9.1. вопросы идентификации и аутентификации

9.1. вопросы идентификации и аутентификации

Аббревиатура ААА или 3А (authentication, authorization, accounting — аутентификация, авторизация, учет и аудит) ассоциируется с одним из ключевых средств обеспечения безопасности Среди этих средств центральное место за-

274 ^ ГЛАВА 9. ТЕХНОЛОГИИ АУТЕНТИФИКАЦИИ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЛАТЕЖЕЙ

нимают системы идентификации и аутентификации или, в терминологии ГОСТ Р 51241-98, устройства ввода идентификационных признаков, предназначенные для обеспечения защиты от несанкционированного доступа к компьютерам

Вопросам идентификации и аутентификации как одним из самых важных для обеспечения ИБ уделяется внимание во многих статьях стандарта

ААА И ВНУТРЕННИЕ УГРОЗЫ

Интерес к ААА вызван более глубоким осмыслением проблем безопасности и общим движением отрасли и технологий защиты от жестких и не всегда обоснованных запретов к контролируемому разделяемому доступу . Чтобы снизить потери от утечек данных, необходимо применять корректное решение задач аутентификации, управления доступом пользователей и аудита их действий В таком случае говорят, что доступ персонифицирован . Заметим, что персонификация доступа легальных пользователей корпоративных систем при правильном (соответствующем) оформлении нормативно-распорядительной документации предприятия позволяет существенно снизить риски действий внутренних нарушителей — инсайдеров Безусловно, это сказывается и на снижении рисков внешних атак, поскольку, как указано в п 5 4 стандарта, «наибольшими возможностями для нарушения безопасности БС РФ обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является прямое нецелевое использование предоставленного ему в порядке выполнения служебных обязанностей контроля над активами либо нерегламентированная деятельность для получения контроля над активами . При этом он будет стремиться к сокрытию следов своей деятельности Внешний злоумышленник, как правило, имеет сообщника (сообщников) внутри организации БС РФ» .

Термин «персонификация» в последние годы употребляется все чаще Например, в Законе о НПС в ст 10 вводится понятие персонифицированного средства платежа в случаях полной идентификации клиента — физического лица и размера остатка его электронных денежных средств

ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ

Важно различать понятия идентификации и аутентификации При идентификации пользователь распознается системой по некоему установленному идентификационному признаку Проверка того, что предъявленный идентификатор принадлежит именно его владельцу, осуществляется в процессе аутентификации

Среди широко применяемых в последние три—пять лет терминов описания процесса идентификации (аутентификации) введено понятие индивидуальных характеристик, доказывающих подлинность субъектов или факторов К факторам идентификации (аутентификации) относят:

■ владение скрытой для посторонних информацией (запоминаемая либо хранящаяся конфиденциальная информация) Примерами могут служить пароль, персональный идентификационный код (PIN), секретные ключи и т п ;

■ обладание материальным носителем информации (карта с магнитной полосой, электронные ключи классов touch memory и eToken, смарт-карта и т . д . );

■ биометрические характеристики субъекта (отпечатки пальцев, голос, геометрия лица, особенности сетчатки и радужной оболочки глаз и т п )

роль и виды аутентификации

В зависимости от используемых в технологиях идентификации и аутентификации факторов различают однофакторную или двухфакторную аутентификацию Понятие трехфакторной аутентификации в последнее время много обсуждается, однако на практике используется достаточно редко ввиду призрачности ее целесообразности . Чаще всего для реального противодействия мошенничеству используется второй доверенный канал как средство подтверждения волеизъявления (электронной подписи), в котором также используются средства строгой (двухфакторной) аутентификации Рассмотрим наиболее развитые методы аутентификации с точки зрения применяемых в них технологий

