Комбинированные системы идентификации и аутентификации

     Комбинированные системы идентификации и аутентификации

     Идентификация – процедура распознавания субъекта по его идентификатору (некоторой  информацией – числу, строке символов).

     Аутентификация (подтверждение подлинности) – процедура  проверки соответствия субъекта и того, за кого он пытается себя выдать, с помощью  некой уникальной информации.

     Основным  способом защиты информации от злоумышленников  считается внедрение так называемых средств ААА, или 3А (authentication, authorization, administration — аутентификация, авторизация, администрирование).

     При использовании СИА сотрудник  получает доступ к компьютеру или  в корпоративную сеть только после  успешного прохождения процедуры  идентификации и аутентификации. Идентификация заключается в распознавании пользователя по присущему или присвоенному ему идентификационному признаку. Проверка принадлежности пользователю предъявленного им идентификационного признака осуществляется в процессе аутентификации. 

     Классификация систем идентификации и аутентификации

     Современные СИА по виду используемых идентификационных  признаков разделяются на электронные, биометрические и комбинированные (см. рис. 1).

     В электронных системах идентификационные  признаки представляются в виде цифрового  кода, хранящегося в памяти идентификатора. Такие СИА разрабатываются на базе следующих идентификаторов:

     - контактных смарт-карт;

     - бесконтактных смарт-карт;

     - USB-ключей (другое название — USB-токенов);

     - идентификаторов iButton.

     В биометрических системах идентификационными признаками являются индивидуальные особенности  человека, называемые биометрическими  характеристиками. В основе идентификации и аутентификации этого типа лежит процедура считывания предъявляемого биометрического признака пользователя и его сравнение с предварительно полученным шаблоном. В зависимости от вида используемых характеристик биометрические системы делятся на статические и динамические.

     Статическая биометрия (также называемая физиологической) основывается на данных, получаемых из измерений анатомических особенностей человека (отпечатки пальцев, форма  кисти руки, узор радужной оболочки глаза, схема кровеносных сосудов  лица, рисунок сетчатки глаза, черты  лица, фрагменты генетического кода и др.).

     Динамическая  биометрия (также называемая поведенческой) основывается на анализе совершаемых  человеком действий (параметры голоса, динамика и форма подписи).

     Несмотря  на многочисленность биометрических характеристик, разработчики СИА основное внимание уделяют технологиям распознавания  по отпечаткам пальцев, чертам лица, геометрии  руки и радужной оболочки глаза. Так, например, согласно отчету International Biometric Group, на мировом рынке биометрической защиты в 2004 г. доля систем распознавания по отпечаткам пальцев составила 48%, по чертам лица — 12%, геометрии руки — 11%, радужке глаза — 9%, параметрам голоса — 6%, подписи — 2%. Оставшаяся доля (12%) относится к промежуточному ПО.

     В комбинированных системах для идентификации  используется одновременно несколько  идентификационных признаков. Такая  интеграция позволяет воздвигнуть  перед злоумышленником дополнительные преграды, которые он не сможет преодолеть, а если и сможет, то со значительными  трудностями. Разработка комбинированных  систем осуществляется по двум направлениям:

     - интеграция идентификаторов в рамках системы одного класса;

     - интеграция систем разного класса.

     В первом случае для защиты компьютеров  от НСД используются системы, базирующиеся на бесконтактных смарт-картах и USB-ключах, а также на гибридных (контактных и бесконтактных) смарт-картах. Во втором случае разработчики умело «скрещивают» биометрические и электронные СИА (далее в статье такой конгломерат  называется биоэлектронной системой идентификации и аутентификации).

     Особенности электронных систем идентификации и аутентификации

     В состав комбинированных СИА могут входить электронные контактные и бесконтактные смарт-карты и USB-ключи. Основным элементом этих устройств являются одна или более встроенных интегральных микросхем (чипов), которые могут представлять собой микросхемы памяти, микросхемы с жесткой логикой и микропроцессоры (процессоры). В настоящее время наибольшей функциональностью и степенью защищенности обладают идентификаторы с процессором.

