Prostředky osobní identifikace a biometrie

Luděk Rašek

Zdroje• Smith, Richard E. : Authentication: From Passwords To Public Keys• Todorov, D.: Mechanics of User Identification and Authentication:

Fundamentals of Identity Management • http://en.wikipedia.org/wiki/Authentication• http://en.wikipedia.org/wiki/Authorization

Krátce z historie

• Identifikace/Autentizace v osobním kontaktu– Spoléhá na (netechnologickou) biometrii –

opakované rozpoznání tváře• Identifikace/Autentizace bez přítomnosti osoby– Zprostředkovaná pomocí nástrojů, technologií– Pečeti, podpisy, mechanické klíče, hesla apod.

• Důvody pro identifikaci– Přístup k aktivu (něčemu, co má hodnotu)– Ověření původu

Historické reálné i fiktivní formy autentizace na dálku

Základní pojmy

• Identifikace – určení identity – Co je vlastně identita?

• Autentizace – ověření identity• Autorizace– Odvození oprávnění ze známé a ověřené identity

• Dochází ke splývání uvedených pojmů– Nepřesností – mluvčí nerozlišuje z nedostatku znalosti– Objektivním splynutím – v závislosti na kontextu

může jeden pojem splynout s druhým

Základní atributy informačních aktiv

• Důvěrnost (Confidentiality)– Vyžaduje autentizaci – informace lze vydávat pouze

oprávněným subjektům• Integrita (Integrity)– Vyžaduje autentizaci – provádět lze pouze povolené

změny aktiva • Zodpovědnost (Repudiation)– Vyžaduje autentizaci – za každý přístup k aktivu musí být

zodpovědný konkrétní subjekt• Dostupnost (Availability)

IDENTIFIKACE A IDENTITA

Identifikace

• Určení identity zájmové osoby (systému)• Co je identita (ve světě informačních technologií)– Sada vlastností vázaných k určitému subjektu, na

základě kterých subjekt jedná či s ním jednají ostatní subjekty

– Různá dle kontextu• Identita je většinou reprezentována

jednoznačným identifikátorem• Chybná identifikace může mít fatální následky

Volba identifikátoru

• Musí být jednoznačný ve vybrané množině• Původ identifikátoru– Přirozený - jméno, přezdívka– Umělý identifikátor – identifikační číslo

• Vypovídací hodnota identifikátoru– Významový – nese dodatečnou informaci (např.

RČ)– Bezvýznamový – nenese jinou informaci, než

unikátnost

Mnohotvárnost identity• V různých kontextech je jedna tatáž fyzická identita

prezentována zcela odlišnými atributy– Klient banky – klientské číslo, heslo, číslo karty– Fotbalový hráč – zelený dres s číslem– Náhodný kolemjdoucí – muž věk 30 - 40, džíny, hnědá kožená bunda – Pachatel vraždy – otisk prstu na zkrvaveném noži– Majitel e-mailu - josef.novak@seznam.cz – Návštěvník nevěstince – muž se zájmem o blondýnu s velkým

poprsím s dostatečnou finanční hotovostí– Přednášející na JČU PřF - muž s (někdy) barevnými obrázky a

odvahou předstoupit před studenty – Kněz provádějící nedělní mši – muž, sutana, znalost křesťanského ritu

Mnohotvárnost eIdentity

• Facebook, twitter, email, google, geocaching, foursquare, mbank, paypal, icq, jabber, msn, secondlife, moneybookers, bwin………..

