IAEA International Atomic Energy Agency
Access Control
Presented by: Dr. M Akbar Marwan
http://akbar.staff.gunadarma.ac.id
July 2015
IAEA
Objective
• Penjelasan singkat Acces Control
• Teknik Autentikasi • Password • Tokens Smart cards • Biometrics • Autentikasi kriptografi
• Beberapa faktor Autentikasi • Perbandingan Jenis • Kesimpulan
2
IAEA
konteks
Kadang-kadang digunakan untuk mengontrol akses ke informasi , sistem , atau fasilitas . - email, programs, buildings, dll.. Beberapa teknologi dan metode mendukung penggunaan array untuk melakukannya. Presentasi ini dirancang untuk memberikan gambaran dari beberapa metode tersebut. Masing-masing memiliki kekuatan dan kelemahan 3
IAEA
Policies Procedures, Awareness Physical protection layer
Network Host
Application
4
Data
Lapisan pertahanan dilaksanakan di berbagai tingkat arsitektur komputer dan dikombinasikan dengan langkah-langkah teknis maupun administratif untuk melindungi isi (Data)
Defence-in-depth – Layered Protection
4 4
IAEA
Access Control
Istilah kontrol akses merujuk kepada masalah mengenai akses sumber daya sistem
. Access Control
Authentication Authorization
5
IAEA
Authentication
Otentikasi dapat dilakukan dengan dua cara:
Authentication
Identification Verification
6
IAEA
Authentication
Dua kemungkinan membutuhkan otentikasi: • Ketika Anda menyalakan komputer tunggal,
Bagaimana komputer menentukan bahwa Anda adalah benar-benar Anda dan bukan orang lain?
• Ketika anda masuk (log in) ke akun online banking anda, bagaimana server Bank anda tau itu adalah benar anda dan bukan orang lain.
7
IAEA
Authorization
• Setelah anda telah melakukan otentikasi melalui komputer atau server pada jaringan, anda harus membangun batasan pada aktivitas anda.
• Batasan Otorisasi dilakukan kepada pengguna aotentikasi.
8
IAEA
Access Control System Operation
9
Masing-masingkomponendanfungsiperludinilaiuntukkeamanan.
IAEA
Prinsip Access Control
10
Access Control Server
• Sistem fisik Access Control bekerja pada prinsip yang sama dan arsitektur juga seringkali sama
IAEA
Beberapa cara untuk otentikasi
• Sesuatu yang Anda tahu (rahasia)
• Ini mengasumsikan bahwa hanya pemilik akun tahu rahasia misalnya password atau PIN yang diperlukan untuk otentikasi.
• Sesuatu yang dimiliki (metode unik)
• Ini mengasumsikan bahwa hanya pemilik akun memiliki mekanisme unik untuk mengotentikasi misalnya kartu pintar atau tanda.
• Sesuatu seperti (fitur unik biologi)
• Ini mengasumsikan bahwa spesifik tubuh dapat digunakan untuk tegas mengidentifikasi seseorang.
Itu adalah metode otentifikasi secara single atau kombinasi dari beberapa darinya di dalam order untuk membuat otentikasi yang kuat
11
IAEA
Apa cara terbaik untuk Otentikasi?
Setiap bentuk otentikasi memiliki : • Tingkat keamanan yang berbeda • karakteristik Kemudahan penggunaan yang
berbeda • Biaya yang berbeda untuk mendapatkan • Biaya yang berbeda untuk mengelola • kenyamanan
12
IAEA
Teknik otentikasi
• Sandi berdasarkan (sesuatu yang Anda tahu) • Token ( Password generators) berdasarkan
(sesuatu yang Anda miliki) • Smart card berdasarkan (sesuatu yang Anda miliki)
• MAC address dilaptop (sesuatu yang Anda miliki)
• Biometric berdasarkan (sesuatu tentang anda)
• Kombinasi yang berbeda dari atas
13
IAEA
Definisi baru otentikasi Elektronik
• Otentikasi adalah proses penentuan identitas dari mesin / manusia untuk tingkat kebutuhan jaminan.
• Mekanisme untuk membuktikan identitas jarak jauh dapat menjadi lebih kompleks.
• Pendekatan dinilai
14
IAEA
Token
• Teknik otentikasi berbasis Token
15
IAEA
otentikasi Token
• Kebanyakan pengganti umum untuk password sederhana adalah token otentikasi.
• Ini adalah merancang yang menghasilkan password baru yang akan digunakan untuk otentikasi setiap kali digunakan.
• Hal ini sangat kecil dalam ukuran seperti mobil remote control. • Memiliki prosesor, layar LCD dan baterai. Mungkin juga memiliki
keypad untuk memasukkan informasi dan waktu jam nyata. • Biasanya baterai berlangsung seumur hidup token. • Out menempatkan nilai-nilai numerik atau heksadesimal. • Setiap token diprogram dengan nilai unik yang disebut
benih. Benih memastikan bahwa setiap tanda akan menghasilkan seperangkat unik kode output.
• Kode ini sejumlah pseudorandom disebut satu kali password.
