Современные информационные технологии/4.Информационная
безопасность
Автор: студент группы ЗМм-07 Проценко А.Д.
Руководитель: Галушко С.А.
Национальный
горный университет, Украина
Выбор технологий и средств
аутентификации
Тема аутентификации
(подтверждения подлинности идентификатора объекта) последние пять лет является
одной из самых обсуждаемых практически на всех конференциях по информационной
безопасности (ИБ) международного и национального уровней. С одной стороны, это
объясняется тем, что в условиях глобализации размываются границы предприятия,
мир становится мобильным, ресурсы - все более распределенными (отметим, что все
более активными становятся хакеры, а значит, увеличивается процент
мошенничества). Соответственно, обостряется вопрос о необходимости доподлинно
знать, тот ли это ресурс, за который он себя выдает (противодействие фишингу),
и является ли пользователь, который стремится получить доступ к данному
ресурсу, легальным? С другой стороны, аутентификация как один из основных
сервисов безопасности - обязательная составляющая систем защиты от
несанкционированного доступа (НСД), в качестве подсистемы входящая в ряд систем
информационной безопасности.
Перед многими
специалистами ИБ стоит задача выбора средств и методов аутентификации. Обилие
статей по данной теме, не всегда написанных квалифицированными специалистами
(сейчас практически нет технической, а подчас и литературной цензуры), и
широкий выбор самих средств аутентификации, предлагаемых рынку производителями,
зачастую не позволяют заказчикам сделать правильный выбор решения, которое
наиболее полно соответствует поставленным перед ними задачам. Тем более что
государственного регулирования и четких рекомендаций по выбору технологий и
средств аутентификации, в зависимости от уровня рисков, пока не опубликовано. В
разрабатываемых отраслевых стандартах данный вопрос также рассматривается
недостаточно полно.
Пожалуй, ближе всех к
правильному подходу относительно применения технологий аутентификации в
настоящее время находится банковское сообщество. Банки активно учатся оценивать
риски, в частности, связанные с информационной безопасностью. Этому немало
способствует и всплеск мошенничества с операциями по банковским картам, с
модным нынче web-доступом к личным кабинетам по управлению инвестиционным портфелем
и с уже вполне "привычными" для нашего уха хакерскими операциями со
счетами, системами клиент-банк и т. д. Банки, уже ощутившие финансовый ущерб от
подобных атак мошенников, начинают применять современные средства защиты, в том
числе надежные технологии аутентификации, в качестве одной из мер снижения
рисков финансовых потерь. Нередко встречаются и такие типы защитных мер, как
рекомендации банков своим клиентам. Действуя по принципу "Предупрежден -
значит, вооружен", клиентам банка рассылаются предупреждения о том, что
при переводе сумм выше определенного уровня ответственность переносится на
клиентов.
С точки зрения
применяемых технологий аутентификации, безусловно, самой надежной является
взаимная строгая двухфакторная аутентификация. В ее основе лежит технология
электронной цифровой подписи (ЭЦП) с применением USB-ключей или смарт-карт в
качестве надежного хранилища закрытых ключей пользователей. Под взаимностью
понимается возможность проверки валидности сертификата цифровой подписи как
клиента сервером, так и наоборот. Однако эта технология требует развитой
инфраструктуры открытых ключей, наличия доверенной среды, а также средств
проверки ЭЦП на клиентской рабочей станции.
При отсутствии
возможностей для выполнения этих условий, в частности, для организации
удаленного доступа из недоверенной среды, были разработаны достаточно надежные
схемы с применением одноразовых паролей (технология OTP - One Time Password). Суть
концепции одноразовых паролей состоит в использовании различных паролей при
каждом новом запросе на предоставление доступа. Одноразовый пароль действителен
только для одного входа в систему. Динамический механизм задания пароля
является одним из лучших способов защитить процесс аутентификации от внешних
угроз. Аутентификация с применением механизма ОТР называется усиленной.
Методы применения
одноразовых паролей для аутентификации пользователей классифицируют следующим
образом:
1. Использование генератора псевдослучайных
чисел, общего для пользователя и проверяющей системы, с одним и тем же
начальным значением.