• Online svět generuje množství různých pohledů a virtuálních identit pro jednu fyzickou osobní identitu

Propojování atributů identity

• Žádoucí– Vyšetřování vraždy

• Nežádoucí – Poškození soukromí– Aktuální v dne internetu a sociálních sítí

Vědomá vs. nevědomá identifikace

• Vědomá– Uživatel vědomě sděluje svou identitu ve formě

identifikátoru• Bez vědomí subjektu– Hodnoty uložené na pozadí (cookies)– Tzv. fingerprinting (https://panopticlick.eff.org/browser-uniqueness.pdf)

• Např. projekt http://panopticlick.eff.org

Důvody pro zavedení identifikace

• Správa přístupu k aktivům – Aktivum• Cokoli, co má pro nás hodnotu• Typy - fyzická, informační, jiná (reputace)

– Přístup• Možnost aktivum, využívat, modifikovat, ničit či

vytvářet

AUTENTIZACE

Autentizace

• Potvrzení identity subjektu na základě důkazů• Založena na:

– Něco vím – znalost– Něco mám – vlastnictví – Něčím jsem – rysy osoby

VÍMAutentizace založená na znalosti

• Znalost, která je známa jen osobě s danou identitou– Heslo, postup

• Postup ověření – Subjekt prokazuje

znalost hesla

FLASH THUNDER4 67 3

VÍM - vlastnosti

• Riziko vytvoření kopie/zcizení– Bez možnosti detekce

• Zpravidla nutnost odhalit tajemství při provádění autentizace– Možno využít tzv. zero

knowledge postupy

MÁMAutentizace založená na vlastnictví

• Vlastnictví konkrétního předmětu– Čipová karta, mobilní telefon, OTP generátor,

autorizační kalkulátor aj.• Postup ověření– Subjekt prokazuje vlastnictví předmětu– Bez specializovaného HW– Se specializovaným HW• Např. čtečka čipových karet

MÁM - Prostředky• PKI – Public Key Infrastructure

– SW – privátní klíč na disku– HW – privátní klíč na čipové katě

• Statické OTP – GRID tabulka• Dynamické OTP generátory

– Tokeny• Založené na čase• Založené na čítači

– Mobilní kód – SMS, bankovní SMS

• Autentizační kalkulátor• EMV CAP/DPA• Kombinace (karta s klávesnicí/displejem apod.)

MÁM - vlastnosti

• Fyzický předmět – snadná detekce zcizení• Není možné vytvořit kopii– Krom GRID, SW PKI

• Bez kombinace s VÍM autentizací snadno zneužitelné přizcizení

• Nutnost nošení dalšího přemětu• Někdy nutnost připojovat pomocí speciálního

HW

JSEMAutentizace založená na vlastnosti subjektu

• Biometrické charakteristiky– Otisky prstů, obraz duhovky, hlasová analýza …

• Postup ověření– Srovnání vzorku získaného v reálném čase se

vzorkem uloženým– Není schopna rozhodovat se 100% úspěšností

JSEM - Vlastnosti

• Vždy u sebe • Malé riziko nezjištěného zcizení• Obtížné kopírování – I když u některých prvků je možné

• Nutnost využívat specializovaný HW• Nekompatibilita a špatná porovnatelnost

různých implementací• Nikdy není 100%

Více-faktorová autentizace

• Snižuje komfort• Zvyšuje bezpečnost• Typické kombinace– Znalost + vlastnictví = čipová karta s PINem– Vlastnost + vlastnictví = čipová karta s match on-

card biometrií

AUTORIZACE

Autorizace

• Určení, zda daný subjekt (po autentizaci) je oprávněn přistupovat k aktivu

• F(subjekt,operace,aktivum) -> {povolit,odepřít}

Modely autorizace• Discretionary Access Control – DAC (DACL)

– K objektu je připojen seznam oprávnění pro jednotlivé subjekty (uživatele, skupiny) s popisem oprávnění pro tu kterou operaci

– Oprávněné subjekty (vlastník) mohou poskytovat oprávnění dále– UNIX oprávnění, Windows ACL