     Основу  чипа микропроцессорной контактной смарт-карты составляют центральный  процессор, специализированный криптографический  процессор (опционально), оперативная  память (RAM), постоянная память (ROM), энергонезависимая  программируемая постоянная память (PROM), датчик случайных чисел, таймеры, последовательный коммуникационный порт.

     Оперативная память используется для временного хранения данных, например, результатов  вычислений, произведенных процессором. Ее емкость составляет несколько  килобайтов.

     В постоянной памяти хранятся команды, исполняемые  процессором, и другие неизменяемые данные. Информация в ROM записывается при  производстве карты. Емкость памяти может составлять десятки килобайтов.

     В контактных смарт-картах используется два типа памяти PROM: однократно программируемая  память EPROM и чаще встречающаяся  многократно программируемая память EEPROM. Память PROM служит для хранения пользовательских данных, которые могут  считываться, записываться и модифицироваться, и конфиденциальных данных (например, криптографических ключей), недоступных  для прикладных программ. Емкость PROM составляет десятки и сотни килобайтов.

     Центральный процессор смарт-карты (обычно это RISC-процессор) обеспечивает реализацию разнообразных  процедур обработки данных, контроль доступа к памяти и управление ходом выполнения вычислительного  процесса.

     На  специализированный процессор возлагается  реализация различных процедур, необходимых  для повышения защищенности СИА:

     - генерация криптографических ключей;

     - реализация криптографических алгоритмов (ГОСТ 28147-89, DES, 3DES, RSA, SHA-1 и др.);

     - выполнение операций с электронной цифровой подписью (генерация и проверка);

     - выполнение операций с PIN-кодом и др.

     Бесконтактные смарт-карты разделяются на идентификаторы Proximity и смарт-карты, базирующиеся на международных стандартах ISO/IEC 15693 и ISO/IEC 14443. В основе функционирования большинства СИА на базе бесконтактных смарт-карт лежит технология радиочастотной идентификации. Конструктивно радиочастотные идентификаторы (см. табл. 1) изготавливаются в виде пластиковых карточек, брелоков, жетонов, дисков, меток и т. п.

     Основные  компоненты бесконтактных смарт-карт — чип и антенна. Внутри идентификаторов  также может находиться литиевая батарея. Идентификаторы с батареей называются активными, без батареи  — пассивными. Каждый идентификатор  имеет уникальный 32/64-разрядный серийный номер.

     Идентификаторы  Proximity функционируют на частоте 125 кГц. В состав чипа входит микросхема памяти (или микросхема с жесткой логикой) со вспомогательными блоками: модулем программирования, модулятором, блоком управления и др. Емкость памяти составляет от 8 до 256 байт. В Proximity в основном используется однократно программируемая постоянная память EPROM, но встречается и перезаписываемая EEPROM. В памяти содержатся уникальный номер идентификатора, код устройства и служебная информация (биты четности, биты начала и конца передачи кода и т. д.).

     Обычно  идентификаторы Proximity являются пассивными и не содержат химического источника питания — литиевой батареи. В этом случае питание микросхемы происходит посредством электромагнитного поля, излучаемого считывателем. Чтение данных считыватель осуществляет со скоростью 4 кбит/с на расстоянии до 1 м.

     Системы идентификации и аутентификации на базе Proximity криптографически не защищены (за исключением заказных систем).

     Бесконтактные смарт-карты функционируют на частоте 13,56 МГц и разделяются на два  класса, которые базируются на международных  стандартах ISO/IEC 15693 и ISO/IEC 14443.

     Стандарт ISO/IEC 14443 включает в себя версии А и В, различающиеся способами модуляции передаваемого радиосигнала. Стандарт поддерживает обмен (чтение-запись) данными со скоростью 106 кбит/с (возможно увеличение скорости до 212, 424 или 848 кбит/с), дистанция чтения — до 10 см.

