Дата: 31.10.07 | Раздел: IT-security
Аутентификация и авторизация. Новый взгляд
Г.Х.Андерсен
А где твой паспорт? – спросила крыса у Оловянного солдатика.
Аутентификация (Authentication) – проверка принадлежности пользователю (субъекту доступа) предъявленного им идентификатора и подтверждение его подлинности.
Авторизация (Authorization) – проверка прав доступа пользователя и получение им доступа к ресурсам в соответствии с данными ему правами.
Ни одно предприятие, ни одна компания или банк не могут существовать без этих понятий. Хотя мы часто не думаем или даже не знаем о них. Днем и ночью они охраняют наше благополучие – корпоративные и личные материальные и денежные средства, товары, счета и многое другое.
Сотрудник компании проходит указанные проверки по меньшей мере четырежды в день в двух самостоятельных корпоративных системах, обеспечивающих безопасность:
- в системе контроля доступа (СКД) - при доступе на территорию предприятия (офиса) и во внутренние помещения;
- в локальной сети - при доступе к информационным ресурсам.
Системы вроде бы работают автономно, но так ли это?
В состав системы защиты информации локальной сети входит подсистема управления доступом, часть функций которой выполняет корпоративная СКД – контроль за физическим доступом в помещения, где размещены серверы, компьютеры руководства, технические средства обрабатывающие, хранящие и передающие конфиденциальную информацию.
В состав СКД на правах подсистемы входит специализированная управляющая локальная информационная сеть, в которой реализована подсистема защиты информации. Кроме того, часть технических и программных средств могут использоваться одновременно двумя сетями – например серверные и коммутационные устройств, оборудование передачи данных, часть системного и прикладного программного обеспечения.
Исходя из организационно-технических принципов построения этих систем (и корпоративной системы комплексной безопасности в целом), вытекает не только возможность, но и необходимость углубления их взаимной интеграции на программном и аппаратном уровнях. Основной принцип интеграции - качественное улучшение характеристик обеих системы за счет их комплексного использования и взаимного дополнения на этапе разработки, проектирования, внедрения и эксплуатации. Проще говоря, эти две системы, а в перспективе и другие (системы теленаблюдения, охраны периметра, пожарной и охранной сигнализации, оповещения и т.д.), обеспечивающие комплексную безопасность должны помогать и дополнять друг друга при выполнении процедур, определенных корпоративной политикой безопасности
В связи с тем, что любая система является наиболее уязвимой на стадии аутентификации и авторизации пользователя рассмотрим интеграционные перспективы именно для этих процедур.
Аутентификация с использованием пароля простой и самый распространенный способ в компьютерных системах, изредка он применяется и в современных СКД – клавиатурный ввод кодов доступа. Пожалуй, пароли - наиболее уязвимая часть любой компьютерной системы. Как бы ни была защищена система от атак по сети или по коммутируемым линиям, от "Троянских коней" и аналогичных опасностей, она может быть полностью скомпрометирована злоумышленником, если тот получит к ней доступ из-за плохо выбранного пароля. Важно сформировать хороший свод правил выбора паролей, и довести его до каждого пользователя.
Ниже приведен набор простых рекомендаций по выбору паролей.
НЕ ИСПОЛЬЗУЙТЕ:
· в качестве пароля производные от входного имени (само имя, обращенное, записанное прописными буквами, удвоенное имя и т.п.).
· в качестве пароля свое имя, отчество или фамилию.
· имя свое, друга, супруги (супруга) или детей.
· другую ассоциированную с Вами информацию, которую легко узнать (номера документов и телефонов, марку или номер автомобиля, дату рождения, домашний адрес и т.п.).
· чисто цифровой пароль или пароль из повторяющихся букв.
· слов, содержащихся в словаре английского или иного языка, в других списках слов.
· пароль менее чем из шести символов.
ИСПОЛЬЗУЙТЕ:
· пароли со сменой регистра букв.
· пароли с небуквенными символами (цифрами или знаками пунктуации).
· разные пароли для разных приложений.
· запоминающиеся пароли, чтобы не пришлось записывать их на бумаге.
· пароли, которые Вы можете ввести быстро, не глядя на клавиатуру.
Но при этом невозможно выполнить весь набор правил без привлечения программно-аппаратных средств. Поэтому в компьютерных системах наибольшее распространение получила аутентификация с использованием паролей хранящихся и вводимых из памяти идентификаторов. Таких, как разнообразные контактные смарт-карты и USB-ключи, использующие двухфакторную авторизацию (PIN-код + пароль) и программное обеспечение к ним. При этом жесткие требования предъявляются к вероятностным свойствам генерируемых паролей. В процессе аутентификации может использоваться шифрование (хэширование), что делает бессмысленными атаки с помощью активной разведки. Но и эти системы могут стать для разработчиков, администраторов и пользователей источником трудноразрешимых проблем. Ведь чем сложнее средства защиты, тем сложнее и хитроумней становятся средства нападения.
