Access Control
Presented by: Dr. M Akbar Marwan http://akbar.staff.gunadarma.ac.id IAEA International Atomic Energy Agency
July 2015
Objective • Penjelasan singkat Acces Control • Teknik Autentikasi • Password • Tokens Smart cards • Biometrics • Autentikasi kriptografi • Beberapa faktor Autentikasi • Perbandingan Jenis • Kesimpulan IAEA
2
konteks Kadang-kadang digunakan untuk mengontrol akses ke informasi , sistem , atau fasilitas . - email, programs, buildings, dll.. Beberapa teknologi dan metode mendukung penggunaan array untuk melakukannya. Presentasi ini dirancang untuk memberikan gambaran dari beberapa metode tersebut. Masing-masing memiliki kekuatan dan kelemahan IAEA
3
Defence-in-depth – Layered Protection Policies Procedures, Awareness Lapisan pertahanan dilaksanakan di berbagai tingkat arsitektur komputer dan dikombinasikan dengan langkahlangkah teknis maupun administratif untuk melindungi isi (Data)
IAEA
Physical protection layer Network Host Application Data
4
4
Access Control Istilah kontrol akses merujuk kepada masalah mengenai akses sumber daya sistem . Access Control
Authentication IAEA
Authorization 5
Authentication Otentikasi dapat dilakukan dengan dua cara: Authentication
Identification IAEA
Verification 6
Authentication Dua kemungkinan membutuhkan otentikasi: • Ketika Anda menyalakan komputer tunggal, Bagaimana komputer menentukan bahwa Anda adalah benar-benar Anda dan bukan orang lain? • Ketika anda masuk (log in) ke akun online banking anda, bagaimana server Bank anda tau itu adalah benar anda dan bukan orang lain. IAEA
7
Authorization • Setelah anda telah melakukan otentikasi melalui komputer atau server pada jaringan, anda harus membangun batasan pada aktivitas anda.
• Batasan Otorisasi dilakukan kepada pengguna aotentikasi.
IAEA
8
Access Control System Operation Masing-masing komponen dan fungsi perlu dinilai untuk keamanan.
IAEA
9
Prinsip Access Control Access Control Server
• Sistem fisik Access Control bekerja pada prinsip yang sama dan arsitektur juga seringkali sama IAEA
10
Beberapa cara untuk otentikasi • Sesuatu yang Anda tahu (rahasia) • Ini mengasumsikan bahwa hanya pemilik akun tahu rahasia misalnya password atau PIN yang diperlukan untuk otentikasi.
• Sesuatu yang dimiliki (metode unik) • Ini mengasumsikan bahwa hanya pemilik akun memiliki mekanisme unik untuk mengotentikasi misalnya kartu pintar atau tanda.
• Sesuatu seperti (fitur unik biologi) • Ini mengasumsikan bahwa spesifik tubuh dapat digunakan untuk tegas mengidentifikasi seseorang.
Itu adalah metode otentifikasi secara single atau kombinasi dari beberapa darinya di dalam order untuk membuat otentikasi yang kuat
IAEA
11
Apa cara terbaik untuk Otentikasi? Setiap bentuk otentikasi memiliki : • Tingkat keamanan yang berbeda • karakteristik Kemudahan penggunaan yang berbeda • Biaya yang berbeda untuk mendapatkan • Biaya yang berbeda untuk mengelola • kenyamanan
IAEA
12
Teknik otentikasi • Sandi berdasarkan (sesuatu yang Anda tahu) • Token ( Password generators) berdasarkan (sesuatu yang Anda miliki)
• Smart card berdasarkan (sesuatu yang Anda miliki) • MAC address dilaptop (sesuatu yang Anda miliki)
• Biometric berdasarkan (sesuatu tentang anda) • Kombinasi yang berbeda dari atas IAEA
13
Definisi baru otentikasi Elektronik
• Otentikasi adalah proses penentuan identitas dari mesin / manusia untuk tingkat kebutuhan jaminan. • Mekanisme untuk membuktikan identitas jarak jauh dapat menjadi lebih kompleks. • Pendekatan dinilai
IAEA
14
Token
• Teknik otentikasi berbasis Token
IAEA
15
otentikasi Token • Kebanyakan pengganti umum untuk password sederhana adalah • • • • • • •
token otentikasi. Ini adalah merancang yang menghasilkan password baru yang akan digunakan untuk otentikasi setiap kali digunakan. Hal ini sangat kecil dalam ukuran seperti mobil remote control. Memiliki prosesor, layar LCD dan baterai. Mungkin juga memiliki keypad untuk memasukkan informasi dan waktu jam nyata. Biasanya baterai berlangsung seumur hidup token. Out menempatkan nilai-nilai numerik atau heksadesimal. Setiap token diprogram dengan nilai unik yang disebut benih. Benih memastikan bahwa setiap tanda akan menghasilkan seperangkat unik kode output. Kode ini sejumlah pseudorandom disebut satu kali password.
