it-swarm-id.com

Perbedaan antara otentikasi dan identifikasi [Crypto and Security perspektif]

Saya selalu bingung dengan cara otentikasi kata digunakan dalam literatur keamanan (mis., Di luar wilayah crypto). Sebagian besar waktu saya mengerti bahwa mereka sebenarnya menyiratkan identifikasi .

Misalnya dari Wikipedia: Layanan Otentikasi Pusat menggunakan istilah otentikasi untuk menyiratkan identifikasi (jika saya mengerti dengan benar).

Di Crypto, sejauh yang saya mengerti:

  • Otentikasi: bukti bahwa pesan berasal dari pemegang beberapa rahasia yang diberikan.
  • Identifikasi: bukti yang tidak dapat dipindahtangankan bahwa pihak lain mengetahui beberapa rahasia yang diberikan (tanpa mengungkapkan rahasia)
  • Non-repudiation: bukti yang dapat dipindahtangankan bahwa pesan berasal dari pemegang beberapa rahasia yang diberikan.

[Tolong beri tahu saya jika saya memahami ketiga istilah dengan benar. Merasa bebas untuk memberikan definisi alternatif/halus/lebih bermanfaat]

Dapatkah seseorang menguraikan makna dari dua istilah authentication dan identification dalam kedua crypto dan literatur keamanan umum?

19
Jus12

Dalam konteks komunikasi melalui jaringan, identitas setara dengan pengetahuan sepotong data tertentu: singkatnya, dari luar, apa yang Anda dapat mengetahui entitas yang diberikan dari luar terdiri secara eksklusif dalam byte apa yang dikeluarkan entitas, yaitu apa yang dapat compute. Karena semua orang dapat membeli jenis PC yang sama, perbedaan dalam kemampuan komputasi pada akhirnya terletak pada apa yang entitas ketahui. Misalnya. Anda berbeda dari saya, dari sudut pandang StackExchange, hanya karena Anda tahu kata sandi ke akun 'Jus12', dan saya tidak, sementara saya tahu kata sandi akun 'Tom Leek', dan Anda tidak tahu.

Identifikasi adalah tentang memastikan bahwa entitas yang diberikan terlibat dan entah bagaimana 'aktif'. Sebagai contoh, server StackExchange dapat memastikan bahwa saya hidup dan menendang dengan menantang saya (komputer saya) dengan menunjukkan kata sandi saya. Perhatikan bahwa server StackExchange (sebenarnya, server lain karena mereka menggunakan skema tidak langsung, tapi itu teknis) juga tahu kata sandi saya, jadi ketika tantangan SE berhasil direspon, server SE hanya tahu bahwa, di ujung lain dari garis, mengoperasikan entitas yang entah saya atau server SE itu sendiri. Protokol identifikasi harus berhati-hati untuk menghindari atau setidaknya secara andal mendeteksi kejadian server yang diinduksi untuk berbicara dengan dirinya sendiri oleh individu yang berniat licik (selanjutnya disebut oleh istilah umum 'penyerang').

Identifikasi, seperti itu sendiri, sangat tidak berguna. Apa yang ingin diketahui server SE bukanlah bahwa saya, Tom Leek, ada dan terjaga; server SE cukup yakin akan hal itu, dan tidak peduli. Apa yang diinginkan server SE adalah memastikan bahwa saya setujui permintaan HTTP yang akan saya terbitkan. Mereka ingin otentikasi : itu identifikasi yang diterapkan pada beberapa data lain. Dengan demikian, identifikasi adalah berguna sejauh dapat diyakini berlaku untuk banyak data, yang kemudian sebagai sumber yang "diverifikasi". Tautan antara identitas dan data harus tangguh sehubungan dengan kemarahan yang mungkin ditimbulkan oleh penyerang pada data. Dalam kasus StackExchange, penyerang seharusnya cukup lemah, karena integritas dari permintaan HTTP diasumsikan: bagian identifikasi menjadi cookie, seperti bagian dari permintaan HTTP, dan server SE hanya mengasumsikan bahwa penyerang tidak dapat mengubah permintaan atau cookie, atau menyalin cookie dan mencangkokkannya pada permintaan HTTP palsu baru.

