28.01.2005

Технологии контроля доступа: доверяя, проверяй

CRN, Спецвыпуск, №4/2005, Александр Евангели

Аббревиатура ААА или 3А (authentication, authorization, administration — аутентификация, авторизация, администрирование) ассоциируется с одним из наиболее быстрорастущих сегментов рынка средств обеспечения безопасности. Среди этих средств центральное место занимают системы идентификации и аутентификации, или, в терминологии ГОСТ Р 51241-98, устройства ввода идентификационных признаков, предназначенные для обеспечения защиты от несанкционированного доступа к компьютерам.

Согласно прогнозам Infonetics Research, ежегодный рост рынка средств ААА составляет 25—28%, и к 2005 г. его объем составит примерно 9,5 млрд. долл., или 67% от всего рынка средств информационной безопасности (ИБ). Следует отметить, что в России на рынке ААА мировые лидеры не имеют сколько-нибудь заметной доли. У нас его делят компании Aladdin (дочернее предприятие Aladdin Knowledge Systems) и Rainbow Technologies (дистрибьютор корпорации SafeNet), а также фирмы «Актив» и «АНКАД».

В конце 2001 г. IDC прогнозировала, что общий объем рынка устройств аутентификации к 2005 г. достигнет 276,6 млн. долл., а также предполагала, что USB-токены станут основными устройствами аутентификации пользователей. Но сегодня этот прогноз должен быть скорректирован с учетом интенсивного роста гибридных систем и смарт-карт. Специалисты IDC также утверждали, что в 2006 г. объемы европейского рынка строгой аутентификации и систем, построенных на базе технологии открытых ключей (PKI — Public Key Infrastructure), составят соответственно 59,1 и 177,4 млн. долл. Лидерами в этих областях остаются Entrust Technologies, Baltimore Technologies, RSA Security, Keyware и Gemplus International. Но на отечественном рынке PKI по-прежнему царит законодательная неразбериха.

ААА и внутренние угрозы

Активизация интереса к рынку ААА вызвана более глубоким осмыслением проблем безопасности и общим движением отрасли и технологий защиты от жестких и не всегда обоснованных запретов к контролируемому доступу. Развитие систем контроля доступа к корпоративным ресурсам и интеграция этих систем в общую структуру безопасности в значительной степени увязаны с пониманием того факта, что основной ущерб наносят собственные сотрудники.

Как показывают исследования компании Ernst & Young, 80% случаев потерь конфиденциальной информации произошло именно по вине сотрудников и только 20% — из-за атак извне и действий хакеров. По результатам исследования компании Computer Security Institute, на непреднамеренные ошибки сотрудников приходится 55% случаев, на действия нелояльных сотрудников — 19%. Оставшаяся часть потерь распределяется следующим образом: физические воздействия (стихийные бедствия, неполадки в системе электропитания) стали причинами потерь в 20% случаев, компьютерные вирусы — в 4%, внешние атаки — в 2%.

Давно доказано, что разграничение доступа к информационным ресурсам предприятия с помощью паролей слабо защищает от действий нелояльных сотрудников. А если обиженным себя считает ИТ-специалист высокого класса, то ущерб от его мести может быть катастрофическим, а сам факт злонамеренных действий — незаметным и недоказуемым. Кроме того, парольная защита требует поддержки и сопровождения, что в больших организациях может стать проблемой. Так, по данным Forrester Research за 2002 г., от 20 до 50% обращений в отделы технической поддержки были связаны с потерянными или забытыми паролями. А средняя стоимость такого обращения составляет примерно 80 долл.

Пароли и носители

Парольная, или, как ее часто называют, однофакторная, аутентификация уже не актуальна как мера защиты. Ей на смену приходит двухфакторная аутентификация, где пароль ограничивает доступ не к данным, а к средству контроля доступа. Главная идея двухфакторной аутентификации — использование для доступа в систему, кроме пароля (или ПИН-кода), некоего защищенного устройства. Такими устройствами можно снабдить определенную категорию сотрудников. Таким образом, при двухфакторной аутентификации предполагается наличие физического ключа и некоего секрета одновременно. Например, для доступа в корпоративную сеть нужны аппаратный USB-ключ или смарт-карта и ПИН (персональный идентификационный номер).

Наиболее остро проблема аутентификации стоит в компаниях, занимающихся электронным бизнесом, поскольку сделки через Интернет становятся массовым и обыденным явлением. В корпоративном сегменте эта проблема стоит не менее остро из-за соображений безопасности.

