04.04.2016

Общий анализ международных стандартов по идентификации и аутентификации субъектов при доступе к информации. Часть 1

"Защита информации. Инсайд", № 2 (68), март-апрель, 2016
Статья Алексея Сабанова, заместителя генерального директора "Аладдин Р.Д."

Введение

В связи с интенсивной информатизацией общества и ростом количества информационных систем (ИС) различного назначения весьма актуальной является задача управления доступом пользователей к информационным ресурсам, решение которой, прежде всего, связано с идентификацией и аутентификацией (ИА) претендента перед его авторизацией средствами ИС.

В работе [ 1 ] показано, что в Российской Федерации наблюдается существенное отставание от развитых стран мира в части нормативно правовой базы по ИА. Целью обзора [2] было показать, что международные стандарты (МС) по ИА непрерывно развиваются как количественно, так и качественно, особенно в последнее десятилетие. В то же время в Российской Федерации в части регулирования процессов аутентификации действует всего один стандарт [3], разработанный ИСО в 1994 году и введённый в действие в нашей стране с 1999 года. Также в работах [1, 2] дано обоснование необходимости построения иерархической системы доверия к результатам ИА. Данная тема получила развитие в работах по исследованию вопросов доверия к результатам идентификации [4J и построению системы доверия к результатам аутентификации на основе анализа процессов [5], анализа рисков [6] с целью создания пространства доверия к результатам аутентификации [7].

Согласно [ 1 ] для разработки отечественных стандартов необходимо опираться на передовой зарубежный опыт, который требуется изучить более глубоко, чем это сделано на данный момент. С этой целью в предлагаемой работе проводится общий анализ МС по ИА. Как известно, МС уполномочены принимать Международная организация по стандартизации ИСО (International Organization for Standardization ISO), Международная электротехническая комиссия МЭК (International Electrotechnical Commission IEC) и Международный союз электросвязи МСЭ (International Telecommunication Union ITU), которые формируют специализированную систему всемирной стандартизации (ГОСТ 1.1 2002, статья 3.1.2). В отличие от обзоров [ 1,2], в данной работе список рассматриваемых МС существенно расширен, а главное внимание уделяется именно анализу стандартов.

Работа поддержана грантом Министерства образования и науки Российской Федерации, шифр работы (темы) 14.577.21.0172 от 01.11.2015.

История развития стандартов по безопасности процессов идентификации и аутентификации

Основы безопасности взаимодействия открытых систем (Open Systems Interconnection OSI) и, в частности, управления доступом пользователей систем, были заложены в работах учёных-криптографов в 1970— 1990 годах, достаточно полно изложенных в [8], и в работах специалистов таких известных научноисследовательских институтов, как NIST (National Institute of Standards and Technology, США), BSI (British Standards Institution, Великобритания) и др.

История разработки МС по ИА тесно связана с историей развития информационных технологий и особенно технологий удалённого электронного взаимодействия. Взрывной характер роста открытых систем массового электронного обслуживания (еBanking, eCornmerce, eGovern ment, eHealth и других составляющих информатизации общества), особенно в эпоху всестороннего проникновения Интернета и резкого увеличения разного рода мошенничеств, требует создания сервисов безопасности, обеспечивающих приемлемый уровень рисков при использовании упомянутых и перспективных ИС. Одним из самых сложных, но необходимых каждому пользователю любой ИС, является сервис аутентификации подтверждения подлинности предъявленных заявителем идентификаторов и их принадлежности конкретному субъекту. Это нашло отражение в МС. Стандартов по аутентификации в количественном отношении больше, чем по идентификации, а история их богаче и тянется уже более 25 лет. Рассмотрим хронологию развития МС по ИА подробнее, выделив некоторые основные из них по годам издания. В МС, состоящих из многих частей, отметим только часть, касающуюся вопросов ИА.

1988 год. Появление первой версии рекомендаций Х.509 МСЭ, базирующейся на имеющихся рекомендациях серий Х.400, Х.500, Х.600 и Х.800. Отметим, что с первой версии этого документа [9] по третью, изданную в 1997 году, рекомендация Х.509 называлась "Директория: основы аутентификации", в последних версиях, например, 2012 и 2015 годов, в названии остаётся "Директория: основы PKI (Public Key Infrastructure инфраструктура открытых ключей, куда аутентификация входит в качестве одного из основных сервисов безопасности) и атрибутных сертификатов". Приводятся два вида аутентификации: простая с применением в качестве аутентификатора пароля, и строгая (одно, двух и трёхпроходная) с применением криптографических функций. Текст стандарта полностью идентичен ISO/IEC 74982:1989.

