Securitatea autentificării informației - Kerberos

INTRODUCERE

Fiecare din ultimele trei secole a fost dominat de 0 anumita tehnologie.

Secolul al XVIII-lea a fost secolul marilor sisteme mecanice care au nascut Revolutia Industriala. Secolul al XIX-lea a fost epoca masinilor cu aburi. In secolul XX, tehnologia cheie este legata de colectarea, prelucrarea si distribuirea informatiei. Printre alte realizari, am asistat la instalarea retelelor telefonice mondiale, la inventia radioului si a televiziunii, la nasterea si cresterea nemaivazuta a industriei de calculatoare si la lansarea satelitilor de comunicatii.

Organizatii cu sute de birouri raspandite pe 0 arie geografica larga se asteapta sa poata examina in mod curent printr-o simpla apasare de buton chiar si echipamentele lor cele mai indepartate. Pe masura ce posibilitatile noastre de a colecta, prelucra si distribui informatia cresc tot mai mult, cererea pentru 0 prelucrare si mai sofisticata a informatiei creste si mai rapid.

Desi industria de calculatoare este inca tanara, domeniul calculatoarelor a cunoscut un progres spectaculos intr-un timp scurt. In primele decenii de existenta sistemele de calcul erau foarte centralizate, de obicei in interiorul unei singure incaperi.

Intrepatrunderea dintre domeniul calculatoarele si cel al comunicatiilor a avut 0 influenta profunda asupra modului in care sunt organizate sistemele de calcul. Conceptul de "centru de calcul" - in acceptiunea sa de incapere unde exista un calculator mare la care utilizatorii vin sa-si ruleze programele - este total depasit.In mai putin de 20 de ani, calculatoarele la fel de puternice, mai mici decit un timbru postal, vor fi produse pe scara larga in milioane de exemplare par desprinse dintr-un scenariu stiintifico-fantastic. Vechile modele de calculatoare care serveau la rezolvarea problemelor de calcul ale organizatiilor au fost inlocuite de un model in care munca este facuta de un numar mare de calculatoare separate, dar interconectate. Aceste sisteme se numesc retele de calculatoare.

Retelele de calculatoare sunt in general structuri deschise la care se pot conecta un numar mare si variat de componente. Complexitatea arhitecturalii si distributia topologica a retelelor conduce la o largire necontrolata a cercului utilizatorilor cu acces nemijlocit la resursele retelei (fisiere, baze de date, dispozitive periferice, etc.). Putem vorbi despre o vulnerabilitate a retelelor care se manifesta pe doua planuri:

- posibilitatea modificarii sau distrugerii informatiilor (atac la integritatea fizica);

- posibilitatea folosirii neautorizate a informatiilor; [P ATR94].

Se intelege ca aceasta stare de fapt nu poate fi tolerata, proiectarea sistemelor distribuite trebuind sa satisfaca unele cerinte fundamentale de fiabilitate, protectie si securitate. Pe masura ce retelele de calculatoare se extind ca numar de resurse conectate si ca extindere geografica, nevoia de restrictionare si control al accesului creste.

Sub aspect fizic, resursele unei retele trebuie protejate intr-o maniera adecvata:

- protejarea la furt si distrugere a echipamentelor de comunicatie (routere, switch-uri, calculatoare, etc.);

- protejarea cailor fizice de comunicatie prin ingroparea in paturi speciale si plasarea in locuri greu accesibile.

- restrictionarea accesului la site-urile cu echipamente

Atacurile de tip fizic asupra retelelor sunt improbabile si relativ usor de descoperit. Mai mult, beneficiile atacatorilor sunt minime, avand in vedere de 0 buna perioada de timp, valoarea echipamentului este net infeioara informatiei vehiculata de acesta.

Sub aspect logic, controlul resurselor se face prin asigurarea identitatii participantului la schimbul de date, denumita generic autentificare. De regula autentificarea se realizeaza prin ceea ce utilizatorul stie (parola), prin ce utilizatorul are (smart card, cheie), sau prin ce utilizatorul este (identificare biometrica, scanare de retina, amprente). [SCHN96]

Lucrarea de fata incearca sa faca 0 prezentare a unuia dintre cele mai importante protocoale de autentificare si anume a protocolului Kerberos.

CAPITOLUL I

SECURITATE

O definitie larga a notiunii de "securitate" pentru calculatoare ar fi urmatoarea: interzicerea accesului unor persoane neautorizate la anumite date. Putem distinge doua tipuri de restrictii: restrictii asupra citirii unor date secrete asupra modificarii de catre persoane ne-autorizate. Exista mecanisme speciale pentru fiecare din aceste scopuri, si exista mecanisme care pot fi adaptate amandurora.

Securitatea este un subiect vast si acopera o multilne de imperfectiuni.ln forma sa cea mai simpla, ea asigura ca persoane curioase nu pot citi sau, si mai rau, modifica mesajele adresate altor destinatari. Ea se ocupa de cei care incearca sa apeleze servicii la distanta, desi nu sunt autorizati sa le foloseasca. De asemenea, securitatea implica verificarea daca un mesaj, ce pretinde ca vine de la Ministerul de Finante si spune: "Plateste pana vineri", provine intr-adevar de la Ministerul de Finante si nu de la Mafie. Securitatea se ocupa de probleme legate de capturarea si falsificarea mesajelor autorizate si de cei ce incearca sa nege faptul ca au trimis anumite mesaje.

Majoritatea probleme1or de securitate sunt cauzate intentionat de persoane rau voitoare care incearca sa obtina anumite beneficii, sa atraga atentia, sau sa provoace rau cuiva. Cativa dintre cei care comit In mod obisnuit astfel de fapte sunt mentionati In tabelul 1-1. Din aceasta lista trebuie sa rezulte clar ca realizarea unei retele sigure implica ceva mai mult decat pastrarea ei fara erori de programare. Aceasta implica surclasarea unor adversari adeseori inteligenti, dedicati si uneori bine dotati material. Trebuie de asemenea sa fie clar ca masurile care pot contracara inamici accidentali vor avea un impact redus asupra unor adversari seriosi. Arhive1e politiei arata ca cele mai multe atacuri nu au fost savarsite de straini prin ascultarea unor linii telefonice, ci de catre angajati ranchiunosi. In consecinta, sistemele de securitate ar trebui proiectate tinand seama de acest fapt.