Создаем usb ключ защиты средствами Windows. Биометрические методы аутентификации

U2F -открытый протокол, позволяющий производить универсальную 2-факторную аутентификацию, поддерживается браузером Chrome 38 и более поздних версий. U2F был разработан FIDO Alliance – альянсом компаний Microsoft, Google, Lenovo, MasterCard, Visa, PayPal и др. Работа протокола осуществляется без дополнительной установки драйверов в операционных системах Windows/Linux/MacOS. Сервисы Wordpress ,Google, LastPass поддерживают работу протокола. Рассмотрим все плюсы и минусы работы с .

На фоне растущей популярности двухэтапной аутентификации, осуществляемой посредством звонка или отправки SMS-сообщения, возникает закономерный вопрос – насколько она удобна и есть ли у подобного способа аутентификации подводные камни?

В качестве дополнительного способа проверки аутентификация с помощью звонка или отправки сообщения, конечно, очень удобна. Более того, такой способ доказал свою эффективность во многих случаях – так, он одинаково хорошо подойдет в качестве защитных мер против фишинга, автоматизированных атак, попыток подбора паролей, вирусных атак и т.д. Однако за удобством кроется опасность – если за дело возьмутся мошенники, привязка к телефонному номеру может сыграть против вас. Чаще всего аккаунт привязывается к указанному контактному номеру пользователя, первые или последние цифры которого может узнать каждый, если попытается выполнить восстановление доступа к аккаунту. Таким образом мошенники могут узнать ваш телефонный номер, после чего установить, на кого он оформлен. После получения информации о владельце мошенникам остается по поддельным документам в салоне оператора сотовой связи запросить перевыпуск SIM-карты. Полномочиями перевыпуска карт обладает любой сотрудник отделения, что позволяет мошенникам, получив SIM-карту с желаемым номером, войти в ваш аккаунт и совершать с ним любые манипуляции.

Некоторые компании, например крупные банки, сохраняют не только номер телефона владельца, с ним сохраняется и уникальный идентификатор SIM-карты – IMSI, в случае изменения которого привязка номера телефона аннулируется и ее необходимо выполнить заново лично клиенту банка. Однако подобные сервисы недостаточно широко распространены. Для того чтобы узнать IMSI для любого номера телефона, можно отправить специальный HLR –запрос на сайте smsc.ru/testhlr.

Современный с поддержкой двухэтапной аутентификации в браузере, который гарантирует дополнительную безопасность вашего аккаунта, вы можете приобрести в нашем интернет-магазине.

Вопросы обеспечения информационной безопасности должны решаться системно и комплексно. Важную роль в этом играют надежные механизмы защищенного доступа, в том числе аутентификация пользователей и защита передаваемых данных.

Информационная безопасность невозможна без аутентификации, а проникновение в корпоративную среду мобильных устройств и облачных технологий не может не влиять на принципы обеспечения ИБ. Аутентификация - процедура подтверждения подлинности субъекта в информационной системе по некоему идентификатору (см. Рисунок 1). Надежная и адекватная система аутентификации пользователей - важнейший компонент корпоративной системы информационной безопасности. Конечно, в разных коммуникационных каналах могут и должны применяться разные механизмы аутентификации, каждый из которых имеет свои достоинства и недостатки, отличается по надежности и стоимости решений, удобству применения и администрирования. Поэтому при их выборе необходимо анализировать риски и оценивать экономическую целесообразность внедрения.

Для аутентификации пользователей применяются разные технологии - от паролей, смарт-карт, токенов до биометрии (см. врезку «Биометрические методы аутентификации»), основанной на таких персональных свойствах человека, как отпечаток пальца, структура сетчатки глаза и т. д. Системы строгой аутентификации проверяют два и более факторов.

Биометрические методы аутентификации

Системы двухфакторной аутентификации применяются в таких областях, как электронная коммерция, включая интернет-банкинг, и аутентификация при удаленном доступе с недоверенного рабочего места. Более строгую аутентификацию обеспечивают биометрические методы. Такие системы реализуют доступ по отпечатку пальца, геометрии лица, отпечатку или рисунку вен ладони, структуре сетчатки глаза, рисунку радужной оболочки глаза и голосу и пр. Биометрические методы постоянно совершенствуются - стоимость соответствующих решений снижается, а их надежность повышается. Наиболее востребованные и надежные технологии - биометрическая аутентификация с использованием отпечатка пальца и радужной оболочки глаза. Системы сканирования отпечатка пальца и распознавания геометрии лица применяются даже в потребительских устройствах - смартфонах и ноутбуках.