IAEA
16
Token • Ada dua jenis token yang tersedia: • Challenge response token (Asynchronous Tokens) • Token berbasis waktu(Synchronous Tokens)
IAEA
17
Challenge / Response Encryp
Challenge / response Token
token is in possession of the authen
Input the challenge, from popup window, in the token using the keypad
Authen
Generate a Random Number Seed Database
Enter
Internal Seed
Challenge
Challenge Match?
Token Encrypt the challenge using Internal seed as a key
Response on the Token LCD screen
Read the Response on the LCD Screen and Enter it at the logon prompt
Challenge Server Decrypt the challenge using Internal seed as a key
Response on popup
Logon Popup Window 18
Challenge / Response Encryp
Input the challenge, from popup window, in the token using the keypad
Parallel computa
Authen
Seed Databa se
Enter
Internal Seed
Challenge
Challenge
Server Encrypt the challenge using Internal seed as a key Truncate the response
Token Encrypt the challenge using Internal seed as a key Truncate the response
Response on the Token LCD screen
Read the Response on the LCD Screen and Enter it at the logon prompt
Logon Popup Window
Response on popup
Match?
19
Challenge / Response Encryp
Generate a Random Number
Seed Databa se
Enter
Internal Seed
Truncate the response if required at both the ends
Authen
Input the challenge, from popup window, in the token using the keypad
Challenge
Challenge
Truncate the response if required at both the ends
Response on the Token LCD screen
Read the Response on the LCD Screen and Enter it at the logon prompt
Logon Popup Window
Response on the Token LCD screen
Response on popup
Match? 20
Token berbasis waktu Time Based Token
Server Clock (SEED)
Token Clock (SEED)
4657
Authen
Seed Databa se
Internal Seed
Challenge
Truncate the response if required at both the ends
Challenge
Truncate the response if required at both the ends
Response on the Token LCD screen
Read the Response on the LCD Screen and Enter it at the logon prompt
Pseudorandom number
Logon Popup Window
Response on the Token LCD screen
Response on popup
Match? 21
Token berbasis waktu Time Based Token
4657
Server Clock Authen
Token Clock
Internal Seed
If aZer adjus
The hardware real <me clock in the Time Based token can driZ due to ambient temperature changes. As a result the generated response will not be matched
+2 0 -2
If we could not locate the response within the inner window, search within the outer window, if the response is located, ask the user for the next response, if the next response is correct, let user IN and store the new clock offset.
Seed Databa se
+10 0 -10
If we could not locate the response within the outer window, reject the authen
22
Tokens dengan dua faktor otentikasi
IAEA
23
Tokens dengan dua faktor otentikasi • Menggunakan PIN dengan token otentikasi akan membuat dua faktor otentikasi. • Dua cara utama untuk memperkenalkan PIN di token: • Aktivasi PIN dari token. • PIN faktor ke dalam perhitungan respon komputasi.
IAEA
24
Smart card berbasis otentikasi
IAEA
25
Smart Cards • Smart cards dikembangkan berdasarkan standart ISO7816 • mendefinisikan bentuk, ukuran, ketebalan, posisi kontak, protokol sinyal listrik dan beberapa fungsi sistem operasi yang mendukung smart card.
• Contoh seperti : credit card.
• Smart cards memiliki data prosesor yang kecil tetapi dapat menerima data, proses ini menggunakan program penyimpanan didalam memori dan kemudian hasil dipancarkan keluar melalui port komunikasi. IAEA
26
Smart card and smart card reader
Smart card reader
Smart card
IAEA
27
Arsitektur Smart Card
VCC
GND
ISO 7816 Power, Clock and I/O Bus 8-bit or 16-bit Microcontroller
Reset Clock
I/O RAM 256 bytes+ Crypto accelerator ROM 2 KB+
Crypto accelerator is in the Crypto smart card only
IAEA
Internal Chip Bus
EEPROM 8-64 KB+
28
Smart Cards • Smartcard dapat digunakan untuk otentikasi berdasarkan "sesuatu yang Anda miliki." • Hal ini dapat memungkinkan kunci kriptografi atau rahasia lainnya, dan mungkin melakukan beberapa perhitungan pada kartu.
