¿Existe alguna posibilidad de autenticar un número cambiante de técnicos (de servicio) ante un dispositivo sin conexión a Internet / red? ¿Con la posibilidad de revocar el acceso más tarde?
Editar: Sin usar PKI por razones técnicas. : /
Puede utilizar PKI , cada técnico será propietario de una clave privada y una Autoridad de Certificación emitirá cada técnico con un certificado que autoriza a cualquier persona que pueda demostrar la posesión del acceso de clave privada correspondiente al dispositivo durante el tiempo especificado. El dispositivo verifica el privilegio de acceso al verificar la firma del certificado con el certificado raíz de CA, su fecha de caducidad y los atributos del certificado que describen el nivel de acceso que se le ha otorgado al técnico. Esto permite que el dispositivo reconozca a nuevos técnicos mientras permanece fuera de línea.
Si se va a utilizar para mantener dispositivos físicos con puertos NFC o USB, es posible que desee considerar su implementación con OpenPGP o tarjeta inteligente x509 para mayor comodidad y seguridad.
La revocación ocurre naturalmente cuando el certificado expira, o puede forzar el vencimiento anticipado utilizando una lista de revocaciones. Los dispositivos deben estar en línea para descargar la última lista de revocaciones u otro técnico deberá actualizar la lista de revocaciones en el dispositivo.
Depende de la frecuencia y si los técnicos de servicio pueden conectarse.
Tomaré 2 ejemplos y diré cómo resolverlo.
Ejemplo 1: si los técnicos de servicio tienen un teléfono inteligente o un teléfono normal, o incluso un buscapersonas que está en línea (no es necesario que sea Internet, también podría ser SMS / GSM), usted podría fácilmente tener un servidor que cuente los códigos TOTP, ya sea "en línea" o por SMS. Cuando los técnicos de servicio quieran autenticarse, deben solicitarlo desde este servidor. Este código TOTP se utiliza para autenticarlo sin conexión en el dispositivo en cuestión. La revocación es simple como desactivar el número de teléfono móvil o la cuenta del técnico de servicio en el servidor TOTP.
Ejemplo 2: los técnicos de servicio solo pueden conectarse unas cuantas veces al día. Luego tiene la misma cosa, pero en cambio, tiene un código TOTP que cambia una vez al día, o quizás una vez cada 8 horas, o si pueden conectarse en línea durante el almuerzo, un código que cambia cada 4 horas. Al comienzo de la jornada laboral, el técnico de servicio debe leer este código TOTP ya sea solicitándolo al servidor o Leyéndolo desde una pantalla física en la oficina. Este código solo es válido hasta el final de la jornada laboral. Revocando el acceso, igual aquí. Pero la revocación no tendrá efecto hasta el día siguiente.
También puede insertar este código TOTP a través de SMS en su teléfono.
Lo bueno de estas dos soluciones es que nunca requieren que el dispositivo administrado esté en línea en ningún momento, y la distribución de credenciales a los técnicos de servicio es fácil, incluso si no están físicamente disponibles en el momento en que deberían hacerlo. estar inscrito en el sistema.
Otra ventaja es que puede negarse a entregar los códigos TOTP a los técnicos de servicio cuando no deberían tener acceso, por ejemplo, si no deberían tener acceso a ciertas horas del día, por ejemplo, en la noche, su servidor simplemente puede negarse a darles ese código TOTP.
Lea otras preguntas en las etiquetas authentication cryptography service-account