Kautotze

Kautotzea, autentifikazioa edo egiaztatzea objektu baten ezaugarriren bat egiaztatzeko prozeduren multzoa da. Ezaugarri hau, mezuaren igorlea, mezuaren osotasuna eta abar... izan daitezke.

Konputagailu-sareko datuen segurtasun arloan, baimentzearekin eta ikuskaritzarekin batera, kautotasuna oinarrizko hiru pausoen barruan dago. Hona aipatutako pausoak:

1. Kautotzea: Erabiltzailea identifikatzen den prozesua da.
2. Baimentzea: Sistemak erabiltzaile kautotuari dagozkion baliabideen sarbidea ematen dion prozesua da.
3. Ikuskatzea: Sistemak, erabiltzaile kautotuak edo ez kautotuak baliabideen gainean egiten dituen sarbide guztiak gordetzen dituen prozesua da.

Sarrera

Mezuak kautotzean zera lortu nahi da: komunikazioaren beste muturrean dagoena esaten duena dela, bermatzea da. Urruneko parte-hartzaile bat, elkarrizketako partaide legitimoa dela egiaztatzea.

Dirudiena baino zailagoa da, batez ere, erasotzaile batzuk denbora asko hartzen dutelako bere burua “ezkutatu edo mozorrotzen“. Horregatik, kautotzea, zifratzeko mekanismoak erabiliz egin behar da, eta horietako ezagunena sinadura digitala da.

Beste kautotze mota bat erabiltzailearen identifikazioa da. Kasu honetan, helburua, sisteman dagoen erabiltzailea legezkoa dela bermatzea da. Erabiltzaileak kautotzeko prozedurarik arruntena login delakoa da, non erabiltzailearen izena edo identifikazioa eta pasahitza eskatzen baita.

Bost kategoriatan sailka daitezke kautotzean egiaztatzen den informazioa, modu konbinatuan erabil daitezkeenak:

• Erabiltzaileak dakien edo gogoratzen duen hitza edo esaldia. Adibidez, Unixen aipatutako pasahitza erabiltzen da eta PGPn esaldi bat.
• Eskuratzen den objektu bat. Nortasun-agiria , txartel adimenduna (smartcard), usb berezi bat, edo koordenatuetako txartel bat dira adibideetako batzuk.
• Erabiltzailearen ezaugarri fisikoak. Ahotsa, idazkera, hatz-markak, edo irisa dira ohikoenak. Biometrian oinarritutako teknika nagusiak dira aurrekoak.
• Portaera. Adibidez teklatua erabiltzeko modua, ibilkera...
• Kokapena. Geolokalizazioa, saiakerari dagokion IP helbidea edo ordu zehatza dira adibideetako batzuk.

Kautotze prozedura orokorra

Kautotze prozedura orokorra ondorengo pausoak ditu:

1. Erabiltzailea sarbidea eskatzen du.
2. Sistemak kautotzea exijitzen dio erabiltzaileri.
3. Erabiltzaileak bere identifikazio datuak ematen ditu
4. Sistemak erabiltzaileren identifikazio datuak bere arauekin baliozkotzen ditu eta honen arabera sarbide ematen dio ala ez dio ematen.

Sarbide-kontrola bideratzeko kautotzea eskatzen duten adibide batzuk aipa daitezke: kutxazain automatiko batean dirua jasotzea, urruneko konputagailu batekin konektatzea edo online banketxean saio bat irekitzea.

Kautotzea Unixen

Oinarrizko kautotzea

Ohiko Unix sistema batean, erabiltzaile bakoitzak sistemara sartzeko izen bat (login) eta pasahitz bat ditu esleituta /etc/passwd fitxategian. Fitxategi horretan lerro bat dago erabiltzaile bakoitzeko, ondoko informazioarekin:^[1]

