I N F O W A R EBezpeèný prístup k údajom v poèítaèiÚlohou tohto príspevku je opísa stav pri riešeníbezpeènej autentifikácie pouívate¾a. Charakterizujemerôzne spôsoby autentifikácie, ktoré majúby jednoducho portabilné a predovšetkým bezpeènépre uloené informácie. Ich vyuitie by maloby univerzálne pre rôzne platformy a operaènésystémy vrátane systému Linux.Autentifikácia je overenie identity pouívate¾a.V súèasnosti sa pouívajú <strong>na</strong>sledujúce spôsoby: pouívate¾<strong>sk</strong>é meno a (statické) heslo autentizaèný kalkulátor èipová karta (Smart Cart) a USB token biometrické snímaèe (odtlaèky prstov, oèná rohovka...)POUÍVATE¼SKÉ MENO A HESLOV súèasnosti ide asi o <strong>na</strong>jèastejší spôsob autentifikácie.Medzi nevýhody tejto metódy patrí to, epouívatelia si zvolia heslá, ktoré mono hneïuhádnu – rodné èíslo, dátum <strong>na</strong>rodenia, meno die-aa. Èasto sa volia aj slová zo slovníka (<strong>na</strong>pr.strom, auto). Heslá sa tie dajú odchyti <strong>na</strong> úrovniklávesnice alebo odpozorova pri ich zadávaní pouívate¾om.AUTENTIZAÈNÝ KALKULÁTORAutentizaèný kalkulátor je silný nástroj <strong>na</strong> generovaniejednorazových dy<strong>na</strong>mických hesiel. Prístupovéheslo kalkulátor generuje a po zadaní PIN (Perso<strong>na</strong>lIdentification Number), èím je generovanéheslo chránené proti neoprávnenému pouitiu pristrate kalkulátora, prípadne jeho odcudzení. Týmtospôsobom mono eliminova väèšinu nevýhod predchádzajúcejmetódy.Jed<strong>na</strong> z hlavných nevýhod kalkulátora je všakabsencia prídavnej pamäte, v ktorej by sa dali ulo-i ïalšie informácie, potrebné <strong>na</strong> dodatoènú kontrolu.V prípade, e sa nevyaduje uschovávanieinformácií pre autentifikáciu alebo šifrovanie, monotúto metódu poui.USB tokenÈIPOVÁ KARTA A USB TOKENVysoký stupeò bezpeènosti autentifikácie sa dosahujepomocou èipovej karty (Smart Card) alebopomocou USB tokenu. Tieto zariadenia generujúa uchovávajú jedineèné a nereprodukovate¾né informácie.Jedineènos je daná tým, e iba majite¾tohto zariadenia pozná PIN, pomocou ktorého sadá zariadenie plne pouíva. Pri strate sa teda nedázneui bez z<strong>na</strong>losti PIN.Èipová kartaObidve zariadenia majú podobnú konštrukciu.Väèšinou obe obsahujú mikroprocesor a pamä.V mikroprocesore sú implementované kryptografickéfunkcie, ktoré umonia vygenerova potrebnéšifrovacie k¾úèe (verejné aj súkromné) a uloi ichdo pamäte. Len od ve¾kosti pamäte závisí, ko¾ko vygenerovanýchšifrovacích k¾úèov mono <strong>na</strong> kartuuloi. Dáta vygenerované a uloené <strong>na</strong> karte junikdy neopustia a tým sa zabráni monosti ich zneuitianeoprávnenou osobou.Hlavným rozdielom medzi nimi je spôsob, akýmsa pripájajú k poèítaèu. USB token sa pripája pomocourozhrania USB a èipová karta potrebuje <strong>na</strong> pripojeniek poèítaèu èítaèku èipových kariet. Èipovákarta sa však dá poui <strong>na</strong> viac úèelov: môe slúi ako identifikaèná karta, ak sa <strong>na</strong> òuvytlaèí fotografia uívate¾a (preukaz zamest<strong>na</strong>nca,vodiè<strong>sk</strong>ý, obèian<strong>sk</strong>y preukaz...), existujú tzv. kombinované karty, ktoré majú <strong>na</strong>vyšeaj magnetický prúok, a tak ich mono pouiaj v èítaèkách magnetických kariet (dochádzka,stravovanie...),2/<strong>2004</strong> PC REVUE 131
I N F O W A R E existujú karty s bezkontaktnýmèipom, kde nedochádzak opotrebovaniu karty.Verejný k¾úè je èas k¾úèauívate¾a, ktorá je urèená<strong>na</strong> overovanie elektronickéhopodpisu, prípadne <strong>na</strong> šifrovanie.Súkromný k¾úè je èas k¾úèauívate¾a, ktorá je urèená <strong>na</strong>vytváranie elektronickéhopodpisu. Vzh¾adom <strong>na</strong> dôleitostohto k¾úèa treba zabezpeèièo <strong>na</strong>jvyššiu bezpeènospri jeho pouívaní.Obidve tieto riešenia sadajú poui aj v prostredíLinuxu. Existuje nieko¾kolinuxových riešení,<strong>na</strong>pr. tenký klient, ktorémajú zabudovanéèítaèky èipových kariet.Igel 316 V prípade pouitia de<strong>sk</strong>topovéhoriešenia monopoui èítaèky integrované do klávesnice aleboexterné èítaèky.V závislosti od typu obsahujú èítaèky pasívnychèipových kariet (karta obsahuje len pamä, autentifikáciaprebieha v poèítaèi – menší stupeò bezpeènosti,ale lacnejšie) alebo èítaèky aktívnych kariet(karta obsahuje aj mikroprocesor – väèší