我是密码学专题的新手,正在研究PKI和PKCS等。我理解PKI的基本概念以及它如何用于加密/解密。然而,我很困惑如何使用USB令牌或智能卡等硬件令牌来安全登录您的计算机。以下是我理解它们的步骤以及我感到困惑的部分(对于问题长度提前抱歉):
场景:网络上的计算机xyz包含的数据只有属于SECRET组的用户才能访问。用户Bob和Joe属于该组,并且已经获得了USB令牌,他们可以使用这些令牌来提供能够访问这些资源的凭据。 USB令牌采用双因素身份验证,需要输入引脚。令牌符合PKCS11。
我缺少的部分是关于Bob是否可以访问这台机器的信息存储在哪里以及他是如何将Bob与网络(甚至桌面)用户联系起来的。我理解关于Bob的其他识别数据将被存储在USB上,包括ID(例如,电子邮件地址)。但是,这种强大的安全性如何?在登录过程中使用加密的地方,如果有的话(或者这不是这些令牌的真正目的)?如果有人拿到USB并知道4位数的引脚,那似乎就是所有需要的,对吧?此外,它本质上是CA中的信任,它允许信任另一个用户无法获得新的USB令牌并使用可信CA获取新证书但是指定所有识别数据与Bob的相同?我知道有一些关键部分我不知道......但在阅读了几十篇文章之后,这个领域的解释似乎已经过去了。使用硬件令牌作为登录包含敏感数据的计算机的身份验证的充分方法是一个好主意吗?或者这些令牌的目的主要是安全地存储其他应用程序中使用的密钥对?感谢您的帮助!
答案 0 :(得分:5)
PAM(顾名思义)仅处理身份验证。身份验证是关于证明用户是谁,即“证明你是谁,你是谁。”这与授权分开,即“您是否可以访问此资源?”。
认证有三个方面:
我知道了
我有
我是
典型的用户名/密码组合适用于1.当令牌或其他PKCS设备适合2时,虹膜识别或指纹读取等生物识别技术适合三种。
您在安全性方面拥有的这些方面越多,安全性越好/越严格。在这种情况下,登录适合1和2,因此比用户名和passowrd更安全。如果有人要把他的针从他身上拿走并窃取他的设备,那么是的,它不会证明它是使用它的bob。但是,如果Bob将他的用户名和密码提供给某人,那么它也不会。
令牌的要点是引入“拥有”某事物的第二个因素,事实上你还需要一个PIN意味着也需要“知道”某些东西。因此,系统可以更加确信该人是他们声称的人。
您所指的缺少的部分是授权,这是一个单独的身份验证过程,只有在用户自己进行身份验证后才会发生。在这种情况下,PAM具有Authenticated Bob并向操作系统提供Bob确实正在使用该系统的确认。但是,OS必须在步骤5中执行一些其他检查以确认Bob有权访问该资源。