Kautotze
Kautotzea,[1] autentifikazioa edo egiaztatzea objektu baten ezaugarriren bat egiaztatzeko prozeduren multzoa da. Ezaugarri hau, mezuaren igorlea, mezuaren osotasuna eta abar... izan daitezke.
Konputagailu-sareko datuen segurtasun arloan, baimentzearekin eta ikuskaritzarekin batera, kautotasuna oinarrizko hiru pausoen barruan dago. Hona aipatutako pausoak:
- Kautotzea: Erabiltzailea identifikatzen den prozesua da.
- Baimentzea: Sistemak erabiltzaile kautotuari dagozkion baliabideen sarbidea ematen dion prozesua da.
- Ikuskatzea: Sistemak, erabiltzaile kautotuak edo ez kautotuak baliabideen gainean egiten dituen sarbide guztiak gordetzen dituen prozesua da.
Sarrera
[aldatu | aldatu iturburu kodea]Mezuak kautotzean zera lortu nahi da: komunikazioaren beste muturrean dagoena esaten duena dela, bermatzea da. Urruneko parte-hartzaile bat, elkarrizketako partaide legitimoa dela egiaztatzea.
Dirudiena baino zailagoa da, batez ere, erasotzaile batzuk denbora asko hartzen dutelako bere burua “ezkutatu edo mozorrotzen“. Horregatik, kautotzea, zifratzeko mekanismoak erabiliz egin behar da, eta horietako ezagunena sinadura digitala da.
Beste kautotze mota bat erabiltzailearen identifikazioa da. Kasu honetan, helburua, sisteman dagoen erabiltzailea legezkoa dela bermatzea da. Erabiltzaileak kautotzeko prozedurarik arruntena login delakoa da, non erabiltzailearen izena edo identifikazioa eta pasahitza eskatzen baita.
Bost kategoriatan sailka daitezke kautotzean egiaztatzen den informazioa, modu konbinatuan erabil daitezkeenak:
- Erabiltzaileak dakien edo gogoratzen duen hitza edo esaldia. Adibidez, Unixen aipatutako pasahitza erabiltzen da eta PGPn esaldi bat.
- Eskuratzen den objektu bat. Nortasun-agiria , txartel adimenduna (smartcard), usb berezi bat, edo koordenatuetako txartel bat dira adibideetako batzuk.
- Erabiltzailearen ezaugarri fisikoak. Ahotsa, idazkera, hatz-markak, edo irisa dira ohikoenak. Biometrian oinarritutako teknika nagusiak dira aurrekoak.
- Portaera. Adibidez teklatua erabiltzeko modua, ibilkera...
- Kokapena. Geolokalizazioa, saiakerari dagokion IP helbidea edo ordu zehatza dira adibideetako batzuk.
Kautotze prozedura orokorra
[aldatu | aldatu iturburu kodea]Kautotze prozedura orokorra ondorengo pausoak ditu:
- Erabiltzailea sarbidea eskatzen du.
- Sistemak kautotzea exijitzen dio erabiltzaileri.
- Erabiltzaileak bere identifikazio datuak ematen ditu
- Sistemak erabiltzaileren identifikazio datuak bere arauekin baliozkotzen ditu eta honen arabera sarbide ematen dio ala ez dio ematen.
Sarbide-kontrola bideratzeko kautotzea eskatzen duten adibide batzuk aipa daitezke: kutxazain automatiko batean dirua jasotzea, urruneko konputagailu batekin konektatzea edo online banketxean saio bat irekitzea.
Kautotzea Unixen
[aldatu | aldatu iturburu kodea]Oinarrizko kautotzea
[aldatu | aldatu iturburu kodea]Ohiko Unix sistema batean, erabiltzaile bakoitzak sistemara sartzeko izen bat (login) eta pasahitz bat ditu esleituta /etc/passwd fitxategian. Fitxategi horretan lerro bat dago erabiltzaile bakoitzeko, ondoko informazioarekin:[2]
- Kontuaren izena edo identifikazioa. Zortzi karaktererainokoa izan ohi da eta publikoa da. Saio-hasieran identifikazioa eskatuko zaio erabiltzaileari pasahitzarekin batera.
