Cos'è l'autenticazione basata sugli attributi?

2

Ho trovato la seguente definizione qui :

From a privacy perspective a better solution would be the use of attribute-based authentication (Goyal et al. 2006) which allows access of online services based on the attributes of users, for example their friends, nationality, age etc

Ma non è molto chiaro per me, quindi:

  1. Cos'è l'autenticazione basata sugli attributi?
  2. Quali sono i suoi vantaggi?
  3. Come può migliorare la protezione della privacy online?
posta mounaim 15.04.2016 - 02:39
fonte

2 risposte

1

Che cos'è l'autenticazione basata sugli attributi?

L'autenticazione basata sugli attributi è un modo di autenticazione "minima divulgazione" in quanto (almeno in teoria) viene controllato solo se si ha qualche attributo, piuttosto che "chi sei". Ciò significa che se un sito web richiede di avere una certa età, l'autenticazione avrà solo la perdita della tua età, ma non la tua identità.

Questo va oltre nei sistemi avanzati che consentono di testare i predicati (ad esempio "età 18)", il che significa che vengono trasmesse anche meno informazioni perché ora il sito sa che hai più di 18 anni ma non è trapelato Esattamente.

In sistemi banali potresti semplicemente far firmare i tuoi attributi a qualcuno e poi il sito web verificherà la firma dei tuoi attributi. Tuttavia, il problema è che se provi ad autenticare due volte puoi essere impresso perché se invii semplicemente la tua età, se lo fai di nuovo invierai lo stesso identico contenuto (la firma è sempre la stessa) quindi il sito web sa che è la stessa persona I sistemi avanzati non lo fanno poiché creano un nuovo pseudonimo temporaneo per ogni autenticazione che rende impossibile impronte digitali alla persona che tenta di autenticarsi.

Se vuoi saperne di più, devi leggere le "credenziali basate su attributi che preservano la privacy" e esaminare i criptoengine come UProve (Microsoft) e Idemix (IBM).

Quali sono i suoi vantaggi?

Idealmente:

  • Informazioni minime
  • Non collegabile (puoi autenticarti due volte senza che nessuno sappia che sei di nuovo tu)
  • Decentrato (sei in possesso dei tuoi attributi)

Tuttavia, non tutti gli schemi di autenticazione basati su attributi necessariamente soddisfano questo requisito. Ad esempio, potresti avere un provider di autenticazione e il sito Web che provi ad autenticare per contattare quel fornitore e chiede se hai più di 18 anni. Ciò tuttavia fugge le informazioni al provider di autenticazione su quali siti web visiti in pratica uno schema che non è decentralizzato non è esattamente buono per la tua privacy.

Come può migliorare la protezione della privacy online?

Lo stesso accordo. In credenziali / autenticazione basata su attributi di conservazione della privacy si è al 100% anonimi (escludendo ovviamente che si verifichi la perdita del proprio IP e cose del genere) e non siano collegabili e perdano solo la quantità minima di informazioni richieste e può essere eseguita offline.

La cosa divertente è che, una volta iniziato lo sviluppo, hanno affrontato il problema che gli utenti sono ora al 100% anonimi e in alcuni contesti è necessario essere in grado di dire al governo che ha usato il tuo servizio che è stato necessario sviluppare backdoor che perdono informazioni su di te.

Ci sono anche problemi con la revoca. Alcuni sistemi richiedono quindi anche la prova che le tue credenziali non sono ancora state revocate. Ma comunque ... in THEORY le credenziali / autenticazione basate sull'attribuzione della privacy sono davvero buone per la privacy ma hanno degli svantaggi (revoca / DE-anonimizzazione per scopi legali) e più interazione con l'utente. Un sito Web per esempio potrebbe semplicemente chiedere "tutto" e se l'utente non interviene, tutto svuota tutto, quindi il software deve mostrare all'utente ciò che è trapelato e l'utente deve confermarlo, il che significa che questi sistemi richiedono molto più da l'utente è un grosso problema per il tuo utente medio.

Inoltre ... hai bisogno di un'architettura aggiuntiva ... come un emittente un'autorità di revoca un'autorità di controllo di cui hai bisogno di un motore di crittografia hai bisogno di spazio per le credenziali che sono tutte cose che non rendono davvero pratico per il web autenticazione basata su YET a meno che tu non voglia installare un plug-in del browser ... devi sincronizzare le tue credenziali in qualche modo (ad esempio per accedere dal tuo tablet, telefono e PC) il che significa che hai bisogno anche di software per sincronizzare le tue credenziali ecc ... In teoria la tecnologia è ottima ... in pratica non è ancora lì e forse avrà lo stesso destino di PGP: sarà considerato ingombrante / difficile da gestire per l'utente medio. Un sistema centralizzato sarà sicuramente accettato ma tu perdi la privacy.

    
risposta data 04.06.2018 - 11:01
fonte
0

L'autenticazione basata sugli attributi implica che quando un utente o un'entità acquisisce determinati attributi, come l'appartenenza a un team, di per sé sono sufficienti informazioni sull'entità per autenticare l'utente.

Diciamo che lavori in un ambiente aziendale e tutti i dipendenti sul posto di lavoro dispongono di controlli di accesso basati su SSO.

Alcuni studi di mercato sensibili e studi di casi sono protetti da un host di bastione. Il tuo SSO non ti autentica in questo host bastion dal resto degli attributi che la sua ricerca non fa parte del tuo profilo SSO. Supponiamo ora di unirti al team tecnico marketing del cliente. Uno dei tuoi attributi del profilo cambia. Cioè, la tua squadra è passata da "Engineering" a "Marketing".

Ora questo attributo corrisponde è sufficiente per essere autenticato nell'host bastion e quindi essere autorizzato a eseguire letture sui dati sensibili.

Ha senso?

    
risposta data 05.05.2018 - 08:19
fonte

Leggi altre domande sui tag