r/>
Механізми аутентифікації на основі сертифікатів зазвичай використовують протокол із запитом і відповіддю. Згідно з цим протоколом сервер аутентифікації направляє користувачеві послідовність символів, звану запитом, а програмне забезпечення клієнтського комп'ютера для генерування відповіді виробляє за допомогою закритого ключа користувача цифровий підпис під запитом від сервера аутентифікації. Загальний процес підтвердження автентичності користувача складається з наступних стадій:
) отримання відкритого ключа CA (одноразовий процес);
2) отримання по деякому незахищеному каналу від цього користувача його сертифіката відкритого ключа (що включає отримання ідентифікатора користувача, перевірку дати і часу щодо терміну дії, зазначеного в сертифікаті, на основі локальних довірених годин, перевірку дійсності відкритого ключа СА, перевірку підписи під сертифікатом користувача за допомогою відкритого ключа СА, перевірку сертифіката на предмет відкликання);
) якщо всі перевірки успішні, відкритий ключ у сертифікаті вважається справжнім відкритим ключем заявленого користувача;
) перевірка на наявність у користувача закритого ключа, відповідного даному сертифікатом, за допомогою алгоритму запит-відповідь.
Як приклад алгоритмів, що працюють за такою схемою, можна назвати протокол SSL. Аутентифікація з відкритим ключем використовується як захищений механізм аутентифікації в таких протоколах як SSL, а також може використовуватися як один з методів аутентифікації в рамках розглянутих протоколів Kerberos і RADIUS [3]. br/>
1.7 Використання смарт-карт і USB-ключів
Попри те, що криптографія з відкритим ключем згідно специфікації Х.509 може забезпечувати сувору аутентифікацію користувача, сам по собі незахищений закритий ключ подібний паспортом без фотографії. Закритий ключ, що зберігається на жорсткому диску комп'ютера власника, вразливий по відношенню до прямих і мережевим атакам. Досить підготовлений зловмисник може викрасти персональний ключ користувача і за допомогою цього ключа представлятися цим користувачем. Захист ключа за допомогою пароля допомагає, але недостатньо ефективно - паролі уразливі по відношенню до багатьох атак. Безсумнівно, потрібно більш безпечне сховище. p align="justify"> Аутентифікацію на основі смарт-карт і USB-ключів найскладніше обійти, оскільки використовується унікальний фізичний об'єкт, яким повинен володіти людина, щоб увійти в систему. На відміну від паролів власник швидко дізнається про крадіжку і може відразу прийняти необхідні заходи для запобігання її негативних наслідків. Крім того, реалізується двофакторна аутентифікація. Мікропроцесорні смарт-карти і USB-ключі можуть під...
