Veri Koruma ve Güvenlik

VII

Tanimlama ve Varlik Kimlik Dogrulama

VII.III

Kimlik Dogrulama Protokolleri

Istek – Karsilik Kimlik Dogrulama Protokolleri:

Klasik sifre tabanli kimlik dogrulamanin gelistirilmesi kriptografik istek/karsilik protokolünün tanistirilmasi ile olmustur. Öncelikle paylasilan bir sir üzerine kurulmus protokolleri tartisacagiz: Figür 3 deki protokol 3 adimdan olusur:

1. Alice Bob'a kendini tanitir
2. Bob Alice e rasgele bir sayi (istek) gönderir
3. Alice, Alice ve Bob'un paylasilan sirriyla K alice-bob kriptografik olarak dönüstürülmüs istek olan karsiligi hesaplar.

Dönüsüm bir çok yol ile yapilabilir. Paylasilan sir, istek i düz metin olarak alan ve karsiliginda sifrelenmis cevabi üreten gizli anahtar sifreleme algoritmasinda gizli anahtar olarak kullanilir veya istek ve paylasilan sirrin kombinasyonlarinin hash degeri karsilik olarak hesaplanir.

Figür 3. Paylaşılan sır tabanlı İstek-Karşılık Protokolü.

Bu protokol, sifrelerin düz olarak gönderilmeden kullanilmasini saglayan bir ilerlemedir. Bununla beraber onun bazi sinirlamalari vardir. Bunlar:

• Kimlik Dogrulama çift yönlü degil: Bu yalnizca Alice Bob un kimligini dogrulayabilir ama tersi geçerli degil demek. Çift yönlü kimlik dogrulama olmaksizin, saldirgan Bob mus gibi cevap verebilir ve Alice i saldirgan Bob mus gibi düsündürüp kandirabilir.
• Ortadaki adam saldirisi: Bir saldirgan kendini Alice mis gibi göstermeyi bile basarabilir. Bob'un istek ini ele geçirdikten sonra Alice i onun Bob oldugunu sanmasini saglayabilir. Saldirgan Bob' un istek ini Alice gönderir böylece Alice den Bob a gönderebilmek için gerekli olan cevabi alabilir ve Bob bunu Alice den geliyormus zanneder.
• Baglanti ele geçirilebilir: Alice ile Bob arasindaki konusmanin geriye kalan kisminin bütünlügü korunmaz ise, saldirgan baglantiyi ele geçirebilir ve paketler Alice den geliyormus gibi gösterebilir.
• Çevrim disi sifre tahmini saldirisi: Eger bir saldirgan istek i ve karsiligini ele geçirirse ve kullanilan kriptografik algoritmayi biliyorsa, bu sifreyi tahmin etme, sifreyi anahtar K ya dönüstürme ve asagidaki esitligin saglanip saglanmadigini görme demektir.

F(K,R) = F(K alice-bob ,R)

• Veri tabani okuma: Karsiligi dogrulamak için, Bob Alice in sifresini bir veri tabani içinde veya bir dosyada saklamasi gerekir. Bu güvenlik açigina daha önce deginilmisti.

Bu protokolü daha verimli bir hale dönüstürmek ve onu istek / karsilik kullanmak yerine tarih bilgisi kullanarak tek bir çevrime dönüstürmek mümkündür. Istek / response protokollerinin güzel bir özelligi, karsilik mesajlarini tekrarlamak mümkün degildir çünkü eger istek yeterince büyük bir araliktan seçilmisse, iki isteğin ayni olma olasiligi yok ve bundan dolayi bütün karsiliklar farkli olmali. Zamanda geriye gitmek mümkün olmadigi için, eger Bob ve Alice senkronize saat degerine sahipseler, su anki zaman bilgisi Bob un sagladigi benzersiz isteği olarak kullanilabilir.

Tabi ki saatler mükkemel bir sekilde senkronize olsa bile, Bob iki taraf arasindaki iletim gecikmesinden dolayi kabul edilebilir zaman gecikmesiyle sonucu kabul etmeli.

Figür 4.Paylaşılan sırra ve zaman bilgisine dayalı kimlik doğrulama protokolü

Not: Açik anahtar kriptografi tabanli protokoller, iki taraf her hangi bir sirri paylasmadigi için veri tabani okumayla alakali olan problemi gideriyorlar.