02.06.2016

Общий анализ международных стандартов по идентификации и аутентификации субъектов при доступе к информации. Часть 2

"Защита информации. Инсайд", № 3 (69), май-июнь, 2016
Статья Алексея Сабанова, заместителя генерального директора "Аладдин Р.Д."

Как было показано в первой части данной статьи, международные стандарты по идентификации и аутентификации (ИА) интенсивно развиваются, особенно на протяжении последних 10 лет. Сегодня их общее число приближается к 50. В то же время в Российской Федерации единственным действующим стандартом по аутентификации является стандарт [1], фактически разработанный в 1994 году. С тех пор далеко вперёд ушли как информационные технологии, так и сами механизмы аутентификации, появилось множество информационных систем не только закрытого, но и открытого типов.

Приведённые выше факты свидетельствуют о необходимости развития отечественной системы стандартов по ИА. Попробуем проанализировать документы, рассмотренные в первой части данной статьи, с целью поиска оптимального подхода к построению системы национальных стандартов в части регулирования ИА.

Один стандарт или система стандартов?

Прежде всего определимся, сколько вообще требуется стандартов и какие области действия стандарта (стандартов) надо охватить. На вопрос, можно ли вместить в один национальный стандарт все материалы, наработанные мировым со-обществом за более чем тридцати-летний (с 1988 года) период, можно с уверенностью ответить, что это не-осуществимая задача: нужна система стандартов.

Основным водоразделом может явиться сам предмет стандартизации. Неспроста стандарты, разработанные ISO/IEC (ИСО/МЭК) и ITU-T (МСЭ), имеют две независимые ветви: одна (серии стандартов ИСО/МЭК 9798, 9594, 10181, 29115, а также рекомендации МСЭ Х.509, Х.115х, Х.125х и др.) посвящена различным аспектам аутентификации, вторая (части 1 и 2 стандарта ИСО/МЭК 24760, стандарты ITU-T X.1255 и X.1721) - описывает процедуры идентификации субъектов и объектов. При этом отметим, что в отличие от стандартов по аутентификации, имеющих почти сорокалетнюю историю, развитые стандарты по идентификации появились относительно недавно (так, стандарт ITU-T Y.2720 принят в 2009 году, остальные - ещё позже). Анализ научных работ и нормативной базы, проведённый в работе [2], показывает: возможной причиной такой ситуации является отсутствие адекватных математических моделей идентификации, необходимых для решения задач в широком диапазоне размеров информационных систем (которые уже насчитывают десятки миллионов субъектов и более), а также отсутствие принципов оценивания надёжности идентификации объектов в таких системах.

Итак, несмотря на тесную связь процессов ИА, необходимо разрабатывать две ветви стандартов - для идентификации и аутентификации. Анализ стандартов по аутентификации объектов и субъектов, подробно рассмотренных в первой части статьи, показывает, что международные стандарты условно можно разделить на базовые и отраслевые (транспорт, связь, финансы, медицина и т. д.). Базовые стандарты, в свою очередь, можно условно разбить на составляющие общетеоретические основы безопасности аутентификации на уровне взаимодействия открытых систем [3-5] и внутрикорпоративных информационных систем по развитию инфраструктуры и сервисов [6-8]. Разработка общетеоретических стандартов охватывает период с 1988 по 1999 год. Рост количества информационных систем и развитие информационных технологий привели к необходимости учёта рисков и введения уровней доверия к результатам аутентификации [9, 10]. Дальнейшее развитие мировых стандартов, начиная с 2009 года, связано как с развитием телекоммуникационных технологий, так и с отраслевой спецификой.

Теоретически, все основные положения базовых стандартов можно вместить в один состоящий из нескольких частей стандарт, хотя на практике разработать и согласовать такой документ сразу вряд ли удастся. Очевидно, что для учёта специфики бизнес-процессов отраслей все равно придётся на основе базовых разрабатывать отраслевые стандарты. Примером такого подхода является стандарт Банка России по безопасности банковской деятельности [11].