stupeòbezpeènosti, ale drahšie).BIOMETRICKÉ SNÍMAÈEAutentifikácia pomocou snímania biometrickýchúdajov sa zatia¾ vo väèšej miere nevyuíva. Dôvodomje vysoká ce<strong>na</strong> kvalitných snímaèov. Problémombýva aj miesto, kde sa vyhodnocuje snímanávelièi<strong>na</strong> a kde je uloená vzorka <strong>na</strong> porov<strong>na</strong>nie.Väèšinou porov<strong>na</strong>nie prebieha v poèítaèi a vzorkamôe by uloená v snímaèi (lepší prípad) alebo jeuloená v poèítaèi (nišia bezpeènos). Ïalšímproblémom je, e porov<strong>na</strong>nie dvoch hesiel s xz<strong>na</strong>kmi je vdy jednoz<strong>na</strong>èné, ale porovnávaniedvoch biometrických údajov závisí od <strong>na</strong>staveniasystému. Preto je pri biometrických snímaèoch dôleitáhodnota FAR (False acceptance rate – percentochybne prijatých neautorizovaných osôb) a hodnotaFRR (False rejection rate – percento autorizovanýchosôb, ktoré boli nesprávne odmietnuté).Existuje viacero metód snímania biometrickýchúdajov a k nim prislúchajúce snímaèe. Tie snímajú<strong>na</strong>sledujúce údaje: geometriu prsta vzorky sietnice vzorky dúhovky rozpoz<strong>na</strong>nie hlasu rozpoz<strong>na</strong>nie podpisu rozpoz<strong>na</strong>nie tváre geometriu rukySnímanie geometrie rukyZáleí potom u len <strong>na</strong> stupni bezpeènosti a z tohosa odvíjajúcej cenovej relácii, ktorá z metód snímaniabiometrických údajov sa pouije.ZHRNUTIEPri výbere konkrétnej metódy autentifikácie si trebauvedomi, èi vybraná metóda spåòa definovanépoiadavky pouívate¾a. Ak sa teda <strong>na</strong> vybranú metódupozrieme z poh¾adu bezpeènosti a aplikovate¾nosti,mala by nám da táto metóda odpoveï <strong>na</strong>niektoré otázky: Jednoduchos pouitia – je metóda jednoduchointegrovate¾ná do u existujúceho systému alebo je<strong>na</strong> pouitie metódy nevyhnutné celý systém prepracova? Aplikovate¾nos – je metóda aplikovate¾ná <strong>na</strong>všetky osoby alebo môe existova <strong>sk</strong>upi<strong>na</strong> ¾udí,ktorí nebudú môc danú metódu pouíva? Rýchlos verifikácie – ako rýchlo je po<strong>sk</strong>ytnutáodpoveï, èi je osoba oprávnená, alebo nie? Je tonieko¾ko milisekúnd èi nieko¾ko sekúnd, alebo anieko¾ko desiatok sekúnd? Akú rýchlos verifikáciepotrebujeme? Náchylnos k chybám – aká je monos, e útoèníkprekoná vybranú metódu autentifikácie? Dlhodobá stabilita – aké stabilné sú vlastnostipouité v danej metóde v dlhodobom èasovom meradle? Dôveryhodnos technológie – súvisí aj s tým, akoèasto sa vybraná technológia <strong>sk</strong>utoène <strong>na</strong>sadzuje. Ce<strong>na</strong> technológie – pravdepodobne rozhodujúcaotázka pri <strong>sk</strong>utoènom <strong>na</strong>sadení technológie.Metóda s pouívate¾<strong>sk</strong>ým menom a heslom jesíce z opísaných metód <strong>na</strong>jlacnejšie, ale aj <strong>na</strong>jmenejbezpeèné riešenie. Keïe zámerom èlánku jesústredi sa predovšetkým <strong>na</strong> bezpeènos autentifikácie,táto metóda je <strong>na</strong> uvedený úèel nevhodná.Autentizaèný kalkulátor je ve¾mi dobré riešenie<strong>na</strong> silnú dy<strong>na</strong>mickú autentifikáciu. V cenovej oblastisa pohybuje <strong>na</strong> úrovni USB tokenov, ale má jednuz<strong>na</strong>ènú nevýhodu – do tohto zariadenia nemonouklada dodatoèné dáta, ktoré môu by potrebné<strong>na</strong> dodatoènú kontrolu.V prípade, e do výsledného riešenia treba zapracovaaj cenovú kalkuláciu, z hry vypadávajú ajbiometrické snímaèe. Kvalitné biometrické snímaèesú rádovo 10 a 100-násobne drahšie ako ïalšieopísané metódy.Z h¾adi<strong>sk</strong>a pomeru ce<strong>na</strong>/bezpeènos autentifikáciesa zdá <strong>na</strong>jlepšie riešenie pomocou USB tokenovalebo èipových kariet. Medzi výhody USB tokenovpatrí jednoduchos pouitia. Rozhranie USB máv súèasnosti väèši<strong>na</strong> poèítaèov. Najväèšou výhodouèipovej karty je monos jej viacnásobného pouitia.Môete ju vyui ako identifikaènú kartu s fotografiou,dajú sa poui aj v magnetických èítaèkácha existujú bezkontaktné èipové karty. USB tokeny,ako aj èipové karty môu slúi aj ako bezpeènéúloi<strong>sk</strong>o pre šifrovacie k¾úèe. V závislosti od poadovanejbezpeènosti mono poui USB tokeny aleboèipové karty s mikroprocesorom alebo len s pamäou.Michal Greksa, Milan Moravèík132 PC REVUE 2/<strong>2004</strong>