     Для реализации функций шифрования и  аутентификации в идентификаторах  стандарта ISO/IEC 14443 могут применяться  чипы трех видов: микросхема с жесткой  логикой MIFARE, процессор или криптографический  процессор. Технология MIFARE является разработкой  компании Philips Electronics и представляет собой расширение ISO/IEC 14443 (версии А).

     Стандарт ISO/IEC 15693 увеличивает дистанцию применения бесконтактного идентификатора до 1 м. На этом расстоянии обмен данными  осуществляется со скоростью 26,6 Кбит/с.

     USB-ключи  (см. табл. 2) предназначаются для работы с USB-портом компьютера. Они конструктивно изготавливаются в виде брелоков, которые выпускаются в цветных корпусах, имеют световые индикаторы работы и легко размещаются на связке с ключами. Каждый идентификатор имеет прошиваемый при изготовлении уникальный 32/64-разрядный серийный номер. 

     USB-ключи  являются преемниками контактных  смарт-карт. Поэтому структуры USB-ключей  и смарт-карт, как и объемы аналогичных  запоминающих устройств, практически  идентичны. В состав USB-ключей  могут входить: 

     - процессор — управление и обработка данных;

     - криптографический процессор — реализация алгоритмов ГОСТ 28147-89, DES, 3DES, RSA, DSA, MD5, SHA-1 и других криптографических преобразований;

     - USB-контроллер — обеспечение интерфейса с USB-портом компьютера;

     - RAM — хранение изменяемых данных;

     - EEPROM — хранение ключей шифрования, паролей, сертификатов и других важных данных;

     - ROM — хранение команд и констант.

     Комбинированные системы 

     Внедрение комбинированных СИА (см. табл. 3) в  систему информационной безопасности компании увеличивает количество идентификационных  признаков, позволяя таким образом более эффективно защитить компьютеры и корпоративную сеть от НСД. Кроме того, некоторые типы систем способны управлять физическим доступом в здания и помещения и контролировать его. 

     Сегодня на рынке компьютерной безопасности присутствуют комбинированные системы  идентификации и аутентификации следующих типов:

     - системы на базе бесконтактных смарт-карт и USB-ключей;

     - системы на базе гибридных смарт-карт;

     - биоэлектронные системы.

     Бесконтактные смарт-карты и USB-ключи 

     Аппаратная  интеграция USB-ключей и бесконтактных  смарт-карт предполагает, что в корпус брелока встраиваются антенна и  микросхема, поддерживающая бесконтактный  интерфейс. Это позволяет с помощью  одного идентификатора организовать управление доступом и к компьютеру, и в  помещения офиса. Для входа в  служебное помещение сотрудник  использует свой идентификатор в  качестве бесконтактной карты, а  при допуске к защищенным компьютерным данным — в качестве USB-ключа. Кроме  того, при выходе из помещения он извлекает идентификатор из USB-разъема (чтобы потом войти обратно) и  тем самым автоматически блокирует  работу компьютера.

     Многофакторная  аутентификация

     Для повышения безопасности на практике используют несколько факторов аутентификации сразу. Однако, при этом важно понимать, что не всякая комбинация нескольких методов является многофакторной аутентификацией. Например, использование для аутентификации лица и голоса пользователя не может быть признана таковой,  поскольку оба используемых фактора относятся к одному типу— «на основе биометрических данных». Специалисты по информационной безопасности чаще всего относят биометрию (на данном этапе её развития) к дополнительным методам, позволяющим идентифицировать пользователя.

       В основе самого надёжного  на сегодня метода многофакторной  аутентификации лежит применение  персональных аппаратных устройств  - токенов.  Аутентификация  на базе токенов является высокотехнологичной и, главное, надежной альтернативой и парольным, и биометрическим методам, и кроме того она существенно превосходит их по простоте интеграции и дальнейшей эксплуатации.

