Ci sono possibilità di autenticare un numero variabile di tecnici (di servizio) verso un dispositivo senza una connessione Internet / di rete? Con la possibilità di revocare l'accesso più tardi?
Modifica: senza utilizzare PKI per motivi tecnici. : /
Puoi utilizzare PKI , ogni tecnico avrà una chiave privata e un'autorità di certificazione emetterà ogni tecnico con un certificato che autorizza chiunque sia in grado di dimostrare il possesso dell'accesso con chiave privata corrispondente al dispositivo per il periodo di tempo specificato. Il dispositivo verifica i privilegi di accesso controllando la firma del certificato con il certificato di origine della CA, la data di scadenza e gli attributi del certificato che descrivono il livello di accesso concesso al tecnico. Ciò consente al dispositivo di riconoscere i nuovi tecnici rimanendo offline.
Se questo verrà utilizzato per mantenere dispositivi fisici con porte NFC o USB, potresti prendere in considerazione l'implementazione con smart card OpenPGP o x509 per comodità e sicurezza.
La revoca viene naturale quando scade il certificato, oppure puoi forzare la scadenza anticipata usando un elenco di revoche. I dispositivi devono essere online per scaricare l'elenco di revoche più recente o un altro tecnico dovrà aggiornare l'elenco di revoche sul dispositivo.
Dipende da quanto spesso e se i tecnici dell'assistenza possono venire online.
Prenderò 2 esempi e dirò come risolverlo.
Esempio 1: Se i tecnici dell'assistenza hanno uno smartphone o un normale telefono, o anche un cercapersone che è online (non ha bisogno di essere internet, potrebbe essere anche SMS / GSM), si potrebbe facilmente avere un server che mani i codici TOTP, "online" o via SMS. Quando i tecnici dell'assistenza desiderano eseguire l'autenticazione, devono richiederlo da questo server. Questo codice TOTP viene quindi utilizzato per l'autenticazione offline sul dispositivo in questione. La revoca è semplice come disabilitare il numero di cellulare o l'account del tecnico del servizio nel server TOTP.
Esempio 2: i tecnici dell'assistenza possono accedere solo online alcune volte al giorno. Poi hai la stessa cosa, ma invece, hai un codice TOTP che cambia una volta al giorno, o forse una volta ogni 8 ore, o se possono arrivare online a pranzo, un codice che cambia ogni 4a ora. All'inizio della giornata lavorativa, il tecnico dell'assistenza deve leggere questo codice TOTP richiedendolo dal server o leggendolo da uno schermo fisico in ufficio. Questo codice è quindi valido solo fino alla fine del giorno lavorativo. Revocing access, lo stesso qui. Ma la revoca non avrà effetto fino al giorno successivo.
Puoi anche inviare questo codice TOTP tramite SMS al telefono.
Il bello di entrambe queste soluzioni è che non richiedono mai che il dispositivo amministrato entri online in qualsiasi momento e la distribuzione delle credenziali ai tecnici dell'assistenza è semplice, anche se non sono fisicamente disponibili al momento in cui dovrebbero essere iscritti al sistema.
Un altro vantaggio è che puoi rifiutarti di fornire codici TOTP ai tecnici del servizio quando non dovrebbero avere accesso, ad esempio se non dovrebbero avere accesso in determinate ore del giorno, ad esempio la notte, il tuo server può semplicemente rifiutarsi di fornire loro quel codice TOTP.
Leggi altre domande sui tag authentication cryptography service-account