גישה חדשה לאבטחת אתרים ומסדי נתונים עשויה לאפשר תהליך זיהוי משתמש מהיר ומאובטח יותר לאתרי מולטימדיה. תהליך זיהוי בוליאני יאפשר לאלפי משתמשים, ואולי אף למיליוני משתמשים, לגשת מהר יותר לתוכן שאליו הם זכאים לגשת, תוכן כגון מוסיקה, וידאו ותמונות. אותה גישה עשויה גם להפחית את הסיכון שמשתמשים לא מורשים ופורצים ייגשו למידע באופן לא חוקי.
שיטת הזיהוי המקובלת דורשת מהמשתמש המרוחק לשלוח שם משתמש וסיסמה למערכת שהוא מעוניין שתאמת את זהותו. המערכת מחפשת את שם המשתמש במסד הנתונים המקומי שלה, ואם הסיסמה שנשלחה מתאימה לסיסמה השמורה, ניתנת למשתמש גישה למערכת. שיטת הזיהוי מניחה שאין משתמשים עם כוונות זדוניות ושהמסופים המקומיים שלהם אינם נגועים בוירוסים.
כיום ההנחות האלו נראות יותר ויותר נאיביות. לא ניתן להניח שלכל המשתמשים יש כוונות טובות. טכנולוגיה עכשווית מאפשרת ציתות לפעולות שנעשות באמצעי תקשורת אלחוטיים. משתמשים עם כוונות זדוניות ותוכנות שונות יכולים להשיג שמות משתמש וסיסמאות ולהשתמש בהם כדי להשיג גישה לא חוקית למערכות.
כעת, ניקולאוס ברדיס (Nikolaos Bardis) מהאוניברסיטה להשכלה צבאית בווארי (Vari), יוון, ועמיתים נוספים שם ובמכון הפוליטכני של קייב, אוקראינה, פיתחו גישה חדשנית לזיהוי משתמש שמיישמת תפיסה מתקדמת של זיהוי על פי אפס ידע. השיטה מתבססת על אוסף של פונקציות מתמטיות פשוטות יחסית, הידועות כפעולות בוליאניות חד כיווניות, שמשמשות לוידוא זהות המשתמש במקום חישובי ההצפנה/פענוח המקובלים כיום. הצוות מסביר שבדיקות ראשונות מראות שהגישה שלהם לאלגוריתם זיהוי משתמש עשויה להיות מהירה פי מאות ואולי אף אלפי פעמים משיטות זיהוי משתמש רגילות. אחד ההיבטים החשובים של השיטה הוא שהיא תפחית את דרישות החישוב בצד השרת, וכמו כן היא תגדיל את מידת אבטחת התהליך.
“מידת היעילות של אלגוריתם אבטחת מידע מוגדרת על סמך שני גורמים: רמת האבטחה וכמות משאבי המיחשוב שנחוצים ליישום פונקציות האבטחה” מסבירים בארדיס ועמיתיו בגליון האחרון של International Journal of Multimedia Intelligence and Security.
עקרונית , כל אלגוריתם אבטחת מידע הוא בעיה מתמטית המבוססת על פונקציה בלתי הפיכה. פונקציית ההצפנהמוגדרת כפונקציה המוחלת על X שמחזירה Y. Y=F(X). הפונקציה שמשתמשים בא היא פונקציה מסובכת שלא ניתן למצוא פונקציה הופכית, כמו שלא ניתן להפוך פעולה של ערבוב צבעים. אלגוריתמים קריפטוגרפיים אסימטריים (אלגוריתמים של הצפנה עם מפתח ציבורי) משתמשים בגישה זו והם נפוצים מאוד בדפדפנים ובגישה למערכות רבות המכילות מגוון רחב של סוגי נתונים. שיטת זיהוי זו דורשת יכולות מיחשוב גבוהות והיא שיטה איטית מטבעה. הצוות מצביע על כך שפונקציה בוליאנית יכולה להיות מתוחכמת באותה מידה אך דורשת הרבה פחות כח מיחשוב ולכן היא יכולה להיות הרבה יותר מהירה.