       По сути, токен – это небольшой USB-карт-ридер с интегрированным чипом смарт-карты. Токены, реализованные на основе смарт-карт, позволяют генерировать и хранить ключи шифрования, обеспечивая тем самым строгую аутентификацию при доступе к компьютерам, данным и информационным системам.

       Токен можно использовать для решения целого ряда различных задач, связанных с шифрованием пользовательских данных, электронной цифровой подписью документов и аутентификацией самого пользователя. С одной и той же смарт-картой пользователь может входить в операционную систему, участвовать в защищенном информационном обмене с удаленным офисом (например, с помощью технологии VPN), работать с web-сервисами (технология SSL), подписывать документы (ЭЦП), а также надежно сохранять закрытые ключи, логины, пароли и сертификаты в памяти своего токена.

     В сочетании с криптографическим  шифрованием системных дисков, защитой  отдельных файлов и съемных носителей, а также аутентификацией до загрузки операционной системы, токены позволяют обеспечить необходимый уровень безопасности ИС для организаций любого масштаба со сколь угодно высоким уровнем требований к системе информационной безопасности и защиты данных.

     Идентификатор eToken RM представляет собой USB-ключ eToken Pro со встроенным чипом, поддерживающим бесконтактный интерфейс (рис. 3). Поставщика и тип микросхемы заказчик может выбирать в соответствии со своими потребностями. В настоящее время компанией предлагаются радиочипы производства HID Corporation, EM Microelectronic-Marin, Philips Electronics (технология MIFARE), Cotag International и ОАО «Ангстрем».

     К главным характеристикам eToken RM со встроенным идентификатором БИМ-002 можно отнести следующие показатели:

     - частота функционирования БИМ-002 — 13,56 МГц;

     - дальность чтения идентификационного кода — до 30 мм;

     - тактовая частота процессора — 6 МГц;

     - реализуемые криптографические алгоритмы — RSA-1024, DES, 3DES, SHA-1;

     - наличие аппаратного датчика случайных чисел;

     - поддерживаемые стандарты — PKCS#11, PKCS#15 (CRYPTOKI), MS Crypto API, PC/SC, X.509 v3, SSL v3, S/MIME, IPSec/IKE, GINA, RAS/Radius/PAP/CHAP/PAP;

     - поддерживаемые операционные системы — Windows 98/ME/NT/2000/XP/2003, ASP Linux 7.2, Red Hat Linux 8.0, SuSe Linux 8.2.

     Разница между стоимостью комбинированных  и обычных USB-ключей приблизительно соответствует цене смарт-карты  Proximity. Отсюда следует, что интеграция бесконтактных смарт-карт и USB-ключей почти не ведет к росту затрат на аппаратную часть при переходе на комбинированную систему идентификации и аутентификации. Выигрыш же очевиден: один идентификатор вместо двух.

     Встроенная  флэш-память

     Несмотря  на возможность с помощью печати на специальных принтерах превратить токен в форм-факторе смарт-карты в универсальное устройство, объединяющее бэйдж (с фотографией и ФИО владельца), средство аутентификации и карточку для прохода в помещения, в России наиболее распространённый форм-фактор подключаемых к компьютерам токенов – это USB-ключи. Связано это в первую очередь с удобством подключения – нет необходимости оборудовать каждую рабочую станцию карт-ридерами (считывателями смарт-карт). Психология пользователей, ожидающих при подключении USB-ключа появления нового диска в папке «Мой компьютер», желание сэкономить на дополнительных портах, а так же современные требования информационной безопасности во многом предопределили появление нового класса устройств.

       Ведущие производители аппаратных  средств аутентификации предлагают  комбинированную модель аппаратного USB-токена с интегрированной флэш-памятью. Помимо освобождения дополнительного USB-разъёма такое устройство имеет целый ряд преимуществ по безопасному хранению, транспортировке и удалённому доступу к конфиденциальным данным

       Приложения безопасности удобно  хранить и запускать непосредственно  из памяти токена. Аппаратная реализация криптографических алгоритмов позволяет в одном корпусе объединить сами защищаемые данные и ключи шифрования, необходимые для доступа к ним.