• Mandatory Access Control – MAC (multi level security)– Přístupová oprávnění jsou určována globální politikou na základě atributů

objektů a subjektů– SeLinux, různá rozšíření UNIXů

• Role Based Access Control – RBAC – Kombinace DAC a MAC

DAC – UNIX oprávnění

drwxr-xr-x 2 root root 0 Jul 11 09:21 bindrwxrwxrwt 5 root root 1280 Oct 16 12:41 devdrwxr-xr-x 12 root root 0 Jul 11 09:24 etcdrwxr-xr-x 27 root root 4096 May 30 20:14 homedrwxr-xr-x 11 root root 0 Jan 1 1970 jffsdrwxr-xr-x 4 root root 0 Dec 29 2009 libdrwxr-xr-x 9 root root 0 Oct 16 12:41 mntdr-xr-xr-x 48 root root 0 Jan 1 1970 procdrwxr-xr-x 16 root root 154 Dec 29 2009 romdrwxr-xr-x 4 root root 0 Apr 29 12:55 rootdrwxr-xr-x 2 root root 0 Apr 29 12:49 sbindrwxr-xr-x 10 root root 0 Jan 1 1970 sysdrwxrwxrwt 8 root root 340 Oct 16 14:43 tmpdrwxr-xr-x 7 root root 0 Dec 2 2009 usrlrwxrwxrwx 1 root root 4 Dec 29 2009 var -> /tmpdrwxr-xr-x 5 root root 69 Dec 29 2009 www

DAC – Windows DACL

C:\Documents and Settings NT AUTHORITY\SYSTEM:F BUILTIN\Administrators:F BUILTIN\Users:R BUILTIN\Power Users:R Everyone:R NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F BUILTIN\Administrators:(OI)(CI)(IO)F BUILTIN\Users:(OI)(CI)(IO)(special access:) GENERIC_READ GENERIC_EXECUTE

BUILTIN\Power Users:(OI)(CI)(IO)(special access:) GENERIC_READ GENERIC_EXECUTE

Everyone:(OI)(CI)(IO)(special access:) GENERIC_READ GENERIC_EXECUTE

DAC –Windows DACL

MAC - SELinux• Každý objekt ma přiřazen bezp. kontext

– jméno:role:typ:úroveň• $ ls -Z /usr/bin/passwd -rwsr-xr-x root root system_u:object_r:passwd_exec_t:s0 /usr/bin/passwd

• Každý proces/uživatel má přiřazen bezp. kontext– uživatel:role:doména:úroveň

• unconfined_u:unconfined_r:passwd_t:s0-s0:c0.c1023 6314 pts/1 S+ 0:00 passwd

• V politice systému existuje:– Definice uživatelů, domén, …– Definice pro označování objektů (labelling)– Definice povolených přechodů mezi doménami– Definice povolených operací

• Pravidla SELinux jsou vynucována současně s DAC, pokud SELinux akci povolí, ještě může selhat na DAC a opačně.

RBAC

Komponenty autorizace

Architektura IS s ohledem na autentizaci/autorizaci

• Důvěryhodné komponenty– Pod kontrolou provozovatele systému– Lze důvěřovat předávaným informacím a

identifikace je dostatečná• Nedůvěryhodné komponenty– Mimo kontrolu provozovatele systému – Vždy je třeba požadovat explicitní autentizaci

koncového uživatele

Příklad „3 vrstvá“ architektura

• Prohlížeč - není důvěruhodnou komponentou• pouze zobrazuje už. rozhraní a přijímá vstup uživatele včetně

autentizačních údajů• běží pod identitou uživatele v OS, kterou rovněž může předat na apl. serv., ale pro

apl. server není důvěryhodná• Aplikační server – důvěryhodná komponenta• přímo ověřuje autentizační údaje uživatele, sám běží pod servisním účtem• aplikuje přístupová oprávnění

