| Er is geen geavanceerde manier om de ene machine bij de andere te authenticeren met behulp van *vervalste* pakketten. Vervalsing betekent per definitie het creëren van pakketten die legitiem lijken, maar dat niet zijn. Authenticatie is afhankelijk van het verifiëren van de oorsprong en integriteit van de gegevens, die vervalste pakketten inherent schenden. Het proberen van authenticatie met vervalste pakketten is inherent onveilig en zal altijd detecteerbaar zijn door elk robuust authenticatiesysteem.
In plaats van te proberen pakketten te vervalsen voor authenticatie, richten geavanceerde methoden zich op *veilige* technieken:
* Public Key Infrastructure (PKI): Dit is de meest gebruikelijke en veilige aanpak. Machines beschikken over digitale certificaten (die openbare sleutels bevatten) ondertekend door een vertrouwde certificeringsinstantie (CA). De ene machine kan de authenticiteit van het certificaat van de andere verifiëren en er zeker van zijn dat het echt afkomstig is van de verwachte bron. Hierbij wordt gebruik gemaakt van cryptografische hashing en digitale handtekeningen om de integriteit en authenticiteit van de gegevens te garanderen.
* Vooraf gedeelde sleutels (PSK): Beide machines delen een geheime sleutel die alleen zij kennen. Bij authenticatie wordt deze sleutel gebruikt om een berichtauthenticatiecode (MAC) te coderen of te genereren die de andere machine kan verifiëren. Hoewel het eenvoudiger is dan PKI, vereist het een veilige sleuteluitwisseling en is het voor veel machines minder schaalbaar.
* Kerberos: Dit is een netwerkverificatieprotocol dat gebruikmaakt van tickets die zijn verleend door een vertrouwde verificatieserver (Key Distribution Center, KDC) om de identiteit van een client aan een server te bewijzen. Dit voorkomt het direct delen van geheimen via het netwerk.
* Wederzijdse TLS (mTLS): Hiermee wordt TLS/SSL uitgebreid met certificaatverificatie aan de clientzijde. Zowel client als server authenticeren elkaar met behulp van hun respectievelijke certificaten.
* Hardwarebeveiligingsmodules (HSM's): Deze speciale apparaten beschermen cryptografische sleutels en voeren cryptografische bewerkingen uit, waardoor de beveiliging tegen aanvallen op softwarekwetsbaarheden wordt verbeterd. Ze zijn vooral cruciaal voor toepassingen met een hoog beveiligingsniveau.
Proberen deze gevestigde en veilige methoden te omzeilen door pakketten te vervalsen is fundamenteel gebrekkig. Het is geen verfijnde aanpak; het is een fundamenteel onveilige situatie die gemakkelijk kan worden opgespoord en gedwarsboomd door correct geïmplementeerde beveiligingsmaatregelen. Elke waargenomen ‘verfijning’ zou slechts een poging zijn om een fundamenteel zwakke aanval te verdoezelen. De nadruk moet altijd liggen op het gebruik van gevestigde, veilige authenticatiemethoden. |