       Большой объём памяти (до 4 ГБ) позволяет  размещать и автоматически запускать  при подключении:

     Драйверы  самого токена;

     Приложения  безопасности (например, приложения для  шифрования данных);

     Приложения, предназначенные специально для  отдельных пользователей или  групп пользователей;

     Операционные  системы;

     Файлы установки.

     Подобные  устройства позволяют реализовать  доверенную загрузку рабочих станций, терминальных клиентов и даже серверов непосредственно из самой памяти токена вне зависимости от установленной на недоверенном компьютере операционной системы и наличия у него жёсткого диска. Интересным решением с таким токеном может быть поставка, дистрибуция, установка и тиражирование ПО.

     Генераторы  одноразовых паролей

     Для работы вне стен офиса с необорудованных  и ненастроенных рабочих мест, например, в интернет-кафе  использовать USB-ключи и смарт-карты фактически невозможно, особенно с учётом того, что последние помимо драйверов  требуют наличия карт-ридера.

       Использование классических «многоразовых»  паролей является серьёзной уязвимостью  при работе в таких недоверенных средах. Это подтолкнуло ведущих вендоров рынка аутентификации к созданию аппаратных генераторов одноразовых паролей (ОТР-устройств, от англ. One Time Password). Такие устройства генерируют очередной пароль, который сотрудник вводит в окно запроса либо по расписанию (например, каждые 30 секунд)  либо по запросу (при нажатии на кнопку).  Каждый такой пароль можно использовать только один раз. Проверку правильности введённого значения на стороне сервера проверяет специальный сервер аутентификации, вычисляющий текущее значение одноразового пароля программно.

       Для сохранения принципа двухфакторности аутентификации помимо сгенерированного устройством значения пользователь вводит постоянный пароль.

       Генераторы одноразовых паролей  появились до широкого распространения смарт-карт в ответ на растущее число инцидентов с кражей конфиденциальной информации при помощи удалённого доступа. Такой метод аутентификации не является строгим и носит название – усиленный. Основная уязвимость одноразовых паролей – атака типа «человек посередине». При такой атаке злоумышленник вклинивается в коммуникацию между пользователем и сервером, полностью контролируя весь информационный обмен между ними. Отсутствие криптографических преобразований как в случае с использованием смарт-карт и цифровых сертификатов снижает уровень обеспечиваемой безопасности, позволяя использовать данный способ только в определённых случаях. Так, например, банки в зависимости от метода аутентификации (по одноразовому паролю или цифровому сертификату) устанавливают различные лимиты на проведение операций.

       Стоит отметить, что в России  в связи с более поздним  становлением рынка аппаратных  токенов и из-за наличия к тому времени более совершенных смарт-карт, генераторы одноразовых паролей не так широко распространены, как, например, на западе.

     Java-токены

     Смарт-карта, а точнее её чип, имплантированный в пластик или встроенный в корпус USB-ключа является полноценным компьютером в миниатюре: с жёстким диском (EEPROM), оперативной памятью (ROM), процессором и, конечно, операционной системой. Функционалом, операционной системой и «установленными» на неё приложениями и определяются возможности токена.

       Предыдущие поколения токенов, как правило, использовали проприетарную лицензируемую операционную систему (один из монополистов этого рынка – компания Siemens с её CardOS). Закрытая архитектура делала крайне сложной разработку дополнительных приложений и компонентов самой операционной системы, например, реализацию поддержки национальных криптографических алгоритмов.

       Современные токены строятся на базе Java-карты, являющейся стандартом на рынке (более 10 крупных производителей). Функциональность конкретного токена определятся набором загруженных апплетов, выполняющихся на виртуальной Java-машине. Открытая платформа и широкая популярность языка программирования Java позволяет разрабатывать и в короткие сроки внедрять новые возможности. Среди перспективных разработок – реализация мобильного электронного кошелька пользователя, контроль целостности критических данных средствами апплета, выполняющего в заведомо доверенной среде смарт-карты и т.п.

