Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

One Time Password OTP

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
emoemo



Registrato: 13/06/07 10:17
Messaggi: 1

MessaggioInviato: Mer Giu 13, 2007 10:37 am    Oggetto: One Time Password OTP Rispondi citando

Per chi desidera una strong authentication utilizzando un midlet java come generatore OTP

www.freeauth.org

Possibilita' di scegliere normal/strong auth per i vari servizi di Zeroshell...

Attendiamo sviluppi o persone interessate, me compreso.

Ciao a tutti

Bravo Fulvio
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mer Giu 13, 2007 10:40 pm    Oggetto: Rispondi citando

A dire il vero, per implementare la Strong Authentication, pensavo, più che alle password OTP, alle Smart Card.
Grazie al protocollo pkinit, che è diventato uno standard, è possibile ottenere un ticket Kerberos v5 mediante una chiave privata a cui sia associato un certificato X.509. Il KDC Kerberos, in questi casi richiede la pre-authentication che, invece di essere criptata con la chiava ottenuta dalla password, viene criptata con la chiave privata dell'utente. Il cliente oltre a questo pacchetto criptato, invia al kdc anche il certificato che contiene la chiave pubblica. Il KDC verifica tramite il certificato della Certification Authority che il certificato dell'utente sia valido e in caso affermativo decripta con la chiave pubblica il pacchetto criptato con la chiave privata. Se in tale pacchetto è contenuto un timestamp compreso nella tolleranza allora la preautenticazione va a buon fine e il processo continua fino all'emissione del TGT.
Ovviamente per poter proteggere la chiave privata al meglio è necessario l'uso delle smart card.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Sab Giu 16, 2007 12:20 pm    Oggetto: Rispondi citando

Riguardando il funzionamento del PKINIT devo, per correttezza, correggere il mio precedente post.
Quando un utente vuole autenticarsi con un certificato X.509 di cui dispone della chiave privata per ottenere un TGT K5, colloca, nel campo relativo alla preauthentication del messaggio di AS REQ, il suo certificato.
Quando la richiesta arriva al KDC, questo controlla tramite il certificato della CA che quello inserito dall'utente nel AS REQ sia autentico, non scaduto e non revocato e in caso positivo, estraendo la chiave pubblica contenuta nel certificato, cripta con questa la risposta all'utente (quella che nel caso standard andrebbe criptata con la chiave ottenuta dalla password dell'utente).
Se l'utente è veramente il proprietario del certificato, con la relativa chiave privata potrà decriptare la risposta ed accedere alla chiave di sessione. Da questo punto in poi le cose continuano secondo lo standard normale di Kerberos 5 descritto in http://www.zeroshell.net/kerberos

Scusate per l'affrettato e scorretto post precedente
Fulvio
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it