Tożsamość wyzwolona

Dzięki otwartym standardom przyszłość zarządzania nareszcie wygląda nieco lepiej. OATH to otwarta architektura dla systemów bezpiecznego uwierzytelniania, zaś HMAC OTP to otwarty algorytm generowania haseł jednorazowych.

Dzięki otwartym standardom przyszłość zarządzania nareszcie wygląda nieco lepiej. OATH to otwarta architektura dla systemów bezpiecznego uwierzytelniania, zaś HMAC OTP to otwarty algorytm generowania haseł jednorazowych.

O problemach związanych z bezpiecznym uwierzytelnianiem użytkowników firmowych sieci mówi się od lat. Na łamach Computerworld napisaliśmy o nich praktycznie w każdym ujęciu. Ze wszystkich dotychczasowych rozważań wyłania się obraz mało pocieszający - uwierzytelnianie nie jest proste ani technicznie, ani organizacyjnie. Nie jest również tanie, co po tylu latach oferowania systemów i aplikacji przez różne firmy, a także po tylu szumnych inicjatywach związanych z uwierzytelnianiem wydaje się zagadkowe.

Dostawcy wymyślają nowe architektury, opracowują nowe protokoły i technologie, prowadząc do jeszcze większego zamętu niż dotychczas. Nie mamy przy tym w praktyce do czynienia z jakimikolwiek symptomami upraszczania produktów, choćby pod względem wdrożeniowym czy administracyjnym. Być może ma tu zastosowanie przysłowie: gdy nie wiadomo o co chodzi, chodzi o pieniądze. Zostańmy przy tej myśli. Wyraźna niechęć dostawców do uzgodnienia jednolitej architektury (i rzeczywistego trzymania się jej) może się skończyć przejęciem inicjatywy przez środowisko open source.

Wolność wymuszona

Opisywane przez nas w poprzednim numerze inicjatywy Higgins (zarządzanie tożsamością elektroniczną w różnych kontekstach aplikacyjnych) oraz i-names (otwarta wersja usług jednokrotnego logowania i zarządzania uprawnieniami w Internecie á la niegdysiejszy Passport Microsoftu, jednak bez jego zbędnego bagażu) to dobry początek. Jednak ani Higgins, ani i-names nie obejmują całości problemu - szczegółowo opisują one architekturę systemu zarządzającego uprawnieniami, ale nie systemu uwierzytelniania.

Lukę tę wypełnić mają dostawcy aplikacji, ale czy warto liczyć na to, że w rozsądnym czasie wypracują konsensus? Grupa deweloperów doszła do wniosku, że najlepiej będzie, jeśli również i ten obszar doczeka się otwartych implementacji rzeczywiście zgodnych z przyjętymi standardami, tworząc trudny do obejścia punkt odniesienia dla wszystkich bez wyjątku dostawców rozwiązań komercyjnych. Tak powstała inicjatywa/projekt The Initiative for Open Authentication (OATH).

Odzew dostawców już teraz jest spory. Na witrynie OATH (www.openauthentication.org) Joe Anthony, dyrektor ds. zintegrowanych systemów zarządzania tożsamością w IBM deklaruje: "Będziemy pierwszą firmą, która dostarczy zintegrowane rozwiązanie do zarządzania tożsamością zgodne z OATH". Oby jak najszybciej. Do grona oficjalnie wspierających należą też m.in.: VeriSign, Entrust, Gemplus, ActivIdentity (dawniej ActivCard), Aladdin, Citrix, Atmel, AOL i sporo pomniejszych firm.

Nieobecność takich jak RSA czy Microsoft wiele mówi o konkurencji na tym rynku, ale w przyszłości nawet ci "wielcy nieobecni" raczej nie pozostaną obojętni na OATH. Chęć zaadaptowania i wykorzystania systemu wyraził już Novell, nie będzie więc niczym dziwnym, gdy ta technologia zostanie niezwłocznie zastosowana w produktach tej firmy.

Kierunek - uniwersalność

Tożsamość wyzwolona

OATH już jest

Najważniejszym niedostatkiem obecnych rozwiązań jest brak jednolitego standardu, który zapewniłby łatwą współpracę rozwiązań różnych producentów, bez użycia mechanizmów pośrednich, wtyczek, serwerów pośredniczących itd. Prawdziwie uniwersalny mechanizm uwierzytelniania powinien zapewnić centralne uwierzytelnienie w pełnym zakresie zastosowań: od logowania do stacji roboczych, poprzez aplikacje i narzędzia zdalnego dostępu, a na zabezpieczeniach fizycznych (drzwi, bramki) skończywszy. Wszystko według potrzeb i niezależnie od producenta. Chodzi o to, aby rozwiązanie spełniało pewien ogólnie znany i dostępny standard.

