Выбор технологий и средств аутентификации

Современные информационные технологии/4.Информационная безопасность

Автор: студент группы ЗМм-07 Проценко А.Д.

Руководитель: Галушко С.А.

Национальный горный университет, Украина

Выбор технологий и средств аутентификации

Тема аутентификации (подтверждения подлинности идентификатора объекта) последние пять лет является одной из самых обсуждаемых практически на всех конференциях по информационной безопасности (ИБ) международного и национального уровней. С одной стороны, это объясняется тем, что в условиях глобализации размываются границы предприятия, мир становится мобильным, ресурсы - все более распределенными (отметим, что все более активными становятся хакеры, а значит, увеличивается процент мошенничества). Соответственно, обостряется вопрос о необходимости доподлинно знать, тот ли это ресурс, за который он себя выдает (противодействие фишингу), и является ли пользователь, который стремится получить доступ к данному ресурсу, легальным? С другой стороны, аутентификация как один из основных сервисов безопасности - обязательная составляющая систем защиты от несанкционированного доступа (НСД), в качестве подсистемы входящая в ряд систем информационной безопасности.

Перед многими специалистами ИБ стоит задача выбора средств и методов аутентификации. Обилие статей по данной теме, не всегда написанных квалифицированными специалистами (сейчас практически нет технической, а подчас и литературной цензуры), и широкий выбор самих средств аутентификации, предлагаемых рынку производителями, зачастую не позволяют заказчикам сделать правильный выбор решения, которое наиболее полно соответствует поставленным перед ними задачам. Тем более что государственного регулирования и четких рекомендаций по выбору технологий и средств аутентификации, в зависимости от уровня рисков, пока не опубликовано. В разрабатываемых отраслевых стандартах данный вопрос также рассматривается недостаточно полно.

Пожалуй, ближе всех к правильному подходу относительно применения технологий аутентификации в настоящее время находится банковское сообщество. Банки активно учатся оценивать риски, в частности, связанные с информационной безопасностью. Этому немало способствует и всплеск мошенничества с операциями по банковским картам, с модным нынче web-доступом к личным кабинетам по управлению инвестиционным портфелем и с уже вполне "привычными" для нашего уха хакерскими операциями со счетами, системами клиент-банк и т. д. Банки, уже ощутившие финансовый ущерб от подобных атак мошенников, начинают применять современные средства защиты, в том числе надежные технологии аутентификации, в качестве одной из мер снижения рисков финансовых потерь. Нередко встречаются и такие типы защитных мер, как рекомендации банков своим клиентам. Действуя по принципу "Предупрежден - значит, вооружен", клиентам банка рассылаются предупреждения о том, что при переводе сумм выше определенного уровня ответственность переносится на клиентов.

С точки зрения применяемых технологий аутентификации, безусловно, самой надежной является взаимная строгая двухфакторная аутентификация. В ее основе лежит технология электронной цифровой подписи (ЭЦП) с применением USB-ключей или смарт-карт в качестве надежного хранилища закрытых ключей пользователей. Под взаимностью понимается возможность проверки валидности сертификата цифровой подписи как клиента сервером, так и наоборот. Однако эта технология требует развитой инфраструктуры открытых ключей, наличия доверенной среды, а также средств проверки ЭЦП на клиентской рабочей станции.

При отсутствии возможностей для выполнения этих условий, в частности, для организации удаленного доступа из недоверенной среды, были разработаны достаточно надежные схемы с применением одноразовых паролей (технология OTP - One Time Password). Суть концепции одноразовых паролей состоит в использовании различных паролей при каждом новом запросе на предоставление доступа. Одноразовый пароль действителен только для одного входа в систему. Динамический механизм задания пароля является одним из лучших способов защитить процесс аутентификации от внешних угроз. Аутентификация с применением механизма ОТР называется усиленной.

Методы применения одноразовых паролей для аутентификации пользователей классифицируют следующим образом:

1. Использование генератора псевдослучайных чисел, общего для пользователя и проверяющей системы, с одним и тем же начальным значением.

2. Использование механизма временных меток на основе системы единого времени.

3. Использование списка случайных паролей, общего для легального пользователя и проверяющей системы, и механизма их синхронизации.

Следует отметить, что создание одноразовых паролей может иметь в своей основе, как аппаратный, так и программный способ реализации. Большое количество аппаратных средств на основе одноразовых паролей в настоящее время создаются в виде миниатюрных устройств со встроенным микропроцессором, внешне напоминающих кредитные банковские карты.

Первый метод применения одноразовых паролей для аутентификации пользователей базируется на использовании генератора псевдослучайных чисел, общего для пользователя, осуществляющего вход и проверяющей системы аутентификации, с одним и тем же начальным значением. Различают два основных способа реализации этого метода аутентификации:

- последовательность преобразуемых одноразовых паролей. В процессе очередной сессии аутентификации пользователь создает и передает пароль именно для данной сессии, зашифрованный на секретном ключе, полученном из пароля предыдущей сессии;

- последовательности паролей, основанные на односторонней функции. Суть данного метода составляет последовательное использование односторонней функции. Этот метод является более предпочтительным с точки зрения безопасности по сравнению с методом последовательно преобразуемых паролей.

И, наконец, при самом низком уровне рисков и ничтожно малом возможном ущербе при разглашении информации, доступ к которой необходимо организовать, широко используется способ аутентификации, основанный на применении парольной защиты.

При применении каждой рассмотренной технологии следует учитывать и более тонкие технические моменты, хорошо известные специалистам. Например, при использовании технологии ЭЦП, весьма существенной, с точки зрения обеспечения требуемого уровня безопасности, является задача управления закрытыми ключами. Почему-то о данной задаче очень мало пишут в российских СМИ, а ведь ее техническое решение оказывает существенное влияние на степень защищенности системы. Суть проблемы заключается в том, что безопасность закрытого ключа пользователя должна быть обеспечена на всех этапах его жизненного цикла: при генерации ключевой пары (открытого и закрытого ключей), при хранении закрытого ключа, при его использовании (выполнении криптографических операций, требующих закрытого ключа пользователя, например, формирования ЭЦП), при уничтожении закрытого ключа. Самое надежное средство генерации и хранения закрытых ключей пользователей - микропроцессорная смарт-карта или USB-ключ с микросхемой микропроцессорной смарт-карты.

Выводы

Итак, лучшей практикой для подтверждения подлинности идентификатора является двусторонняя строгая аутентификация, основанная на технологии ЭЦП. В ситуациях, когда данную технологию использовать невозможно, необходимо применять ОТР, и только при минимальном уровне рисков проникновения злоумышленника к информационным ресурсам рекомендуется применение технологий аутентификации с помощью многоразовых паролей.

Литература:

1. Леонтьев Б. Хакинг без секретов. – М.: Познавательная книга плюс, 2000.

2. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в современных компьютерных системах. – 2-е издание: М.: Радио и связь, 2001.

4. Word Key. http://www.lostpassword.com/word.htm

3. Панасенко С. Защита информации в Microsoft Word. // Банки и технологии. – 2002 .