- Pasahitz zifratua. Pribatua denez, ezin da agerian geratu, eta horrexegatik zifratu egiten da. Erabiltzaileari eskatzen zaionean, berak sakatutakoa ere zifratzen da, eta zifratutakoak alderatzen dira, ez baita posible jatorrizkoa zifratutik berreskuratzea. Hala ere, zifratuta egotea ez da berme nahikoa, erabiltzaileak pasahitz zifratuak eskuratu eta hiztegietan oinarritutako programa bereziekin asmatzen saia daitezke-eta. Horregatik shadow programaren bitartez lortzen da pasahitz zifratua bertatik desagertzea eta /etc/shadow fitxategian gordetzea, baina irakurtzeko baimena kenduta.
- Erabiltzailearen zenbakizko identifikadorea (UID, user identification). Zenbaki bat da, sistemaren barruan erabiltzen dena.
- Taldearen identifikadorea (GID, group identification).
- Erabiltzaileari buruzko informazioa. Administratzaileak erabiltzaileei buruz jakin beharrekoa kokatzen da hemen (izen-abizenak, telefonoa…).
- Kontuaren erro-katalogoa. Hau izango da erabiltzailearen erro-katalogoa kontuan sartzen denean, eta bertatik zintzilikatuko da erabiltzailearen fitxategi-sistema.
- Esleitutako komando-interpretatzailea. Kontuan sartzean martxan jarriko den programa exekutagarriaren bide absolutua agertuko da hemen. Unix eta Linux gehienetan /bin/bash izango da aukeratuko dena, baina aukera interesgarriak eskaintzen ditu horrek. Adibidez, erabiltzaile batek beti ofimatikako aplikazio bat erabiltzen badu, aplikazio horren programa nagusiaren bide absolutua zehaztea izango da egokiena. Kontu bat garai batez anulatzeko /bin/false zehatz daiteke eremu horretan.
Kontu errealak aparte, komenentziazko kontuak mantentzen ditu Linuxek aplikazio batzuen segurtasuna dela-eta. Erabiltzaile berezien adibide batzuk hauexek dira: daemon, bin, sys, adm, cron, mail, lp, lpd.
Erabiltzaileen pasahitzak zifratzeko, Unix sistema eragileak atzeraezinezko zifratze-metodo bat erabiltzen du, DES algoritmoan oinarritutako C crypt funtzio estandarra burutzen duena.
Hobekuntzak
[aldatu | aldatu iturburu kodea]Balizko erasotzaileak pasahitza lortzea da mehatxu nagusia. Esan bezala ezin da pasahitza deszifratu, baina oso erraza da hitz-zerrenda batetik abiatuta hautagaiak zifratzea eta emaitza gako-fitxategian gordetako katearekin konparatzea. Horrela, erasotzaile batek /etc/passwd fitxategia irakurriko luke, eta zerrendako hautagairen baten kode zifratua bertan agertzen bada, pasahitza jakingo luke. Badaude programak lan hori egiten dutenak, barruan dituzten hiztegiekin eta gehi daitezkeen beste hautagaiekin (artisten izenak, kirolariak...).
Aipatutako shadow aldaerak ahulezia hori konponbidean jarri du, /etc/passwd fitxategiari irakurtzeko baimena kentzen baitio. shadow bitartez, gainera, pasahitzen luzera minimoa, aldaketa-maiztasuna eta kontuaren iraungitze-data ere parametriza daitezke.
Unix modernoagoetan kautotzea PAM izeneko mekanismoaren bidez kontrolatzen da. PAMen bidez aplikazioak nahi ditugun kautotze-metodoekin lot diezaiekegu, ohiko pasahitzaz besteko eskemekin (erabilera bakarreko gakoak, biometrikoak, txartel adimendunak...) integratzeko aukera emanez.