16
IAEA
Token
• Ada dua jenis token yang tersedia: • Challenge response token (Asynchronous Tokens) • Token berbasis waktu(Synchronous Tokens)
17
Challenge/ResponseEncryp<ngToken
4558921 3
4 5 67 8 90Enter
Challenge/
responseToken
Challenge
Inputthechallenge,frompopupwindow,inthetokenusingthekeypad
InternalSeed
ResponseontheTokenLCDscreen
ReadtheResponseontheLCD
ScreenandEnteritatthelogonprompt Logon
PopupWindow
Challenge
Authen<ca<onserver
SeedDatabase
GenerateaRandomNumber
TokenEncryptthechallengeusingInternal
seedasakey
Responseonpopup
ServerDecryptthechallengeusingInternal
seedasakey
ChallengeMatch?
18
Serverassumesthattokenisin
possessionoftheauthen<cuser.
Challenge/ResponseEncryp<ngToken
4558921 3
4 5 67 8 90Enter
Challenge/
responseToken
Challenge
Inputthechallenge,frompopupwindow,inthetokenusingthekeypad
InternalSeed
ResponseontheTokenLCDscreen
ReadtheResponseontheLCD
ScreenandEnteritatthelogonprompt
LogonPopupWindow
Challenge
Authen<ca<onserver
SeedDatabase
GenerateaRandomNumber
TokenEncryptthechallengeusingInternal
seedasakeyTruncatetheresponse
Responseonpopup
ServerEncryptthechallengeusing
InternalseedasakeyTruncatetheresponse
Match?
19
Parallelcomputa<on
Model
Challenge/ResponseEncryp<ngToken
4558921 3
4 5 67 8 90Enter
Challenge/
responseToken
Challenge
Inputthechallenge,frompopupwindow,inthetokenusingthekeypad
InternalSeed
ResponseontheTokenLCDscreen
ReadtheResponseontheLCD
ScreenandEnteritatthelogonprompt
LogonPopupWindow
Challenge
Authen<ca<onserver
SeedDatabase
GenerateaRandomNumber
Responseonpopup
Match?
ResponseontheTokenLCDscreen
Truncatetheresponseifrequiredatboththeends
Truncatetheresponseifrequiredatboththeends
20
TokenberbasiswaktuTimeBasedToken
InternalSeed
ResponseontheTokenLCDscreen
ReadtheResponseontheLCD
ScreenandEnteritatthelogonprompt
LogonPopupWindow
Authen<ca<onserver
SeedDatabase
Responseonpopup
Match?
ResponseontheTokenLCDscreen
Truncatetheresponseifrequiredatboththeends
Truncatetheresponseifrequiredatboththeends
4657
TokenClock(SEED)
ServerClock(SEED)
ChallengeChallenge
21Pseudorandom
number
TokenberbasiswaktuTimeBasedToken
InternalSeed
Authen<ca<onserver
SeedDatabase
4657
TokenClock
ServerClock
Thehardwarereal<meclockintheTimeBasedtokencandriZduetoambienttemperature
changes.Asaresultthegeneratedresponsewillnotbematched
IfaZeradjus<ngtheserverclockbythepreviously
storedclockoffset,wefindtheresponsewithintheinnerwindow,allowtheuserIN,andstorethenew
clockoffset
+2
0
-2
Ifwecouldnotlocatetheresponsewithintheinnerwindow,searchwithinthe
outerwindow,iftheresponseislocated,asktheuserforthenextresponse,ifthenext
responseiscorrect,letuserINandstorethenewclockoffset.
+10
0
-10
Ifwecouldnotlocatethe
responsewithintheouter
window,rejectthe
authen<ca<on
22
IAEA
Tokens dengan dua faktor otentikasi
23
IAEA
Tokens dengan dua faktor otentikasi
• Menggunakan PIN dengan token otentikasi akan membuat dua faktor otentikasi.
• Dua cara utama untuk memperkenalkan PIN di token:
• Aktivasi PIN dari token.
• PIN faktor ke dalam perhitungan respon komputasi.
24
IAEA
Smart card berbasis otentikasi
25
IAEA
Smart Cards
• Smart cards dikembangkan berdasarkan standart ISO7816
• mendefinisikan bentuk, ukuran, ketebalan, posisi kontak, protokol sinyal listrik dan beberapa fungsi sistem operasi yang mendukung smart card.
• Contoh seperti : credit card. • Smart cards memiliki data prosesor yang kecil
tetapi dapat menerima data, proses ini menggunakan program penyimpanan didalam memori dan kemudian hasil dipancarkan keluar melalui port komunikasi.
26
IAEA
Smart card and smart card reader
Smart card reader
Smart card
27
IAEA
Arsitektur Smart Card
VCC
Clock Reset
GND
I/O
8-bit or 16-bit Microcontroller
RAM 256 bytes+
ROM 2 KB+
EEPROM 8-64 KB+
Crypto accelerator
Internal Chip Bus
ISO 7816 Power,
Clock and I/O Bus
Crypto accelerator is in
the Crypto smart card only
28
IAEA
Smart Cards
• Smartcard dapat digunakan untuk otentikasi berdasarkan "sesuatu yang Anda miliki."