Для упрощения процесса принятия решения в стародавнем споре – «Смарт-карта или USB-ключ. Что предпочесть корпоративному пользователю», сведем их наглядные характеристики в следующую таблицу.
Смарт-карта
|
USB-ключ
|
Н А Д Е Ж Н О С Т Ь
|
Смарт-карта устойчива к внешним воздействиям – влажность, давление, изгиб,
статическое электричество. Выдерживает порядка 1 миллиона циклов вставки-извлечения
|
Физическая надежность USB-ключа, в силу его конструктивных особенностей (объемный корпус, открытый контактный узел) существенно ниже.
|
1
|
0
|
П Е Р С О Н И Ф И Ц И Р У Е М О С Т Ь
|
На карту может быть нанесено любое изображение (данные владельца, регистрационный номер, логотип). При большом количестве сотрудников это облегчает работу администратора и повышает удобство пользования.
|
USB-ключ имеет индивидуальный заводской номер (нанесен мелким шрифтом на корпус). При больших объемах закупки (как правило от нескольких тысяч штук) можно выбрать цвет корпуса или нанести логотип
|
1
|
0
|
С Т О И М О С Т Ь
|
Стоимость смарт-карты составляет примерно 7-8 $. Это примерно одна десятая часть от стоимости всего комплекса. Не вызывает проблем закупка резервных карт либо обеспечение многопользовательского режима использования компьютера
|
USB-ключ стоит 30-40 $. Хотя дополнительный ридер и не требуется. Суммарная стоимость рабочего места с учетом ПО превышает стоимость использования смарт-карт. А с учетом резерва и многопользовательского режима стоимость значительно увеличивается.
|
1
|
0
|
П О Д К Л Ю Ч Е Н И Е
|
Внешнее устройство чтения смарт-карты (ридер) может подключаться к COM или USB портам, внутреннее (отсек 3’ или 5’) – к ISA или PCI шине. Обеспечивается работа с любым компьютером.
|
Ключ подключается только к USB-порту напрямую или через удлинитель. Дополнительный ридер не требуется.
|
1
|
1
|
У Д О Б С Т В О
|
Карту удобно хранить и использовать. Современный человек уже привык носить и применять различные карты – телефонные, банковские и т.д. Считыватель для карт можно разместить в удобном для пользователя месте – на мониторе, клавиатуре, столе и т.д.
|
Для ношения USB-ключа необходимо помещать его либо на отдельный брелок (цепочку), либо на общую связку с ключами. При этом вставлять USB-ключ в разъем, не снимая его со связки ключей неудобно, впрочем так же как и каждый раз его с этой связки снимать.
|
1
|
0
|
Д У А Л Ь Н Ы Й И Н Т Е Р Ф Е Й С
|
На карте совместно размещаются контактный и бесконтактный интерфейсы любого стандарта.
|
Возникают неразрешимые на данном этапе проблемы с монтажом на ключе бесконтактных интерфейсов некоторых широко применяемых стандартов
|
1
|
0
|
Уважаемый читатель, данные таблицы подтверждаются и Вашим опытом и дальнейшими рассуждениями по вопросам авторизации.
В СКД чаще всего применяются, как самое оптимальное решение, бесконтактные карты: магнитные, проксимити и смарт-карты. Конечно, лучшим решением для простоты использования, могла стать биометрическая аутентификация, так как она основывается на физических признаках человека и не требует знания пароля или наличия носителя аутентификационной и авторизационной информации. Но на сегодняшний день данные системы самые дорогие в приобретении, установке и эксплуатации. Кроме того, хотя биометрические характеристики и являются уникальными идентификаторами, но их нельзя сохранить в тайне.
Таким образом, оптимальным носителем авторизационной информации, который может использоваться и в локальных сетях и в СКД, является процессорная смарт-карта с дуальным (контактный+бесконтактный) интерфейсом, защищенной памятью и возможностью работы с несколькими приложениями.
Наиболее соответствующей таким требованиям является карта JCOP30 - смарт-карта серии JCOP (Java Card Open Platform), полностью совместимая со стандартами MIFARE (бесконтактные карты) и ISO7816 (контактные карты). То есть, карта JCOP30 имеет возможность передавать информацию ридеру как по радиоинтерфейсу (по стандарту MIFARE), так и через контактный интерфейс.