1991 год. Одним из первых стандартов по аутентификации пользователей открытых систем, разработанных ИСО, также является стандарт "Общая модель механизмов аутентификации объектов" [10]. Почти одновременно с ним был опубликован стандарт по архитектуре безопасности для взаимосвязи открытых систем, технически согласованный с рекомендацией ITU Х.800 [11], в котором подробно рассмотрены базовые услуги безопасности, в первую очередь, аутентификации, на уровнях эталонной модели OS1. Заметим, что стандарт ISO 9798, первоначально состоящий из трёх частей (первая и вторая части вышли в 1991 году, третья в 1993), неоднократно перевыпускался, каждый раз на новом уровне. Например, часть 2 впервые была опубликована в 1991 году, второй раз в 1996 году, а последний в 2008.

1993 год. Огромное влияние на создание существующей системы МС по ИА оказал многочастевой стандарт ISO/IEC 9594, разработанный в 19931998 годах. Восьмая часть данного стандарта явилась развитием [ 9 ], подробно описывающим два вида аутентификации: простую (парольную) и строгую, на основе применения открытого и закрытого ключей. Закрытый ключ, согласно третьей части стандарта [12], служит в качестве аутентификатора и может генерироваться внутри смарт-карты пользователем, центром регистрации удостоверяющего центра (УЦ) или третьей доверенной стороной (ДТС). Через четыре года стандарт был переведён на русский язык и вошёл в нормативную базу Российской Федерации. Заметим, что до сих пор этот документ [3] является единственным отечественным стандартом по ИА в части управления логическим доступом пользователей к ИС различного назначения.

1996 год. К числу первых стандартов по обеспечению безопасности процессов аутентификации, тесно связанных с построением систем обеспечения доверия при удалённом электронном взаимодействии [912], также относится ISO/IEC 118012:1996. Его текст полностью идентичен выпущенным в том же году рекомендациям ITUT Rec.X. 811 [13]. Эти рекомендации опирались на стандарт МСЭ по общей безопасности взаимодействия открытых систем [14].

1997 год. Выходит в свет третья версия стандарта ITUT Rec.X.509, практически идентичная упомянутой выше восьмой части стандарта ISO/IEC 9594 [15]. Оба этих связанных между собой стандарта называются "Основы аутентификации". Описаны и специфицированы простая и строгая аутентификация с применением асимметричной криптографии. Представлены основные сервисы безопасности на базе PKI: аутентификация (источника данных и взаимная аутентификация), управление доступом, конфиденциальность данных, целостность и неотказуемость. Также указаны основные механизмы, которые применяются в указанных сервисах: простая и строгая аутентификация, шифрование и целостность данных, электронная подпись.

1998 год. Опубликована переработанная третья часть (заметим, что за 5 лет, прошедшие с момента появления первой версии стандарта 9798, обновлены все три его части) стандарта ISO/IEC 97983 (16], посвящённая применению для аутентификации объектов и субъектов криптографических алгоритмов цифровой подписи. Стандарт включил в себя четыре механизма аутентификации: два для односторонней аутентификации объекта и два для взаимной аутентификации. Рассмотрены возможности применения следующих криптографических алгоритмов: симметричных алгоритмов, цифровой подписи, криптографической функции проверки и механизма с нулевым знанием.

Также опубликовано второе издание стандарта по идентификации организаций и их частей [17]. Этот стандарт принят на смену стандарту ИСО 652384, новый текст технически обновлён. Целью данного стандарта является автоматизация процесса идентификации организаций. Задачами стандарта являются: повышение точности идентификации организаций, снижение доли участия человека в этом процессе, уменьшение времени обработки данных, снижение издержек обработки данных. Длина идентификатора организаций по сравнению с 1984 годом увеличена до 35 знаков.

2009 год. Опубликован стандарт ITUT Rec.Y.2720 [18], обобщающий наработки многих рекомендаций, в том числе ITUT Rec.X.l 151, ITUT Rec.X.1141 для управления идентификацией объектов и субъектов в сетях нового поколения. В системе ISO/IEC первая часть такого стандарта появится лишь в 2011 году [19].

2013 год. Применение методов управления рисками к задачам идентификации и аутентификации, а также появление помимо мировых стандартов ряда работ NIST в США, способствовали появлению первого стандарта ИСО по уровням гарантии аутентификации (ISO/IEC 29115), гармонизированного с ITUT Rec.X. 1254 [20]. Гносеология этой взаимосвязи подробно рассмотрена в [ 1 ].

2015 год. Опубликован стандарт ISO/IEC 247602, соответствующий рекомендациям ITUT Rec.X. 1255, по управлению идентификацией. Основные положения этих стандартов опираются на стандарты [21].

Хронология появления и рассмотренные связи основных стандартов по ИА представлены на рисунке.