• Databázový server – důvěryhodná komponenta• po autentizaci systému (není nezbytná, ale doporučená) AS důvěřuje veškerým

datům včetně předávaných uživatelských identit

Princip oddělení zodpovědností

• Separation of Duties – SoD• Významný prvek bezpečnosti systémů• Jeden uživatel nemůže sám provádět všechny

citlivé operace• Pro dokončení operace je nutná účast více

uživatelů v různých rolích• Koncept „čtyř očí“• Kombinace s důsledným auditingem

Princip oddělení zodpovědnosti - příklad

• Správa uživatelů– Správce účtů • Má oprávnění zavést nového uživatele• Nemá právo zařadit uživatele do role (skupiny)

– Správce rolí• Má oprávnění zařadit uživatele do role• Nemá právo vytvořit uživatele

– Uživatel není schopen bez přidání do role pracovat se systémem -> pro zřízení uživatele je nutná spolupráce minimálně dvou správců systému

Autorizace operací

• Používá se pro provádění citlivých operací v prostředí internetu

• Autentizovaná relace je využita pro zadání citlivé operace (platební příkaz)

• Je vyžadována dodatečná explicitní autorizace dané operace zadavatelem– SMS kód, el. podpis, EMV CAP/DPA potvrzení,

telefonické schválení

ČLOVĚK NEBO STROJ

Inverzní Turingův test

• V internetových aplikacích je často nutné odlišit lidského uživatele od automatu

• Není prováděna autentizace v pravém slova smyslu, ale třídění uživatelů do kategorií– Člověk– Stroj

• Většinou z důvodu zabránit zneužití zdrojů (SPAM, přetížení systému apod.)

Inverzní Turingův test• Turingův test – úloha spočívající v rozpoznání, zda protistranou

v komunikaci je stroj• Inverzní Turingův test (Reversed Turing Test) –rozpoznání stroje• Založen na úlohách pro lidský mozek snadných a pro stroj téměř

neřešitelných• Captcha

– rozpoznání písmen • Kognitivní testy

– Založené na sémantice• Psaný text • Obrázky

Captcha

• Rozpoznání zkresleného textu• Např. projekt ReCaptcha• Zkreslení textů cílené proti konkrétním technikám

OCR (segmentace, …)• Útočníci se zlepšují, cílený útok na konkrétní systém

je vždy úspěšný• Triviální útok – lidskou silou – Stránky chráněné pomoci captcha byly napadány tak, že

útočníci přeposílali obrázky k vyluštění lidským uživatelům zcela jiného webu

Kognitivní testy

• Kladou otázky či úkoly pro stroj nerozluštitelné

Zdroj: http://www.csc.kth.se/utbildning/kandidatexjobb/datateknik/2010/rapport/pedersen_niklas_K10032.pdf

– Kategorizace obrázků

– Odpověď na textovou otázku (Jaký je dnes den?)

AUTENTIZACE SYSTÉMU

Důvěryhodnost systému

• Systém, do kterého vkládám své přístupové údaje, musí být důvěryhodný

• Fyzická kontrola – Můj/firemní počítač– Bankomat/Platební terminál (POZOR!)

• Internet– Známé stránky – Ověřená adresa

Autentizace systému vůči uživateli

• HTTPS - Certifikát serveru – vydaný důvěryhodnou CA– vydaný důvěryhodnou CA s rozšířenou validací

(EV)• Obecně přijímaná politika ověřování identity držitele

certifikátu

• Kognitivní techniky– Personalizovaná pozadí, barevná schémata apod.

HTTPS certifikáty• Bežný HTTPS certifikát

• EV HTTPS certifikát

AUTENTIZACE OSOB MIMO IS

Autentizace osob v běžném životě• Identifikační doklad – ID

– Slouží v zemi vydání– Nesou základní údaje o osobě využívané většinou pro prokázání identity

vůči státní moci – V ČR – občanský průkaz

• Cestovní pas– Slouží pro určení totožnosti při cestách do zahraničí– Nese základní údaje– Definované v ICAO (Mezinárodní organizace civilního letectví) Doc 9303