Вопрос о количестве необходимых национальных стандартов в части регулирования процессов идентификации, на первый взгляд, проще, но ненамного. Деление на стандарты в данном случае, скорее всего, придётся реализовать не только по идентификации неодушевлённых объектов, субъектов и юридических лиц, но и по применяемым техно-логиям. Например, применение биометрии для идентификации личности уже породило ряд международных и отечественных стандартов.

Одним из критериев доверия к результатам идентификации, который необходимо учитывать, является выбор уровней доверия, связанный с анализом достоверности идентификации [12]. Этот же вопрос весьма интересен и важен для определения количества и состава уровней доверия к результатам аутентификации.

Сколько требуется уровней доверия

В стандартах [9, 10] на основе анализа рисков предложено 4 уровня доверия к результатам идентификации.

Такой подход может быть взят за основу в проекте будущего национального стандарта. Как показано в [13], для государственных информационных систем данную таблицу можно видоизменить, дополнив применяемыми технологиями аутентификации, разделив их условно на простую, усиленную и строгую в соответствии с Федеральным законом 06.04.2011 № 63-ФЗ, вводящим такую градацию для электронной подписи.

В итоге получим четыре уровня доверия к результатам аутентификации в разрезе применяемых механизмов аутентификации (табл. 2).

Проведём краткий анализ разработанных в мировых стандартах механизмов аутентификации в разрезе данных таблицы 2. На рисунке в наглядной форме представлены области действия основополагающих стандартов по аутентификации ISO/IEC 9594-8:94 и ISO/IEC 29115:2012.

Для сравнения на рисунке приведена область действия часто упоминающегося в специализированных СМИ стандарта FIDO [14]. Видно, что в отличие от [1], стандарт [10] охватывает все уровни достоверности идентификации. В то же время стандарт [14], хоть и оперирует термином "строгая аутентификация", зачастую (как и некоторые российские специалисты) подменяет это понятие двухфакторной аутентификацией, которая, как показано в [13], может и не являться строгой. Так, в качестве двух факторов в [14] рекомендуется, например, использовать две биометрические характеристики пользователя: отпечаток пальца и голос. Для специалиста ясно, что обе этих характеристики являются идентификаторами, то есть информацией без подтверждения, и не могут напрямую рассматриваться в качестве аутентифицирующей информации.

Выводы

В двух частях статьи показана история развития мировых стандартов по ИА и выполнен анализ последних. Установлено, что основы вошедших в работу стандартов заложены в документах [1, 3-10]. Выявлены взаимосвязи стандартов серий ISO/IEC и ITU-T, которые впервые представлены в наглядном виде. Показаны уровни доверия к результатам аутентификации на примере основных мировых стандартов по аутентификации.

Продемонстрировано, что система стандартов по созданию доверенных систем и сервисов проходила через определённые стадии развития и продолжает совершенствоваться по сей день.

Общее количество стандартов, связанных с регулированием аутентификации, непрерывно растёт. Технологии управления доступом, которые включают в себя ИА как обязательную часть, стремительно развиваются, их промышленное применение диктует необходимость разработки и совершенствования стандартов, необходимых разработчикам, потребителям и регуляторам. При этом проблема доверия и создания доверенных сервисов становится все острее.

Стандарты ИА интенсивно развиваются не только как основная технология управления доступом, но и по отдельным сегментам: здравоохранение, обмен идентификационной информацией, передача видеоматериалов и (особенно интенсивно) Интернет вещей.

В стандартах, разработанных к настоящему времени, не рассматриваются такие важные вопросы, как моделирование процессов ИА, надёжность и достоверность результатов ИА. Скорее всего, такие работы проводились при подготовке стандартов, но не публиковались в от-крытой печати, поскольку для решения подобных задач требуется проведение серьёзного анализа рисков с применением различных методов их оценки [15]. Допускаем, что данный подход может рассматриваться как один из вероятных векторов развития при дальнейшем совершенствовании системы мировых стандартов.

Заключение

Результаты исследования планируется использовать для разработки проекта национального стандарта ИА. Данный общий анализ показывает, что для выполнения этой цели необходим углублённый анализ части рассмотренных стандартов для более качественной разработки проекта стандарта.

