Mit Hilfe eines Hardware-Token für die Anmeldung

Question

Ich bin neu in das Thema Kryptographie und studierte PKI und PKCS etc. Ich das Grundkonzept der PKI verstehen und wie sie für die Verschlüsselung / Entschlüsselung verwendet wird. Ich bin verwirrt jedoch darüber, wie ein Hardware-Token wie eine USB-Token oder eine Smartcard für sichere Anmeldung an Ihren Computer verwendet werden. Hier sind Schritte, wie ich sie verstehe und das Teil ich bin verwirrt durch (sorry im Voraus für die Frage Länge):

Szenario: Computer xyz im Netzwerk enthält Daten, die nur Benutzer, die zu der Gruppe gehören SECRET zugreifen können. Benutzer Bob und Joe sind in dieser Gruppe und wurden USB-Token ausgegeben, die sie verwenden können, Anmeldeinformationen zur Verfügung zu stellen, die es ihnen ermöglichen, diese Ressourcen zugreifen zu können. Die USB-Token verwenden zwei-Faktor-Authentifizierung und erfordern einen Stift eingegeben werden. Das Token ist PKCS11-konform.

1. Bob fügt die USB-Token in Linux-Maschine
2. Eine PAM-PKCS11 Modul erkennt dieses Ereignis und fordert Bob seine PIN einzugeben.
3. Sobald Bob seinen 4-stellige PIN korrekt eingibt, prüft das Modul für die Gültigkeit des Zertifikats auf Bob Token von (dies variiert, aber was ist minimal?) :
   • Auffinden des Root-Zertifikats für eine vertrauenswürdige Zertifizierungsstelle zu überprüfen
   • Überprüfen des Zertifikatsgültigkeitsdatum und Sperrlisten
   • Passende ID auf Token gegen Benutzerdatei (wo ?, fehlt ein Schritt) oder das Verzeichnis (LDAP, etc.)
4. Wenn alles gut aussieht, Modul PAM des erfolgreichen Ergebnis informiert.
5. Diese Linie markiert ausreichend, so PAM-Authentifizierung akzeptiert und Bob ist angemeldet und Informationen beschränkt, Nutzern aus der SECRET Gruppe anzeigen kann.

Der Teil mir fehlt ist, wo die Informationen über gespeicherte ist, ob oder nicht Bob diese Maschine zugreifen kann und wie genau er an Bob gebunden das Netzwerk (oder auch Desktop) Benutzer. Ich verstehe, dass andere identifizierende Daten über Bob werden auf dem USB einschließlich einer ID gespeichert werden (zum Beispiel E-Mail-Adresse). Doch wie ist diese starke Sicherheit? Wo ist überhaupt während des Anmeldevorgangs verwendet, krypto wird, wenn (oder ist das nicht der eigentliche Zweck dieser Tokens)? Wenn jemand bekommt Halt des USB und kennt den 4-stellige PIN, die alle zu sein scheint, was benötigt wird, nicht wahr? Darüber hinaus ist es im Wesentlichen das Vertrauen in dem CA, die einer anderen Benutzer keine neue USB-Token erhalten kann und eine vertrauenswürdige Zertifizierungsstelle zu verwenden, ist zu vertrauen ermöglichen ein neues Zertifikat zu erhalten, aber alle identifizierenden Daten angeben die gleichen wie Bob sein? Ich weiß, es gibt einige kritische Teil fehlt mir .. aber nach Dutzenden von Artikeln lesen, Erklärung dieser Gegend scheint beschönigt. Ist es eine gute Idee, eine Hardware-Token als ausreichend Mittel zu verwenden, für die Authentifizierung auf eine Maschine mit sensiblen Daten einzuloggen? Oder ist der Zweck solcher Token in erster Linie sicher Schlüsselpaare zu speichern, die in anderen Anwendungen? Vielen Dank für Ihre Hilfe verwendet werden!

Answer 1

PAM (wie der Name schon sagt) nur Griffe Authentifizierung. Die Authentifizierung ist über beweisen, wer der Benutzer ist, das heißt „mir beweisen, wer, wer Sie sagen du bist.“ Dies ist getrennt von der Genehmigung für das ist, das heißt: „Haben Sie den Zugriff auf diese Ressource?“.

Es gibt drei Aspekte Authentifizierung:
1. Ich weiß,
2. Ich habe
3. Ich bin

Eine typische Benutzername / Passwort-Kombination paßt in 1.em Während ein Token oder anderes PKCS Gerät, in 2 paßt, und biometrische Daten wie Iris-Erkennung oder Fingerabdruck-Lese paßt in Nummer drei.

Je mehr dieser Aspekte, die Sie in Ihrer Sicherheit haben, desto besser / straffer ist die Sicherheit. In diesem Fall paßt die Anmeldung in 1 und 2 so ist sicherer als nur einen Benutzername und passowrd. Wenn jemand seinen Stift aus ihm zu bekommen war und sein Gerät stehlen, dann ja, es wird nicht proove dass es bob es mit ist. Aber dann weder wäre es, wenn Bob gab seinen Benutzername und Passwort an jemanden entweder.

Der Punkt des Tokens ist der zweite Faktor „mit“ etwas, die Tatsache vorstellen, dass Sie auch eine PIN benötigen bedeutet, dass „Wissen“ etwas ist ebenfalls erforderlich. So kann das System dann mehr Vertrauen hat, dass die Person, die sie vorgeben zu sein.

Das fehlende Teil, den Sie sich beziehen, ist Authorization dies wie gesagt ist ein eigener Prozess Authentifizierung und geschieht nur, wenn der Benutzer sich authentifiziert hat. In diesem Fall hat PAM Bob authentifiziert und zur Verfügung gestellt Bestätigung an das Betriebssystem, den Bob in die Tat des System verwendet. Allerdings würde das Betriebssystem dann 5 eine andere Prüfung in dem Schritt durchführen muß, um zu bestätigen, dass Bob Zugriff auf die Ressource hatte.