технологии аутентификации

Для того чтобы понять, что такое ААА и, в частности, аутентификация, обратимся к простому и всем понятному примеру сотового телефона Для начала работы в телефон необходимо вложить SIM-карту . Когда телефон включается, на дисплее появляется надпись: «Введите PIN-код» . После правильного ввода PIN-кода (как правило, это четыре цифры) телефон начинает работать Налицо так называемая двухфакторная аутентификация Пользователь должен иметь персональный носитель (SIM-карту) и знать личный PIN-код . Они связаны между собой, причем эта связь закладывается администратором оператора сотовой связи при предпродажной подготовке контрактов с определенным тарифом и самих SIM-карт . Телефонный аппарат в данном случае по аналогии с корпоративными информационными системами играет роль компьютера . Аналогом SIM-карты может являться микропроцессорная смарт-карта, к которой привязан личный PIN-код Итак, рассмотрим основные методы аутентификации по принципу нарастающей сложности, начиная с самого простого и общеизвестного метода — аутентификации по паролю

аутентификация по многоразовым паролям

Простейшая схема аутентификации по многоразовому паролю выглядит следующим образом: учетные записи пользователей операционных систем включают в себя службу аутентификации, которая может хранить простейший идентификатор (login) и пароль (password) пользователя в своей базе данных . При

276 ^ ГЛАВА 9. ТЕХНОЛОГИИ АУТЕНТИФИКАЦИИ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЛАТЕЖЕЙ

попытке логического входа в сеть пользователь набирает свой пароль, который поступает в службу аутентификации . По итогам сравнения пары login/password с эталонным значением из базы данных учетных записей пользователь может успешно пройти процедуру простейшей аутентификации и авторизоваться в информационной системе В рамках эволюционного развития протоколов применения многоразовых паролей в операционных системах Windows были реализованы различные по степени защищенности протоколы, такие как LAN Manager (LM), NT LAN Manager (NTLM), NT LAN Manager версии 2 (NTLM v2) и Kerberos, наиболее распространенный и защищенный на сегодня протокол аутентификации в локальных сетях

ПРОТОКОЛЫ АУТЕНТИФИКАЦИИ ДЛЯ УДАЛЕННОГО ДОСТУПА

Поддержка протокола RADIUS реализована на многих современных платформах, что позволяет использовать его в межплатформенных решениях

В качестве примера сервера и посредника RADIUS можно привести реализованную в Windows Server 2008 службу NPS (Network Policy Server), которая позиционируется как механизм централизованной аутентификации и авторизации пользователей, использующих различные способы подключений к сети Служба NPS интегрирована с другими сетевыми службами Windows Server 2008, такими как служба маршрутизации и удаленного доступа и служба каталога Active Directory

АУТЕНТИФИКАЦИЯ НА ОСНОВЕ ОДНОРАЗОВЫХ ПАРОЛЕЙ

Для организации удаленного доступа пользователей к защищенным информационным ресурсам были разработаны достаточно надежные схемы с применением одноразовых паролей (OTP — One Time Password). Суть концепции одноразовых паролей состоит в использовании различных паролей при каждом новом запросе на предоставление доступа Одноразовый пароль действителен только для одного входа в систему Динамический механизм задания пароля является одним из лучших способов защитить процесс парольной аутентификации от внешних угроз Известно четыре метода аутентификации с применением технологии ОТР:

использование механизма временных меток на основе системы единого времени;

применение общего пароля для легального пользователя и проверяющего списка случайных паролей и надежного механизма их синхронизации;

использование общего пароля для пользователя и проверяющего генератора псевдослучайных чисел с одним и тем же начальным значением;

применение фиксированного числа случайных (псевдослучайных) последовательностей, скопированных на носители в виде скретч-карт

Наиболее распространены аппаратные реализации генераторов одноразовых паролей, именуемые ОТР-токенами . Они имеют небольшой размер и выпускаются в различных форм-факторах:

карманного калькулятора;

брелока;

■ простейшей смарт-карты;

^ устройства, комбинированного с USB-ключом .

В целом технология ОТР основана на использовании двухфакторных схем аутентификации и может быть классифицирована как усиленная технология аутентификации (рис . 9 .1).

