我是密码学的新手,正在研究PKI和PKCS等.我了解PKI的基本概念以及如何将其用于加密/解密.但是我对如何使用诸如USB令牌或智能卡之类的硬件令牌来安全登录计算机感到困惑.以下是我理解的步骤以及我困惑的部分(对于问题的长度,我们深表歉意):
方案:网络上的计算机xyz包含仅属于SECRET组的用户可以访问的数据.用户Bob和Joe属于该组,并且已获得USB令牌,可以使用它们来提供凭据,使他们能够访问这些资源. USB令牌采用两因素认证,并且需要输入引脚.该令牌符合PKCS11.
> Bob将USB令牌插入Linux机器
> PAM-PKCS11模块会识别此事件,并提示Bob输入他的密码.
>一旦鲍勃正确输入了他的4位数PIN码,该模块就会通过以下方式检查鲍勃令牌上证书的有效性:(这有所不同,但是最小值是多少?):
>找到根证书以检查受信任的CA
>检查证书有效日期和吊销列表
>将令牌上的ID与用户文件(哪里?,缺少步骤)或目录(LDAP等)相匹配
>如果一切看起来不错,则模块将成功的结果通知PAM.
>该行标记为足够,因此PAM接受身份验证,并且Bob已登录,并且可以查看SECRET组中仅限于用户的信息.
我缺少的部分是存储有关Bob是否可以访问此计算机以及他与网络(甚至台式机)用户Bob有多紧密联系的信息.我了解其他有关Bob的识别数据将存储在USB上,包括ID(例如电子邮件地址).但是,这种强大的安全性又如何呢?如果有的话,在登录过程中将在哪里使用加密货币(或者这不是这些令牌的真正目的)?如果有人握住USB并知道4位数的引脚,那么似乎就足够了,对吧?而且,从本质上讲,对CA的信任是否允许它信任另一个用户无法获得新的USB令牌并使用受信任的CA获得新证书,但将所有标识数据指定为与Bob相同?我知道我缺少一些关键的部分..但是,在阅读了数十篇文章之后,对这一领域的解释似乎被掩盖了.使用硬件令牌作为身份验证足以登录到包含敏感数据的计算机的好方法吗?或者这些令牌的目的主要是为了安全地存储在其他应用程序中使用的密钥对?谢谢您的帮助!
1967
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
