it-swarm-eu.dev

Rozdíl mezi autentizací a identifikací [perspektiva krypto a bezpečnosti]

Vždycky jsem zmaten způsobem, jakým se Word autentizace používá v bezpečnostní literatuře (tj. Mimo kryptoměnu). Většinou chápu, že ve skutečnosti znamenají identifikaci .

Například z Wikipedie: Central Authentication Service používá termín autentizace k identifikaci (pokud rozumím správně).

V Crypto, pokud vím:

  • Ověřování: důkaz, že zpráva pochází od držitele nějakého daného tajemství.
  • Identifikace: nepřenosný důkaz, že druhá strana zná nějaké dané tajemství (bez odhalení tajemství)
  • Nevypovědení: přenositelný důkaz, že zpráva pochází od držitele nějakého daného tajemství.

[Prosím, dejte mi vědět, jestli jsem správně porozuměl těmto třem podmínkám. Nebojte se poskytnout alternativní/vylepšené/užitečnější definice]

Může někdo rozvinout významy dvou výrazů authentication a identification v kryptografické i obecné bezpečnostní literatuře?

19
Jus12

V kontextu komunikace prostřednictvím sítě je identita rovnocenná znalosti konkrétního kusu dat: souhrnně řečeno zvenčí, co může vědět o dané entitě zvenku spočívá výhradně v tom, co byty tato entita emituje, tj. co může vypočítat . Protože si každý může koupit stejný typ PC, rozdíly ve výpočetních schopnostech v konečném důsledku spočívají v tom, co entity vědí . Např. jste odlišní od me z pohledu StackExchange, pouze v tom, že znáte heslo k účtu 'Jus12' , a ne, zatímco já vím heslo účtu 'Tom Leek', a vy ne.

Identifikace je o tom, zda je daná entita zapojena a nějak „aktivní“. Například server StackExchange se může ujistit, že jsem naživu a kope tím, že mě vyzve (můj počítač), aby mi ukázal heslo. Všimněte si, že server StackExchange (ve skutečnosti, jiný server, protože používá nepřímé schéma, ale to je technická záležitost) také zná moje heslo, takže když se úspěšně zobrazí výzva na SE, Server SE ví pouze to, že na druhém konci řádku provozuje entitu, kterou jsem buď já, nebo samotný server SE. Identifikační protokoly se musí postarat o to, aby se předešlo nebo alespoň spolehlivě detekovalo výskyt serveru, který byl přiměn k tomu, aby si promluvil s lstivým špatně zamýšleným jednotlivcem (dále označovaným obecným termínem „útočník“).

Identifikace jako taková je zcela zbytečná. Server SE chce vědět, že ne, já, Tom Leek, existuje a je vzhůru; server SE je o tom docela přesvědčen a nestará se o to. SE server chce, aby se ujistil, že já schvaluji HTTP požadavky, které se chystám vydat. Chtějí autentizaci : to je identifikace aplikovaná na některá další data. Identifikace je tedy užitečná, pokud se lze domnívat, že se vztahuje na spoustu dat, která pak byla „ověřeným“ původem. Propojení mezi identitou a údaji musí být odolné, pokud jde o pobouření, která útočník může na data způsobit. V případě StackExchange má být útočník poměrně slabý, protože se předpokládá integrita HTTP požadavku: identifikační část se stává cookie, protože je součástí požadavku HTTP a server SE pouze předpokládá, že útočník nemůže změnit požadavek nebo soubor cookie, nebo zkopírovat soubor cookie a naroubovat jej na nový falešný požadavek HTTP.

Důkladnější autentizace obvykle používá kryptograficky silnou vazbu, např. SSL/TLS tunel (často jako součást HTTPS). Kryptografické vlastnosti tunelu naznačují, že server si může být jist, že bude mluvit se stejnou entitou během relace SSL; server navíc předpokládá, že uživatel nebude hrát žádný identifikační protokol související s heslem svého účtu, pokud k tomu nedojde v SSL tunelu, ve kterém je server řádně ověřen (tj. klient si je jistý, že mluví se správným serverem - to je to, o čem je certifikát serveru - a že jakákoli data, která odešle, půjde pouze na tento server, takže je to autentizace). Pokud za těchto podmínek může server identifikovat mě v tomto tunelu, pak identifikace pokrývá veškerá data posílaná tunelem později: tunel je spojením mezi identifikací a daty, takže toto je autentizace.

Non-repudiation je charakteristika některých autentizačních protokolů, ve kterých může propojení mezi identitou a daty ověřit nejen ten, kdo je interaktivně na na druhém konci řádku, ale také ultriorní třetí stranou, například soudcem. Schémata založená na hesle tuto vlastnost obvykle nenabízejí, protože kdokoli ověří heslo musí toto heslo znát více či méně přímo, a tak by mohl údajného emitoru orámovat. Nevyjádření vyžaduje matematiku. Všimněte si, že v SSL tunelu klient ověřuje server prostřednictvím svého certifikátu, který je plný asymetrické kryptografie, ale to neuděluje nevypovědení: klient si je jistý, že jakákoli data, která obdrží ze serveru, skutečně pochází ze serveru , ale neexistuje nic, co by klient mohl zaznamenat, což by přesvědčilo soudce, že server skutečně data poslal. Abyste získali nevypovědení, potřebujete digitální podpisy . Bez non-repudiation, jeden může dostat autentizaci s algoritmy známými jako Message Authentication Codes , které jsou výpočetně lehčí. Matoucí je, že existuje rozšířená (ale nesprávná) tradice nazývající MAC „podpisy“.