• Probíhá elektronizace dokladů totožnosti– eID– ePassport

ID – občanský průkaz

• Papírový/plastový doklad určený pro vizuální inspekci

• Nese – Jednoznačný identifikátor (číslo OP, rodné číslo)– Základní osobní údaje (jméno, místo narození,

bydliště)– Fotografii– Tiskové a materiálové ochranné prvky pro

prokázání pravosti dokladu

eId• Jako běžné ID avšak s elektronickým rozšířením, platné i v

případě poškození čipové části• V EU standardizace prostřednictvím CEN a následně ETSI• Formát čipové karty

– ISO 7816– Kontaktní nebo bezkontaktní rozhraní

• Funkce– Nese základní identifikační údaje v el. formě– Může nést biometrické údaje (včetně matcho-on-card)– Rozšířené funkce pro přímé použití v počítači pro autentizaci vůči

eGovernmentu– Podpora tvorby elektronického podpisu

Pokročilé funkce eID

• Implemetovány u německého eID • Poskytování určitých typů informací při

zachování soukromí– Potvrzení dosažení věku 18 let při utajení data

narození• Poskytnutí citlivých údajů pouze oprávněným

terminálům – EAC (Extended Access Control)

Česká varianta eID

• Pouze plastový doklad s tiskovými a materiálovými ochrannými prvky zcela bez elektronické části

• Elektronický má být návazný systém Centrálních registrů

• Autentizace držitele do systému – osobním kódem (PIN) zadávaný pouze do důvěryhodných zařízení na úřadě

ePas

• Knížka vybavená bezkontaktním čipem• Čip nese – Osobní údaje

• povinné– Biometrickou fotografii obličeje

• povinná– Obrazy otisků prstů

• od 2009 v EU povinné• Přístupné pouze pověřeným terminálům

– Bezpečnostní informace (el. podpis)• Platný i bez funkční el. části

AUTENTIZACE HESLEM

Architektura systémů pro ověření heslaLokální ověření

Síťové ověření -přímá komunikace

Síťové ověření - nepřímá komunikace

Lokální ověření• Samostatný počítač či systém• Integruje – Prostředky pro zadání identifikátoru a hesla – Databázi uživatelů – Databázi údajů nutných pro ověření hesla

• Operační systém– Zajistí autentizaci– Vytvoří relaci (session)– Přidělí relaci odpovídající bezpečnostní kontext– Bezpečnostní kontext je pak využíván dalšími službami OS k

řízení přístupu

Síťové ověření - přímé

• Klient – Komponenta zprostředkovávající interakci uživatel se systémem– Z hlediska serverových modulů nedůvěryhodná komponenta

• Server – Implementuje logiku včetně autentizace a řízení přístupu– Využívá klienta pro zadání přístupových údajů– Ověření přístupových údajů probíha na serveru, kde je vytvořena relace a odpovídající

bezpečnostní kontext– Vyžaduje nutnost zprostředkovat důvěryhodným způsobem přenos autentizačních

údajů (credentials) z klienta na server– Mezi serverem a klientem je navázána relace na serveru spojená s bezpečnostním

kontextem

• Nevýhoda – co server, to heslo

Síťové ověření – přímé - WEB

• Autentizace– HTTP Basic – přenáší se přímo jméno a heslo– HTTP Digest/NTLM – přenáší se údaje z hesla

odvozené– Web Form – jako basic s tím, že data jsou přenášena

na aplikační úrovni (nikoli na úrovni HTTP)• Relace je identifikována pomocí identifikátoru

relace (cookies nebo jinde v aplikační komunikaci)

Síťové ověření - nepřímé

• Klient – Autentizuje se vůči autentizačnímu serveru– Cílovému serveru předává pověření vydané autentizačním

serverem• Server – Ověří pověření – autonomně nebo s pomocí autentizačního

serveru– Založí relaci a připojí odpovídající bezp. atributy

• Výhoda– Single Sign-On – jedna sada přístupových údajů do mnoha

systémů