Сама по себе технология строгой аутентификации не защищает данные, но позволяет однозначно контролировать доступ к ним. В подавляющем большинстве случаев этого оказывается достаточно для нейтрализации внутренних угроз.

Важно различать понятия идентификации и аутентификации. При идентификации пользователь распознается системой по идентификационному признаку, например по имени. Проверка того, что предъявленный идентификатор принадлежит именно его владельцу, осуществляется в процессе аутентификации.

Внутри ключа

В системах идентификации аппаратно реализован алгоритм цифровой подписи данных. Фактически происходит вычисление некоего хэш-кода. Механизм обеспечения безопасности основан на преобразовании входного потока данных при помощи хэш-алгоритма с применением некоторых начальных установок. Компьютер или какое-то другое цифровое устройство могут либо «подписать» поток передаваемых данных, либо проверить «подпись» другого устройства. Подписать данные значит вычислить хэш-функцию этих данных и состояния определенных регистров устройства. Проверить подпись — значит самостоятельно вычислить хэш-функцию для входящего потока данных и состояния соответствующих регистров и параметров и сравнить результат со значением, полученным от передающего устройства. Вычисление и проверка подписи выполняются внутри ключей, что исключает их эмуляцию или подмену данных.

При вычислении хэш-функции применяется несколько цифровых кодов. Один из них называется секретным, заносится в память микросхемы ведущим устройством (мастером) и не может быть прочитан ни этим, ни другим устройством. Мастер может записать новый секретный код в память или вычислить новый секретный код, зная старый. Секретный код в памяти мастера используется только для вычисления хэш-кода и не передается в микросхему при обмене данными. При вычислении хэш-функции применяются также коды состояния устройства и ПИН-код.

Чтобы быть уверенным в подлинности ключа, хост-компьютер должен прочитать для начала его серийный номер. Ключ считается подлинным, если серийный номер числится в базе данных хост-компьютера. После этого компьютер должен проверить цифровую подпись хранимых данных для исключения подделки ключа путем его эмуляции или копирования.

Основную роль при определении фальсифицированных данных играет секретный код. Его нельзя считать из памяти устройства, а высокая разрядность (32 или 64 бита) практически исключает его подбор. Поэтому даже при полной эмуляции микросхемы техническими средствами ошибка подписи данных будет обнаружена. Точно так же при возможном копировании данных в другое устройство кроме ошибки подписи будет обнаружено несоответствие серийного номера.

Таким образом, ключи решают задачу уязвимых паролей, а также позволяют снять остроту проблемы восстановления забытых паролей.

Токены

Интеллектуальные USB-ключи, или токены, предназначены для работы в приложениях, к которым предъявляются повышенные требования с точки зрения аутентификации и защиты данных. USB-ключи можно назвать преемниками контактных смарт-карт, они практически повторяют их устройство. В состав USB-ключа входит управляющий процессор для обработки данных, криптографический процессор для решения задач шифрования, USB-контроллер, а также блоки памяти — оперативной, постоянной и перепрограммируемой, где хранятся ключи шифрования, пароли и сертификаты.

Файловая система токена разделяется между несколькими приложениями и службами. Пользователю не нужно помнить множество паролей — их знает токен. Следует запомнить лишь короткий ПИН-код, удостоверяющий пользователя как владельца всех паролей, хранящихся в памяти ключа. После нескольких неудачных попыток ввода ПИН-кода процессор запирает токен до вмешательства администратора безопасности, поскольку предполагается, что ключ был украден или потерян.

На российском рынке среди поставщиков USB-ключей заметную роль играют Aladdin, Rainbow Technologies, а также фирмы «Актив» и «АНКАД». Компания Rainbow Technologies поставляет токены серии iKey, ключи Aladdin называются eToken, а совместная разработка «Актив» и «АНКАД» получила название ruToken. Также присутствуют на рынке токены ePass — разработка Feitian Technologies.

Устройствами eToken комплектуется продукция Cisco Systems, кроме того, они вошли в состав сертифицированной в России версии ОС Microsoft Windows XP. Новый eToken NG-OTP стал основным компонентом недавно анонсированного решения VeriSign Unified Authentication компании VeriSign.

Друг от друга эти продукты отличаются набором поддерживаемых алгоритмов шифрования, емкостью памяти и разрядностью серийного ключа. Для потребителя важным критерием при выборе является наличие законченных, ориентированных на конкретный бизнес решений. По этому признаку на рынке лидирует Aladdin. В то же время продукт ruToken компании «Актив», обеспечивающий шифрование в соответствии с ГОСТ 28147-89, пользуется наибольшим спросом у разработчиков бизнес-ориентированных решений.