שיטות אימות משתמש מסדר 0 מספקות למשתמש פונקציה מיוחדת שמייצרת הרבה מאוד תוצאות שונות לכל ערכי הקלט האפשריים. בוחרים קבוצת ערכים שנותנים את אותה תוצאה. הערכים האלו הם הסיסמאות של המשתמש. משתמש חדש נרשם למערכת על ידי כך שהוא שולח למערכת את הפונקציה שלו ואת התוצאה המשותפת. המשתמש מאמת את זהותו לצורך התחברות רגילה למערכת באמצאות אחת הסיסמאות ומשתמש בכל סיסמה רק פעם אחת. המשתמש שולח את הסיסמה בתחילת כל התחברות. המערכת מחשבת את ערך הפונקציה כשהסיסמה משמשת כקלט לפונקציה. אם הערך שווה לתוצאה המשותפת, אז האימות הצליח והמשתמש מקבל גישה למערכת. מישהו שמנסה לקבל גישה למערכת בלי הידע הדרוש (משתמש זדוני) יצטרך לנסות את כל צירופי הסיסמאות האפשריים כדי להגיע לסיסמה הנכונה.
בדרך כלל פונקציות להצפנת סיסמאות דורשות חישוב מספרים גדולים בחזקת מספרים גדולים וחלוקת מספרים גדולים כדי למצוא את שארית החלוקה. פעולות אלו גורמות למעבדים רגילים לעבוד לאט וכשיש למערכת הרבה מאוד משתמשים הן מהוות נטל משמעותי אפילו על מערכות גדולות. שיטה המוצעת משתמש במערכת של משוואות בוליאניות לא-ליניאריות ליצירת הפונקציה הייחודית. משוואות בוליאניות מעבדות נתונים בינאריים באמצעות פעולות לוגיות פשוטות על ביטים, אלו פעולות שיחסית קל לבצע עם מחשב. למשל פעולת XOR (eXclusive OR). החישובים הם הרבה יותר פשוטים כיוון שהרבה יותר קל לחשב ביטוי לוגי מלהעלות מספר בן 100 ספרות בחזקת מספר בן 10 ספרות ולחלק את התוצאה בעוד מספר גדול. הדיאלוג בין צד המשתמש לבין צד השרת בפעולות הרישום והאימות מתנהל כמו קודם. אך ערכי הקלט והתוצאות המשותפות הם וקטורים בינאריים.
“זיהוי משתמש על סמך אפס ידע פותר את בעיות האבטחה על ידי שימוש בסיסמאות שמשתנות בכל התחברות ואינן ידועות למערכת מראש. המערכת יכולה לבדוק רק את תקפות הסיסמאות,” מסביר חבר הצוות ניקולאוס דוקאס. “לשיטה המוצעת יש שימוש פוטנציאלי בכל מערכת שבה יש למשתמשים זדוניים תמריצים להשגת גישה לא חוקית ולבצע פעולות שהם אינם מורשים לבצע. מספר המערכות שמתאימות לתיאור זה עולה במהירות עם העלייה בערכו של מידע” הוא מסכם.
קישור להודעה המקורית של החוקרים
Nikolaos Bardis, Nikolaos Doukas, Oleksandr P. Markovskyi. Fast subscriber identification based on the zero knowledge principle for multimedia content distribution. International Journal of Multimedia Intelligence and Security, 2010; 1 (4): 363 DOI
3 תגובות
this is a very great&beter security data shits &its a shame that it is not descover earlier however it is going to change the worlds of computers&software&also the security of the websits as a houle
הרעיון פשוט וגאוני חבל שאין דוגמאות
זה נשמע מאוד מעניין, השאלה היא מה כמות הסיסמאות שהמשתמש מקבל לאחר הרישום הראשוני ולאיזו תקופה הן יספיקו… אם הוא סיים להשתמש בכל הססמאות שניתנו לו האם הוא יצתרך לבצע רישום מחדש?