Устройства iButton (Touch Memory)
Лекция № 3
Технические устройства идентификации и аутентификации. Устройства iButton. Бесконтактные радиочастотные карты Proximity. Пластиковые карты.
Многие механизмы защиты могут быть реализованы как на программном, так и на аппаратном уровне, однако более стойкими считаются аппаратные реализации. Это связано со следующими причинами:
1. Целостность программной защиты легко нарушить, это дает возможность злоумышленнику изменить алгоритм функционирования защиты необходимым образом, например, заставить процедуру контроля электронно-цифровой подписи всегда выдавать верные результаты. Нарушить целостность аппаратных реализаций зачастую невозможно в принципе в силу технологии их производства.
2. Стоимость аппаратных средств защиты во многом повышается благодаря сокрытию защитных механизмов на аппаратном уровне, злоумышленник при этом не может их исследовать в отличие от программной защиты.
Программно-аппаратные средства идентификации и аутентификации пользователей
Парольные подсистемы идентификации и аутентификации
Реализуются в открытых компьютерных системах. Являются наиболее распространенными. В качестве идентификации используется Login (имя пользователя), в качестве аутентификации – секретный пароль.
Преимущества: дешевизна, возможность использовать во всех компьютерных системах.
Недостаток: самые уязвимые ко взлому:
|
|
- перебор пароля в интерактивном режиме;
- подсмотр, кража из общедоступного места;
- возможность преднамеренной передачи пароля другому лицу;
- кража БД учетных записей из общедоступного места;
- перехват вводимого пароля путем внедрения в КС программных закладок;
- перехват паролей передаваемых по сети;
- возможность применения социального инжиниринга.
Большинство минусов, свойственных парольным системам, связано с наличием человеческого фактора, который проявляется в том, что пользователи склонны выбирать легкозапоминаемые пароли, а сложнозапоминаемые стараются где-то записать.
Для уменьшения влияния человеческого фактора требуется реализовать ряд требований к подсистеме парольной аутентификации.
Требования:
1. задавание минимальной длины пароля для затруднения перебора паролей в лоб;
2. использование для составления пароля различных групп символов для усложнения перебора;
3. проверка и отбраковка паролей по словарю;
4. установка максимальных и минимальных сроков действия паролей;
5. применения эвристических алгоритмов, бракующих нехорошие пароли;
6. определение попыток ввода паролей;
7. использование задержек при вводе неправильных паролей;
|
|
8. поддержка режима принудительной смены пароля;
9. запрет на выбор паролей самим пользователем и назначение паролей администратором, формирование паролей с помощью автоматических генераторов стойких паролей.
Количественная оценка стойкости парольной защиты
А – мощность алфавита символов, из которых состоит пароль;
L – длина пароля;
V – скорость перебора паролей злоумышленником;
T – срок действия паролей;
P – вероятность подбора паролей злоумышленником за время t, меньшее срока действия паролей
При идентификации и аутентификации пользователей с помощью технических устройств в качестве пользовательского идентификатора используется некое техническое устройство, содержащее уникальный идентификационный код, который используется для решения задач идентификации владельца, а отдельных случаях данное устройство содержит и аутентифицирующую информацию, ограничивающее доступ к устройству. Наиболее распространенными техническими устройствами, используемыми для идентификации и аутентификации, являются:
1. iButton (Touch Memory)
2. бесконтактные радиочастотные карты Proximity
3. пластиковые карты (со штрих-кодом и магнитной полосой)
|
|
4. карты с памятью
5. смарт-карты
6. электронные ключи e-Token
Устройства iButton (Touch Memory)
Разработано Dallas Semiconductor.Представляет собой устройство идентификации пользователя, включает в себя уникальные идентификаторы, присваиваемые пользователю. Данное устройство включает в себя 3 компонента:
1. ПЗУ, которое хранит 64-разрядный код, состоит из 8-битового кода устройства, 48 бит – код идентификатора, 8 бит – контрольная сумма. Содержание ПЗУ уникально и не может быть перепрошито в дальнейшем.
2. ОЗУ (энергонезависимая статическая память) предназначена для хранения некой информации. В одном из типов эта энергонезависимая память защищена от НСД. В остальных типах – не защищена.
3. Элемент питания – встроенная литиевая батарейка 3В, питающая энергонезависимую память
После истечения 10 лет, память становится не доступна. Данное устройство может быть использовано для решения задачи идентификации (доступно только ПЗУ).
Виды устройств:
Тип (iButton) | Объем ОЗУ (байт) | Примечание |
DS1990 | - | Только идентификатор |
DS 2400 | - | |
DS1992 | 128 | |
DS 1993 | 512 | |
DS 1994 | 512 | Таймер-календарь |
DS1996 | 8192 | |
DS1920 | 512 | Термометр |
iButton с идентификатиром
|
|
iButton с энергонезависимой памятью
Статическая память не защищена от несанкционированного доступа операции чтения и записи возможны без ограничений. Элемент питания подпитывает статическую память и буфер обмена для хранения в них информации. В случае разряда литиевой батарейки доступ возможен только к ПЗУ. Буфер используется для обеспечения корректной записи данных в статическую память для защиты от сбоев. При записи данных происходит следующий процесс: диспетчер памяти вначале записывает данные в буфер, далее читает эти данные из буфера и сравнивает их с эталонными, в случае совпадения диспетчер памяти дает команду на перенос информации из блокнотной памяти в статическую
iButton с энергонезависимой памятью и таймером
Данный тип содержит внутри себя энергонезависимый таймер, который может использоваться для защиты устройств по сроку использования.
DS1994L
В регистр статуса помещают свои флаги по наступлению событий таймер-календарь, интервальный таймер и счетчик цикла.
В регистр управления могут закладываться ограничения на доступ к таймеру-календарю, интервальному таймеру, регистру статуса, условия для таймера-календаря, интервального таймера, счетчика цикла, для которого будут устанавливаться флаги в регистре статуса. Например, идентификатор может быть выдан пользователю на 3 месяца. В этом случае можно заложить условие установки в регистр статуса флага, говорящего об истечении срока действия идентификатора.
Преимущества: небольшая стоимость, может использоваться в промышленных приложениях «с жесткими условиями внешней среды»
Недостатки: сравнительно низкая скорость передачи информации от iButtonа к устройству чтения, большая вероятность сбоя в процессе чтения\записи.
Вообще iButton не предназначена для хранения аутентифицирующей информации в силу того, что энергонезависимая память не защищена от НСД. Однако, при использовании различных приемов на внешних устройствах его можно приспособить для хранения конфиденциальной информации. Например в устройствах «Соболь» (плата) в iButton хранятся закрытые пароли пользователей. Замок Соболь хранит некий ключ внутри себя, который используется при шифровании пароля. В iButton же в энергонезависимой памяти хранятся зашифрованные на этом ключе пароль пользователя.
Дата добавления: 2018-04-05; просмотров: 673; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!