02.04.2015

О неизвлекаемости закрытых ключей

"Защита информации. Инсайд", № 2, март-апрель, 2015<br>
Статья Алексея Сабанова, заместителя генерального директора "Аладдин Р.Д."

Термин "неизвлекаемость" закрытого ключа все чаще звучит при обсуждении проблем надёжной защиты ключа электронной подписи (ЭП) от компрометации. Рассмотрим, что означает этот термин и откуда он появился. Покажем, что неизвлекаемость закрытого ключа не менее важна для обеспечения высоких уровней доверия к результатам аутентификации, поскольку надёжная идентификация владельца средств ЭП всегда предшествует процессу электронной подписи.

Что такое устройства SSCD и QSCD

Одним из первых наиболее значимых для развития инфраструктуры открытых ключей и массового применения ЭП документов и сообщений, в котором для квалифицированной ЭП явно рекомендовано аппаратное устройство безопасной генерации электронной подписи SSCD (Secure Signature Creation Device), является директива ЕС о применении электронной подписи [1]. В статьях 2 и 3 рассматриваемого документа прямо указано на применение для создания квалифицированной ЭП только устройств SSCD, требования к которым содержатся в приложении 3 директивы [1].

В принятом в июле 2014г. "Положении и регламенте электронной идентификации и доверенных служб для электронных транзакций на внутреннем рынке ЕС № 910/2014" [2] требования к устройствам безопасной генерации электронной подписи усилены до QSCD (Qualified Signature Creation Device). При этом квалификация устройств возложена на квалифицированных поставщиков доверенных служб, которые обязаны публиковать список QSCD в течение месяца с даты их квалификации. В свою очередь, на надзорные органы возложена обязанность регулярного аудита квалифицированных поставщиков доверенных служб. Почему такое повышенное внимание в указанных документах уделяется аппаратным устройствам генерации ЭП? Речь идёт о доверии к сделкам и транзакциям, произведенным при удалённом электронном взаимодействии. В работах НИСТ уровни доверия к идентификации и криптографическим модулям разделены на 4 уровня гарантий в зависимости от уровня рисков (первый уровень – низкие риски, четвёртый - самые высокие). На них же ссылаются документы [1] и [2]. Так, в статье 14 Положения [2] сказано: "В регламенте должны быть определены некоторые условия в отношении того, какие средства электронной идентификации должны быть признаны, и как должно осуществляться уведомление об этих схемах. Это должно помочь странам - членам ЕС в укреплении необходимого доверия к схемам электронной идентификации друг друга и взаимно признать средства электронной идентификации, подпадающие под схемы, о которых было сделано уведомление". Далее в статье 15 читаем: " Обязательство признавать средства электронной идентификации относится только к тем средствам, уровень гарантии установления личности который соответствует равному или более высокому, чем уровень, требуемый для доступа к услуге, о которой идёт речь. Кроме того, обязательство должно применяться только если орган государственного сектора, о котором идёт речь, использует существенный или высокий уровень гарантии в отношении доступа к этим службам в режиме онлайн". Уровни гарантий рассмотрены в статье 16: "Уровни гарантии должны характеризовать степень уверенности в способности средств электронной идентификации устанавливать идентичность лица таким образом, чтобы обеспечить гарантию, что лицо, заявившее об определённой идентичности, действительно является тем лицом, которому данная идентичность была назначена. Тип уровня гарантии зависит от степени уверенности, что средства электронной идентификации обеспечивают заявленную или подтверждённую идентичность лица, принимая во внимание процессы (например, установление личности и верификацию, аутентификацию), управленческую деятельность (например, субъекты права, выпускающие средства электронной идентификации, процедуры выпуска таких средств) и внедрённые технические средства управления. Разнообразные технические определения и описания уровней гарантии появились в результате профинансированных ЕС крупномасштабных пилотных проектов, стандартизации и международной деятельности. В частности, крупномасштабный пилотный проект STORK (Large Scale Pilot STORK) и стандарт ISO 29115 [3] среди прочего указывают на уровни 2, 3 и 4, которые должны быть приняты во внимание в первую очередь при составлении минимальных технических требований, стандартов и процедур для низкого, существенного и высокого уровней гарантии в значении, определённом настоящим Регламентом, в то время как обеспечение последовательного применения настоящего Регламента, в частности в отношении высокого уровня гарантии относится к увеличению надёжности идентификации при выпуске квалифицированных сертификатов".