Идентификация и аутентификация

I

Идентификация

RFID

Электронные ключи класса touch memory

Штрих-коды

Карты с магнитной полосой

Биометрия

Статическая

Многоразовые

Динамическая

OTP

Усиленная аутентификация

Рис. 9.1. Классификация средств идентификации и аутентификации с точки зрения применяемых технологий

Аутентификация по цифровым сертификатам и закрытому ключу

Простейшие механизмы аутентификации на основе сертификатов обычно используют протокол с запросом и ответом . Согласно этому протоколу, сервер аутентификации направляет пользователю последовательность символов, называемую запросом, а программное обеспечение клиентского компьютера для генерирования ответа вырабатывает с помощью закрытого ключа пользователя цифровую подпись под запросом от сервера аутентификации Общий процесс подтверждения подлинности пользователя состоит из следующих стадий:

^ получение сервером открытого ключа удостоверяющего центра (CA, Certificate А^іюгіїу), выдавшего сертификат пользователю;

■ получение по некоторому незащищенному каналу от этого пользователя его сертификата открытого ключа (включающее получение идентификатора пользователя, проверку даты и времени относительно срока действия, указанного в сертификате, на основе локальных доверенных часов, проверку действительности открытого ключа СА, проверку подписи под сертификатом пользователя с помощью открытого ключа СА, проверку сертификата на предмет отзыва);

■ если все проверки успешны, открытый ключ в сертификате считается подлинным открытым ключом заявленного пользователя;

■ проверка на наличие у пользователя закрытого ключа, соответствующего данному сертификату, с помощью алгоритма «запрос — ответ»

В качестве примера алгоритмов, работающих по такой схеме, можно назвать протоколы SSL/TLS . Аутентификация с открытым ключом используется как защищенный механизм аутентификации в таких протоколах, как SSL/TLS, а также может использоваться как один из методов аутентификации в рамках протоколов Kerberos с расширением PKINIT и EAP-TLS .

использование микропроцессорных смарт-карт

Несмотря на то что криптография с открытым ключом, согласно спецификации Х .509, может обеспечивать строгую аутентификацию пользователя, сам по себе незащищенный закрытый ключ подобен паспорту без фотографии . Закрытый ключ, хранящийся на жестком диске компьютера владельца, уязвим по отношению к прямым и сетевым атакам Достаточно подготовленный злоумышленник может похитить закрытый ключ пользователя и с его помощью представляться системе этим пользователем Защита ключа с помощью пароля помогает, но недостаточно эффективно — пароли уязвимы по отношению ко многим атакам Несомненно, требуется более безопасное хранилище

Аутентификацию на основе микропроцессорных карт (другое часто используемое название — смарт-карты) сложнее всего обойти, так как используется уникальный физический объект, которым должен обладать человек, чтобы войти в систему В отличие от паролей владелец быстро узнает о краже и может сразу принять необходимые меры для предотвращения ее негативных последствий Кроме того, данные защищены при помощи двухфакторной аутентификации: злоумышленнику необходимо не только украсть смарт-карту (фактор обладания), но и узнать пароль к нему (фактор знания). Микропроцессорные карты могут повысить надежность служб Public Key Infrastructure (PKI): смарт-карта может использоваться для безопасного хранения закрытых ключей пользователя, а также для безопасного выполнения криптографических преобразований в рамках протокола аутентификации Безусловно, данные устройства аутентификации не обеспечивают абсолютную безопасность, но надежность их защиты намного превосходит возможности обычного настольного компьютера

Для хранения и использования закрытого ключа разработчики используют различные подходы Наиболее простой из них — использование устройства аутентификации в качестве защищенного носителя аутентификационной информации: при необходимости карта экспортирует закрытый ключ, и криптографические операции осуществляются на рабочей станции . Этот подход является не самым совершенным с точки зрения безопасности, зато относительно легкореализуемым и предъявляющим невысокие требования к устройству аутентификации В качестве примера реализации такого подхода можно привести устройство ruToken

Два следующих подхода более безопасны, поскольку предполагают выполнение устройством аутентификации криптографических операций При первом — пользователь генерирует ключи на рабочей станции и сохраняет их в памяти устройства При втором — пользователь генерирует ключи при помощи устройства . В обоих случаях, после того как закрытый ключ сохранен, его нельзя извлечь из устройства и получить любым другим способом Примером такого решения является смарт-карта класса eToken

В случае генерации ключевой пары вне устройства пользователь может сделать резервную копию закрытого ключа Если устройство выйдет из строя, будет потеряно, повреждено или уничтожено, пользователь сможет сохранить тот же закрытый ключ в памяти нового устройства Это необходимо, если пользователю требуется расшифровать какие-либо данные, сообщения и т д , зашифрованные с помощью соответствующего закрытого ключа Однако при этом закрытый ключ пользователя подвергается риску быть похищенным, т . е . скомпрометированным .