Аутентификация с использованием биометрии позволяет повысить уровень безопасности при критически важных операциях. Предоставление доступа человеку, не имеющему на это права, практически исключено, однако ошибочный отказ в доступе случается довольно часто. Чтобы избежать таких недоразумений, можно применять системы многофакторной аутентификации, когда личность идентифицируется, например, и по отпечатку пальца, и по геометрии лица. Общая степень надежности системы растет пропорционально числу используемых факторов.

Кроме того, при использовании биометрии для доступа к ключам и сертификатам на смарт-карте работа с последней и процесс аутентификации упрощаются: вместо ввода сложного пароля достаточно прикоснуться пальцем к сканеру.

Лучшей практикой считается двусторонняя строгая аутентификация, основанная на технологии электронной цифровой подписи (ЭЦП). Когда эту технологию использовать невозможно или нецелесообразно, рекомендуется применять одноразовые пароли, а при минимальном уровне рисков - многоразовые.

«Без аутентификации невозможно говорить о безопасности в информационной системе, - поясняет Алексей Александров, руководитель направления по работе с технологическими партнерами компании «Аладдин Р.Д.». - Есть разные ее способы - например, с помощью многоразовых или одноразовых паролей. Однако более надежна многофакторная аутентификация, когда безопасность основывается не только на знании некоего секрета (пароля), но и на владении специальным устройством, а в качестве третьего фактора выступает одна или несколько биометрических характеристик пользователя. Пароль может быть украден или подобран, но без устройства аутентификации - USB-токена, смарт-карты или SIM-карты - злоумышленнику не удастся получить доступ к системе. Использование устройств, работа с которыми поддерживается не только на рабочих станциях, но и на мобильных платформах, позволяет применять многофакторную аутентификацию в отношении владельцев мобильных телефонов или планшетов. Это касается и модели Bring Your Own Device (BYOD)».

«Сегодня мы наблюдаем рост интереса к токенам - генераторам одноразовых паролей (One Time Password, OTP) различных производителей. Внедрение подобных систем уже стало стандартом де-факто для интернет-банкинга и все больше востребовано при организации удаленного доступа с мобильных устройств, - говорит Юрий Сергеев, руководитель группы проектирования центра информационной безопасности компании «Инфосистемы Джет». - Они удобны и просты в использовании, что позволяет применять их повсеместно. Специалисты проявляют интерес к технологиям, которые не требуют установки и управления «лишним» программным обеспечением на стороне клиента. Такое решение, как «КриптоПро DSS» интегрируется с различными Web-сервисами, не нуждается в клиентской части и поддерживает российские криптоалгоритмы».

Этот программно-аппаратный комплекс предназначен для централизованного защищенного хранения закрытых ключей пользователей, а также для удаленного выполнения операций по созданию электронной подписи. Он поддерживает разные способы аутентификации: однофакторную - по логину и паролю; двухфакторную - с использованием цифровых сертификатов и USB-токенов или смарт-карт; двухфакторную - с дополнительным вводом одноразового пароля, доставляемого по SMS.

Одна из ключевых тенденций в сфере ИБ связана с ростом числа мобильных устройств, с помощью которых офисные или удаленные сотрудники работают с конфиденциальной корпоративной информацией: электронной почтой, хранилищами документов, различными бизнес-приложениями и др. При этом и в России, и за рубежом все более популярной становится модель BYOD, когда на работе разрешается использовать личные устройства. Противодействие возникающим при этом угрозам - одна из наиболее актуальных и сложных проблем ИБ, которую предстоит решать в ближайшие пять - семь лет, подчеркивают в компании «Аванпост».

Понимание участниками рынка необходимости внедрения надежных систем аутентификации и цифровой подписи (ЭЦП), изменение законодательства в области защиты персональных данных, принятие требований по сертификации (ФСБ и ФСТЭК России), реализация таких проектов, как «Электронное правительство» и «Портал государственных услуг», развитие дистанционного банковского обслуживания и интернет-банкинга, поиск возможностей для определения ответственности в киберпространстве - все это способствует повышенному интересу к программно-аппаратным решениям, совмещающим в себе удобство использования и усиленную защиту.

ЦИФРОВАЯ ПОДПИСЬ

Рисунок 2. Устройство аутентификации может быть выполнено в различных форм-факторах: USB-токен, смарт-карта, удобная для использования на мобильных устройствах карта MicroSD (токен Secure MicroSD) и даже SIM-карта, поддерживаемая практически на всех мобильных телефонах и смартфонах. Оно может наделяться и дополнительным функционалом - например, смарт-карта может служить в качестве банковской платежной карты, электронного пропуска в помещения, средства биометрической аутентификации.

