statico vs dinamico vs risposta alla sfida

Avviso: la terminologia è un po 'confusa, quindi non ci può essere una risposta completamente autorevole e chiara.

Un protocollo di autenticazione static significa che il dispositivo che esegue l'autenticazione non calcola nulla. Se incorpora qualche valore segreto ma può, nel migliore dei casi, mostrarlo. L'utente umano, quando digita la sua password in una pagina di accesso o in un'interfaccia, è un dispositivo di autenticazione statica. La smart card più piccola, più stupida e più economica fa la stessa cosa: dopo essere stato debitamente sbloccato (gli utenti hanno digitato il suo codice PIN), la carta emette un valore segreto sempre uguale.

Un protocollo di autenticazione dinamico è l'opposto: il dispositivo calcola le cose. Esistono molti tipi e sottotipi di protocolli di autenticazione dinamica:

• Il protocollo può essere challenge-response : il sistema che esegue l'autenticazione invia una challenge , ad es. una sequenza casuale di byte, a cui il dispositivo risponde calcolando una funzione crittografica che utilizza sia la sfida che i dati segreti contenuti nel dispositivo. La funzione crittografica può essere, ad esempio, un MAC che il dispositivo calcola sulla sfida, con il segreto come chiave; il sistema di autenticazione verificherà che MAC (questo scenario presuppone che il valore segreto sia noto sia alla smartcard che al sistema di autenticazione). Un altro tipo di challenge-response è basato su firme digitali : questo richiede calcoli più pesanti (quindi una smart card meno economica) ma significa che il server di autenticazione non ha bisogno di conoscere il valore segreto che è incorporato nella smart card.

• Alcune schede generano password una tantum . Questo può essere visto come un protocollo challenge-response in cui la sfida non viene inviata dal server, ma è un valore di variazione continua pubblicamente noto (ad esempio un contatore, come in HOTP o l'ora corrente, come in TOTP ). I token SecurID RSA sono di quel tipo. I dispositivi che utilizzano quel tipo di protocollo devono mantenere uno stato permanente che resiste ai ripristini (ad esempio un orologio interno alimentato a batteria o un valore contatore memorizzato in EEPROM); ma sono più facili da integrare nei sistemi esistenti (come con i token RSA SecurID, l'utente deve semplicemente digitare ciò che viene visualizzato sul suo token, non deve collegare il token nel suo computer desktop).

Pubblicazione NIST 800-12 spiega

There are many possible protocols a smart token can use for authentication. In general, they can be divided into three categories: static password exchange, dynamic password generators, and challenge-response.

Static tokens work similarly to memory tokens, except that the users authenticate themselves to the token and then the token authenticates the user to the computer.

A token that uses a dynamic password generator protocol creates a unique value, for example, an eight-digit number, that changes periodically (e.g., every minute). If the token has a manual interface, the user simply reads the current value and then types it into the computer system for authentication. If the token has an electronic interface, the transfer is done automatically. If the correct value is provided, the log-in is permitted, and the user is granted access to the system.

Tokens that use a challenge-response protocol work by having the computer generate a challenge, such as a random string of numbers. The smart token then generates a response based on the challenge. This is sent back to the computer, which authenticates the user based on the response. The challenge-response protocol is based on cryptography. Challenge-response tokens can use either electronic or manual interfaces.

Un buon esempio di Challenge-Response Password Token è mostrato nello schema qui sotto tratto da pagina di autenticazione OTP Gold :