Utilisation d'un jeton matériel pour la connexion

Question

Je suis novice dans le domaine de la cryptographie et j'étudie la PKI et la PKCS, etc. Je comprends le concept de base de la PKI et son utilisation pour le chiffrement / déchiffrement. Je ne comprends toutefois pas comment un jeton matériel, tel qu'un jeton USB ou une carte à puce, est utilisé pour une connexion sécurisée à votre ordinateur. Voici les étapes que je comprends et la partie qui me laisse perplexe (désolé d’avance pour la longueur de la question):

Scénario: l’ordinateur xyz du réseau contient des données auxquelles seuls les utilisateurs appartenant au groupe SECRET peuvent accéder. Les utilisateurs Bob et Joe font partie de ce groupe et se sont vus attribuer des jetons USB qu'ils peuvent utiliser pour fournir les informations d'identification qui leur permettront d'accéder à ces ressources. Le jeton USB utilise une authentification à deux facteurs et nécessite une broche pour être entré. Le jeton est conforme à PKCS11.

1. Bob insère le jeton USB dans la machine Linux
2. Un module PAM-PKCS11 reconnaît cet événement et invite Bob à saisir son code PIN.
3. Une fois que Bob a entré correctement son code PIN à 4 chiffres, le module vérifie la validité du certificat sur le jeton de Bob par (cela varie, mais quel est le minimum?) :
   • Localisation du certificat racine pour rechercher une autorité de certification approuvée
   • Vérification des dates de validité des certificats et des listes de révocation
   • ID correspondant sur le jeton au fichier utilisateur (où?, manque une étape) ou à un répertoire (LDAP, etc.)
4. Si tout semble bien aller, le module informe PAM du résultat obtenu.
5. Cette ligne est suffisamment marquée pour que PAM accepte l'authentification et que Bob soit connecté et puisse afficher les informations réservées aux utilisateurs du groupe SECRET.

Ce qui me manque, c’est où se trouvent les informations stockées sur le fait que Bob puisse ou non accéder à cette machine et sur la manière dont il est lié à l’utilisateur du réseau (ou même du bureau) de Bob. Je comprends que d’autres données d’identification concernant Bob seront stockées sur la clé USB, y compris un identifiant (par exemple, une adresse électronique). Cependant, comment est cette sécurité forte? Où la crypto est-elle utilisée pendant le processus de connexion, le cas échéant (ou n'est-ce pas le but réel de ces jetons)? Si quelqu'un s'empare de la clé USB et connaît la broche à 4 chiffres, il semble que ce soit tout ce qui est nécessaire, non? De plus, est-ce essentiellement la confiance dans l'autorité de certification qui permet de faire croire qu'un autre utilisateur ne peut pas obtenir un nouveau jeton USB et utiliser une autorité de certification approuvée pour obtenir un nouveau certificat mais que toutes les données d'identification doivent être identiques à celles de Bob? Je sais qu'il me manque une partie essentielle .. mais après avoir lu des dizaines d'articles, l'explication de ce domaine semble avoir été négligée. Est-ce une bonne idée d’utiliser un jeton matériel comme moyen suffisant d’authentification pour se connecter à une machine contenant des données sensibles? Ou est-ce que ces jetons servent principalement à stocker en toute sécurité des paires de clés utilisées dans d'autres applications? Merci pour votre aide!

Answer 1

PAM (comme son nom l’indique) ne gère que l’authentification. L’authentification consiste à prouver qui est l’utilisateur, c’est-à-dire "Prouvez-moi qui vous êtes qui vous dites que vous êtes." Il s’agit d’une autorisation distincte de l’autorisation, c’est-à-dire "Avez-vous accès à cette ressource?".

L’authentification comporte trois aspects:
1. Je sais
2. J'ai des 3. Je suis

Une combinaison type nom d'utilisateur / mot de passe convient à 1. Alors qu'un jeton ou autre périphérique PKCS convient à 2, la biométrie telle que la reconnaissance de l'iris ou la lecture d'empreintes digitales correspond au numéro 3.

Plus vous avez d’aspects de sécurité, meilleure est la sécurité. Dans ce cas, le login se situe entre 1 et 2, il est donc plus sécurisé qu'un simple nom d'utilisateur et un mot de passe. Si quelqu'un devait obtenir son épinglette et voler son appareil, alors cela ne prouvera pas qu'il l'utilise. Mais il ne le ferait pas non plus si Bob donnait son nom d'utilisateur et son mot de passe à quelqu'un non plus.

L’intérêt du jeton est d’introduire le second facteur "avoir" Quelque chose, le fait que vous ayez également besoin d'un code PIN signifie que "connaître" quelque chose est également requis. Le système peut alors avoir plus de confiance dans le fait que la personne est ce qu’elle prétend être.

La partie manquante à laquelle vous faites référence est Autorisation . Comme indiqué, il s’agit d’un processus distinct de l’authentification, qui ne se produit qu’après l’authentification de l’utilisateur. Dans ce cas, PAM a authentifié Bob et a confirmé au système d'exploitation que Bob utilise effectivement le système. Toutefois, le système d'exploitation devrait alors effectuer une autre vérification à l'étape 5 pour confirmer que Bob avait accès à la ressource.