Otentikasi yang lebih menyeluruh biasanya menggunakan tautan kriptografis yang kuat, mis. a SSL/TLS tunnel (sering sebagai bagian dari HTTPS). Properti kriptografi terowongan menyiratkan bahwa server dapat memastikan bahwa ia akan berbicara dengan entitas yang sama sepanjang sesi SSL; selain itu, server mengasumsikan bahwa pengguna tidak akan memainkan protokol identifikasi apa pun yang terkait dengan kata sandi akunnya kecuali jika hal ini terjadi melalui terowongan SSL di mana server telah diautentikasi (yaitu, klien yakin bahwa itu berbicara ke server yang tepat - itulah yang dilakukan server sertifikat - dan bahwa data apa pun yang dikirim akan masuk ke server itu saja, jadi ini otentikasi). Dalam kondisi ini, jika server dapat mengidentifikasi saya di dalam terowongan itu, maka identifikasi mencakup data apa pun yang dikirim melalui terowongan sesudahnya: terowongan adalah tautan antara identifikasi dan data, jadi ini adalah otentikasi .

Non-repudiation adalah karakteristik dari beberapa protokol otentikasi, di mana hubungan antara identitas dan data dapat diverifikasi tidak hanya oleh siapa pun, secara interaktif, di ujung lain dari garis, tetapi juga oleh pihak ketiga yang tersembunyi, misalnya seorang hakim. Skema berbasis kata sandi biasanya tidak menawarkan properti itu, karena siapa pun yang memverifikasi kata sandi juga harus lebih mengenalnya secara langsung, dan dengan demikian dapat membingkai dugaan emitor. Non-repudiation membutuhkan matematika. Perhatikan bahwa, dalam terowongan SSL, klien mengotentikasi server melalui sertifikatnya, yang penuh dengan kriptografi asimetris, tetapi ini tidak memberikan non-penolakan: klien yakin bahwa data apa pun yang diterima dari server benar-benar berasal dari server , tetapi tidak ada yang dapat direkam klien, yang akan meyakinkan hakim bahwa server sungguh mengirim data itu. Untuk mendapatkan penolakan, Anda perlu tanda tangan digital . Tanpa penolakan, seseorang dapat memperoleh otentikasi dengan algoritma yang dikenal sebagai Kode Otentikasi Pesan , yang secara komputasi lebih ringan. Yang membingungkan, ada tradisi yang luas (tetapi tidak benar) menyebut MAC "tanda tangan".

Ringkasan:

  • Identifikasi: entitas spesifik [~ # ~] e [~ # ~] terlibat dan merespons.
  • Integritas: data apa pun yang diterima telah dikirim apa adanya oleh beberapa entitas E ' dan tidak diubah.
  • Otentikasi: identifikasi dan integritas secara bersamaan ( E = E ').
  • Non-repudiation: otentikasi yang dapat meyakinkan hakim.
20
Tom Leek

Identifikasi adalah cara untuk menggambarkan kepala sekolah, mis. nama pengguna, email, Depan + Nama belakang, dll. Kepala sekolah adalah pengguna.

Otentikasi adalah cara untuk membuktikan bahwa kepala sekolah adalah siapa yang mereka katakan.

Jadi misalnya ketika saya masuk ke sistem saya mengidentifikasi diri saya dengan nama pengguna saya (Hai, saya SteveS), dan saya mengotentikasi diri saya sendiri dengan memberikan kata sandi yang saya tahu dan sistem dapat memvalidasi (saya SteveS karena kata sandi saya " foo ").

Contoh dunia nyata yang baik adalah penggunaan SIM. Saya dapat menempelkan label nama di baju saya dan mengidentifikasi bahwa saya Joe, tetapi jika seseorang membutuhkan bukti bahwa saya Joe, saya menunjukkan kepada mereka SIM saya. Otentikasi dilakukan dengan membandingkan foto pada lisensi dengan orang tersebut.

8
Steve

Jawaban saya pendek, tetapi beginilah saya selalu membaca keduanya.

