usit/sas/lipk.

Lynkursdagene 2011 Webdrive Tilgang til UiO-disker utenfor UiO-nettet Mads Lomholt usit/sas/lipk.
Eksterne sikkerhetsproblemer og trusler Med fokus på Windows nettverk.

Eksterne sikkerhetsproblemer og trusler Med fokus på Windows nettverk.
Sikkerhet - bakgrunn og introduksjon til kryptosystemer

Sikkerhet - bakgrunn og introduksjon til kryptosystemer
Begrenset redigering “Klubbjournalister” For web ansvarlig klubb.

Begrenset redigering “Klubbjournalister” For web ansvarlig klubb.
Felles lånekort – praktiske opplysninger Av Øystein Reiersen, prosjektleder.

Felles lånekort – praktiske opplysninger Av Øystein Reiersen, prosjektleder.
Prototyping & Use Case Software Engineering Gruppe 8 - 2002.

Prototyping & Use Case Software Engineering Gruppe
04.07.2014MS kap 61 Nye trender  Vi skal se på  Virtualisering  ”Cloud computing”

MS kap 61 Nye trender  Vi skal se på  Virtualisering  ”Cloud computing”
Ideutvikling - Problemdefinisjonen. Hva gjør de erfarne problemløserne? •Samler og analyserer informasjon og data •Snakker med mennesker som kjenner problemet.

Ideutvikling - Problemdefinisjonen. Hva gjør de erfarne problemløserne? •Samler og analyserer informasjon og data •Snakker med mennesker som kjenner problemet.
Undertekst Med en ekstra linje.

Undertekst Med en ekstra linje.
D ATASIKKERHET For foreldre med barn og unge som bruker datamaskin og internett - Hvilke trusler står vi ovenfor, og hvordan kan vi avverge disse?

D ATASIKKERHET For foreldre med barn og unge som bruker datamaskin og internett - Hvilke trusler står vi ovenfor, og hvordan kan vi avverge disse?
Aksess kontroll None shall pass.

Aksess kontroll None shall pass.
Key Management i trådløse ad hoc nettverk

Key Management i trådløse ad hoc nettverk
Sikkerhet og internett Kan vi være vi trygge? Kan vi beskytte oss? Bør vi slå av nettet …

Sikkerhet og internett Kan vi være vi trygge? Kan vi beskytte oss? Bør vi slå av nettet …

Liknende presentasjoner

Annonser fra Google