Применяемые в смарт-картах и токенах (см. Рисунок 2) технологии установления подлинности отправителя становятся все более зрелыми, практичными и удобными. Например, их можно использовать в качестве механизма аутентификации на Web-ресурсах, в электронных сервисах и платежных приложениях с ЭЦП. Цифровая подпись соотносит конкретного пользователя с частным ключом асимметричного шифрования. Присоединяемая к электронному сообщению, она позволяет получателю удостовериться, является ли его отправитель тем, за кого себя выдает. Формы шифрования при этом могут быть различными.

Частный ключ, у которого только один владелец, используется для цифровой подписи и шифрования при передаче данных. Само сообщение может быть прочитано любым, кто имеет открытый ключ. Электронная цифровая подпись может генерироваться USB-токеном - аппаратным устройством, которое формирует пару ключей. Иногда различные методы аутентификации комбинируются - например, смарт-карту дополняют токеном с криптографическим ключом, а для доступа к последнему предусматривается ввод PIN-кода (двухфакторная аутентификация). При использовании токенов и смарт-карт закрытый ключ подписи не покидает пределов токена. Таким образом, исключается возможность компрометации ключа.

Применение ЭЦП обеспечивается специальными средствами и технологиями, составляющими инфраструктуру открытых ключей (Public Key Infrastructure, PKI). Основным компонентом PKI является удостоверяющий центр, который отвечает за выдачу ключей и гарантирует подлинность сертификатов, подтверждающих соответствие между открытым ключом и информацией, идентифицирующей владельца ключа.

Разработчики предлагают различные компоненты для встраивания криптографических функций в Web-приложения - например, SDK и подключаемые модули к браузерам с программным интерфейсом доступа к криптографическим функциям. С их помощью можно реализовывать функции шифрования, аутентификации и ЭЦП с высоким уровнем безопасности. Средства цифровой подписи предоставляются также в виде онлайновых сервисов (см. врезку «ЭЦП как сервис»).

ЭЦП как сервис

Для автоматизации подписи, обмена и хранения электронных документов можно воспользоваться онлайновым сервисом eSign-PRO (www.esign-pro.ru). Все регистрируемые в нем электронные документы защищаются цифровой подписью, причем формирование и проверка ЭЦП осуществляются на стороне клиента с помощью криптографического модуля eSign Crypto Plugin для браузера, устанавливаемого при первом обращении к порталу. Рабочие станции взаимодействуют с Web-сервером портала по протоколу TLS в режиме односторонней аутентификации сервера. Аутентификация пользователей выполняется на основе персональных идентификаторов и паролей, передаваемых на сервер после установления защищенного соединения.

Сервис eSign-PRO поддерживается инфраструктурой открытых ключей на базе удостоверяющего центра e-Notary, аккредитованного ФНС России и принадлежащего компании «Сигнал-КОМ», но могут приниматься и сертификаты, выпущенные другим удостоверяющим центром.

Как подчеркивают разработчики, этот сервис соответствует требованиям Федерального закона № 63-ФЗ «Об электронной подписи» и использует сертифицированные ФСБ России средства криптографической защиты «Крипто-КОМ 3.2». Ключевая информация может храниться на различных носителях, включая USB-токены.

«Инфраструктура PKI является наилучшей схемой для безопасной аутентификации пользователей, - считает Кирилл Мещеряков, руководитель направления по работе с технологическими партнерами компании «Актив». - Ничего надежнее цифровых сертификатов в данной области еще не придумали. Это могут быть сертификаты государственного образца для физических лиц для применения в облачном сервисе или корпоративные цифровые сертификаты для реализации модели BYOD. Причем первые могли бы использоваться для доступа к внутрикорпоративным ресурсам, если бы коммерческие компании имели возможность подключаться к государственным удостоверяющим центрам. Когда цифровые сертификаты будут применяться везде, где необходима аутентификация пользователей, жизнь обычных граждан заметно упростится. Надежное же и безопасное хранение цифровых сертификатов на данный момент обеспечивается только одним способом - с помощью смарт-карт и токенов».

Учитывая повышенное внимание государства к таким направлениям, как цифровая подпись и смарт-карты, а также важность наличия надежной и удобной многофакторной аутентификации в различных информационных системах и развития электронных платежных систем и юридически значимого электронного документооборота, отечественные разработчики продолжают совершенствовать свои решения и расширять линейки продуктов.

USB-ТОКЕНЫ И СМАРТ-КАРТЫ

Рисунок 3. Использование смарт-карт в качестве средства аутентификации при работе с информационными системами, Web-порталами и облачными сервисами возможно при доступе к ним не только с персональных рабочих станций, но и с мобильных устройств, однако для этого нужен специальный считыватель, поэтому иногда более удобным оказывается токен в форм-факторе MicroSD.

Смарт-карты и USB-токены могут служить персональным средством аутентификации и электронной подписи для организации защищенного и юридически значимого документооборота (см. Рисунок 3). Более того, их применение позволяет унифицировать средства аутентификации - начиная с операционных систем и заканчивая системами контроля доступа в помещения.