Ezaugarri biometrikoak eta dituzten arazoak
[aldatu | aldatu iturburu kodea]Identifikatzaile biometrikoak gizabanakoak etiketatzeko eta deskribatzeko erabiltzen diren ezaugarri bereizgarri eta neurgarriak dira. Erabilienen artean daude hatz-markak, ahotsaren ezaugarriak, aurpegiaren formak, begiaren irisa, eskuaren geometria, belarrien forma, esku-ahurraren markak, eskuzko idazkera edo sinadura eta DNA.[3]
Bi ildotan sustatzen ari da sistema biometrikoen erabilera, eta nolabait biak kontrajarriak dira. Alde batetik, aberatsei zuzendutako luxuzko gehigarri moduan saltzen dira, horrela autoa martxan jartzeko, telefonoa aktibatzeko edo bankuko kontuak erabiltzeko sistema biometrikoak eskaintzen ari dira kuota gehigarri baten truke, edo goi gamako modelo bat erosiz gero, beti halako “elite” baten partaide bihurtzeko kutsuarekin. Bestalde, langileei eta prestazio sozialen jasotzaileei, berriz, gero eta gehiago behartzen zaie halako sistemak erabiltzera, batzuetan bezeroaren erosotasunarengatik eta beste batzuetan, esaten ez bada ere, ohiko metodoekin (ez biometrikoak) iruzurra egin dezaketelakoan.[4]
Estatuak, eta bereziki poliziak, hiritarren datu biometriko garrantzitsu bi izan ohi ditu: hatz-markak eta argazkia, derrigorrez eman behar izan baitira nortasun agiria edo pasaportea eskuratu ahal izateko.[4]
Eragozpenak
Lau dira identifikazio-prozesu digitaletan kontuan hartzeko faktore nagusiak: erosotasuna, eraginkortasuna, pribatutasuna eta onargarritasuna. Pribatutasuna da biometriaren alde ahulena, datua behin emanez gero betiko ematen delako; beraz, arreta handia izan behar da datuen biltegiratzearekin, eta oso ondo pentsatu nori emango diogun (gerta daiteke haiei ere gure datuak lapurtzea). Lapurtutako edo gaizki erabilitako datu biometriko horietatik hainbat informazio garrantzitsu inferi daiteke gainera: sexu edo adinetik gaixotasunetara (adibidez, hatz-aztarnen patroi batzuk gaixotasun kromosomikoekin lot daitezke eta jokabidean oinarritutako sistema biometriko gehienak gaixotasun neurologikoekin).[4]
Segurtasungintzan (etxeak, banketxeak…) jakina da metodo gehienetan erosotasuna eta eraginkortasuna ez datozela bat, horrexegatik segurtasun-estrategiak normalean korapilatsu samarrak izaten dira. Metodo biometrikoekin esan ohi da biak ala biak batera lor daitezkeela. Erosotasuna da metodo biometriko askoren ageriko ezaugarria (hatzamarra jartzea hatz-marken irakurgailuan, aurpegia erakustea kameraren aurrean, mikrofonoari zerbait esatea), Baina metodo hauek arazo larriak dituzte eraginkortasunaren aldetik.[5] Bost ezaugarri aipa daitezke eraginkortasuna kolokan jartze aldera: fidagarritasuna, lapurtzeko aukera, ordezkotasuna, aniztasuna eta kalteak.[4]
Fidagarritasuna metodoaren araberakoa da, baina sinpleenak eta erosoenak (aurpegia eta ahotsa) ez dira fidagarriak, eta horrelakoetan ohikoak izaten dira positibo eta negatibo faltsuak. Gainera, argazkietan arrazaren araberako bazterketa gertatzen da.[4]
Lapurtzeko arriskua ez omen da hain handia, baina ondo pentsatuta, ahotsa grabatzea edo aurpegiari argazkia egitea ez da zaila konputagailu-birus askorentzat. Hatz-markak lapurtzea zailagoa da, baina dispositiboak ugalduz gero ez dirudi hain arraroa izango denik. Eta ar arriskutsuagoa dena, hatz-markaren irudia lapurtzen badigute ez dago ordezkatzerik, datu biometrikoen ezaugarri bereizgarri bat hori baita. Hori da ahulezia handiena. Are gehiago, pasahitzekin-eta gomendatzen digute gako desberdinak erabiltzea zerbitzu desberdinetarako, baina biometrikoekin aniztasun hori ezinezkoa da.[4]
Onargarritasuna dela-eta, erosoak ez diren metodoak ez ohi dira onartzen (DNA esaterako), baina erosoak izanda batzuek estigmatizazio soziala dakarte edo kontrol-soziala (Txina jarri ohi da horren paradigma gisa) bultza dezakete.[4]