На данный момент очевидно, что вопрос о количестве уровней доверия к результатам идентификации и аутентификации в будущем национальном стандарте (системе стандартов) следует пока считать открытым. Например, понятие строгой аутентификации все ещё не определено в нормативно-правовой базе РФ, поэтому, скорее всего, это придётся делать в будущем национальном стандарте впервые. При этом в зависимости от выбранных критериев строгости аутентификации вдобавок к приведённым выше четырём уровням доверия к результатам аутентификации могут появиться подуровни строгости. Так, если определить строгую аутентификацию как обязательно взаимную (двухстороннюю) аутентификацию с применением криптографических алгоритмов, то в качестве критериев строгости на основе анализа рисков можно рассмотреть следующие:

  • программная или аппаратная реализация криптографических алгоритмов;
  • способ, место создания (формирования) и хранения закрытого ключа, используемого в качестве аутентификатора;
  • место формирования и способ передачи хэш-значения перед зашифровыванием сообщения от претендента его закрытым ключом;
  • наличие/отсутствие разделения секретов при формировании электронной подписи.

В зависимости от выполнения этих критериев в различных информационных системах, уровней строгости может быть ещё, как минимум, четыре.

По аналогии, уровень усиленной аутентификации также может быть подразделён, по крайней мере, на два подуровня - с использованием технологии ОТР и с применением криптографии.

Таким образом, вопросов, которые ещё требуют своего разрешения, достаточно много, а настоящую работу можно квалифицировать в качестве очередного этапа изучения проблем регулирования процессов идентификации и аутентификации пользователей информационных систем.

ЛИТЕРАТУРА

  1. ГОСТ Р ИСО/МЭК 9594-8-98. Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации
  2. Сабанов Л. Г. Обзор иностранной нормативной базы по идентификации и аутентификации // Защита информации. Инсайд. — 2013. - № 4. - С. 82-88.
  3. ITU Rec.X.509 I ISO/IEC 7498-2:1989 Open Systems Interconnection — The Directory: authentication framework [Директория: Основы аутентификации. Текст полностью идентичен стандарту ISO/IEC 7498-2].
  4. ISO/IEC 9798-2:1991 & ITURec.X.800(1991) Security architecture for Open Systems Interconnection for CCITT applications [Информационные технологии. Методы защиты. Аутентификация объектов. Архитектура безопасности для взаимодействия открытых систем для приложений МКТТ]
  5. ISO/IEC 10181-2:1996 Information technology — Open Systems Interconnection — Security frameworks for open systems: Authentication framework [Информационные технологии. Взаимодействие открытых систем. Основы безопасности для открытых систем. Часть 2. Основы аутентификации]
  6. ITU-T X.810 I ISO/IEC 7498-2 Information technology - Open Systems Interconnection -Security frameworks for open systems: Overview [Информационная технология. Взаимодействие открытых систем. Основы безопасности для открытых систем: Общее представление]
  7. ISO/IEC 9798-3:1998 Information technology— Security techniques — Entity authentication — Part 3: Mechanisms using digital signature techniques [Информационные технологии. Методы защиты. Аутентификация объектов. Часть 3. Механизмы с применением методов цифровой подписи]
  8. ITU-T X.811 (04/1995) Information technology— Open Systems Interconnection — Security frameworks for open systems: Authentication framework [Информационная технология. Взаимодействие открытых систем. Основы безопасности для открытых систем: Основы аутентификации]
  9. ITU-T Rec.X.1254 Структура гарантии аутентификации объекта
  10. ISO/IEC 29115:2013 Information technology — Security techniques — Entity authentication assurance framework [Информационные техно-логии. Техника безопасности. Схема обеспечения идентификации объекта
  11. СТО БР ИББС-1.0-2014
  12. Сабанов А. Г. Аутентификация как часть единого пространства доверия // Электросвязь. — 2012. — № 8. — С. 40—44.
  13. Сабанов А. Г. Некоторые проблемы идентификации при удалённом электронном взаимодействии // Первая миля (Last Mile). — февраль 2014. — № 41. — С. 94—97.
  14. Lindeman R. Scalable authentication
  15. Сабанов А. Г. О применимости методов управления рисками к процессам аутентификации при удалённом электронном взаимодействии // Электросвязь. — 2014. — № 6. — С. 39—42.