Российские разработчики программно-аппаратных средств информационной безопасности накопили солидный опыт в создании электронных ключей (токенов) и идентификаторов. Например, компания «Актив» (www.rutoken.ru) выпускает линейку USB-токенов Рутокен, которая насчитывает уже более десятка таких продуктов (см. Рисунок 4). С 1995 года на этом же рынке работает компания «Аладдин Р.Д.».

Рисунок 4. Рутокен ЭЦП компании «Актив» - электронный идентификатор с аппаратной реализацией российского стандарта электронной подписи, шифрования и хеширования, обеспечивающий безопасное хранение ключей электронной подписи во встроенной защищенной памяти. Продукт имеет сертификат ФСБ о соответствии требованиям, предъявляемым к СКЗИ по классу КС2 и к средствам ЭП в соответствии с Федеральным законом № 63-ФЗ «Об электронной подписи», а также сертификат ФСТЭК о соответствии требованиям, предъявляемым по четвертому уровню контроля отсутствия недекларированных возможностей.

В продуктах линейки Рутокен с двухфакторной аутентификацией (устройство и PIN-код) используются 32-разрядные микропроцессоры ARM для генерации ключевых пар, формирования и проверки электронной подписи (алгоритм ГОСТ Р 34.10-2001), а также защищенные микроконтроллеры с энергонезависимой памятью для хранения пользовательских данных. В отличие от решений, разработанных на Java, микропрограмма в Рутокен реализована на компилируемом языке. По мнению разработчиков, это дает больше возможностей для оптимизации ПО. Рутокен не требует установки драйверов и определяется как HID-устройство.

При формировании ЭЦП используется криптография на эллиптических кривых. Предлагаемый подключаемый модуль для браузеров (для его установки не требуются права администратора) умеет работать с USB-токеном и имеет программный интерфейс доступа к криптографическим функциям. Плагин позволяет интегрировать Рутокен с системами дистанционного банковского обслуживания и электронного документооборота.

Устройство Рутокен PINPad (Рутокен ЭЦП с экраном) позволяет визуализировать подписываемый документ перед применением электронной подписи и тем самым защититься от атак, совершаемых при помощи средств удаленного управления с целью подмены содержимого документа при передаче на подпись.

Российская компания «Аладдин Р.Д.» выпускает широкую линейку смарт-карт, USB- и Secure MicroSD-токенов JaCarta для строгой аутентификации, электронной подписи и безопасного хранения ключей и цифровых сертификатов (см. Рисунок 5). В нее входят продукты серии JaCarta PKI, предназначенные для применения в корпоративных и государственных системах, и JaCarta ГОСТ- для обеспечения юридической значимости действий пользователей при работе в различных электронных сервисах. В JaCarta, поддерживаемой на всех современных мобильных платформах (Apple iOS, Android, Linux, Mac OS и Windows), применяются строгая двух- и трехфакторная аутентификация, усиленная квалифицированная электронная подпись и защита от угроз недоверенной среды.

Устройства семейства JaCarta ГОСТ аппаратно реализуют российские криптоалгоритмы и сертифицированы ФСБ РФ как персональные средства электронной подписи по KC1 и КС2, рассказывает Алексей Александров. Таким образом, они могут применяться при аутентификации с использованием механизмов электронной подписи, для формирования электронной подписи на документах или подтверждения различных операций в информационных системах, а также при работе с облачными сервисами.

В устройствах семейства JaCarta ГОСТ криптоалгоритмы реализованы на уровне микропроцессора, а кроме того, задействована схема работы с неизвлекаемым закрытым ключом подписи. Такой подход исключает возможность хищения закрытого ключа подписи, а формирование ЭЦП с его использованием выполняется внутри устройства. Содержащиеся в JaCarta ГОСТ ключи и сертификаты могут применяться для строгой двухфакторной аутентификации и формирования усиленной квалифицированной электронной подписи сразу в нескольких информационных системах, работающих в рамках одной или более инфраструктур PKI.

Устройства аутентификации JaCarta выпускаются в различных форм-факторах, но имеют одинаковую функциональность, что позволяет применять одни и те же механизмы аутентификации во многих информационных системах, на Web-порталах, в облачных сервисах и мобильных приложениях.

Рисунок 6. Сертифицированная ФСБ РФ аппаратная реализация российских криптоалгоритмов в JaCarta ГОСТ позволяет использовать электронное удостоверение сотрудника в качестве средства ЭЦП, для строгой аутентификации в информационных системах и обеспечения юридической значимости его действий.