Souhrn:

  • Identifikace : je zahrnuta konkrétní entita [~ # ~] e [~ # ~] a odpovídá.
  • Integrita : jakákoli část dat, která byla přijata, byla zaslána tak, jak je, nějakou entitou E ' a nebyla změněna.
  • Autentizace : identifikace a integrita současně ( E = E ').
  • Nepopuzování : autentizace, která může přesvědčit soudce.
20
Tom Leek

Identifikace je způsob, jak popsat hlavní, např. uživatelské jméno, e-mail, křestní jméno a příjmení atd. Ředitelem je uživatel.

Autentizace je způsob, jak prokázat, že hlavní je ten, o kterém tvrdí, že je.

Například když se přihlásím do systému, identifikuji se svým uživatelským jménem (Ahoj, já jsem SteveS) a autentizuji se poskytnutím pouze hesla, které znám, a systém může ověřit (jsem SteveS, protože moje heslo je “ foo “).

Dobrým příkladem v reálném světě je použití řidičských průkazů. Mohu na košili nalepit jmenovku a zjistit, že jsem Joe, ale pokud někdo potřeboval důkaz, že jsem Joe, ukážu jim svůj řidičský průkaz. Ověření se provádí porovnáním fotografie na licenci s osobou.

8
Steve

Moje odpověď je krátká, ale takto jsem si tyto dva vždy přečetl.

Identifikace říká: „Jsem Joe Schmoe!“ Ověřování to dokazuje něčím (heslo, rodný list, výsledky DNA).

V IT potřebujeme, aby každý měl vlastní ID, abychom je mohli správně identifikovat a přiřadit jim práva (já jsem Joe Schmoe! Já taky! Já tři! Ale my všichni nepotřebujeme stejný přístup). Potřebujeme také lidi, aby prokázali, že jsou tím, kdo tvrdí, že jsou autentizací sami (pamatujte na tři faktory autentizace, něco, co víte, máte nebo jsou).

3
Jeff

Pomocí jednoduchého vysvětlení

Identifikace: je způsob, jak někoho identifikujete, tj. Jak byste tomu člověku nebo společnosti říkali. Může to být jméno, číslo účtu v bance, uživatelské jméno v nějakém konkrétním systému.

Ověřování: je to, jak potvrzujete, že osoba, která dělá něco ve vašem systému, je skutečně tím, kdo říká. Dokáže to tím, že dá něco, co zná (heslo - jednofaktorové ověření), nebo tím, že něco, co zná + něco, co vlastní (heslo + digitální certifikát - dvoufaktorové ověření).

Nevypovědení: jedna osoba nemůže popřít autorství některého dokumentu atd., Protože dokument mohl vyrobit pouze někdo, kdo byl ověřen, a existuje tedy vztah mezi konkrétní identitou a dokumentem.

2
woliveirajr

Identifikace - Kdo jste?

Ověřování - Ujistěte se, že jste tím, kým říkáte, že jste.

Poskytnu velmi odlišnou odpověď od všech odpovědí zde.

Rozdíl mezi autentizací a identifikací nezáleží.

Zdá se, že to každý definuje jinak, například dokument Fiat-Shamir definuje následující:

  1. Autentizace: Alice může Bobovi dokázat, že je Alice, ale Charles nemůže Bobovi dokázat, že je Alice.
  2. Identifikace: Alice může Bobovi dokázat, že je Alice, ale Bob nemůže Davidovi dokázat, že je Alice.
  3. Podpis: Alice může Bobovi dokázat, že je Alice, ale Bob si nemůže dokázat, že je Alice.

(což myslím, že je založeno na skutečnosti, že v sigma protokolech, jako je protokol schnorr identifikace, je třeba, aby ověřovatel musel vytvořit falešnou transkripci úspěšně identifikující provizora, aby poskytoval vlastnost nulové znalosti )

Dva další body záměny:

  • autentizace je také přetíženým termínem, například se používá v autentizačních kódech zpráv a ověřeném šifrování, což znamená „integrita (ochrana)“.
  • mnoho článků na webu se týká autentizace vs. autorizace, kvůli některým problémům s používáním autorizačních protokolů jako OAuth= 2,0 (např. dovolte mi přístup k e-mailu a profilovému obrázku tohoto facebookového profilu)) jako ověřovací protokoly (např. jsem tento profil na facebooku).

Abych byl jednoduchý, autentizace se týká dokazuje, kdo jste. Nic víc.

0

Identifikace vyžaduje, aby ověřovatel zkontroloval prezentované informace proti všem entitám, o kterých ví, Autentizace vyžaduje, aby informace byly zkontrolovány pro jednu dříve identifikovanou entitu.

0
Hamidullah Amid

Identifikace: Kdo jste?

Ověřování: Ok. Jak to dokážete?

Autorizace: Co mohu udělat?

0