Упомянутый в цитате международный стандарт "Руководство по гарантиям аутентификации сущности" [3] и близкие к нему стандарты "Руководство по управлению идентификации" [4] при их внимательном рассмотрении не содержит практически никаких новых положений по отношению к разработанному Национальным институтом стандартов и технологий (НИСТ) руководству [5], а по сути являются его обобщением. Заметим, что не только упомянутые международные стандарты опираются на [5]. Целая серия документов CWA опубликована в период с 2001 по 2004г. Аббревиатура CWA (CEN Workshop Agreement) означает документ под названием "соглашение рабочей группы европейского комитета по стандартизации CEN (the European Committee for Standardization)". В целях поддержки Евродирективы [1] по электронной подписи в 1999г. Европейская комиссия создала EESSI (European Electronic Signature Standardization Initiative), которая в свою очередь, разделилась на 2 рабочие группы: ETSI TC-SEC ESI ( TC-ESI) и CEN/ISSS e-Sign. Группа документов CWA сыграла большую роль в применении средств идентификации и аутентификации при применении электронной подписи в странах Евросоюза. В частности, несколько документов CWA посвящено SSCD [6-9]. Упомянутые выше исследования НИСТ [5] легли не только в основу стандартов ISO [3,4], но получили логическое развитие в обязательных к исполнению на территории США стандартах FIPS [10,11].

Что такое неизвлекаемость закрытого ключа

Сначала рассмотрим, о каких закрытых ключах идёт речь. Согласно стандарту [11], для доступа сотрудников государственных организаций США к информационным ресурсам рекомендовано применение интеллектуальных смарт-карт, являющихся устройствами, способными безопасно генерировать внутри чипа ключевой материал. Устройства, как минимум, должны сгенерировать 2 ключевые пары. Первая пара используется для организации доступа к сети и информационным ресурсам. На открытый ключ первой пары Удостоверяющим центром (УЦ) выпускается сертификат, который используется для управления доступом. Вторая пара ключей используется для электронной подписи: открытый ключ пересылается в УЦ для формирования сертификата ключа проверки подписи (СКПП) на основе тщательной идентификации владельца, все этапы которой протоколируются. Неизвлекаемость закрытых ключей гарантируется требованиями к чипам смарт-карт, закреплённых стандартами FIPS 140 и уровнем доверия по Общим критериям не ниже EAL 4+. Аутентификатор должен представлять собой аппаратный криптографический модуль, прошедший проверку соответствия FIPS 140-2 уровня 2 или выше с обеспечением физической безопасности, соответствующий, как минимум, FIPS 140-2 уровня 3. Обязательна строгая криптографическая аутентификация всех сторон и всех конфиденциальных данных, пересылаемых между ними. Для аутентификации требуется, чтобы заявитель по безопасному протоколу аутентификации подтвердил принадлежность данного аутентификатора именно ему, а также возможность управления аутентификатором. Должны приниматься меры противодействия минимальным типовым угрозам (подслушивание, воспроизведение, угадывание, имитация и "человек посередине"). Кроме того, аутентификатор должен обеспечивать защиту секрета от клонирования и компрометации со стороны вредоносного ПО.

Неизвлекаемость закрытого ключа означает то, что он никогда не покидает чипа, внутри которого его сгенерировали в составе ключевой пары. Действительно, зачем предусматривать экспорт закрытого ключа, если все "внешние" функции (запрос на сертификат, проверка подписи и т.д.) выполняет открытый ключ? После выпуска Удостоверяющим центром СКПП основным назначением закрытого ключа является процедура ЭП (шифрование хеша сообщения или документа на закрытом ключе). Поэтому неизвлекаемость закрытого ключа ряда чипов (особенно разработанных по технологии Secure by Design) гарантируется производителем. Архитектура таких чипов рассмотрена автором в главе 9 монографии [12]. Конечно же, такие чипы не являются дешёвыми, однако их применение имеет ряд преимуществ.