Карта содержит криптографический сопроцессор выполняющий алгоритмы Triple-DES и RSA. JCOP30 удовлетворяет требования следующих стандартов: EMV2000, Java Card 2.1.1, Open Platform 2.0.1. и работают с платежным приложением VISA Smart Debit/Credit (VSDC). Кроме того, карты могут поддерживать до шестнадцати независимых приложений.
Уникальность этих карт состоит в том, что функциональные приложения для них пишутся на языке JAVA, широко распространенном среди разработчиков и программистов во всем мире. В России также существует достаточное количество квалифицированных специалистов, имеющих навыки программирования на этом языке.
Что позволит применение карты JCOP30 на нынешнем этапе?
Применить единый, достаточно дешевый носитель идентификационной информации с возможностью графической персонификации.
Разметить в защищенной памяти карты информацию о пользователе: уровень доступа, временные интервалы доступа, срок действия карты, перечень разрешенных для доступа помещений, время включения персонального компьютера, графики обходов (для охраны) и т.п.
Гарантированно обеспечить блокирование компьютера пользователя при оставлении им рабочего места: без карты нельзя вернуться в помещение, следовательно, она обязательно будет изъята из компьютера.
В свою очередь это позволит:
Унифицировать процедуры политики информационной безопасности и политики контроля и управления физическим доступом.
Блокировать попытки авторизации в корпоративной сети пользователя, находящегося за пределами зоны, контролируемой СКД. Такое решение дает дополнительные гарантии защиты от внешних информационных атак и несанкционированного использования утерянной карты. В настоящее время компания РУСКАРД завершает разработку программного модуля сопряжения модуля «Локатор» СКД и программно-аппаратного комплекса «Мастер Паролей».
Провести учет рабочего времени не только по факту прохода через первичное преграждающего устройство, но и по факту включения, блокировки и выключения компьютера пользователя.
Реализовать с помощью карты корпоративные платежные и бонусные системы: посещение столовой, оплата парковки и т.п.
В перспективе такая карта может быть использована в качестве унифицированного информационного носителя для авторизации на сервере авторизации единой информационно-управляющей структуры интеллектуального здания.
Проблема перехода корпоративной системы комплексной безопасности на дуальные карты упрощается еще и тем, что карта JCOP30 уже используется в качестве социальной карты москвича. И возможности карты по одновременной поддержке шестнадцати независимых приложений еще не скоро будут исчерпаны. Следовательно, можно будет решить вопрос об использовании карты и в корпоративных целях, возместив часть стоимости карты эмитенту.
Такой подход к унификации носителя стал возможен только после вывода компанией РОЗАН на Российский рынок смарт-карт JCOP30 с дуальным интерфейсом, и доработки программного обеспечения программно-аппаратного комплекса «Мастер Паролей» компанией РУСКАРД.
Поскольку, большинство современных систем контроля физического доступа работают с прокси-картами стандартов EM-Marin, HID, Motorola то для ранее установленных СКД компания РУСКАРД предложила изготовить и использовать другой тип комбинированных двухинтерфейсных карт. Эти карты совмещают возможности карты вышеуказанных стандартов и современных процессорных JAVA-карт семейства JCOP. Такое решение позволяет использовать уже имеющееся оборудование СКД (считыватели, контроллеры и т.д.) и единую карту для контроля физического доступа и решения других задач (обеспечения авторизации на ПК, бонусных проектов и т.д.).
Компания РУСКАРД первой предложила подобную карту, дополнив проксимити-карту чипом JCOP20. JCOP20 - смарт-карта серии JCOP (Java Card Open Platform), полностью совместима со стандартами EMV и ISO7816. Кроме того, на чипе имеется криптографический сопроцессор реализующий алгоритмы Triple-DES и RSA.
Применение такой карты не требует модернизации оборудования СКД и, в тоже время, предоставит корпоративному пользователю все преимущества, описанной выше карты JCOP30.
Компания РУСКАРД предоставляет заинтересованным организациям на бесплатное тестирование дуальные карты JCOP30, проксимити/JCOP20 и программно-аппаратный комплекс Мастер Паролей, использующий данные карты в качестве носителя информации для авторизации и разграничения доступа в корпоративной компьютерной сети.
Грушо Александр Александрович Балакин Александр Александрович Сарбуков Артур Евгеньевич
Авторы:
Грушо Александр Александрович - профессор, доктор физико-математических наук, член-корреспондент Академии криптографии РФ, академик Международной академии информатизации.
Балакин Александр Александрович - заместитель директора ФГП «АЦ Желдоринформзащита МПС РФ».
Сарбуков Артур Евгеньевич - генеральный директор компании РУСКАРД
Cтатья опубликована на сайте "Безопасность для всех": http://www.sec4all.net
Адрес статьи: http://www.sec4all.net/modules/myarticles/article.php?storyid=50 |