Протоколи аутентифікації

Процедура аутентифікації використовується при обміні інформацією між комп'ютерами, при цьому використовуються вельми складні криптографічні протоколи, що забезпечують захист лінії зв'язку від прослуховування або підміни одного з учасників взаємодії. А оскільки, як правило, аутентифікація необхідна обом об'єктам, що встановлює мережеве взаємодія, то аутентифікація може бути і взаємною.

Найпростіший протокол аутентифікації - доступ по паролю (Password Authentication Protocol, PAP). Його суть полягає в тому, що вся інформація про суб'єкта (ідентифікатор і пароль) передається по мережі у відкритому вигляді. Це і є головним недоліком PAP, оскільки зловмисник може легко отримати доступ до незашифрованих даних, що передаються.

Більш складні протоколи аутентифікації засновані на принципі "запит-відповідь", наприклад, протокол CHAP (Challenge-Handshake Authentication Protocol). Робота протоколу типу "запит-відповідь" може складатися мінімум з чотирьох стадій:

Суб'єкт відправляє системі запит, що містить його персональний ідентифікатор.

Система генерує випадкове число і відправляє його суб'єкту.

Суб'єкт зашифровує отримане число на основі свого унікального ключа і результат відправляє системі.

Система розшифровує отримане повідомлення на основі того ж унікального ключа. При збігу результату з вихідним випадковим числом, аутентифікація проходить успішно.

Сам унікальний ключ, на основі якого проводиться шифрування і з одного, і з іншого боку, не передається по мережі, отже, зловмисник не зможе його перехопити. Але суб'єкт повинен володіти власним обчислювальним шифрувальним пристроєм, наприклад, смарт-карта, мобільний телефон.

Принцип дії протоколів взаємної аутентифікації відрізняються від протоколів типу "запит-відповідь" незсуттєво:

Суб'єкт відправляє системі запит, що містить його персональний ідентифікатор і випадкове число N1.

Система зашифровує отримане число N1 на основі унікального ключа, генерує випадкове число N2, і відправляє їх обидва суб'єкту.

Суб’єкт розшифровує отримане число на основі свого унікального ключа і порівнює результат з N1. Ідентичність означає, що система володіє тим же унікальним ключем, що і суб'єкт.

Суб'єкт зашифровує отримане число N2 на основі свого унікального ключа і результат відправляє системі.

Система розшифровує отримане повідомлення на основі того ж унікального ключа. При збігу результату з вихідним числом N2, взаємна аутентифікація проходить успішно.

Алгоритм, наведений вище, часто називають рукостисканням. В обох випадках аутентифікація проходить успішно, тільки якщо суб'єкт має ідентичні з системою унікальні ключі.

В операційних системах сімейства Windows NT 4 використовується протокол NTLM (NT LAN Manager - Диспетчер локальної мережі NT). А в доменах Windows 2000/2003 застосовується набагато більш досконалий протокол Kerberos.