Подход, при котором одинаковые устройства используются для решения ряда задач (см. Рисунок 6), приобретает в последнее время все большую популярность. Благодаря наличию в смарт-карте одной или двух меток RFID и интеграции со СКУД, ее можно применять для контроля доступа в помещения. А поддержка зарубежных криптоалгоритмов (RSA) и интеграция с большинством продуктов мировых вендоров (Microsoft, Citrix, VMware, Wyse и др.) дают возможность использовать смарт-карту как средство строгой аутентификации в инфраструктурных корпоративных решениях, включая вход пользователя в Microsoft Windows, работу с VDI и другие популярные сценарии. Программное обеспечение дорабатывать не требуется - поддержка включается путем применения определенных настроек и политик.

СИСТЕМЫ УПРАВЛЕНИЯ ИДЕНТИФИКАЦИЕЙ И ДОСТУПОМ К ИНФОРМАЦИОННЫМ РЕСУРСАМ

Автоматизировать работу администратора безопасности и быстро реагировать на изменения политик безопасности помогают системы централизованного управления жизненным циклом средств аутентификации и ЭЦП. Например, система JaСаrta Management System (JMS) компании «Аладдин Р.Д.» предназначена для учета и регистрации всех аппаратных и программных средств аутентификации и хранения ключевой информации, используемых сотрудниками в масштабах предприятия.

Ее задачи - управление жизненным циклом этих средств, аудит их использования, подготовка отчетов, обновление аутентификационных данных, предоставление или отзыв прав доступа к приложениям при изменении служебных обязанностей или увольнении сотрудника, замена устройства в случае его утери или повреждения, вывод оборудования из эксплуатации. В целях аудита средств аутентификации фиксируются все факты использования устройства на компьютере предприятия и изменения данных, хранящихся в его памяти.

С помощью JMS реализуются также техническая поддержка и сопровождение пользователей: замена забытого PIN-кода, синхронизация генератора одноразовых паролей, обработка типовых ситуаций утери или поломки токена. А благодаря программному виртуальному токену пользователь, находящийся вне офиса, даже в случае утери eToken может продолжить работу с компьютером или получить безопасный доступ к ресурсам без снижения уровня защищенности.

Как считают в компании «Аладдин Р.Д.», JMS (см. Рисунок 7), имеющая сертификат ФСТЭК России, повышает уровень корпоративной безопасности благодаря использованию сертификатов открытого ключа стандарта X.509 и хранению закрытых ключей в защищенной памяти смарт-карт и USB-токенов. Она упрощает внедрение и эксплуатацию решений PKI с использованием USB-токенов и смарт-карт за счет автоматизации типовых процедур администрирования и аудита.

Рисунок 7. Система JMS компании «Алладин Р.Д.» поддерживает все типы и модели eToken, интегрируется с Microsoft Active Directory, а открытая архитектура позволяет добавлять поддержку новых приложений и аппаратных устройств (через механизм коннекторов).

Сегодня все более важную роль приобретают системы идентификации и управления доступом к информационным ресурсам предприятия (IDM). Недавно компания «Аванпост» выпустила четвертую версию своего продукта - программного комплекса Avanpost (см. Рисунок 8). По мнению разработчиков, в отличие от зарубежных решений внедрение IDM Avanpost 4.0 происходит в сжатые сроки и требует меньших затрат, а его интеграция с другими элементами информационных систем является наиболее полной. Разработанный российской компанией, продукт соответствует отечественной нормативной базе в области ИБ, поддерживает отечественные удостоверяющие центры, смарт-карты и токены, обеспечивает технологическую независимость в такой важной области, как комплексное управление доступом к конфиденциальной информации.

Рисунок 8. В состав ПО Avanpost входят три основных модуля - IDM, PKI и SSO, которые можно внедрять отдельно или в любых сочетаниях. Продукт дополняют инструменты, позволяющие строить и поддерживать в актуальном состоянии ролевые модели, организовывать документооборот, связанный с управлением доступом, разрабатывать коннекторы к различным системам, настраивать отчеты.

Avanpost 4.0 решает задачу комплексного управления доступом: IDM используется в качестве центрального звена корпоративной системы ИБ, с которой интегрируются инфраструктуры PKI и единой авторизации (Single Sign On, SSO). ПО предусматривает поддержку двух- и трехфакторной аутентификации и биометрических технологий идентификации, реализацию SSO для мобильных платформ Android и iOS, а также коннекторы (модули сопряжения) с различными приложениями (см. Рисунок 9).

Рисунок 9. Архитектура Avanpost 4.0 упрощает создание коннекторов, позволяет добавлять новые механизмы аутентификации и реализовывать различные варианты N-факторной аутентификации (например, за счет взаимодействия с биометрией, СКУД и др.).

