Modo alternativo per applicare l'autenticazione nella sicurezza della rete

Per confermare l'identità dei partecipanti, è necessario che esista un ID univoco che li distingua. Per ottenere l'autenticazione, dovremmo essere in grado di convalidare l'ID univoco.

Le firme digitali sono un modo per ottenere lo stesso risultato. Nelle firme un'autorità fidata certifica che l'entità che ti comunica è proprio quella che dovrebbe essere. Hai anche la possibilità di verificarlo a livello computazionale.

HMAC è un altro modo di farlo. HMAC utilizza anche una chiave derivata da una chiave precedentemente condivisa tra le entità e l'hashing.

Per autenticare in modo sicuro tra due entità, è richiesta una firma asimmetrica o un'autenticazione basata su chiave condivisa.

Varia in base al protocollo.

PAP (protocollo di autenticazione password)

Questo è solo per riferimento e non dovrebbe essere usato. Questo è solo l'invio di un nome utente e una password nell'intestazione.

CHAP (Protocollo di autenticazione Handshake Challenge)

Utilizza un metodo di risposta alla sfida generando una stringa e il client deve abbinarlo. Questo è più per riferimento pure.

Kerberos

Per il tuo punto, utilizza la crittografia a chiave segreta per stabilire l'identità. Comune, nella maggior parte dei sistemi. Fornisce inoltre un ticket all'utente che può essere utilizzato in Autorizzazione.

NTLM

Una suite Microsoft di protocl di sicurezza per l'autenticazione, l'autorizzazione e l'integrità che utilizza gli stessi concetti di challenge-response come CHAP.

Apri ID

Uno standard aperto che utilizza il concetto di protocollo di autenticazione decentralizzato e URL per lo scambio di informazioni sull'identità.

Spiegazione

L'autenticazione è l'atto di dimostrare che un utente è chi dice di essere. Ogni esempio che ho fornito sono protocolli diffidenti per raggiungere questo obiettivo. Quello che penso tu manchi di comprensione è che l'Autenticazione nel suo complesso non è soggetta a proteggere gli occhi indiscreti dagli intercettatori.

Questo è il ruolo di altri protocolli come HTTPS, che è più comune e utilizza la crittografia a chiave pubblica per stabilire una connessione sicura con un altro servizio.

Esempio

Durante la connessione a Facebook, si utilizza una connessione HTTPS (chiavi pubbliche) per stabilire una connessione sicura. Hai fornito il tuo nome utente / password, con gli autenticazioni che usi, se ricordo male, la loro implementazione di OAUTH 2.0.

La sicurezza della connessione e l'integrità dell'identità dell'utente sono esclusivi. Tendiamo a parlarne nominalmente, ma in genere usano protocolli separati.

Considerare lo scopo della crittografia: è lì per impedire a terzi di copiare, falsificare o interferire con le credenziali di accesso. La crittografia fornisce un canale punto-punto sicuro per lo scambio di informazioni. È possibile farlo con la rete fisica: le password di sniffing non erano considerate un problema con i terminali seriali collegati a un computer mainframe, ma al giorno d'oggi è difficile garantire l'integrità fisica di una tale rete. Anche questa architettura è costosa, inaffidabile e inflessibile rispetto a una rete media condivisa come Ethernet o Wi-Fi.

Quando gli Stati Uniti avevano ancora regole stupide sull'esportazione della crittografia, un team in Svezia ha creato un'implementazione Kerberos che non utilizzava la crittografia (eBones). Sospetto che probabilmente dipendesse dal separare il mezzo fisico della rete tra le parti, anche se indovinerei qui.

È possibile implementare l'autenticazione sicura senza chiavi, ma richiede hashing sicuro (e autenticazione reciproca) ma comporta molta complessità. Questo potrebbe essere stato il metodo utilizzato in eBones. Nota che questo dipende ancora da un segreto condiviso - che è una chiave, anche se non crittografica.

Ma perché preoccuparsi ora quando la crittografia basata su chiave risolve il problema di autenticazione e protegge anche altri scambi di dati?