17.11.2008

Актуальные задачи аутентификации

Алексей Сабанов, Connect, №11

А.Г.Сабанов, к.т.н., зам. ген. директора ЗАО «Аладдин Р.Д.»
Тема аутентификации - подтверждения подлинности идентификатора объекта - последние 5 лет является одной из самых обсуждаемых практически на всех конференциях по информационной безопасности (ИБ) международного и национального уровня. Это объясняется тем, что в условиях глобализации размываются границы предприятия, мир становится мобильным, ресурсы – все более распределенными. Данный процесс, помимо безусловных плюсов, имеет и обратную сторону: растет активность хакеров, а значит увеличивается процент мошенничества. В связи с чем, все более остро возникает потребность доподлинно знать, тот ли это ресурс, за который он «себя выдает» (противодействие фишингу), и является ли пользователь, который стремится получить доступ к данному ресурсу, легальным? Дать однозначные ответы на эти вопросы невозможно без использования технологий аутентификации, которая была и остается одним из основных сервисов безопасности, а также обязательной составляющей систем защиты от несанкционированного доступа (НСД) и, кроме того, в качестве подсистемы входит в ряд систем ИБ.
В данной статье кратко рассмотрим наиболее часто обсуждающиеся вопросы, напрямую связанные с решением задач аутентификации, а именно:

  • Выбор технологий и средств аутентификации;
  • Обеспечение удаленного доступа;
  • Проблемы безопасности мобильного доступа;
  • Защищенные on-line запросы и транзакции.

Выбор технологий и средств аутентификации
Перед многими специалистами ИБ стоит задача выбора средств и методов аутентификации. Обилие статей по данной теме, не всегда написанных квалифицированными специалистами (сейчас практически нет технической, а подчас и литературной цензуры), и широкий выбор самих средств аутентификации,  предлагаемых рынку производителями, зачастую не позволяет заказчикам сделать правильный выбор решения, которое наиболее полно соответствует поставленным перед ними задачам. Тем более, что государственного регулирования и четких рекомендаций по выбору тех или иных технологий и средств аутентификации, в зависимости от уровня рисков, пока не опубликовано. В разрабатываемых отраслевых стандартах данный вопрос также рассматривается пока недостаточно полно.
Пожалуй, ближе всех к правильному подходу относительно применения технологий аутентификации в настоящее время находится банковское сообщество. Банки активно учатся оценивать риски, в том числе, связанные с информационной безопасностью. Этому немало способствует и всплеск мошенничества с операциями по банковским картам, с модным нынче Web-доступом  к личным кабинетам по управлению инвестиционным портфелем, и с уже вполне «привычными» для нашего уха хакерскими операциями со счетами, системами клиент-банк и т.д. Банки, уже ощутившие финансовый ущерб от подобных атак мошенников, начинают  применять современные средства защиты, в том числе надежные технологии аутентификации в качестве одной из мер снижения  рисков финансовых потерь. Нередко встречаются и такие типы защитных мер, как рекомендации банков своим клиентам. Действуя по принципу «Предупрежден – значит, вооружен», клиентам банка рассылаются  предупреждения  о том, что при переводе сумм выше определенного уровня, ответственность переносится на клиентов.
Базовые критерии
С точки зрения применяемых технологий аутентификации, подробно рассмотренных в работе [1], безусловно, самой надежной является взаимная строгая двухфакторная аутентификация. В ее основе лежит технология  электронной цифровой подписи (ЭЦП) с применением USB-ключей или смарт-карт в качестве надежного хранилища закрытых ключей пользователей. Под взаимностью понимается возможность проверки валидности сертификата цифровой подписи как клиента сервером, так и сервера клиентом. Однако эта технология требует развитой инфраструктуры открытых ключей, наличия так называемой доверенной среды, а также средств проверки ЭЦП на клиентской рабочей станции.
При отсутствии возможностей для выполнения этих условий, в частности, для организации удаленного доступа из недоверенной среды,  были разработаны достаточно надежные схемы с применением одноразовых паролей (технология OTP – One Time Password), рассмотренные в работе [2]. Суть концепции одноразовых паролей состоит в использовании различных паролей при каждом новом запросе на предоставление доступа. Одноразовый пароль действителен только для одного входа в систему. Динамический механизм задания пароля является одним из лучших способов защитить процесс аутентификации от внешних угроз. Аутентификация с применением механизма ОТР называется усиленной.
И, наконец, при самом низком уровне рисков и ничтожно малого возможного ущерба при разглашении информации, доступ к которой необходимо организовать, возможно применение хорошо известного и широко применяемого способа аутентификации, основанного на применении парольной защиты. Требования к технологии аутентификации в зависимости от уровня рисков сведены в таблицу 1.
Табл.1 . Требования к технологии аутентификации в зависимости от уровня рисков


Уровень риска

Требования бизнеса

Требуемая технология аутентификации

Низкий риск

Требуется аутентификация для доступа к информационным системам, содержащим информацию, разглашение которой не несет существенных последствий.  

