Ci sono alcuni pochi modi per farlo.
Puoi leggere la seguente dichiarazione:
Per l'autenticazione puoi utilizzare solo qualcosa che l'utente conosce, ha o è.
Poiché ti trovi in uno scenario di crittografia dei file, questo dovrebbe escludere la maggior parte dei punti relativi a "che cos'è un utente", perché implicano dati biometrici, che devono avere tolleranze.
- Una password o passphrase . Questo è il modo classico di autenticare gli utenti in questo scenario, è ampiamente implementato, ben accettato e può fornire alti livelli di sicurezza. Si prega di notare che i PIN rientrano anche in questa categoria. Dalla frase precedente questo è "qualcosa che l'utente conosce".
- Un (simmetrico) file di chiavi , questo è qualcosa che l'utente ha ed è solitamente implementato come un file arbitrario che l'utente può selezionare o generare e che è strongmente richiesto per la derivazione della chiave. Anche questo è ampiamente implementato (gli strumenti di crittografia più efficaci lo utilizzano). Tieni presente che il file di chiavi può trovarsi sulla memoria locale o su un dispositivo protetto (ad esempio una smartcard o HSM).
- Una (asimmetrica) chiave (file) , questo è qualcosa che l'utente ha pure. Si noti la differenza con il suddetto file di chiavi, poiché in genere non viene immesso direttamente nella funzione di derivazione della chiave, ma viene utilizzato per la decrittografia asimmetrica sulla CPU, sulla smartcard o sull'HSM dell'utente.
-
Dati memorizzati nel sistema operativo . Di solito il sistema operativo ha un modo per archiviare i dati protetti e questo meccanismo può essere utilizzato per l'autenticazione. Alcuni sistemi operativi offrono archiviazione sicura delle chiavi e alcuni offrono la crittografia dei dati utilizzando le credenziali dell'utente. (categoria: ha (PC / OS) / know (credenziali))
-
Hardware di crittografia (smartcard, HSM, TPM, ...) può essere utilizzato per sigillare e archiviare in modo sicuro le chiavi e i processori crittografici integrati possono essere utilizzati per eseguire trasformazioni di chiavi simmetriche (utilizzando la chiave memorizzata), necessarie per chiave di derivazione. (categoria: ha (hw) / know (PIN))
-
L'hardware personalizzato è probabilmente il modo più sicuro. Questo hardware può funzionare come hardware crittografico sopra per quanto riguarda l'utilizzo, ma l'autenticazione può essere resa molto diversa rispetto a un PIN / password standard. Ad esempio, se l'hardware è altamente affidabile (a prova di manomissione / a prova di manomissione) può essere possibile implementare in modo sicuro autenticazione biometrica per il dispositivo di sblocco e quindi indirettamente per la derivazione della chiave (come solo il processore crittografico opera dopo un'autenticazione valida e non è il controllo dell'accesso al software ma il controllo dell'accesso all'hardware). L'autenticazione biometrica può includere, ma non deve limitarsi al riconoscimento vocale, al rilevamento delle impronte digitali, al riconoscimento del volto, al test del DNA, al riconoscimento dell'attività cerebrale, alla scansione dell'iride e alla scansione manuale.