Lectures for 2008 - KTH
Lectures for 2008 - KTH
Lectures for 2008 - KTH
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
KURSKOMPENDIUM NÄTVERKSSÄKERHETSKURS<br />
___________________________________________________________________________<br />
Figur 3 Autentisering i <strong>for</strong>m av ett smartkort och fingeravtrycksavläsning<br />
En annan typ av autentiseringsmetoder som väckt intresse är biometriska<br />
autentiseringssystem, där utrustning för att mäta människors olika unika egenskaper används<br />
för identifiering – någonting man är. Fingeravtrycksläsare, ansikts- och röstigenkänning eller<br />
kontroll av ögats iris är exempel på denna typ av autentiseringssystem. Röstigenkänning kan<br />
vara en kombination av akustisk igenkänning och att den som skall autentisera sig uttalar<br />
något som bara den borde känna till, exempelvis svar på personligt unika frågor. Detta leder<br />
till en typ av biometrisk challenge-response. Det finns en del frågetecken runt de olika typerna<br />
av biometriska autentiseringsmetoder, till exempel har olika attacker mot fingeravtrycksläsare<br />
presenterats. Den naturliga följdfrågan vid sådana attacker är hur man går vidare om man väl<br />
har ett sådant systeminstallerat, man kan ju inte gärna byta fingeravtryck eller om det är<br />
möjligt att systemen kan uppgraderas så att säkerhetsproblemen elimineras. Gemensamt för<br />
de olika biometriska systemen är frågor som rör den personliga integriteten, till exempel vem<br />
som har tillgång till persondata och på vilket sätt sparade persondata kan missbrukas.<br />
Autentisering mellan två parter kan antingen vara ensidig då enbart den ena parten<br />
autentiserar sig, eller ömsesidig autentisering då bägge parterna autentiserar sig för varandra.<br />
Enkelsidig autentisering, såsom en lösenordsbaserad direktinloggning i en dator som fysiskt<br />
är placerad framför den som logar in, fungerar bra i praktiken. En lösenordsbaserad enkelsidig<br />
autentisering vid en nätverksinloggning är teoretiskt mer tveksam då en angripare någonstans<br />
i nätverket falskeligen kan utge sig för att vara serversida och därmed stjäla<br />
autentiseringsin<strong>for</strong>mationen.<br />
Autentisering används inte bara för att identifiera personer. Autentisering används exempelvis<br />
ofta vid maskin-till-maskinkommunikation, mellan olika programobjekt i ett system eller<br />
mellan en dator och en kringutrustning såsom en nätverksdisk. Ett något förvånande exempel<br />
är att autentisering i ökande utsträckning används för att identifiera utrustning och reservdelar.<br />
Skrivar- och kopiatortillverkaren Xerox introducerade 1996 skrivaren N24 som kunde<br />
identifiera autenticiteten hos färgpatronen och vägrade acceptera patroner från andra<br />
tillverkare än Xerox 4 . Efter Xerox har flera tillverkare anammat samma strategi.<br />
4 Anderson, Ross ‘Trusted Computing’ and Competition Policy – Issues <strong>for</strong> Computing Professionals<br />
http://www.cl.cam.ac.uk/~rja14/Papers/tcpa-short.pdf<br />
Copyright (c) 2003-<strong>2008</strong> Robert Malmgren AB. All rights reserved Sid 14 (139)