Identifikasi berarti, "Saya Joe Schmoe!" Otentikasi membuktikannya dengan sesuatu (kata sandi, akta kelahiran, hasil DNA).

Dalam IT, kita membutuhkan masing-masing orang untuk memiliki ID yang terpisah sehingga kita dapat mengidentifikasi mereka dengan benar dan menetapkan hak-hak mereka (saya Joe Schmoe! Saya juga! Saya tiga! Tetapi kita semua tidak memerlukan akses yang sama). Kami juga membutuhkan orang untuk membuktikan bahwa mereka adalah orang yang mereka klaim dengan mengotentikasi diri mereka sendiri (ingat tiga faktor otentikasi, sesuatu yang Anda tahu, miliki, atau sedang).

3
Jeff

Menggunakan penjelasan sederhana

Identifikasi: adalah bagaimana Anda mengidentifikasi seseorang, yaitu, bagaimana Anda akan memanggil orang atau perusahaan itu. Bisa nama, nomor rekening di bank, nama pengguna di beberapa sistem tertentu.

Otentikasi: adalah cara Anda mengonfirmasi bahwa seseorang, yang melakukan sesuatu di sistem Anda, benar-benar seperti yang dikatakannya. Dia dapat membuktikan bahwa dengan memberikan sesuatu yang dia tahu (kata sandi - otentikasi satu faktor), atau dengan memberikan sesuatu yang dia tahu + sesuatu yang dia miliki (kata sandi + sertifikat digital - otentikasi dua faktor).

Non-repudiation: satu orang tidak dapat menyangkal kepengarangan beberapa dokumen, dll, karena dokumen hanya dapat diproduksi oleh seseorang yang diautentikasi, sehingga ada hubungan antara identitas tertentu dan dokumen tersebut.

2
woliveirajr

Identifikasi - Siapa kamu?

Otentikasi - Pastikan Anda adalah orang yang Anda katakan.

Saya akan memberikan jawaban yang sangat berbeda dari semua jawaban di sini.

Perbedaan antara otentikasi dan identifikasi tidak masalah.

Semua orang tampaknya mendefinisikannya secara berbeda, misalnya kertas Fiat-Shamir mendefinisikan hal berikut:

  1. Otentikasi: Alice dapat membuktikan kepada Bob bahwa dia adalah Alice, tetapi Charles tidak dapat membuktikan kepada Bob bahwa dia adalah Alice.
  2. Identifikasi: Alice dapat membuktikan kepada Bob bahwa dia adalah Alice, tetapi Bob tidak dapat membuktikan kepada David bahwa dia adalah Alice.
  3. Tanda Tangan: Alice dapat membuktikan kepada Bob bahwa dia adalah Alice, tetapi Bob tidak dapat membuktikan pada dirinya sendiri bahwa dia adalah Alice.

(yang saya tebak didasarkan pada fakta bahwa dalam protokol sigma seperti protokol schnorr identifikasi, untuk memberikan properti tanpa pengetahuan, verifier harus dapat membuat transkrip palsu yang berhasil mengidentifikasi prover )

Dua titik kebingungan tambahan:

  • otentikasi juga merupakan istilah yang kelebihan beban, misalnya digunakan dalam kode otentikasi pesan dan enkripsi terotentikasi yang berarti "integritas (perlindungan)".
  • banyak artikel di web tentang otentikasi vs otorisasi, karena beberapa masalah dengan protokol otorisasi seperti OAuth 2.0 (mis. izinkan saya mengakses email dan gambar profil dari profil facebook ini) sedang digunakan sebagai protokol otentikasi (misalnya saya profil facebook ini).

Jadi, untuk menjadi sederhana, Otentikasi adalah tentang membuktikan siapa Anda. Tidak ada lagi.

0

Identifikasi mengharuskan verifikator memeriksa informasi yang disajikan terhadap semua entitas yang diketahuinya Otentikasi mensyaratkan bahwa informasi diperiksa untuk satu entitas yang sebelumnya diidentifikasi.

0
Hamidullah Amid

Identifikasi: Siapa kamu?

Otentikasi: Oke. Bagaimana Anda bisa membuktikannya?

Otorisasi: Apa yang bisa saya lakukan?

0