2. Использование механизма временных меток на
основе системы единого времени.
3. Использование списка случайных паролей,
общего для легального пользователя и проверяющей системы, и механизма их
синхронизации.
Следует отметить, что создание одноразовых
паролей может иметь в своей основе, как аппаратный, так и программный способ
реализации. Большое количество аппаратных средств на основе одноразовых паролей
в настоящее время создаются в виде миниатюрных устройств со встроенным
микропроцессором, внешне напоминающих кредитные банковские карты.
Первый метод применения одноразовых паролей
для аутентификации пользователей базируется на использовании генератора
псевдослучайных чисел, общего для пользователя, осуществляющего вход и
проверяющей системы аутентификации, с одним и тем же начальным значением.
Различают два основных способа реализации этого метода аутентификации:
- последовательность преобразуемых
одноразовых паролей. В процессе очередной сессии аутентификации пользователь
создает и передает пароль именно для данной сессии, зашифрованный на секретном
ключе, полученном из пароля предыдущей сессии;
- последовательности паролей, основанные на
односторонней функции. Суть данного метода составляет последовательное использование
односторонней функции. Этот метод является более предпочтительным с точки
зрения безопасности по сравнению с методом последовательно преобразуемых
паролей.
И, наконец, при самом
низком уровне рисков и ничтожно малом возможном ущербе при разглашении
информации, доступ к которой необходимо организовать, широко используется
способ аутентификации, основанный на применении парольной защиты.
При применении каждой
рассмотренной технологии следует учитывать и более тонкие технические моменты,
хорошо известные специалистам. Например, при использовании технологии ЭЦП,
весьма существенной, с точки зрения обеспечения требуемого уровня безопасности,
является задача управления закрытыми ключами. Почему-то о данной задаче очень
мало пишут в российских СМИ, а ведь ее техническое решение оказывает
существенное влияние на степень защищенности системы. Суть проблемы заключается
в том, что безопасность закрытого ключа пользователя должна быть обеспечена на
всех этапах его жизненного цикла: при генерации ключевой пары (открытого и
закрытого ключей), при хранении закрытого ключа, при его использовании
(выполнении криптографических операций, требующих закрытого ключа пользователя,
например, формирования ЭЦП), при уничтожении закрытого ключа. Самое надежное
средство генерации и хранения закрытых ключей пользователей - микропроцессорная
смарт-карта или USB-ключ с микросхемой микропроцессорной смарт-карты.
Выводы
Итак, лучшей практикой
для подтверждения подлинности идентификатора является двусторонняя строгая
аутентификация, основанная на технологии ЭЦП. В ситуациях, когда данную
технологию использовать невозможно, необходимо применять ОТР, и только при
минимальном уровне рисков проникновения злоумышленника к информационным
ресурсам рекомендуется применение технологий аутентификации с помощью
многоразовых паролей.
Тема аутентификации
(подтверждения подлинности идентификатора объекта) последние пять лет является
одной из самых обсуждаемых практически на всех конференциях по информационной
безопасности (ИБ) международного и национального уровней. С одной стороны, это
объясняется тем, что в условиях глобализации размываются границы предприятия,
мир становится мобильным, ресурсы - все более распределенными (отметим, что все
более активными становятся хакеры, а значит, увеличивается процент
мошенничества). Соответственно, обостряется вопрос о необходимости доподлинно
знать, тот ли это ресурс, за который он себя выдает (противодействие фишингу),
и является ли пользователь, который стремится получить доступ к данному
ресурсу, легальным? С другой стороны, аутентификация как один из основных
сервисов безопасности - обязательная составляющая систем защиты от
несанкционированного доступа (НСД), в качестве подсистемы входящая в ряд систем
информационной безопасности.
Литература:
1.
Леонтьев Б. Хакинг без секретов. – М.: Познавательная книга плюс, 2000.
2.
Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в современных
компьютерных системах. – 2-е издание:
М.: Радио и связь, 2001.
4.
Word Key. http://www.lostpassword.com/word.htm
3.
Панасенко С. Защита информации в Microsoft Word. // Банки и технологии. – 2002 .