к.т.н., доцент Павлов В.Г., Белов А.Э.,
Национальный авиационный университет,
Украина
Применение
USB e-Token в многофакторной
аутентификации
Как
известно, процедура проверки подлинности или аутентификация является
необходимым условием доступа к защищенным данным. Чем сложнее эта процедура,
тем меньше шансов у злоумышленника
осуществить несанкционированный доступ.
Традиционно
рассматриваются три составляющих - факторы аутентификации, которыми являются:
знание определенной информации, наличие определенного предмета аутентификации и
обладание определенными уникальными характеристиками. Если в процессе
аутентификации используются несколько факторов, то она является многофакторной.
Среди
криптографических методов, используемых при аутентификации, представляется
перспективным применение инфраструктуры открытых ключей (PKI).
PKI – (Public Key Infrastructure) - это набор
средств, распределенных служб и компонентов, в совокупности используемых для
поддержки криптозадач на основе закрытого и открытого ключей, называемых также
асимметричными.
Генерация
каждой пары, состоящей из открытого и личного ключей, осуществляется
независимыми, но математически связанными алгоритмами. Именно этой взаимосвязью
обусловлено уникальные свойства конкретной пары ключей, а именно: если для
шифрования данных используется один ключ данной пары, то расшифровка их
возможна только с помощью второго ключа этой же пары (рис. 1).
Рис. 1. Аутентификация с открытым ключом
В
этом и есть главное отличие ассиметричных ключей от симметричных, где один и
тот же ключ можно использовать как для шифрования, так и для расшифровки
информации.
Однако, при
использовании описанной системы пар ключей возникает одна существенная
проблема: при обмене открытыми ключами необходимо удостовериться в
принадлежности его определенному владельцу. Именно для этой цели используется
цифровой сертификат.
Цифровой
сертификат — выпущенный удостоверяющим центром электронный или печатный
документ, подтверждающий принадлежность владельцу открытого ключа или
каких-либо атрибутов.
Подобно
паспорта, удостоверения личности или водительских прав, цифровой сертификат
подтверждает, что владелец открытого ключа именно тот, за кого себя выдает.
Цифровой
сертификат предоставляет наделенная особыми правами организация, в данном
случае это сертификационный центр (Certificate Authority, CA). При
использовании простой архитектуры PKI функции CA по выдаче сертификатов
конечным пользователям может выполнять системный администратор. В более сложной
среде в качестве CA может выступать крупное предприятие, государственное
агентство или независимый консорциум, который действует как доверительный агент
в рамках конкретной отрасли.
Цифровые
сертификаты, созданные на основе стандарта X.509, содержат массу информации, в
том числе серийный номер, который CA присваивает сертификату, дату окончания
срока действия сертификата, имя держателя сертификата и его открытый ключ.
Цифровые
сертификаты и цифровые подписи — это те основные приложения, где технология PKI
наиболее выигрышна. Получатель может проверить цифровую подпись доверенной
стороны, декодировав хэшированную подпись с помощью открытого ключа.
Соответственно управление сертификатами и подписями, а также ключами
шифрования, требует особого внимания.
Для
безопасного хранения закрытого ключа ключевой пары наибольшую перспективу
представляют аппаратные устройства USB e-Token, которые могут повысить
надежность служб PKI. Они могут использоваться не только для безопасного
хранения закрытых ключей пользователя, но также для безопасного выполнения
криптографических преобразований. Пользователь генерирует ключи при помощи
самого устройства и хранит их в его памяти, при этом закрытый ключ не покидает
устройство, а, следовательно, у злоумышленника меньше шансов его похитить или
скопировать.
USB e-Token в этом случае выступает в роли интеллектуального аппаратного устройства: оно должно
генерировать ключи и осуществлять криптографические преобразования. Высокая
степень его надежности гарантируется тем, что закрытый ключ не может быть
восстановлен в случае выхода устройства из строя.
Обладание
персональным устройством USB e-Token в данном случае рассматривается как
дополнительный фактор аутентификации, который обеспечивает высокую надежность
проведения процедуры аутентификации, а, значит, большую защищенность информации.
Литература:
1. Аутентификация. От паролей до открытых ключей.
Под ред. Э. Смит. Ричард, 2002.-325с.
2. ГАЛИЦКИЙ А. В., РЯБКО С. Д., ШАНЬГИН В. Ф.
Защита информации в сети. Анализ технологий и синтез решений.- ДМК Пресс,
2004.-413с.
3. Щеглов А.Ю. Защита компьютерной информации от
несанкционированного доступа. – СПб.:Наука и техника, 2004. -344с.