• Kontuaren izena edo identifikazioa. Zortzi karaktererainokoa izan ohi da eta publikoa da. Saio-hasieran identifikazioa eskatuko zaio erabiltzaileari pasahitzarekin batera.
• Pasahitz zifratua. Pribatua denez, ezin da agerian geratu, eta horrexegatik zifratu egiten da. Erabiltzaileari eskatzen zaionean, berak sakatutakoa ere zifratzen da, eta zifratutakoak alderatzen dira, ez baita posible jatorrizkoa zifratutik berreskuratzea. Hala ere, zifratuta egotea ez da berme nahikoa, erabiltzaileak pasahitz zifratuak eskuratu eta hiztegietan oinarritutako programa bereziekin asmatzen saia daitezke-eta. Horregatik shadow programaren bitartez lortzen da pasahitz zifratua bertatik desagertzea eta /etc/shadow fitxategian gordetzea, baina irakurtzeko baimena kenduta.
• Erabiltzailearen zenbakizko identifikadorea (UID, user identification). Zenbaki bat da, sistemaren barruan erabiltzen dena.
• Taldearen identifikadorea (GID, group identification).
• Erabiltzaileari buruzko informazioa. Administratzaileak erabiltzaileei buruz jakin beharrekoa kokatzen da hemen (izen-abizenak, telefonoa…).
• Kontuaren erro-katalogoa. Hau izango da erabiltzailearen erro-katalogoa kontuan sartzen denean, eta bertatik zintzilikatuko da erabiltzailearen fitxategi-sistema.
• Esleitutako komando-interpretatzailea. Kontuan sartzean martxan jarriko den programa exekutagarriaren bide absolutua agertuko da hemen. Unix eta Linux gehienetan /bin/bash izango da aukeratuko dena, baina aukera interesgarriak eskaintzen ditu horrek. Adibidez, erabiltzaile batek beti ofimatikako aplikazio bat erabiltzen badu, aplikazio horren programa nagusiaren bide absolutua zehaztea izango da egokiena. Kontu bat garai batez anulatzeko /bin/false zehatz daiteke eremu horretan.

Kontu errealak aparte, komenentziazko kontuak mantentzen ditu Linuxek aplikazio batzuen segurtasuna dela-eta. Erabiltzaile berezien adibide batzuk hauexek dira: daemon, bin, sys, adm, cron, mail, lp, lpd.

Erabiltzaileen pasahitzak zifratzeko, Unix sistema eragileak atzeraezinezko zifratze-metodo bat erabiltzen du, DES algoritmoan oinarritutako C crypt funtzio estandarra burutzen duena.

Hobekuntzak

Balizko erasotzaileak pasahitza lortzea da mehatxu nagusia. Esan bezala ezin da pasahitza deszifratu, baina oso erraza da hitz-zerrenda batetik abiatuta hautagaiak zifratzea eta emaitza gako-fitxategian gordetako katearekin konparatzea. Horrela, erasotzaile batek /etc/passwd fitxategia irakurriko luke, eta zerrendako hautagairen baten kode zifratua bertan agertzen bada, pasahitza jakingo luke. Badaude programak lan hori egiten dutenak, barruan dituzten hiztegiekin eta gehi daitezkeen beste hautagaiekin (artisten izenak, kirolariak...).

Aipatutako shadow aldaerak ahulezia hori konponbidean jarri du, /etc/passwd fitxategiari irakurtzeko baimena kentzen baitio. shadow bitartez, gainera, pasahitzen luzera minimoa, aldaketa-maiztasuna eta kontuaren iraungitze-data ere parametriza daitezke.

Unix modernoagoetan kautotzea PAM izeneko mekanismoaren bidez kontrolatzen da. PAMen bidez aplikazioak nahi ditugun kautotze-metodoekin lot diezaiekegu, ohiko pasahitzaz besteko eskemekin (erabilera bakarreko gakoak, biometrikoak, txartel adimendunak...) integratzeko aukera emanez.

Erreferentziak

1. ↑ Alegría, Iñaki. (2008). Linux : sistemaren eta sarearen administrazioa (Debian eta Ubuntu). (2. arg. argitaraldia) Udako Euskal Unibertsitatea ISBN 9788484381785. PMC 1055299395. (Noiz kontsultatua: 2022-11-08).

Ikus gainera

• Pasahitz
• Faktore anitzeko autentifikazio

Kanpo estekak

• https://zientzia.eus/artikuluak/interneteko-komunikazioen-segurtasuna-ii-autentifi/