RFID и смарт-карты

Несмотря на активное наступление токенов, смарт-карты остаются наиболее распространенным устройством на европейском и российском рынках. В России, в частности, они удерживают лидерство из-за широкого распространения в банковских структурах. Способствует их популярности и то, что ведущие поставщики включают в свои разработки решения, позволяющие использовать смарт-карты. Это реализовано в ОС Windows, Novell NMAS, в Lotus Notes и ряде других известных ОС и приложений.

В основе большинства систем, созданных на базе бесконтактных смарт-карт, лежит технология радиочастотной идентификации RFID. Такие решения разделяются на идентификаторы Proximity с частотой радиообмена 125 КГц и смарт-карты на основе стандартов ISO/IEC 15693 и ISO/IEC 14443 (с частотой 13,56 МГц). Рабочие расстояния у карт Proximity и карт на основе ISO/IEC 15693 — до одного метра. Карты, реализующие стандарт ISO/IEC 14443, ограничены рабочим расстоянием в 10 см.

Все смарт-карты содержат процессор, постоянное запоминающее устройство (ПЗУ), где хранятся необходимые программы и данные, оперативную память, перепрограммируемую «прошивку», генератор случайных чисел, таймер, порт для обмена данными и могут быть дополнительно усилены криптографическим процессором. У бесконтактных RFID-карт имеется еще и антенна. Объем перепрограммируемой памяти достигает сотен килобайт. Она хранит пользовательские данные, которые могут считываться и модифицироваться, и конфиденциальные данные (например, ключи шифрования), недоступные для прикладных программ. Центральный процессор смарт-карты (обычно это RISC-процессор) занимается обработкой данных. Специализированный криптопроцессор выполняет операции по генерации ключей шифрования, реализации различных криптоалгоритмов, генерации и проверке ЭЦП, а также осуществляет другие вычисления. Внутри идентификаторов может находиться батарея, и тогда они называются активными, в противном случае они пассивные. Идентификаторы Proximity обычно пассивны. Микросхема питается от электромагнитного поля, излучаемого считывателем. Данные передаются со скоростью 4 Кбит/с на расстоянии до 1 м.

Обмен информацией по стандарту ISO/IEC 14443 идет с базовой скоростью 106 Кбит/с (возможно кратное увеличение скорости до 848 Кбит/с), но на короткие расстояния. Стандарт ISO/IEC 15693 разработан для увеличения дистанции за счет скорости: на расстоянии 1 м обмен данными идет на скорости 26,6 Кбит/с.

Карты Proximity не предполагают реализации каких-либо алгоритмов шифрования и аутентификации; карты в стандарте ISO/IEC обязательно включают шифрование DES и 3DES. Системы идентификации и аутентификации на базе Proximity криптографически не защищены (за исключением заказных систем).

Для реализации функций шифрования и аутентификации компания Philips Electronics расширила ISO/IEC 14443. Ее технология получила название MIFARE и реализована в микропроцессоре, используемом в большинстве карт. Основной недостаток любых смарт-карт — необходимо иметь устройства для считывания, что усложняет развертывание системы аутентификации и повышает ее стоимость.

Интегрированные продукты

Объединение функциональности смарт-карт и USB-ключей повышает эффективность корпоративной защиты. Современные комбинированные системы идентификации и аутентификации строятся на основе технологий USB-ключей, смарт-карт, RFID и биометрии. Все они обеспечивают идентификацию и аутентификацию сотрудников при доступе в сеть и помещения компании, а также хранение конфиденциальных ключей шифрования, паролей, сертификатов и др.

В токенах реализация радиоинтерфейса при интеграции USB-ключей и бесконтактных смарт-карт предполагает встраивание в брелок антенны и микросхемы RFID. Объединение двух типов идентификаторов в одном позволяет организовать контролируемый доступ как в офис, так и к компьютеру. В первом случае идентификатор работает как RFID-карта, во втором — как USB-ключ. Чтобы выйти из офиса, сотрудник должен извлечь устройство аутентификации из USB-разъема, что автоматически блокирует работу компьютера.

