Реферат: Программно-аппаратная защита информации
| № | Информация для идентификации | Информация для аутентификации |
| 1 | ID1 , S1 | E1 |
| 2 | ID2 , S2 | E2 |
| … | ||
| n | IDn , Sn | En |
В этом случае хэши будут различны. Данная схема используется в системах класса Unix.
Утверждение о подмене эталона
Если злоумышленник имеет доступ на запись в БД аутентификации, то он может пройти аутентификацию как любой пользователь КС, отраженный в ней, в том числе и как администратор. Следовательно, доступ на запись в БД аутентификации должны иметь только привилегированные субъекты.
Защита баз данных аутентификации операционных систем класса Windows NT .
В данных ОС БД аутентификации хранится в каталоге: winnt\system32\config
БДА носит название SAM, а файл System, в котором хранится ключ шифрования БД аутентификации.
В данной БД аутентификации хранится 2 вида хэшей:
- LANMAN, используемый для удаленной сетевой аутентификации с ранних версий Windows;
- NTLM, используется для локальной аутентификации.
Алгоритм вычисления хэша LANMAN
Например, если пароль будет состоять из заглавных букв английского алфавита (26), прописных букв английского алфавита (26), цифр (10), специальных символов (13), то
Тогда время подбора 
сек
Используя хэш LANMAN, получим, что
Время подбора пароля 
Минусы:
- все символы пароля преобразуются в заглавные, что уменьшает энтропию паролей, сокращает пространство их перебора;
- пароль разбивается на две части, которые образуются независимо друг от друга;
При выборе паролей больше 14 символов хэши LANMANиз БД исчезают, следовательно, необходимо выбирать пароли из 15-16 символов.
Хэш NTLM
Хэш NTLM имеет длину 16 байт. Каждому из паролей длины меньшей или равной 16 символов соответствует единственный хэш NTLM, по которому ОС будет определять корректность его ввода пользователем. Однако если выбрать пароли больше 17 символов, то для них найдутся другие с длинной меньше или равной 16 символам, которые будут иметь тот же самый хэш. В этом случае ОС будет пускать пользователя на пароле меньшей длины. Есть вероятность, что длина таких паролей будет очень мала. Поэтому в целях безопасности использование паролей длиной больше или равной 17 символов необходимо запретить. Для ОС, построенных на технологии NT, следует выбирать пароли 15-16 символов.
Лекция № 3
Протоколы стойкой удаленной аутентификации пользователей. Протокол CHAP, S/KEY. Удаленная аутентификация в Windows с использованием хэша LANMAN
При удаленной аутентификации требуется обеспечить защиту от двух основных видов угроз: 1) от угрозы прослушивания канала связи злоумышленником; 2) от атак методом повторов (злоумышленник, видя информацию, передаваемую при аутентификации, может использовать её при прохождении последующих аутентификаций, даже не зная пароля).
Для разрешения этих проблем требуется:
1) Передавать ключ аутентификации в закрытом виде
2) От клиента серверу должны передаваться при каждой аутентификации различные последовательности. Причем злоумышленник не должен быть способен восстановить последовательность, требуемую для аутентификации, зная всю предысторию передачи сообщений.
При построении протокола удаленной безопасной передачи для разрешения вышеперчисленных проблем используется 2 подхода:
1). Передача от сервера клиенту при запросе на аутентификацию случайного числа, которое будет использовано при закрытии пароля.
2). Независимое формирование клиентом и сервером последовательности одноразовых паролей, которые не могут быть построены злоумышленником. Каждый из таких паролей действует на протяжении одной аутентификации.
Протокол CHAP
При необходимости аутентификации клиента на сервере, сервер посылает клиенту запрос на аутентификацию, предварительно сформировав на своей стороне случайное число n, которое он включает в запрос. Клиент, зная пароль k, с помощью которого он будет проходить аутентификацию, формирует следующую последовательность 
и отсылает ее серверу. Сервер, зная ключ аутентификации клиента 
и сформированное им число 
, также вычисляет 
. После чего сравнивает с 
. При 
аутентификация принимается.
Протокол использования одноразовых ключей S / KEY