Преимущества защищённых чипов

Одним из преимуществ чипов с неизвлекаемыми закрытыми ключами является усиленная защита от компрометации. По сравнению с дискетой или флешкой такие чипы архитектурно защищены от прямого копирования. Для доступа к процедуре с использованием закрытого ключа при правильных настройках чиповая смарт-карта требует ввода PIN (Personal Identification Number)-кода, который должен содержать не менее 5-6 символов при ограничении числа попыток неверного ввода. Число попыток и длина PIN-кода должна соответствовать политикам безопасности. Как правило, число попыток не превышает 3-5 раз, после чего карта блокируется. Для доступа рекомендуемая длина PIN–кода, как правило, больше, чем для электронной подписи и составляет от 5 до 25 символов в зависимости от политики безопасности организации. По сравнению с другими типами аутентификаторов (пароль, одноразовый пароль) владелец смарт-карты никогда не видит и не знает свой закрытый ключ, а передать его третьему лицу он может только вместе со смарт-картой. Средства противодействия этой угрозе также предусмотрены на организационном и техническом уровне, в частности, они подробно рассмотрены в работе [13]. Вторым преимуществом применения чипов с неизвлекаемым закрытым ключом является повышенная защита персональных данных (ПДн) владельца. ПДн неизбежно используются при регистрации и обмене идентификационной и аутентификационной информацией. Регистрация – один из самых критичных с точки зрения возможных атак на ПДн процессов. Сам процесс выпуска сертификата на полученный от пользователя открытый ключ относительно безопасен. Однако процедура первичной идентификации субъекта – весьма непростая задача, в том числе, и по защите ПДн субъекта. Процедуры обмена при использовании рассматриваемых чипов не столь критичны к атакам. Во-первых, применение QSCD в виде интеллектуальных карт подразумевает использование сильных криптографических протоколов, устойчивых к известным атакам. Во-вторых, вся необходимая для обмена информация содержится в СКПП, который публикуется соответствующим УЦ.

Зачем и где нужна неизвлекаемость закрытого ключа

Согласно рассмотренным зарубежным нормативным документам, применение устройств с неизвлекаемыми закрытыми ключами необходимо для снижения рисков в критичных к атакам операциях: перевод значительных сумм со счёта на счёт, обращение с медицинскими документами, государственные услуги с правовыми последствиями, трансграничные операции и т.д. В США такие устройства введены в виде требований для работы в инфраструктуре критически важных систем. Там, где важно знать с максимальным уровнем гарантий, кто находится на противоположной стороне удалённого электронного взаимодействия, рекомендовано применение устройств с неизвлекамым ключом. Применение таких устройств предоставляет возможность персонализировать доступ и создать механизм неотвратимого наказания в случае нарушений пользователем политик безопасности в части доступа и использования средств ЭП.

Частным случаем применения таких устройств является решение одной из самых сложных задач - проблемы неотказуемости от подписи с помощью ЭП документа или сообщения. Эти проблемы рассматривались ещё в одном из первых стандартов по аутентификации, называемом "Основы аутентификации" [14], затем в стандартах [15], наиболее полное изложение проблемы и путей её решения можно найти в [16]. Кратко можно заключить, что решение проблемы требует нормативных и технических средств, однако при использовании устройств с неизвлекаемыми закрытыми ключами техническая часть задачи решается проще, чем с другими типами аутентификаторов - с помощью строгой двухсторонней аутентификации, ЭП и штампа времени.