Минимальным требованием для аутентификации является использование многоразовых паролей.

Средний риск

Доступ к информации класса ХХХ (при ее несанкционированной модификации, раскрытии или уничтожении имеет место небольшой ущерб).

Требует использования одноразовых паролей (ОТР), а доступ ко всем остальным видам ресурсов требует использования усиленной аутентификации.

Высокий риск

Доступ к информационным системам конфиденциальной информации (при нарушении  безопасности информации ХХХ организация понесет большой ущерб).

Требует использования взаимной строгой (двухфакторной) аутентификации (технология ЭЦП).

При применении каждой рассмотренной технологии необходимо учитывать и более тонкие технические моменты, хорошо известные специалистам. Например, при использовании технологии ЭЦП, весьма существенной, с точки зрения обеспечения необходимого уровня безопасности, является задача управления закрытыми ключами,  подробно рассмотренная в работе [3]. Почему-то о данной задаче очень мало пишут в российских СМИ, а ведь ее техническое решение существенно влияет на степень защищенности системы. Коротко суть проблемы состоит в том, что безопасность закрытого ключа пользователя должна быть обеспечена на всех этапах его жизненного цикла: при генерации ключевой пары (открытого и закрытого ключей), при хранении закрытого ключа, при его использовании (выполнении криптографических операций, требующих закрытого ключа пользователя, например, формирования ЭЦП),  при уничтожении закрытого ключа. В работе [3] показано, что в качестве самого надежного средства генерации и хранения закрытых ключей пользователей необходимо применять микропроцессорную смарт-карту или USB-ключ с микросхемой микропроцессорной смарт-карты.
Итак, лучшей практикой для подтверждения подлинности идентификатора является двусторонняя строгая аутентификация, основанная на применении технологии ЭЦП. В ситуациях, когда невозможно использовать данную технологию, необходимо применять ОТР, и только в случае самого низкого уровня рисков проникновения злоумышленника к информационным ресурсам рекомендуется использование технологий аутентификации с применением многоразовых паролей.
Обеспечение доступа мобильным пользователям
В последнее время все более актуальной становится тема предоставления сервисов удаленного доступа к информационным ресурсам посредством  мобильных устройств вроде телефонов, смартфонов, «наладонников».  Однако желание заказчика иметь полнофункциональный мобильный доступ и производить защищенные транзакции с помощью своего мобильного устройства упирается, прежде всего, в технологические трудности осуществления полнофункциональной двусторонней (клиент-сервер) аутентификации. Подавляющая часть предоставляемых на рынке сервисов недостаточно защищена от различного рода атак, в том числе, типа «человек посредине». Кроме того, с одной стороны, ситуацию усугубляет постоянно растущий уровень распространения Интернет-мошенничества, а с другой - неискушенность пользователей в вопросах безопасности. Возможно ли в этих условиях обеспечить безопасный доступ заказчика к информационным ресурсам и свести риск перехвата секретной информации к минимуму? Попробуем разобраться в  этом вопросе подробнее.
Со стороны клиента в данном случае вопросы аутентификации пользователя подменяются вопросами аутентификации даже не самого мобильного устройства, а всего лишь SIM-карты, зарегистрированной оператором связи в контракте, который пользователь подписывает при ее приобретении. Действительно, пользователь имеет нечто (в данном случае, SIM-карту) и знает нечто (четырехзначный PIN-код), процесс аутентификации для пользователя заканчиваются после правильно введенного PIN-кода при включении телефона. PIN-код участвует только в обмене устройство-пользователь как средство доказательства владельцем того, что это именно его SIM-карта. Все дальнейшие действия выполняются от имени идентифицированной сервером SIM-карты по ее уникальному ID – номеру, который карта «приобрела» в момент ее производства.
Клиент в данном случае никак не может аутентифицировать (т.е. проверить подлинность) сервер, на который поступает заявка, скажем, о переводе некоторой суммы. Процесс обмена SMS-сообщениями, используемый часто при предоставлении подобных сервисов, абсолютно не защищен, также, кстати, как и сам SMS-сервер.
Как можно усилить безопасность в данном случае? Идеальным решением было бы использование в качестве SIM-карт полнофункциональной микропроцессорной смарт-карты («вырубленной» в виде SIM-карты), в которой должны быть реализованы все необходимые криптографические функции, предназначенные для формирования ключевой пары, формирования ЭЦП, ее проверки, шифрования и т.д. Тогда, с одной стороны, стоимость SIM-карты существенно бы увеличилась по сравнению с используемой в настоящее время (сейчас в SIM-карте аппаратно реализованы всего лишь алгоритмы А2, А5-1 и А7). Но дело не в стоимости. Главная сложность заключается в согласовании использования такой «навороченной» карты с различными ведомствами.