На российском рынке ААА сегмент комбинированных USB-идентификаторов делят eToken PRO RM, разработанный компанией Aladdin, и RFiKey компании Rainbow Technologies. Идентификатор eToken RM компании Aladdin представляет собой USB-ключ eToken Pro с микросхемой, обеспечивающей работу радиоинтерфейса. Поставщик предлагает специальные радиочипы HID Corporation, EM Microelectronic-Marin, Philips Electronics (технология MIFARE) Cotag International и «Ангстрем». RFID-идентификатор БИМ-002 отечественной компании «Ангстрем» изготовлен в виде «таблетки». eToken RM с идентификатором БИМ-002 имеет датчик случайных чисел, исчерпывающий набор стандартов шифрования и аутентификации, обменивается данными на частоте 13,56 МГц, а идентификационный код считывается с расстояния 3 см.

Идентификатор RFiKey представляет собой USB-ключ iKey с встроенной микросхемой Proximity, разработанной HID Corporation. Он взаимодействует со считывателями HID Corporation и устройствами российской компании Parsec. RFiKey построен на базе микросхемы Proximity с частотой обмена 125 кГц, тактовая частота процессора 12 МГц. Продукт работает в среде Windows, поддерживает обширный набор криптоалгоритмов, имеет аппаратный генератор случайных чисел.

Интеграция бесконтактных смарт-карт и USB-ключей ненамного увеличивает стоимость аппаратной части при переходе на комбинированную систему идентификации и аутентификации. Разница на один ключ примерно равна цене карты Proximity (около 5 долл.). Но аутентификация при этом становится многофакторной.

Гибридные смарт-карты содержат микросхемы, обеспечивающие работоспособность контактного и бесконтактного интерфейсов. В нашей стране уже предлагаются изделия компаний HID, Aladdin и др. Подобно USB-ключам с RFID, системы на базе гибридных смарт-карт контролируют доступ и в корпоративную ИС, и в помещения компании. Но, в отличие от ключей, карты могут нести на себе фотографию сотрудника, что позволяет идентифицировать его визуально. Переход на гибридные смарт-карты, как и при комбинировании USB-ключей с RFID, показывает эффективность такого подхода. А фото сотрудника, размещенное на пластиковой карте, превращает ее в обычный пропуск для неавтоматизированных проходных.

Новый пароль — каждую минуту

Метод двухфакторной аутентификации, не привязанный к цифровому сертификату пользователя, реализуют криптокалькуляторы. Они могут быть выполнены в виде токена или смарт-карты и содержат генератор случайных чисел и часы, питаемые от встроенной батареи. С некоторой периодичностью (например, в 60 секунд) устройство генерирует случайное число (устройства RSA SecurID, например, выдают 64-разрядные числа). Чтобы подключиться к системе, пользователь должен за минуту набрать на клавиатуре это число. Технология одноразовых паролей OTP (One-Time Password) решает проблему защищенного доступа с чужого компьютера, а также доступа с использованием карманных персональных компьютеров (КПК), мобильных телефонов и других устройств, в которых не предусмотрен USB-разъем. Устройства OTP производятся компаниями RSA Security, Rainbow Technologies, ActivCard, SafeWord, Cyber-Ark, Vasco и др. На российском рынке подобную продукцию предлагает компания RSA Security (через партнеров), Rainbow Technologies и в начале 2005 г. начнет поставки Aladdin.
Разработка Aladdin представляет собой комбинированное USB-устройство, в котором реализована функциональность eToken PRO, с добавлением дисплея и кнопки для генерации одноразовых паролей. Функционально этот USB-ключ аналогичен смарт-карте, совмещенной со считывателем, и может работать с широким спектром совместимых со смарт-картами приложений.

В последнее время на российском рынке строгой аутентификации активизировалась компания RSA Security. Ее решения продвигают дистрибьютор RSA Security компания «Демос» и системный интегратор КРОК, ставший недавно премьер-партнером RSA Security. Эти компании предлагают средства безопасного доступа к корпоративным информационным системам на основе технологий двухфакторной аутентификации RSA SecurID, технологии однократной аутентификации и авторизации RSA Sign-On Manager, а также инфраструктуры открытых ключей PKI, совместимой с поддержкой российской криптографии.

Технологии RSA Security на базе Sign-On Manager и SecurID for Microsoft Windows предоставляют пользователям рабочих станций защищенный доступ к сетевым приложениям. RSA SecurID — это двухфакторная система аутентификации, основанная на введении одноразовых паролей. С ее помощью пользователь вместо статичного пароля Windows может использовать код, который меняется каждые 60 секунд, применяется только один раз в течение всего времени службы и снижает риск перехвата пароля.