В отличие от международных стандартов в Российской Федерации устройства классов SSCD и QSCD пока не имеют нормативной опоры. Необходимость в их узаконивании будет продиктована ожидаемым всплеском мошенничеств, связанных с недостатками регулирования процессов выдачи СКПП и процессов идентификации и аутентификации в государственных и корпоративных информационных системах. В настоящее время выбор носителей аутентификаторов и ключей ЭП не регламентирован на федеральном уровне, что, к сожалению, скажется в ближайшем будущем.

Устройства с неизвлекаемыми закрытыми ключами требуются для использования квалифицированной ЭП. Также необходимость в таких устройствах имеется при работе вне защищённого периметра для организации схем строгой взаимной аутентификации. Примером является Web-доступ на защищённые порталы, где двухсторонняя строгая аутентификация является эффективным средством борьбы с фишингом.

Заключение

В связи с подготовкой очередного законопроекта об электронном документе неизбежно возникнут вопросы обеспечения юридической силы (ЮС) электронных документов. Для обеспечения ЮС электронный документ должен иметь электронные реквизиты, которые, по сути, являются сервисами безопасности, поддерживаемые в состоянии доверия. Как показано в [17], минимальный набор сервисов безопасности включает в себя сервисы ЭП, валидации СКПП, аутентификации, штампов времени, реестров полномочий подписантов. Для обеспечения ЮС электронных документов устройства с неизвлекаемыми ключами, скорее всего, будут одним из необходимых условий.

Итак, устройства с неизвлекаемыми ключами требуются для надёжной идентификации, применения квалифицированной электронной подписи, защищённого доступа на Web-порталы и к информационным ресурсам, содержащим конфиденциальные данные, для обеспечения юридической силы электронным документам и т.д. Применение таких устройств может существенно повысить защищённость конфиденциальной информации.

Литература

  • Directive 1999/93/EC of the Parliament and the Council on a Community Framework for Electronic Signatures // Official J. of European Communities. OJ L 13. 19.01.2000.
  • Regulation of the European Parliament and the Council on Electronic Identification and Trust Services for Electronic Transactions in the Internal Market. EC, Brussels, 910/2014.
  • ISO/IEC 29115 Information technology – Security techniques – Entity authentication assurance framework. 2013.
  • ISO/IEC 24760 Information technology – Security techniques – A framework for identity management. Part 1 (Terminology and concepts) and 2 (Reference architecture and requirements). Jan. 2015.
  • NIST SP 800-63. Electronic Authentication Guideline (Руководство по электронной аутентификации). June 2006.
  • CWA 14167-1/4 Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures. July 2003 (CWA 14167-1). May 2004 (CWA 14167-4).
  • CWA 14168 Secure Signature Creation Devices “EAL 4+” July 2001.
  • CWA 14169 Secure Signature Creation Devices “EAL 4+” March 2004.
  • CWA 14355 Guidelines for the implementation of Secure Signature-Creation Devices. March 2004.
  • FIPS PUB 201-1 Personal Identity Verification (PIV) of Federal Employees and Contractors. March 2006.
  • FIPS PUB 201-2 Personal Identity Verification (PIV) of Federal Employees and Contractors. March 2011.
  • Бизнес-энциклопедия "Платёжные карты" / коллектив авторов. - 2-е изд., перераб. и доп. - М. : КНОРУС : ЦИПСиР, 2014. - 560 с.
  • Сабанов А.Г. Концепция электронного пропуска сотрудника предприятия оборонно-промышленного комплекса. Журнал "Оборонный комплекс научно-техническому прогрессу России" № 3, 2013, стр.10-16.
  • ГОСТ Р ИСО/МЭК 9594-8-98 Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации.
  • ISO/IEC 10181-1/2, ITU-T Rec/x.810 &811. "Information technology - Open Systems Interconnection - Security frameworks for open systems - Part 2: Authentication framework" 2004.
  • ISO/IEC 13888-3:2009. Edition 2.0 (2009-12-07). Information technology - Security techniques - Non-repudiation - Part 3: Mechanisms using asymmetric techniques.
  • Сабанов А.Г. Юридическая сила Электронного документа: технологическая составляющая //Инсайд. Защита информации.2014 №3. C.20-25.