Asym­me­tri­sche sleu­tels

C’t Magazine - - Knowhow | Tweefactorauthenticatie -

In plaats van zo­wel de ge­brui­ker als de dienst een co­de te la­ten ge­ne­re­ren en de re­sul­ta­ten te ver­ge­lij­ken, kan een dienst de com­pu­ter van de ge­brui­ker ook een taak (chal­len­ge) ge­ven die al­leen de be­tref­fen­de ma­chi­ne kan op­los­sen (chal­len­ge-re­spon­se-au­then­ti­ca­tie). Daar wor­den asym­me­tri­sche ver­sleu­te­lings­me­tho­den als RSA of DSA op ba­sis van ElGa­mal of el­lip­ti­sche krom­men voor ge­bruikt.

De dienst stuurt de chal­len­ge in de vorm van een uniek be­richt naar de pc van de ge­brui­ker. Die ge­ne­reert met zijn ge­hei­me sleu­tel een pas­sen­de hand­te­ke­ning en stuurt de­ze te­rug. De dienst con­tro­leert met de open­ba­re sleu­tel van de ge­brui­ker of de hand­te­ke­ning cor­rect is. De chal­len­ge ziet er al­tijd net iets an­ders uit om te voor­ko­men dat hac­kers een 're­play at­tack' kun­nen uit­voe­ren door een eer­der ge­bruikt cor­rect ant­woord op­nieuw te ver­stu­ren.

In prin­ci­pe kan de­ze me­tho­de wor­den toe­ge­past door PGP-sleu­tels als twee­de fac­tor te ge­brui­ken bij het in­log­gen op web­si­tes. Bui­ten het Darknet komt dat ech­ter niet veel voor om­dat daar­bij meest­al GnuPG moet wor­den ge­bruikt via de com­mand­line. De me­tho­de wordt wel veel ge­bruikt bij SSH, waar­bij de ssh-agent het vol­le­di­ge pro­ces au­to­ma­tisch af­han­delt. Veel sys­teem­be­heer­ders la­ten het wacht­woord daar­bij zelfs he­le­maal weg en ge­brui­ken de sleu­tel als eni­ge fac­tor om in te log­gen. Het na­deel van de chal­len­ge-res­pon­se­me­tho­de met asym­me­tri­sche sleu­tels is dat de ge­hei­me sleu­tels nor­maal ge­spro­ken als be­stand op de har­de schijf staan, waar een tro­jan mis­bruik van kan ma­ken.

Bij ie­der aan­mel­ding gpg2 op de com­mand­line moe­ten uit­voe­ren is in de prak­tijk veel te las­tig.

Newspapers in Dutch

Newspapers from Netherlands

© PressReader. All rights reserved.