IAEA
29
Pembaca Smart Card • Tujuan utama smarycard reader (pemcaca) adalah digunakan untuk memverivikasi informasi yang tersimpan didalam kartu. • Pembaca menciptakan sinyal-sinyal listrik yang diperlukan untuk me-reset smart card, kekuatan itu, memberikan komunikasi dan sistem jam (3-5 MHz, 5v). • Sekarang 32bit RISK-based dengan frequensi 25 MHz ,ARM processors digunakan pada smartcard IAEA
30
Jenis Smart Cards • Tiga jenis smart card yang tersedia: • Kartu kontak: kartu pintar yang memiliki bantalan kontak dan memiliki kontak listrik langsung dengan pembaca mereka disebut kartu kontak. • Contact-less cards): yang tidak memiliki bantalan kontak dan yang memiliki koneksi RF antara kartu pintar dan pembaca disebut kartu kontak-kurang. • Combi-card: Apakah kedua kontak dan loop kawat. IAEA
31
Klasifikasi smart cards • Isi storage kartu: ada PIN (dilindungi 9encrypted) memory, EEPROM. Ini digunakan untuk tarik tunai dll. Ini seperti memori pada kartu • Cryptographic smart cards dan non cryptographic smart cards.
IAEA
32
Smart card Properties • Temper resistant dan Temper proof • Teknologi Crypto untuk algoritma kunci enkripsi public dibangun pada semua protokol authentication dapat digunakan. • Seiring dengan kartu Anda akan perlu untuk selalu membawa pembaca kartu atau komputer / laptop harus memiliki pembaca kartu inbuilt. IAEA
33
Smart Card Based Applications • Digunakan dalam dua faktor otentikasi • Smart card Crypto dapat memegang kunci publik dan swasta dan sertifikat untuk digunakan oleh web browser. Mereka melakukan operasi kriptografi dalam kartu. • Mereka dapat digunakan sebagai cache password untuk menyimpan berbagai user ID dan password yang digunakan untuk mendapatkan akses ke berbagai sumber daya. IAEA
34
Smartcards • Mekanisme kriptografi yang kuat • pelaksanaan aman • Elektronik tanda tangan, enkripsi,hash…
• Perlindungan data • Khususnya untuk kunci kriptografi
• Nyata otentikasi dua faktor • Elemen otentikasi di kartu fisik • pengetahuan PIN yang diperlukan IAEA
35
Metode otentikasi kriptografi
IAEA
36
Kriptografi Authentication Protokol • • • • • •
Otentikasi Berdasarkan Shared Secret Key Membangun Shared Key: Diffie-Hellman Otentikasi Menggunakan Kerberos Otentikasi Menggunakan Public-Key Cryptography Tanda tangan digital Ford Verisign dan Kaliski dari RSA telah mengembangkan teknik "Password pengerasan" di mana Server sandi pengerasan membantu untuk membuat password yang kuat dari password pengguna disediakan
IAEA
37
38
Signature generation
Signature Verification
Message
Message
Hash
Hash Signature
Digest Private key of A
Encrypt Signature
Digest 2 Public key of A
Decrypt Digest 1
If exact match then the signature is valid
39
Comparison of Authentication Methods Authentication Type Something you know
Example
Advantages
• Password • Passphrase • Personal identification number
• Easy and • inexpensive to implement
Something you have
• Token, Memory card, • Smart card
• Difficult to attack
Something you are
• Biometric device (fingerprint, voice recognition, eye scanners, etc…)
• Portable and provides an easy method of authentication
IAEA
Disadvantages • Easy to guess • Subject to password sniffers and dictionary attacks • Users do not always secure their passwords • Can be lost or stolen, • can be expensive to implement • Can be expensive to implement, user acceptance may be difficult, • False rejections and false exception rates must meet security objectives
Ref: Official (ISC)2 Guide to the CISSP Exam, Susan Hansche CISSP, John Berti CISSP, Chris Hare CISSP, Auerbach Publications, New York, 2004. Page 168
40
Kesimpulan • Kuat dua atau tiga faktor otentikasi diperlukan untuk melindungi sumber daya kritis • Token otentikasi adalah bentuk dominan dari otentikasi yang kuat. • Hybrid PKI-tanda semakin populer. Dalam SSL, PKI digunakan untuk otentikasi server dan mengenkripsi sesi. Token digunakan untuk mengotentikasi klien. IAEA
41
kesimpulan …… • Smart card adalah tempat yang ideal untuk mengadakan kunci pribadi dan melakukan operasi PKI aman. • Biometrik yang kompleks. Sebagai perangkat otentikasi faktor tunggal, mereka mudah digunakan, tetapi tidak memiliki keamanan yang kuat. Dalam kombinasi dengan faktor-faktor lain dapat menciptakan solusi otentikasi 2- dan 3-faktor yang kuat. IAEA
42
Questions?
IAEA
43