Как подчеркивают в компании «Аванпост», на российском рынке популярность интегрированных систем, включающих IDM, СКУД и аппаратные средства биометрической аутентификации, будет постепенно расти, однако еще более востребованными станут программные технологии и решения, в которых задействованы мобильные устройства: смартфоны и планшеты. Поэтому на 2014 год намечен выпуск ряда обновлений ПО Avanpost 4.0.

На базе Avanpost 4.0 можно создавать комплексные средства управления доступом для систем, объединяющих традиционные приложения и частные облака, работающие по модели IaaS, PaaS и SaaS (в последнем случае требуется API облачного приложения). В компании «Аванпост» заявляют, что ее решение для частных облаков и гибридных систем уже полностью проработано, а его коммерческое продвижение начнется, как только на российском рынке появится устойчивый спрос на подобные продукты.

В модуль SSO включен функционал Avanpost Mobile, поддерживающий популярные мобильные платформы Android и iOS. Этот модуль предоставляет безопасный доступ через браузер с мобильных устройств к внутрикорпоративным порталам и интранет-приложениям (портал, корпоративная почта Microsoft Outlook Web App и др.). Версия для OS Android содержит встроенную полнофункциональную систему SSO, поддерживающую VoIP-телефонию, видео- и видео-конференц-связь (Skype, SIP), а также любые Android-приложения (например, клиенты корпоративных систем: бухгалтерских, CRM, ERP, HR и др.) и облачные Web-сервисы.

Благодаря этому пользователям не нужно запоминать множество идентификационных пар (логин-пароль), а организация может применять правила безопасности, требующие применения стойких, часто меняющихся паролей, которые различаются во всех приложениях.

Продолжаю-щееся усиление государственного регулирования сферы информационной безопасности в России способствует росту отечественного рынка средств ИБ. Так, по данным IDC, в 2013 году совокупный объем продаж программных решений безопасности составил более 412 млн долларов, превысив аналогичные показатели предыдущего периода более чем на 9%. А сейчас, после ожидаемого спада, прогнозы оптимистичны: в следующие три года среднегодовые темпы роста могут превышать 6%. Наибольшие объемы продаж приходятся на программные решения для защиты конечных устройств (более 50% рынка средств ИБ), мониторинга уязвимостей и контроля безопасности в корпоративных сетях, а также на средства идентификации и контроля доступа.

«Отечественные криптоалгоритмы не уступают западным стандартам и даже, по мнению многих, их превосходят, - рассказывает Юрий Сергеев. - Что касается интеграции российских разработок в области аутентификации и ЭЦП с зарубежными продуктами, то было бы полезно создать библиотеки с открытым кодом и криптопровайдеры для различных решений с контролем их качества со стороны ФСБ России и сертификацией отдельных стабильных версий. В таком случае производители могли бы встраивать их в предлагаемые продукты, которые, в свою очередь, проходили бы сертификацию как СКЗИ с учетом корректности использования уже проверенной библиотеки. Стоит отметить, что некоторых успехов уже удалось достичь: хорошим примером является разработка заплат для поддержки ГОСТ в openssl. Однако стоит задуматься об организации этого процесса на государственном уровне».

«Российская отрасль ИТ идет по пути встраивания отечественных сертифицированных компонентов в зарубежные информационные системы. Этот путь на данный момент оптимален, так как разработка полностью российских информационных и операционных систем с нуля будет неоправданно сложной и дорогой, - отмечает Кирилл Мещеряков. - Наряду с организационными и финансовыми проблемами, а также недостаточно проработанными законами, широкому распространению средств аутентификации и цифровой подписи мешает низкий уровень образованности населения в сфере ИБ и отсутствие государственной информационной поддержки отечественных поставщиков решений безопасности. Драйверами рынка, безусловно, являются торговые площадки, системы налоговой отчетности, корпоративные и государственные системы документооборота. За последние пять лет прогресс в развитии отрасли огромен».

Сергей Орлов - ведущий редактор «Журнала сетевых решений/LAN». С ним можно связаться по адресу:

Идея строгой аутентификации заключается в том, что сторона должна доказать свою подлинность другой стороне, показывая свои знания определенного секрета. Такой секрет может изначально быть распределен безопасным методом между пользователями аутентификационного обмена.

Стандарт Х.509 определяет аутентификацию следующих видов:

• односторонняя
• двусторонняя
• трехсторонняя

Односторонняя аутентификация определяет обмен данными только в 1 направлении. Такой вид аутентификация разрешает:

• обнаружить нарушения целостности транспортируемых данных
• подтвердить подлинность одной стороны аутентификационного обмена
• найти реализацию атаки типа «повтор-передачи»
• гарантировать, что транспортируемые аутентификационные данные могут использоваться только проверяющей стороной

Двусторонняя аутентификация в сравнении с односторонней имеет дополнительный от одной стороны к другой. Трехсторонняя аутентификация предполагает, что трех шаговую аутентификацию. Получится, что доказывающая сторона отправит данные 2 раза.