To właśnie jest celem inicjatywy OATH. W ramach projektu planowane jest przygotowanie rozwiązań dla wszystkich użytkowników, wliczając w to nie tylko pracowników, ale również partnerów, klientów itd. wszystkich sieci (intranetu, Internetu, połączenia wielu sieci, w tym bezprzewodowych) oraz wszystkich urządzeń - serwerów, stacji roboczych, urządzeń przenośnych, serwisów webowych i innych urządzeń zgodnych z nimi, nawet takich jak kserokopiarki. Wyzwanie jest ambitne i jedynym sposobem poradzenia sobie z nim wydaje się podział zadań i przygotowanie dobrych standardów współpracy.

Istotną cechą projektu jest założenie, że implementacje mają być modularne, dzięki temu będą mogły być używane do różnych zastosowań, wybierając te składniki, które są potrzebne do realizacji konkretnego zadania. Uwzględniając zróżnicowane potrzeby, OATH umożliwia współpracę z zewnętrznymi metodami uwierzytelnienia. Projekt rozwija się dość dynamicznie i ma już pierwsze poważne osiągnięcie na swoim koncie, np. zaprojektowanie, uzgodnienie i opublikowanie pierwszego od dawna publicznego algorytmu haseł jednorazowych.

Otwarcie, lecz bezpiecznie

Tożsamość wyzwolona

Korzyści wynikające z OATH

Ujednolicenie architektury służącej do uwierzytelniania jest świetną okazją do wprowadzenia obsługi nowych algorytmów pośredniczących w procesie uwierzytelniania. Nawet Bill Gates nie ma już wątpliwości, że logowanie się za pomocą zwykłego loginu i hasła nie ma przed sobą przyszłości. Ta należy do uwierzytelniania dwustopniowego/dwuczynnikowego, które łączy hasło (coś co użytkownik wie) z tokenem, kartą kryptograficzną (lub innym urządzeniem fizycznym, które jest niezależne od komputera). Zastosowanie drugiego stopnia uwierzytelniania istotnie zmniejsza ryzyko naruszenia bezpieczeństwa.

Na rynku jest wiele gotowych zestawów do dwustopniowego uwierzytelnienia w wykonaniu różnych producentów, ale są one (znów raczej nieprzypadkowo) zupełnie ze sobą niekompatybilne. Ostatnio IETF opublikowała nowy algorytm HMAC OTP, w skrócie HOTP (szczegóły można znaleźć w dokumencie RFC 4226). Wykorzystuje on algorytm HMAC oraz funkcję skrótu SHA-1, za pomocą których tworzy serię haseł jednorazowych na podstawie nigdy nie ujawnianego tajnego hasła współdzielonego między serwerem i aplikacją (lub urządzeniem). Hasłem jednorazowym jest sześć cyfr, podobnie jak w wielu tokenach.

Są już strony wykorzystujące HOTP do ochrony dostępu, a także gotowe narzędzia open source. Dość popularnym jest Triplesec (Safehaus.org), które potrafi współpracować także z hasłami generowanymi przy użyciu algorytmu HOTP. Notabene Triplesec razem z HausKeys stanowią dość ciekawe rozwiązanie niezależnie od pozostałych elementów i algorytmu HOTP jako takiego. Wszystko wskazuje na to, że powszechnie używane telefony komórkowe staną się dość dobrymi narzędziami uwierzytelniania, pierwszy krok został już zrobiony.

Znane ataki na SHA-1 (kolizje skrótów kryptograficznych, czyli możliwość wygenerowania takiego samego skrótu na podstawie dwóch różnych zestawów danych wejściowych) nie są raczej powodem do zmartwienia w przypadku HOTP. Słabość SHA-1 dotyczy wyłącznie sytuacji, gdy tylko na nim opiera się zabezpieczenie. Zwykle chodzi o unikalny skrót stworzony na podstawie pliku dokumentu umieszczany w certyfikacie cyfrowym, czyli w popularnym rozumieniu podpis elektroniczny. W HOTP funkcja SHA-1 występuje jako jedna z kilku, a dodatkowo ostatecznym zabezpieczeniem jest hasło jednorazowe o krótkim czasie życia.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200