Информационная безопасность / Общий_лекция

391

В основе аутентификации с одноразовыми паролями лежит процедура типа «запрос-ответ». Генерация одноразовых паролей может осуществляться аппаратным или программным способом. Аппаратные средства аутентификации на основе одноразовых паролей часто реализуются в виде миниатюрных устройств со встроенным микропроцессором. Внешне эти устройства похожи на платежные пластиковые карточки. Такие карты обычно называют ключами. У них могут быть клавиатура и небольшое дисплейное окно. Широко известна аппаратная реализация технологии одноразовых паролей SecuгID компании Secuгity Dynamics. Существуют и программные реализации средств аутентификации на основе одноразовых паролей в виде программных ключей, в частности продукт Softoken компании Enigma Logic. Программные ключи размещаются на гибком магнитном диске в виде обычной программы с программным генератором одноразовых паролей.

При попытке логического входа в систему пользователь сообщает системе свой идентификатор и затем вводит последовательность цифр, которую сообщает ему аппаратный или программный ключ со встроенным генератором одноразовых паролей. Ключ циклически генерирует новый пароль в виде новой последовательности цифр через небольшие постоянные интервалы времени. Сервер аутентификации сравнивает введенную пользователем цифровую последовательность с выработанным собственным значением и в зависимости от результата этого сравнения разрешает или не разрешает пользователю осуществить логический вход в систему. В качестве сервера аутентификации могут быть использованы вы­деленный компьютер или программа, выполняемая на обычном сервере.

На практике получила также широкое распространение схема аутентификации на основе одноразовых паролей, предложенная Лампортом. Суть данного метода заключается в многократном использовании партнерами по аутентификационному обмену односторонней функции для генерации разделяемой последовательности одноразовых паролей.

2.3. Аутентификация на основе сертификатов

Когда число пользователей в сети измеряется миллионами, процедура предварительной регистрации пользователей, связанная с назначением и хранением паролей пользователей, становится крайне громоздкой и практически плохо реализуемой. В таких условиях аутентификация на основе цифровых сертификатов служит рациональной альтернативой применению паролей.

392

При использовании цифровых сертификатов компьютерная сеть, которая дает доступ к своим ресурсам, не хранит никакой информации о своих пользователях. Эту информацию пользователи предоставляют сами в своих запросах - сертификатах. Такое решение масштабируется гораздо легче, чем вариант с использованием паролей централизованной базой данных. При этом задача хранения секретной информации, в частности закрытых ключей, возлагается теперь на самих пользователей.

Цифровые сертификаты, удостоверяющие личность пользователя, выдаются по запросам пользователей специальными уполномоченными организациями центрами сертификации СА при выполнении определенных условий. Сама процедура получения сертификата также включает этап проверки подлинности (то есть аутентификации) пользователя. Здесь в качестве проверяющей стороны выступает сертифицирующая организация.

Для получения сертификата клиент должен представить в центр сертификации СА сведения, удостоверяющие его личность, и свой открытый ключ. Перечень необходимых данных зависит от типа получаемого сертификата. Сертифицирующая организация после проверки доказательств подлинности пользователя помещает свою цифровую подпись в файл, содержащий открытый ключ и сведения о пользователе, и выдает ему сертификат, подтверждая факт принадлежности данного открытого ключа конкретному лицу.

Сертификат представляет собой электронную форму, в которой содержится следующая информация:

открытый ключ владельца данного сертификата;сведения о владельце сертификата, например имя, электронный

адрес, наименование организации, в которой работает данный сотрудник и т.п.;

наименование сертифицирующей организации, выдавшей этот сертификат;

электронная подпись сертифицирующей организации - зашифрованные закрытым ключом этой организации данные, содержащиеся в сертификате.

Сертификат является средством аутентификации пользователя при его обращении к сетевым ресурсам. При этом роль проверяющей стороны играют серверы аутентификации корпоративной сети. Сертификаты можно использовать не только для аутентификации, но и для предоставления определенных прав доступа. Для этого в сертификат вводятся дополнительные поля, в которых указывается принадлежность его владельца к той или иной категории пользователей.

394

функций, которые описываются ниже, осуществляются с помощью электронного замка и УВИП до загрузки ОС.

Устройства ввода идентификационных признаков.

В состав аппаратных средств УВИП входят идентификаторы и считывающие устройства (иногда считыватели могут отсутствовать). Современные УВИП принято классифицировать по виду идентификационных признаков и по способу их считывания (рис. 2).

Рис. 2. Классификация УВИП

По способу считывания они подразделяются на контактные, дистанционные (бесконтактные) и комбинированные.

Контактное считывание идентификационных признаков предполагает непосредственное взаимодействие идентификатора и считывателя - проведение идентификатора через считыватель или их простое соприкосновение.