       Важной особенностью современных Java-токенов является поддержка USB CCID Class Driver. Это класс драйверов для USB-считывателей смарт-карт, позволяющий реализовать минимальный функционал по работе со смарт-картой без установки специализированных драйверов от производителя. Аналогичный класс драйверов, для, например, компьютерной мышки гарантирует работоспособность двух кнопок и колеса прокрутки любого устройства сразу после подключения.

      USB CCID Class Driver встроен в операционную систему Windows Vista и автоматически скачивается с сайта Windows Update при обнаружении нового подключенного устройства в Windows XP, 2003.

       Описанные технологии позволяют  использовать современные токены, в отличие от устройств предыдущего поколения на более широком парке компьютерной техники и для решения более широкого спектра задач.

     Token Management System (TMS).

       TMS – это система, предназначенная для внедрения, управления, использования и учета аппаратных средств аутентификации пользователей (USB-ключей и смарт-карт) в масштабах предприятия. С момента инициализации токена и до его отзыва, то есть на протяжении всего времени его функционирования в инфраструктуре компании, основным инструментом для управления им является TMS. К базовым функциям TMS относятся: ввод в эксплуатацию токена (смарт-карты, USB-ключа, комбинированного USB-ключа или генератора одноразовых паролей), персонализация токена сотрудником, добавление возможности доступа к новым приложениям, а так же его отзыв, замена или временная выдача новой карты, разблокирование PIN-кода, обслуживание вышедшей из строя смарт-карты и отзыв её.

     Итоги

     При всём обилии методов аутентификации наиболее популярными на рынке по-прежнемуостаются аппаратные токены во всех их модификациях и вариантах исполнения. Данная технология вне всякого сомнения будет востребована и спрос на неё будет расти. Производители аппаратных токенов постоянно предлагают всё новые и новые модели, а разработчики прикладного ПО и операционных систем встраивают в свои продукты поддержку смарт-карт и не спешат от них отказываться.

       Современные токены позволяют решить широкий спектр задач по обеспечение информационной безопасности и не редки случаи, когда крупные многофилиальные компании принимают токены как корпоративный стандарт, делая обязательным применение аппаратных средств аутентификации во всех своих дочерних подразделениях. Наличие у ведущих производителей токенов в России соответствующих лицензий и сертификатов на сами токены сделало возможным использование этой технологии в том числе и во многих государственных министерствах и ведомствах.

       Средний и малый бизнес вслед  за крупными компаниями и государством  проявляют всё больший интерес  к токенам как средствам сохранения конфиденциальности коммерческой информации. Интерес со стороны домашних пользователей, вполне возможно, не за горами. Так популярность персональных средств антивирусной защиты сегодня уже никого не удивляет, а ведь токены позволяют защитить личную информацию и персональные данные от угроз, перед которыми антивирусы просто бессильны.

     Пример  внедрения

     В апреле этого года Компания BCC, бизнес-партнер  Aladdin Software Security R.D., завершила проект по модернизации информационной инфраструктуры Юридического факультета Санкт-Петербургского государственного университета. В рамках проекта, выполненного с применением продуктов и технологий корпорации Microsoft и средств аутентификации от Aladdin, факультет получил одну из наиболее совершенных информационных систем, функционирующих в российских государственных высших учебных заведениях. Для поддержки образовательного процесса были установлены десятки терминалов со считывателями смарт-карт для публичного доступа к библиотеке факультета, введена система аутентификации по смарт-картам, обеспечивающая защищенный доступ всех студентов и аспирантов к факультетскому Web-порталу. Построенный на базе продукта Microsoft SharePoint Portal, портал юрфака служит не только для создания и хранения файлов, но и включает возможность сдачи экзаменов в режиме он-лайн, что будет полностью реализовано на последующих этапах проекта.