Алгоритм строгой аутентификации может быть реализован на основе проверок параметров и реализации криптографических методов. Реализация многофакторной аутентификации уменьшает важность паролей, и это преимущество, так как пользователям не приходится запоминать множество паролей, а в следствии они не будут их записывать на дополнительных носителях информации.

Использование USB-токенов и смарт-карт

Реализация смарт-карт

Смарт-карта — пластиковая карта с встроенным микропроцессором, реализующим действия контроля доступа к карте. Главным преимуществом таких карт заключается в надежной защите содержимого от внешнего доступа. Смарт-карты делят по следующим параметрам:

• сфера реализации
• метод считывания данных с карты
• тип микросхемы
• соответствие стандартам

Также все карты делят на: карты с памятью и карты с микропроцессором. Карта с памятью нужна для хранения данных. Такие карты защищены PIN-кодом. Микропроцессорные карты имеют микроконтроллер, ЦП, ОЗУ и ПЗУ и электрически стираемые программируемый ПЗУ (ЭСППЗУ) рис.1.

Рисунок — 1

Самая основная часть работы заключена в сопроцессоре:

• генерация
• реализация операций с электронной подписью
• реализация криптографических алгоритмов
• реализация операций с PIN-кодом

Есть категория микропроцессорных смарт-карт — карты с криптографической логикой . Такие карты нужны в системах защиты информации для участия в процессах шифрования или созданий криптографических ключей и других средств защиты.

Генерация ключевой пары вне устройства . В таком случае сотрудник может реализовать резервную копию закрытого ключа. Если носитель потерян, выведен из строя или еще что-то, пользователь может записать закрытый ключ на другое устройство и работать с ним.

Генерация ключевой пары с помощью устройства . Закрытый ключ в таком методе не находится в открытом виде и нет угроз его хищения.

Смарт-карты отлично подходят для , так как реализуют безопасное хранение ключа и сертификата пользователя на самом носителе. К недостаткам смарт-карт относят то, что нужно иметь под рукой средство считывания.

Применение USB-токенов

USB-токены очень похожи на контактные смарт-карты. С виду USB-ключи похожи на брелок или usb-флешку. USB-токенны имеют все плюсы смарт-карт связанные с безопасным хранением данных и реализацией криптографических действий внутри токена, однако лишены главного недостатка смарт-карт, токен не требует дополнительного считывателя. USB-токен подключается к USB-порту. В таблице 1 наведены характеристики USB-токенов.

Таблица 1 — Характеристики USB-токенов

К недостаткам USB-токеннов относят гарантироанное количество подключение (всего 5000 раз) и достаточно высокую стоимость и слабую механическую защищенность.

Использование PIN-кода

Самая простая атака на угадывания PIN-кода (Кроме подглядывания) это угадывания значения. Вероятность угадывания зависит от длины PIN-кода и от количества разрешенных попыток ввода. Расчитаем эту вероятность.

• X — число возможных комбинаций PIN-кода
• m — число возможных символов на позиции
• n — число позиций в PIN-коде
• P — вероятность угадывания
• i — число попыток угадывания

Количество возможных комбинаций — x = m n . Вероятность угадывания PIN-кода с помощью i попыток: P = i/m n . К примеру, если PIN-код состоит из 4 десятичных цифр, n = 4, m = 10, то число возможных комбинаций — x = 10 4 = 10000. Если взять стандартное число разрешимых попыток ввода, i = 3, то вероятность угадывания PIN-кода составляет 0,03%.

«Аутентификация по ключу» - это способ аутентификации на сервисе с использованием пары ключей. Подобная функциональность - штатная в некоторых сервисах (например, в ssh), однако отсутствует в подавляющем большинстве программ.

«Аутентификация по ключу» - это способ аутентификации на сервисе с использованием пары ключей. Подобная функциональность - штатная в некоторых сервисах (например, в ssh), однако отсутствует в подавляющем большинстве программ. Способ аутентификации по ключу удобен тем, что не надо держать в голове множество (да даже если и один) длинных паролей, а также и тем, что при удаленной регистрации никаких данных, способных скомпрометировать тот или иной сервис, по сети не передается.

В данной статье рассмотрен способ беcпарольной аутентификации по ключу, находящемуся на USB flash-накопителе. Сам механизм аутентификации по ключу обеспечивает PAM-модуль pam_usb. Аутентификация через pam_usb может работать на любом сервисе, скомпилированном с поддержкой PAM, например: login, xdm/kdm/gdm, su, sshd.