Другим, более легким решением, существенно (но не кардинально) повышающим безопасность при мобильном доступе по сравнению с простой идентификацией SIM-карты, можно назвать использование технологии ОТР. Для этого необходимо развернуть клиент-серверное решение ОТР и выдать пользователю генератор одноразовых паролей. В этом случае усиленная аутентификация для зарегистрированных на серверном решении пользователей потребует от пользователя ввода его идентификационного регистрационного параметра для доступа в домен (например, это может быть семизначный пароль) и одноразового пароля, синхронизированного с одноразовым паролем на сервере.
Если для организации защищенного удаленного доступа к информационным ресурсам предприятия такого подхода бывает достаточно, то для организации финансовых транзакций с применением технологии ОТР необходимо подтверждение клиента о намерении произвести данную транзакцию, а также извещение клиента о списании соответствующей суммы с его расчетного счета. Для этого мобильным клиентам удобнее всего использовать обмен SMS-сообщениями. Для снижения рисков банка в данном случае все решения по организации информационного обмена, в том числе и SMS-сервер с ограниченным доступом только легальных пользователей такой специализированной системы, желательно разворачивать и защищать непосредственно в банке.
Защищенные транзакции
Одним из бурно развивающихся сервисов в настоящее время является организация Web-доступа к различным приложениям. В частности, для банков актуальны задачи выполнения защищенных on-line  запросов, например, организация выписок состояния счета клиента, а также само выполнение защищенных транзакций. Основной проблемой ИБ при этом является недостаточная защита клиентских рабочих станций. Естественным выходом из ситуации является перенос возможно большей части операций на сторону сервера. Современные технологические решения позволяют осуществлять подгрузку необходимых форм (например, платежных поручений) на клиентскую часть с сервера после авторизации легального пользователя на клиентской стороне. Пользователю необходимо лишь заполнить форму и подтвердить свои намерения электронной цифровой подписью. Подобные решения обычно строятся с применением трехзвенной архитектуры. Весь защищенный диалог с участием клиента организовывается на сервере приложений, к базе данных по защищенному каналу обращается лишь сервер приложений с запросами по согласованным форматам. Для обеспечения допустимого уровня рисков, как правило, необходимо полнофункциональное решение по организации доступа пользователей с применением технологии ЭЦП на основе развитой инфраструктуры открытых ключей. Такое решение должно исключать и возможность подмены сервера (фишинг) финансовых услуг и его защиту от НСД,  и возможность подмены пользователя. 
Как будет подробно показано в следующей статье, для организации подобных решений необходимо применение строгой двухфакторной аутентификации, решений по разграничению доступа (каждый пользователь, включая администратора, имеет доступ только к необходимой ему согласно занимаемой должности, информации), защите доступа (доступ к данным может получить пользователь, прошедший процедуру аутентификации), шифрованию данных (шифровать необходимо как передаваемые в сети данные для защиты от перехвата, так и данные, записываемые на носитель, для защиты от кражи носителя и несанкционированного просмотра/изменения нештатными средствами системы управления БД) и аудиту доступа к данным (действия с критичными данными должны протоколироваться; доступ к протоколу не должны иметь пользователи, на которых он ведется). Такой подход позволяет персонифицировать действия пользователей и ввести понятие неотказуемости от совершенных действий. Это может послужить основой профилактики правонарушений, в частности, может быть эффективным средством для предотвращения такого распространенного явления, как инсайдерские кражи баз данных.
Заключение
Безусловно, список рассмотренных задач аутентификации и глубина их рассмотрения не являются исчерпывающими. Тем не менее, автор надеется, что этот материал поможет разобраться в непростом выборе технологий и средств аутентификации в ряде практических задач организации защищенного доступа.
Литература

  1. Сабанов А.Г. «О технологиях идентификации и аутентификации».  Журнал «Connect! Мир связи» №3, 2006г.
  2.  Сабанов А.Г. «О роли аутентификации при обеспечении защищенного удаленного доступа» Журнал «Connect! Мир связи» №5, 2007г.,
  3. Алексей Сабанов, Антон Крячков, Константин Демченко, Сергей Белов  «Как управлять закрытыми ключами»- www.CNews.ru, 04.09.06г.