• Hal ini dapat memungkinkan kunci kriptografi atau rahasia lainnya, dan mungkin melakukan beberapa perhitungan pada kartu.
29
IAEA
Pembaca Smart Card
• Tujuan utama smarycard reader (pemcaca) adalah digunakan untuk memverivikasi informasi yang tersimpan didalam kartu.
• Pembaca menciptakan sinyal-sinyal listrik yang diperlukan untuk me-reset smart card, kekuatan itu, memberikan komunikasi dan sistem jam (3-5 MHz, 5v).
• Sekarang 32bit RISK-based dengan frequensi 25 MHz ,ARM processors digunakan pada smartcard
30
IAEA
Jenis Smart Cards
• Tiga jenis smart card yang tersedia:
• Kartu kontak: kartu pintar yang memiliki bantalan kontak dan memiliki kontak listrik langsung dengan pembaca mereka disebut kartu kontak.
• Contact-less cards): yang tidak memiliki bantalan kontak dan yang memiliki koneksi RF antara kartu pintar dan pembaca disebut kartu kontak-kurang.
• Combi-card: Apakah kedua kontak dan loop kawat.
31
IAEA
Klasifikasi smart cards
• Isi storage kartu: ada PIN (dilindungi 9encrypted) memory, EEPROM. Ini digunakan untuk tarik tunai dll. Ini seperti memori pada kartu
• Cryptographic smart cards dan non cryptographic smart cards.
32
IAEA
Smart card Properties
• Temper resistant dan Temper proof • Teknologi Crypto untuk algoritma kunci
enkripsi public dibangun pada semua protokol authentication dapat digunakan.
• Seiring dengan kartu Anda akan perlu untuk selalu membawa pembaca kartu atau komputer / laptop harus memiliki pembaca kartu inbuilt.
33
IAEA
Smart Card Based Applications
• Digunakan dalam dua faktor otentikasi • Smart card Crypto dapat memegang kunci
publik dan swasta dan sertifikat untuk digunakan oleh web browser. Mereka melakukan operasi kriptografi dalam kartu.
• Mereka dapat digunakan sebagai cache password untuk menyimpan berbagai user ID dan password yang digunakan untuk mendapatkan akses ke berbagai sumber daya.
34
IAEA
Smartcards
• Mekanisme kriptografi yang kuat • pelaksanaan aman
• Elektronik tanda tangan, enkripsi,hash… • Perlindungan data
• Khususnya untuk kunci kriptografi
• Nyata otentikasi dua faktor • Elemen otentikasi di kartu fisik • pengetahuan PIN yang diperlukan
35
IAEA
Metode otentikasi kriptografi
36
IAEA
Kriptografi Authentication Protokol
• Otentikasi Berdasarkan Shared Secret Key • Membangun Shared Key: Diffie-Hellman • Otentikasi Menggunakan Kerberos • Otentikasi Menggunakan Public-Key Cryptography • Tanda tangan digital • Ford Verisign dan Kaliski dari RSA telah mengembangkan
teknik "Password pengerasan" di mana Server sandi pengerasan membantu untuk membuat password yang kuat dari password pengguna disediakan
37
38
Signature generation
Message
Hash
Digest
Encrypt
Signature
Private key of
A
Message
Hash
Digest 2 Signature
Decrypt
Digest 1
Public key of
A If exact
match then the signature
is valid
Signature Verification
39
IAEA 40
Comparison of Authentication Methods Authentication
Type Example Advantages Disadvantages
Something you know
• Password • Passphrase • Personal
identification number
• Easy and • inexpensive to
implement
• Easy to guess • Subject to password
sniffers and dictionary attacks
• Users do not always secure their passwords
Something you have
• Token, Memory card,
• Smart card
• Difficult to attack
• Can be lost or stolen,
• can be expensive to implement
Something you are
• Biometric device (fingerprint, voice recognition, eye scanners, etc…)
• Portable and provides an easy method of authentication
• Can be expensive to implement, user acceptance may be difficult,
• False rejections and false exception rates must meet security objectives
Ref: Official (ISC)2 Guide to the CISSP Exam, Susan Hansche CISSP, John Berti CISSP, Chris Hare CISSP, Auerbach Publications, New York, 2004. Page 168
IAEA
Kesimpulan
• Kuat dua atau tiga faktor otentikasi diperlukan untuk melindungi sumber daya kritis
• Token otentikasi adalah bentuk dominan dari otentikasi yang kuat.
• Hybrid PKI-tanda semakin populer. Dalam SSL, PKI digunakan untuk otentikasi server dan mengenkripsi sesi. Token digunakan untuk mengotentikasi klien.
41
IAEA
kesimpulan ……
• Smart card adalah tempat yang ideal untuk mengadakan kunci pribadi dan melakukan operasi PKI aman.
• Biometrik yang kompleks. Sebagai perangkat otentikasi faktor tunggal, mereka mudah digunakan, tetapi tidak memiliki keamanan yang kuat. Dalam kombinasi dengan faktor-faktor lain dapat menciptakan solusi otentikasi 2- dan 3-faktor yang kuat.
42
IAEA
Questions?
43