Бесконтактный (дистанционный) способ считывания не требует четкого позиционирования идентификатора и считывателя. Для чтения данных нужно либо на определенное расстояние поднести идентификатор к считывателю (радиочастотный метод), либо оказаться с ним в поле сканирования считывающего устройства (инфракрасный метод).

Комбинированный способ подразумевает сочетание обоих методов считывания.

По виду используемых идентификационных признаков УВИП могут быть электронными, биометрическими и комбинированными.

Вэлектронных УВИП идентификационные признаки представляются в виде кода, записанного в электронную микросхему памяти идентификатора.

Вбиометрических устройствах идентификационными признаками являются индивидуальные физические признаки человека (отпечатки

395

пальцев, геометрия ладони, рисунок сетчатки глаза, голос, динамика подписи и т. д.).

В комбинированных УВИП для идентификации используется несколько идентификационных признаков одновременно.

На российском рынке компьютерной безопасности предлагаются разнообразные УВИП. К сожалению, изделия отечественной разработки занимают на нем незначительную часть. Рассмотрим основные, самые распостраненные типы устройств.

iButton

Разработанное компанией Dallas Semiconductor устройство ввода идентификационных признаков на базе идентификатора iButton (www.ibutton.com) относится к классу электронных контактных УВИП.

Модельный ряд идентификаторов iButton довольно широк и разнообразен (более 20 моделей). В общем виде iButton представляет собой микросхему, вмонтированную в герметичный стальной корпус (рис. 3). Корпус отдаленно напоминает батарейку для наручных часов и имеет диаметр 17,35 мм при высоте 5,89 мм (корпус F5) или 3,1 мм (корпус F3). Он защищает и обеспечивает высокую степень защищенности идентификатора от воздействия агрессивных сред, пыли, влаги, внешних электромагнитных полей, механических ударов и т. п. Идентификатор легко крепится на носителе (карточке, брелоке).

Рис. 3. Идентификатор iButton

Обмен информацией идентификатором и компьютером происходит в соответствии с протоколом 1-Wire с помощью разнообразных считывающих устройств (адаптеров последовательного, параллельного и USB-портов, контактных устройств Touch Probe). Для записи и считывания данных из идентификатора нужно, чтобы корпус iButton соприкоснулся со считывающим устройством. Время контакта - не более 5 мс, гарантированное количество контактов составляет несколько миллионов.

396

Интерфейс 1-Wire обеспечивает обмен информацией на скоростях 16 кбит/с или 142 кбит/с (ускоренный режим).

Для защиты от НСД существует несколько модификаций идентификаторов семейства DS199X (см. табл. 1), которые различаются емкостью памяти, функциональными возможностями и соответственно ценой. Ориентировочная цена идентификаторов iButton на российском рынке в зависимости от типа составляет от 2 до 12, контактных устройств - от 5 до 12 долл.

Таблица 1. Идентификаторы iButton

В структуре iButton можно выделить следующие основные части:постоянное запоминающее устройство (ПЗУ),энергонезависимое (nonvolatile - NV) ОЗУ,

сверхоперативное запоминающее устройство (scratchpad memory -

SM),

часы реального времени (для DS1994),

элемент питания - встроенную миниатюрную литиевую батарейку.

В ПЗУ идентификаторов хранится 64-разрядный код - он состоит из 8- разрядного кода типа идентификатора, 48-разрядного уникального серийного номера и 8-разрядной контрольной суммы.

К достоинствам УВИП на базе электронных ключей iButton относятся:

-надежность, долговечность (время хранения информации в памяти идентификатора составляет не менее 10 лет);

-высокая степень механической и электромагнитной защищенности;

-малые размеры;

-относительно невысокая стоимость.

Недостатком этого устройства является зависимость его срабатывания от точности ручного соприкосновения идентификатора и считывателя, осуществляемого вручную.

397

Устройства ввода на базе смарт-карт

Устройства ввода идентификационных признаков на базе смарт-карт относятся к классу электронных устройств. Они могут быть контактными и бесконтактными (дистанционными).

Основой внутренней организации смарт-карты является так называемая SPOM-архитектура (Self Programming One-chip Memory),

предусматривающая наличие центрального процессора (CPU), ОЗУ, ПЗУ и электрически перепрограммируемой постоянной памяти EEPROM (рис. 4). Как правило, в карте также присутствует специализированный сопроцессор.

Рис. 4. Структура контактной смарт-карты

Процессор обеспечивает разграничение доступа к хранящейся в памяти информации, обработку данных и реализацию криптографических алгоритмов (совместно с сопроцессором). В ПЗУ хранится исполняемый код процессора, оперативная память используется в качестве рабочей, EEPROM необходима для хранения изменяемых данных владельца карты.

