Взаимная аутентификация
Что такое Взаимная аутентификация?
Взаимная аутентификацияОбмен аутентификацией, при котором обе стороны — клиент и сервер либо два сервиса — криптографически подтверждают свою личность до обмена данными.
Взаимная (двусторонняя) аутентификация требует, чтобы обе стороны соединения проверили подлинность другой, а не только сервер представился клиенту. Сегодня доминирующая реализация — mutual TLS (mTLS) согласно RFC 8446 для TLS 1.3, где каждая сторона предъявляет X.509-сертификат, проверяемый по приватному CA. Другие примеры: Kerberos AP-REQ/AP-REP, SSH с проверкой хоста и ключа, IPsec IKEv2 с сертификатами, церемонии FIDO2/WebAuthn с attestation. Взаимная аутентификация обязательна в сервис-мешах (Istio, Linkerd, Consul) и в zero-trust архитектурах вроде Google BeyondCorp, где каждое обращение между сервисами аутентифицируется короткоживущими идентификаторами SPIFFE. Она снижает риски подмены, man-in-the-middle и поддельных сервисов.
● Примеры
- 01
Сервис-меш Istio, навязывающий mTLS между всеми парами микросервисов кластера Kubernetes.
- 02
Банковские API, требующие клиентский сертификат, выпущенный частным CA банка, в дополнение к OAuth-токенам.
● Частые вопросы
Что такое Взаимная аутентификация?
Обмен аутентификацией, при котором обе стороны — клиент и сервер либо два сервиса — криптографически подтверждают свою личность до обмена данными. Относится к категории Идентификация и доступ в кибербезопасности.
Что означает Взаимная аутентификация?
Обмен аутентификацией, при котором обе стороны — клиент и сервер либо два сервиса — криптографически подтверждают свою личность до обмена данными.
Как работает Взаимная аутентификация?
Взаимная (двусторонняя) аутентификация требует, чтобы обе стороны соединения проверили подлинность другой, а не только сервер представился клиенту. Сегодня доминирующая реализация — mutual TLS (mTLS) согласно RFC 8446 для TLS 1.3, где каждая сторона предъявляет X.509-сертификат, проверяемый по приватному CA. Другие примеры: Kerberos AP-REQ/AP-REP, SSH с проверкой хоста и ключа, IPsec IKEv2 с сертификатами, церемонии FIDO2/WebAuthn с attestation. Взаимная аутентификация обязательна в сервис-мешах (Istio, Linkerd, Consul) и в zero-trust архитектурах вроде Google BeyondCorp, где каждое обращение между сервисами аутентифицируется короткоживущими идентификаторами SPIFFE. Она снижает риски подмены, man-in-the-middle и поддельных сервисов.
Как защититься от Взаимная аутентификация?
Защита от Взаимная аутентификация обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Взаимная аутентификация?
Распространённые альтернативные названия: Двусторонняя аутентификация, Взаимный TLS, mTLS.
● Связанные термины
- network-security№ 1159
TLS (Transport Layer Security)
Стандартизованный IETF криптографический протокол, обеспечивающий конфиденциальность, целостность и аутентификацию трафика между двумя сетевыми приложениями.
- network-security№ 157
Закрепление сертификатов (pinning)
Метод, при котором приложение жёстко привязывается к ожидаемому сертификату или открытому ключу и отклоняет несовпадающие TLS-соединения, обходя скомпрометированные или мошеннические УЦ.
- network-security№ 878
Инфраструктура открытых ключей (PKI)
Совокупность политик, ПО, оборудования и доверенных центров, выпускающая, распространяющая, проверяющая и отзывающая цифровые сертификаты, связывающие идентичности с открытыми ключами.
- network-security№ 156
Удостоверяющий центр (УЦ)
Доверенная организация, выпускающая и подписывающая цифровые сертификаты, связывая открытые ключи с подтверждёнными идентичностями — например, доменами или организациями.
- identity-access№ 584
Kerberos
Сетевой протокол аутентификации на основе билетов, использующий симметричную криптографию и доверенный центр распределения ключей для безопасного единого входа.
- identity-access№ 076
Аутентификация
Процесс проверки того, что субъект — пользователь, устройство или сервис — действительно является тем, за кого себя выдаёт, перед предоставлением доступа.