使用硬件令牌登錄

Question

我是密碼學領域的新手，正在學習PKI和PKCS等。我理解PKI的基本概念以及它如何用於加密/解密。然而，我很困惑如何使用硬件令牌如USB令牌或智能卡來安全登錄到您的計算機。以下是我理解的步驟以及我感到困惑的部分（對於問題長度，提前抱歉）：

場景：網絡上的計算機xyz包含僅屬於組SECRET的用戶可以訪問的數據。用戶Bob和Joe在這個組中，並且已經發布了USB令牌，他們可以使用這些令牌來提供憑據，使他們能夠訪問這些資源。 USB令牌採用雙因素身份驗證，需要輸入一個引腳。令牌符合PKCS11。

1. 鮑勃插入USB令牌進入Linux機器
2. 一個PAM-PKCS11模塊識別該事件，並提示鮑勃進入他的腳。
3. 一旦鮑勃正確輸入他的4位PIN碼，對鮑勃的令牌認證證書的有效性的模塊檢查（這個因人而異，但什麼是最小的？）：
   • 定位根證書檢查對於信任的CA
   • 檢查證的有效日期，並撤銷關於對用戶文件令牌列出
   • 匹配ID（其中？缺少一個步驟）或目錄（LDAP等）
4. 如果一切正常，模塊通知PAM的成功結果。
5. 此行被標記爲足以使PAM接受認證並且Bob已登錄，並且可以查看SECRET組限制給用戶的信息。

我缺少的部分是存儲有關Bob是否可以訪問此計算機的信息，以及他與Bob網絡（甚至桌面）用戶綁定的方式。我知道有關Bob的其他識別數據將被存儲在USB上，包括一個ID（例如，電子郵件地址）。但是，這個強大的安全性如何？在登錄過程中使用加密的地方在哪裏（或者這不是這些令牌的真正目的）？如果有人拿到USB並知道4位數的引腳，那似乎是所有需要的，對吧？此外，它實質上是CA中的信任，即允許相信另一個用戶無法獲得新的USB令牌並使用可信的CA獲取新證書，但將所有識別數據指定爲與Bob相同？我知道我缺少一些關鍵部分..但是在閱讀了幾十篇文章後，這個領域的解釋似乎被掩蓋了。使用硬件令牌作爲驗證登錄到包含敏感數據的計算機的足夠方法是否是個好主意？或者這種令牌的目的主要是安全地存儲在其他應用程序中使用的密鑰對嗎？感謝您的幫助！

Answer 1

PAM（顧名思義）只處理認證。認證是關於證明用戶是誰，即「向我證明你是誰，你是誰」。這與授權是分開的，即「您是否有權訪問此資源？」。

有三個方面來驗證：
1.我知道
2.我有
3。我是

一個典型的用戶名/密碼組合適合於1.雖然令牌或其他PKCS設備適合2，而生物識別技術（如虹膜識別或指紋讀取適合第三種）。

您在安全性方面的這些方面越多，安全性越好/越嚴格。在這種情況下，登錄符合1和2，因此比用戶名和密碼更安全。如果有人爲了擺脫他而竊取他的裝置，那麼是的，它不會證明它是使用它的。但是，如果鮑勃將他的用戶名和密碼給予某人，那也不會。

令牌的要點是引入「擁有」某個事物的第二個因素，事實上，您還需要一個PIN意味着「知道」某些東西也是必需的。因此，系統可以更加確信這個人是他們自稱的人。

您提到的缺失部分是授權這是所陳述的一個獨立的身份驗證過程，僅在用戶驗證自己身份後纔會發生。在這種情況下，PAM具有Authenticated Bob，並向操作系統提供Bob確實正在使用該系統的確認。但是，操作系統將不得不在步驟5中執行一些其他檢查，以確認Bob有權訪問資源。