В структуру бесконтактных смарт-карт на базе стандарта MIFARE 1 S50 IC (или MIFARE Standard) дополнительно входит радиочастотный модуль со встроенной антенной, необходимой для связи со считывателем и питания микросхемы. Смарт-карта является пассивной, расстояние считывания составляет не более 10 см. Обмен информацией осуществляется на частоте 13,56 МГц с максимальной скоростью 106 кбит/с.

Каждая смарт-карта обладает собственным уникальным серийным номером. Он задается на заводе-изготовителе, его нельзя изменить на протяжении всего срока эксплуатации карты. Идентификация по серийному

398

номеру, шифрование данных и аутентификация областей памяти с помощью секретных ключей обеспечивают надежную защиту смарт-карт от взлома.

По отношению к компьютеру устройства чтения смарт-карт могут быть внешними и внутренними (например, встроенными в клавиатуру, гнездо 3,5” дисковода, корпус компьютера). Считыватель работает под управлением специальной программы - драйвера устройства чтения.

На базе ISO 7816 разработан единый стандартный интерфейс для работы со смарт-картами. Включенные в него спецификации PC/SC облегчают интеграцию смарт-карт-технологий в программно-аппаратные комплексы на базе платформы персонального компьютера и создание средств разработки приложений для смарт-карт.

На мировом рынке компьютерной безопасности разработкой смарт- карт-технологий занимаются многие фирмы, среди которых выделяются Bull

(www.bull.com), GemPlus (www.gemplus.com), HID (www.hidcorp.com),

Schlumberger (www.slb.com), а также альянс Fujitsu Siemens Computers

(www.fujitsu-siemens.com). На отечественном рынке ведущее место занимает ОАО “Ангстрем” (www.angstrem.ru), разработавшее первую российскую смарт-карту в 1996 г.

Несомненными достоинствами УВИП на базе смарт-карт считаются удобство хранения идентификатора (например, его можно держать в бумажнике вместе с другими карточками) и считывания идентификационных признаков. К недостаткам можно отнести ограниченный срок эксплуатации из-за неустойчивости смарт-карты к механическим повреждениям и высокую стоимость считывателей смарткарт (на российском рынке ориентировочная цена смарт-карт в зависимости от типа составляет 2-12 долл., а считывателей - более $100).

RFID-системы

Устройства ввода идентификационных признаков на базе идентификаторов Proximity (от англ. proximity - близость, соседство) или

RFID-системы (radio-frequency identification - радиочастотная идентификация) относятся к классу электронных бесконтактных радиочастотных устройств.

Радиочастотные идентификаторы выпускаются в виде карточек, брелоков, браслетов, ключей и т. п. Каждый из них имеет собственный уникальный серийный номер. Основными их компонентами являются интегральная микросхема, осуществляющая связь со считывателем, и встроенная антенна. В состав микросхемы входят приемо-передатчик и запоминающее устройство, хранящее идентификационный код и другие

400

идентификаторы в зависимости от типа стоят от 1,3 до 5 долл., цена считывателей может превышать $150).

Устройства ввода на базе USB-ключей

Устройства ввода идентификационных признаков на базе USB-ключей относятся к классу электронных контактных устройств. В составе УВИП данного типа отсутствуют дорогостоящие аппаратные считыватели. Идентификатор, называемый USB-ключом, подключается к USB-порту непосредственно или с помощью соединительного кабеля.

Конструктивно USB-ключи выпускаются в виде брелоков (см. рис. 5), которые легко размещаются на связке с обычными ключами. Брелоки выпускаются в цветных корпусах и снабжаются световыми индикаторами работы. Каждый идентификатор имеет собственный уникальный серийный номер. Основными компонентами USB-ключей являются встроенные процессор и память. Процессор выполняет функции криптографического преобразования информации и USB-контроллера. Память предназначается для безопасного хранения ключей шифрования, цифровых сертификатов и любой другой важной информации. Поддержка спецификаций PC/SC позволяет без труда переходить от смарт-карт к USB-ключам и встраивать их как в существующие приложения, так и в новые.

Рис. 5. Идентификатор eToken R2

На российском рынке безопасности предлагаются следующие USBключи:

-серии iKey 10xx и iKey 20xx (разработка компании Rainbow Technologies, www.rainbow.com);

-eToken R2, eToken Pro (Aladdin Knowledge Systems, www.aks.com);

-ePass1000 и ePass2000 (Feitian Technologies, www.FTsafe.com);

-WebIdentity, CryptoIdentity (Eutron, www.eutron.com).

В табл. 2 представлены некоторые характеристики USB-ключей. Таблица 2.