На рисунке отмечены не только годы появления стандартов, но и их взаимосвязи. Те стандарты, которые идентичны друг другу но содержанию, связаны между собой. Например, единственный стандарт по аутентификации в системе ГОСТ, опубликованный в 1998 году (ГОСТ9594 898), является переводом стандарта ISO/IEC 95948:1994 и одновременно частью связанного с ним стандарта ITUT Rec.X.509 (1997). Выделим наиболее важные с точки зрения автора, согласованные между собой стандарты. Результаты такого анализа представлены в таблице, в которой связанные между собой стандарты расположены в одной колонке.

Отметим, что начиная с 2009 года (появление стандарта 97985) понятия "идентификация" и "аутентификация" становятся весьма близкими. Действительно, достоверность результатов идентификации существенно вырастает с применением методов аутентификации [21], причём чем строже аутентификация, тем больше достоверность идентификации. Благодаря этому утверждению опубликованные в последнее время стандарты оперируют понятием "идентификация".

Работа по разработке стандартов продолжается и в настоящее время. В последние 5 лет число ежегодно публикуемых стандартов по идентификации и аутентификации существенно растёт, при этом акцент от общих принципов решения задач ИА смещается в сторону прикладного применения этих принципов в различных отраслях (медицина, финансы, транспорт и т. д.). Во второй части данной статьи в одном из следующих номеров будет опубликован собственно анализ содержательной части стандартов.

ЛИТЕРАТУРА

  1. Сабанов А. Г. Обзор иностранной нормативной базы по идентификации и аутентификации И Инсайд. Защита информации. — 2013. № 4 (52). С. 8288.
  2. Голованов В. Б., Сабанов А. Г. Обзор международных стандартов по идентификации субъектов и объектов. Электросвязь. 2015. № 10. С. 3237 (часть 1); 2016. № 3. С. 2027 (часть 2).
  3. ГОСТ Р ИСО/МЭК 9594898. Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации.
  4. Сабанов А. Г. Некоторые проблемы идентификации при удалённом электронном взаимодействии//Первая миля (Last Mile). Февраль 2014. No 41. С. 9497.
  5. Сабанов А. Г. Основные процессы аутентификации //Вопросы защиты информации. 2012. N0 3. С. 5457.
  6. Сабанов А. Г. О применимости методов управления рисками к процессам аутентификации при удалённом электронном взаимодействии //Электросвязь. — 2014. No 6. — С. 39—42.
  7. Сабанов А. Г. Аутентификация как часть единого пространства доверия И Электросвязь. 2012. No 8 С. 4044.
  8. Шпайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си. М.: Изд-во "Триумф", 2003. 816 с.
  9. ITU Rec.X.509 I ISO/IF.C 74982:1989 Open Systems Interconnection The Directory: authentication framework Директория: Основы аутентификации.
  10. ISO/IF.C97981:1991 Information technology Security techniques Entity authentication mechanisms Part 1: General model Электронный ресурс.
  11. ISO/IEC 97982:1991 I ITU Rec.X.800 (1991) Security architecture for Open Systems Interconnection for CCITT applications Информационные технологии. Методы защиты. Аутентификация объектов. Архитектура безопасности для взаимодействия открытых систем для приложений МКТТ.
  12. ISO/1EC 97983:1998 Information technology Security techniques Entity authentication Part 3: Mechanisms using digital signature techniques.
  13. ISO/IEC 101812:1996 I ITUTX.811 (04/1995) Information technology Open Systems Interconnection Security frameworks for open systems: Authentication framework.
  14. ITUTX.810\ISO/IEC 101811:1996Information technology Open Systems Interconnection Security frameworks for open systems: Overview.
  15. ITU Rec.X.509 I ISO/IEC 95948:1994 Open Systems Interconnection The Directory: Authentication framework.
  16. ISO/IEC 97983:1998 Information technology Security techniques Entity authentication Part 3: Mechanisms using digital signature techniques.
  17. ИСО/МЭК 65231:1998 Information technology Structure for the identification of organizations and organization parts Part 1: Identification of organization identification schemes.
  18. ITUT Rec.Y.2720 Структура управления идентичностью в СПП (сетях последующих поколений).
  19. ISO/IEC 247601:2011 I ITUT Rec.Y.2721 (2010) Information technology Security techniques A framework for identity management Part 1:1.
  20. ISO/IEC 29115:20131 ITUT RecX.1254 (2010) Information technolog)'Security techniquesEntity authentication assurance framework.
  21. ISO/IEC 247602:2015 I ITUT Rec.X.1255 (2013) Information technology Security techniques A framework for identity management Part 2: Reference architecture and requirements.