Laburbilduz, identifikazio-sistema biometrikoen aurka eragozpenak azaltzen dira lau ezaugarri nagusietatik hirutan: pribatutasuna, eraginkortasuna eta onargarritasuna. Hiru irizpide horietako bakoitzagatik baztertu beharko lirateke kautotze biometrikoak, baina ez bat eta ez bi, hirutan eragozpenak direla kontuan hartuta are gehiago. Gainera, aipatutako ezaugarrietan azaldu ez den beste faktore bat ere bada kontuan hartu behar dena: gerta daiteke biometriaz babesten ari garena baino garestiagoa/larriagoa izatea horrek sortzen duen arriskua. Adibidez, 2005ean, Malaysian, auto lapur batzuek hatza moztu zioten gizon bati S-class Mercedes bat lapurtzen saiatzeko.[6][4]
Legedia
Erakunde publikoek duten jarrera ere kontuan hartu behar da. Garai batean estatuak ziren halako datuak biltzeko baimena zuten bakarrak, baina gero eta enpresa gehiago ari dira horretan. Datu pertsonalen babes eta tratamenduari buruz aritzen den Espainiako 7/2021 legeak babes berezia aurreikusten du datu hauetarako baina, hala ere, erabilpenerako aukera zabal samarra uzten du.[7] Banketxeek, adibidez, ezin dituzte erabiltzaileak behartu, baina bezeroak baimena emanez gero, aukera dute. Lanbide zerbitzuak, dirudienez, behartu ditzake langabeak horrelako datuak ematen.[8][4]
Zelatatze masiboaren aldetik, administrazioak gero eta gehiago ari dira egiten, aurpegien ezagutzaren bidez batez ere, bideokamerak hainbat tokitan jarrita. AEBko San Francisco hiriak beste norabide bat hartu du eta erabilera horiek debekatu ditu nolabait.[9] Gasteizen, berriz, tematuta daude gero eta kamera gehiago jartzen.[10][4]
Kautotze-protokoloen adibideak
[aldatu | aldatu iturburu kodea]Era aplikatuan, hona hemen kautotze-protokoloen adibide batzuk:
- SSL (zifraketa ere eskain dezake)
- NTLM (Microsoft Windowseko sareetan erabilia)
- Kerberos (Windowsek eta beste sistema askok erabiltzen duten estandarra)
- Central Authentication Service (CAS) autentifikazio-mekanismoa eta SSO-mekanismoa, librea eta doakoa, Yale Unibertsitateak garatua
- 802.1x ataka kontrolatzeko eta kautotzeko mekanismo estandarra
Erreferentziak
[aldatu | aldatu iturburu kodea]- ↑ Elhuyar Fundazioa. «kautotu» Elhuyar Hiztegia (Noiz kontsultatua: 2023-12-06).
- ↑ Alegría, Iñaki. (2008). Linux : sistemaren eta sarearen administrazioa (Debian eta Ubuntu). (2. arg. argitaraldia) Udako Euskal Unibertsitatea ISBN 9788484381785. PMC 1055299395. (Noiz kontsultatua: 2022-11-08).
- ↑ Eneko, Imaz Amiano. (2001-07-18). «Identifikazio-teknologiak hizpide UEUn» Zientzia.eus (Noiz kontsultatua: 2023-11-19).
- ↑ a b c d e f g h i j Alegria, Iñaki. (2023-11-30). «Identifikazio-metodo biometrikoen aurka» Sarean .eus (Noiz kontsultatua: 2023-12-06).
- ↑ Leturia, Igor. (2022-02-03). «Autentifikazio biometrikoaz zalantzak» Sarean .eus (Noiz kontsultatua: 2023-12-06).
- ↑ Kent, Jonathan. (31 March 2005). «Malaysia car thieves steal finger» BBC Online (Kuala Lumpur).
- ↑ (Gaztelaniaz) Jefatura del Estado. (2021-05-27). Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales. , 64103–64152 or. (Noiz kontsultatua: 2023-12-06).
- ↑ «Lanbiden hatz marka erabiltzeko adostasunik ez Eusko Legebiltzarrean» Berria 2018-06-08 (Noiz kontsultatua: 2023-12-06).
- ↑ (Gaztelaniaz) Catalan, Eva. (2019-05-27). «Tu cara no es tu DNI: San Francisco prohíbe el software de reconocimiento facial» El País ISSN 1134-6582. (Noiz kontsultatua: 2023-12-06).
- ↑ «Gasteizko erdigunean azterketa inteligenterako hamazazpi bideozaintza kamera jarriko dituzte» Berria 2023-11-17 (Noiz kontsultatua: 2023-12-06).
Ikus gainera
[aldatu | aldatu iturburu kodea]Kanpo estekak
[aldatu | aldatu iturburu kodea]- Euskadiko Identifikazio elektronikoa. (IZENPE)
- Nola eskatu Izenperen doako SSL ziurtagiria? (Puntu.eus)
- NISAE. Euskadiko Administrazioen Segurtasunerako eta Elkarregingarritasunerako Nodoa NISAE
- https://zientzia.eus/artikuluak/interneteko-komunikazioen-segurtasuna-ii-autentifi/