При генерации ключевой пары с помощью устройства закрытый ключ не появляется в открытом виде и нет риска, что злоумышленник украдет его резервную копию Единственный способ использования закрытого ключа — это обладание устройством аутентификации . Являясь наиболее безопасным, это решение выдвигает высокие требования к возможностям самого устройства: оно должно обладать функциональностью генерации ключей и осуществления криптографических преобразований Решение также предполагает, что закрытый ключ не может быть восстановлен в случае выхода устройства из строя и т п

ВЫБОР НОСИТЕЛЕЙ КЛЮЧЕВОЙ ИНФОРМАЦИИ

Исходя из вышеизложенного можно рассмотреть вопросы выбора устройств аутентификации (микропроцессорных карт), которые обычно называют персональными идентификаторами (поскольку они содержат идентификаторы не только на поверхности смарт-карты, но и внутри чипа) или носителями ключевой информации Кроме последнего упомянутого названия в последние годы эти устройства аутентификации еще называют персональными идентификаторами с неизвлекаемыми ключами, поскольку, согласно международным, в частности европейским, требованиям (например, Guide on the Use of Electronic Signatures . European Committee of Standardization . Cen Workshop Agreement CWA 14365, 2003), устройства, применяющиеся для так называемой квалифицированной электронной подписи (согласно Закону об электронной подписи), должны быть спроектированы как SSCD (Secure Signature Creation Device — устройства, способные безопасно генерировать ключевые пары, при этом закрытые ключи обязаны никогда не покидать защищенную память устройства типа Write Only). Наконец, эти устройства еще называют программно-аппаратными средствами хранения ключевой информации Мировой рынок смарт-карт достаточно велик, однако с целью снижения себестоимости для использования в банках обычно применяются одни из самых дешевых микропроцессорных карт, в заданное время выполняющих сегодня необходимый объем вычислений и работающих с устройствами чтения (ридерами) по протоколу Т0 . Для работы с банковскими приложениями вычислительной мощности таких карт было достаточно Однако для перехода на устройства класса SSCD на рынке БС РФ ожидается появление смарт-карт с повышенными требованиями к функционалу и производительности чипа (особенно в части выполнения криптографических операций) и соответственно более дорогих в цене

В Российской Федерации, к сожалению, на момент написания данного материала никаких официальных требований к аутентификации и ключевым носителям не зафиксировано . Однако движение в сторону появления таких документов началось, особенно после появления постановления Правительства РФ от 28 ноября 2011 г № 977 «О федеральной государственной информационной системе „Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме"», которое предписывает в весьма сжатые сроки (до 15 апреля 2012 г ) ввести в эксплуатацию единую систему идентификации и аутентификации в Российской Федерации В силу важности данного вопроса и развития системы юридически значимых электронных документов требования к уровням аутентификации при удаленном доступе к различным информационным системам, скорее всего, появятся в ближайшем будущем Кроме ключей ЭЦП и шифрования, которые генерируются внутри чипа смарт-карты, в защищенную память ключевого носителя помещают ключи VPN, ключи шифрования и другой ключевой (критичный к разглашению) материал

При выборе программно-аппаратных средств для хранения ключевой информации, идентификации и аутентификации пользователей — владельцев смарт-карт, реализующих криптографические алгоритмы и протоколы, согласно Стандарту, указанные средства должны иметь сертификат соответствия требованиям ФСБ России к СКЗИ класса КС1 или КС2 в соответствии с утвержденной для данной информационной системы моделью угроз