Загрузить исходные коды последней версии pam_usb можно с его домашней страницы pamusb.org (на момент написания статьи последней была версия 0.3.2). Компиляция и установка данного модуля тривиальны:

$ tar -zxvf pam_usb-0.3.2.tar.gz $ cd pam_usb-0.3.2 $ make $ su - # make install

Для основанных на RPM дистрибутивов лучше всего найти готовый RPM-пакет с этим модулем и устанавливать штатным rpm. Например, для дистрибутива SuSE 9.1, на котором производилась установка и настройка pam_usb при написании статьи, соответствующий RPM-пакет можно загрузить с сайта www.linux-administrator.com .

Если процесс установки не выявил ошибок, то в директории /lib/security/ появится модуль pam_usb.so, имя которого необходимо будет в дальнейшем указывать в конфигурационных файлах PAM-модулей сервисов.

Список приложений, использующих PAM, находится в /etc/pam.d (хотя, в некоторых дистрибутивах настройка PAM-модулей находится в /etc/pam.conf). Аутентификацию через pam_usb можно сконфигурировать в трех режимах, описанных ниже для сервиса xdm, взятого в качестве примера (файл конфигурации PAM-модуля данного сервиса - /etc/pam.d/xdm):

1) для того, чтобы была возможность логиниться как с присоединенным накопителем, так и без него, необходимо перед строкой auth required pam_unix2.so добавить :

Auth sufficient pam_usb.so check_device=-1 check_if_mounted=-1 force_device=/dev/sda fs=vfat

2) для того, чтобы была возможность логиниться лишь с присоединенным накопителем, необходимо строку auth required pam_unix2.so заменить на:

3) для того, чтобы была возможность логиниться с помощью пароля и одновременно с присоединенным накопителем, необходимо к строке auth required pam_unix2.so добавить :

Auth require pam_usb.so check_device=-1 check_if_mounted=-1 force_device=/dev/sda fs=vfat

Примечание: в некоторых дистрибутивах, например в Debian, вместо модуля pam_unix2.so присутствует pam_unix.so. Примечание 2: значения параметров «force_device» и «fs» выбраны для примера и поэтому могут отличаться в каждой конкретной системе. Если их вообще не указывать, то аутентификация сработает, однако будут опробованы по очереди устройства /dev/sda* и /dev/sdb*, а также ФС ext2 и vfat, что, естественно, займет немного больше времени.

Механизм беспарольной аутентификации по ключу довольно-таки прост. Сначала генерируется пара DSA-ключей: приватный и публичный. Приватный помещается на USB-flash, а публичный - в домашнюю директорию пользователя. При попытке зарегистрироваться на каком-нибудь сервисе под учетной записью пользователя считываются приватный ключ с носителя и публичный из домашней директории этого пользователя. При помощи публичного ключа генерируется случайная последовательность символов, которая может быть расшифрована лишь приватным ключом, парным данному публичному. Соответственно, если расшифровка удалась, то приватный ключ считается валидным и процесс аутентификации завершается успешно. В противном случае - «от ворот поворот».

Генерируется пара аутентификационных DSA-ключей с помощью утилиты usbadm, которая идет в составе пакета pam_usb. Синтаксис ее следующий:

Usbadm

где - это одно из доступных действий и его аргументы: help - вывод справки. Если задано значение действия , то выводится справка по этому действию, иначе - общая справка. keygen - генерация пары DSA ключей. Необходимые параметры: точка монтирования устройства, имя пользователя, для которого генерируется пара ключей, длина ключа в битах. cipher - управление шифрованием ключей. Позволяет шифровать/расшифровывать/изменять пароль для приватного ключа указанным алгоритмом для указанного пользователя. addserial - установка серийного номера устройства. Если в качестве ничего не указано, то будет произведена попытка считывания серийного номера присоединенного устройства.

Для того, чтобы сгенерировать пару DSA-ключей длиной 2048 бит для пользователя fly4life, необходимо смонтировать USB flash-накопитель (в данном примере это /dev/sda) и воспользоваться утилитой usbadm с ключом keygen:

# mount -t vfat /dev/sda /mnt # usbadm keygen /mnt fly4life 2048

Таким образом на flash-накопителе создастся директория.auth/, в которой будет сгенерирован приватный ключ, а в одноименном подкаталоге домашней директории пользователя (~/.auth/) - публичный. После размонтирования устройства USB flash-накопитель готов для использования его в процессах аутентификации.

В заключение отмечу, что в качестве носителя информации для хранения приватных ключей можно использовать floppy-дискеты и CD-диски. Все, что необходимо добавить в настройках PAM-модулей, - это опции!check_device, !check_if_mounted, и заменить значение параметра force_device на /dev/fd0 и /dev/cdrom соответственно. Например:

Auth sufficient pam_usb.so !check_device !check_if_mounted force_device=/dev/fd0