martes, 8 de octubre de 2013
martes, 1 de octubre de 2013
Unidad III: Autenticación
Protocolos de Autenticación
Un intruso C no tiene manera de conocer RA para replicar, pero dependiendo de cómo se intercambien las claves públicas, podría haber problemas...
La validación de identificación, o también llamada autenticación (que no autentificación, que es ver si algo es auténtico), es la técnica mediante la cual un proceso comprueba que su compañero de comunicación es quien se supone que es y no un impostor.
La verificación de la identidad de un proceso remoto con un intruso activo malicioso, es sorprendentemente difícil y requiere protocolos de validación complejos basados en criptografía.
La validación es el paso previo al establecimiento de una conexión entre dos entidades, para pactar una clave de sesión.
Modelo general de validación e intrusos
Un usuario A, quiere establecer una conexión segura con un segundo usuario, B:
1.- Se validan. Comienza A por enviar un mensaje a B o a un centro de distribución de claves (KDC, Key Distribution Centre) fiable (honesto). Tras ello siguen varios intercambios de mensajes en diferentes direcciones (o protocolo).
PERO, a medida que se envían estos mensajes, un intruso malicioso, C, puede interceptarlos, modificarlos o reproducirlos para engañar a A y a B, o simplemente para estropear sus actividades.
2.- Un protocolo de autenticación debe impedir que un intruso se meta. Terminado el protocolo habrán negociado una clave de sesión.
Métodos de autenticación (identificación)
Biomédicas, por huellas dactilares, retina del ojo, ...
Tarjetas inteligentes que guardan información de los certificados de un usuario
Métodos clásicos basados en contraseña, más frágiles que los anteriores y más simples (baratos), basados en:
Comprobación local o método tradicional en la propia máquina
Comprobación en red o método distribuido, más utilizado actualmente
Biomédicas, por huellas dactilares, retina del ojo, ...
Tarjetas inteligentes que guardan información de los certificados de un usuario
Métodos clásicos basados en contraseña, más frágiles que los anteriores y más simples (baratos), basados en:
Comprobación local o método tradicional en la propia máquina
Comprobación en red o método distribuido, más utilizado actualmente
Una vez completado el protocolo, ambos A y B están seguro que está hablando entre ellos.
Durante el protocolo podrían haber intercambiado una clave de sesión.
Modelos de validación basados en métodos distribuidos
Clave secreta (privada o simétrica)
Clave pública (asimétrica)
Validación de identificación de clave secreta
Métodos:
Validación de identificación basada en clave secreta compartida.
Establecimiento de una clave compartida: intercambio de claves Diffie-Hellman (no permite autenticación)
Validación de identificación usando un centro de distribución de claves (KDC- Key Distribution Center).
Protocolo de autenticación Kerberos.
Validación de identificación basada en clave secreta compartida
Supondremos que A y B ya comparten una clave secreta KAB (acordada o bien telefónicamente o en persona pero, en cualquier caso, no a través de la red)
Este protocolo se basa en reto-respuesta:
una parte envía un número aleatorio a la otra
La otra parte “lo transforma” de una manera especial y devuelve el resultado a la parte primera
Notación a utilizar:
Ri son los retos, donde el subíndice identifica el retador: A o B
Ki son las claves, donde i indica el dueño; Ks es la clave de la sesión.
Validación de identificación de clave pública
Supongamos que A y B ya conocen las claves públicas del otro EB() y EA() respectivamente y quieren establecer una sesión utilizando criptografía de clave secreta (por ser más rápida)
El intercambio inicial tiene como objetivo validar la identificación de ambos utilizando sus claves públicas para comunicarse y utilizando las claves privadas para descifrar y tras ello acordar una clave de sesión secreta compartida
Suscribirse a:
Entradas (Atom)