[ Pobierz całość w formacie PDF ]
.W takim przypadku certyfikat musi zostaæzapisany w karcie inteligentnej (Smart Card), aby umo¿liwiæ przenoszenie kluczaprywatnego.Wówczas, zamiast wpisywania nazwy u¿ytkownika i has³a, u¿ytkownikpo prostu musi w³o¿yæ kartê inteligentn¹ do czytnika przy³¹czonego do komputerai wprowadziæ numer PIN karty (jak w przypadku kart innych kredytowych).UwagaStosowane przez Microsoft rozszerzenie Kerberosa o klucz publiczny, pozwalaj¹ceu¿ytkownikom korzystaæ z certyfikatów zamiast zwyk³ej kombinacji nazwyu¿ytkownika i has³a po prostu certyfikat X.509 u¿ytkownika do Active Directory(patrz rysunek 14.6).Us³uga Kerberos jest w stanie uwierzytelniæ klienta ¿¹daj¹cego po³¹czenia zapomoc¹ klucza publicznego, podczas gdy klient wykorzystuje klucz prywatny doszyfrowania.Po uwierzytelnieniu u¿ytkownika KDC wydaje po¿¹dany bilet iszyfruje go kluczem publicznym klienta, co zapewnia dostêp do biletu jedyniew³aœciwemu odbiorcy.Od tej chwili kolejne po³¹czenia dokonywane przezu¿ytkownika podczas sesji korzystaj¹ z uwierzytelniania Kerberosa w sposóbdok³adnie taki sam, jak opisany uprzednio w tym rozdziale.Rysunek 14.6Wykorzystanie kart inteligentnych (Smart Card) w Windows 2000 mo¿na bez truduzintegrowaæ z protoko³em Kerberos1.Read.1.Odczyt Smart Card2.Send with.2.Wysy³ka ¿¹dania TGT3.Look up.3.Wyszukanie konta klienta4.Return.4.Zwrot TGT5.Verify TGT.5.Weryfikacja TGT za pomoc¹ klucza prywatnego klientaActive Directory DCKontroler domeny Active DirectoryKarty inteligentne, maj¹ce typowo rozmiary karty kredytowej, udostêpniaj¹odporny na manipulacje magazyn do przechowywania certyfikatów i kluczyprywatnych u¿ytkownika.Ponadto numer PIN chroni zapisane informacje przednadu¿yciem w przypadku utraty karty.W ten sposób karty inteligentne stanowi¹bardzo bezpieczne narzêdzie uwierzytelniania u¿ytkowników i logowaniainterakcyjnego (oraz wiele wspomnianych uprzednio zastosowañ certyfikatów).Wobec tego, karty inteligentne nie tylko zwalniaj¹ u¿ytkownika z koniecznoœcipamiêtania has³a, lecz tak¿e zwiêkszaj¹ ogólne bezpieczeñstwo zasobówsieciowych: osoby niepowo³ane nie s¹ w stanie po prostu zgadn¹æ nazwy i has³au¿ytkownika.Karta inteligentna zawiera uk³ad scalony, przechowuj¹cy klucz prywatnyu¿ytkownika, informacje potrzebne do logowania i certyfikat klucza publicznegos³u¿¹cy do ró¿nych celów, jak np.podpisy cyfrowe i szyfrowanie danych.Kartyinteligentne wzmacniaj¹ uwierzytelnianie za pomoc¹ samego oprogramowania,wymagaj¹c od u¿ytkownika dostarczenia zarówno obiektu fizycznego (karty) jakwymaganej wiedzy (numeru PIN) przed udostêpnieniem zasobu.Wymóg przedstawienia zarówno karty jak numeru PIN okreœlany jest nazw¹uwierzytelniania dwuczynnikowego (two-factor authentication).Wykorzystaniekarty inteligentnej do uwierzytelniania u¿ytkowników jest idealne w sytuacjach,gdzie wa¿ne s¹ dodatkowe zabezpieczenia, na przyk³ad przy dostêpie do aplikacjip³atniczych.Karty inteligentne s¹ bardziej bezpieczne od hase³ z kilku powodów:Do uwierzytelnienia u¿ytkownika potrzebny jest obiekt fizyczny – karta.Karta musi byæ u¿yta razem z osobistym numerem identyfikacyjnym (PIN), copomaga upewniæ siê, i¿ w³aœciwa osoba u¿ywa karty.Ryzyko ataku za pomoc¹ skradzionego uwierzytelnienia jest skuteczniewyeliminowane, poniewa¿ nie mo¿na fizycznie wydostaæ klucza z karty.Bez karty napastnik nie ma dostêpu do zasobów chronionych przez Smart Card.W sieci nie s¹ przesy³ane w ¿adnej postaci has³a lub inne informacje nadaj¹cesiê do ponownego wykorzystania.UwagaFunkcjonalnoœæ kart inteligentnych (Smart Card) uwa¿ana jest przez Microsoft zatak wa¿n¹, i¿ zosta³ opublikowany model ³¹czenia i wykorzystania czytników kartinteligentnych z Windows 2000.Model ten opiera siê na specyfikacji PC/SC(Personal Computer/Smart Card) i na wbudowanej w Windows 2000 implementacjiSCard COM, stanowi¹cej zbiór obiektów interfejsu COM, z których mo¿na budowaæinterfejsy wysokiego poziomu lub aplikacje u¿ywaj¹ce kart inteligentnych.Microsoft s³usznie oczekuje, i¿ logowanie za pomoc¹ kart inteligentnych wprzysz³oœci stanie siê wa¿n¹ funkcj¹ wykorzystywan¹ przez coraz wiêcej firm.Wpraktyce mo¿emy zacz¹æ braæ sobie do serca karty inteligentne dla zwiêkszaniabezpieczeñstwa najbardziej wra¿liwych kont u¿ytkowników (szczególniewszechpotê¿nych kont administracyjnych, poniewa¿ równie¿ dla administratorówzmniejszy to potrzeby pamiêtania szeregu hase³), oraz dla u¿ytkownikówloguj¹cych siê spoza organizacji.Proszê pamiêtaæ, i¿ logowanie za pomoc¹ kart inteligentnych dopiero raczkuje.Ztego powodu — jak równie¿ z powodu delikatnej natury logowania kart¹inteligentn¹ — nale¿y uwa¿aæ, by wybieraæ jedynie czytniki kart wymienione wliœcie zgodnoœci sprzêtowej Windows 2000 (HCL – Hardware Compatibility List).Ico najwa¿niejsze: nale¿y sprawdziæ, czy wybrany typ karty inteligentnej wymagado dzia³ania dodatkowego CSP w systemie, obs³uguj¹cego czytnik — poniewa¿ mo¿eto oznaczaæ mnóstwo pracy, w zale¿noœci od iloœci zaanga¿owanych systemów i ichkonfiguracji.WskazówkaW chwili obecnej Windows 2000 obs³uguje jedynie karty inteligentne Gemplus,GemSAFE i Schlumberger Cryptoflex [ Pobierz caÅ‚ość w formacie PDF ]