PKI: насущные проблемы и эффективные решения
Для работы систем защиты информации при помощи смарт-карт необходим считыватель. Он требует физического подключения к компьютеру; должны быть установлены драйверы операционной системы. Это приводит к неудобству (или невозможности) использования схем защищенного доступа к важной информации с помощью смарт-карт. Зачем нам смарт-карта, если у нас не всегда под рукой ее считыватель? Кроме того, ввод пин-кода на стандартной клавиатуре ПК небезопасен - он может быть перехвачен, записан и использован троянскими программами или злоумышленниками, что фактически дискредитирует смарт-карту, использованную при транзакции на этом компьютере. Это особенно актуально в местах с публичным доступом к компьютерам, если там использовать считыватели смарт-карт. Избежать подобных проблем можно, только если использовать считыватель смарт-карты в виде отдельного, независимого от персонального компьютера устройства. Такое устройство (или его программный эквивалент) мы будем называть "токен". Оно осуществляет проверку пин-кода и подтверждение введенных данных самостоятельно, не имея в момент фактического проведения авторизации логического соединения с защищаемой системой. Примерами таких устройств являются Digipass компании VASCO. Большинство экспертов по безопасности считают, что обычные статические пароли не являются надежным средством безопасности, даже при соблюдении строгих правил их использования. Ведь "строгая" аутентификация означает, что Вы должны быть в состоянии обеспечить невозможность симуляции Вашей личности и действий от Вашего имени, т.е. входа в информационную систему и работу в этой системе. В обычных условиях простое наблюдение за Вашими действиями при работе с компьютером может раскрыть Ваш пароль. Существует масса технических способов их дискредитации: перехват по сети, программы вычисления зашифрованных паролей, их подбора и т.п. Логичное решение этой проблемы - использование одноразовых паролей, выдаваемых без использования компьютеров, входящих в информационную систему. Такой пароль весьма надежен - устройство, выдавшее его (токен), должно быть зарегистрировано в этой системе, для его использования требуется ввод пин-кода, а сам пароль зависит от нескольких факторов - как правило, от времени создания и происходивших в системе событий (ранее выданных паролей). Токен имеет постоянную виртуальную связь с защищаемой информационной системой; можно сказать, что они постоянно синхронизированы при помощи нескольких внутренних и внешних процессов. Внутри устройства Digipass находится шифровальная машина DES или 3DES (TripleDES), отвечающая за генерацию паролей и сигнатур (например, цифровых подписей). Подделка пароля и неавторизованный вход в систему становятся крайне трудновыполнимыми задачами, защита транзакций от перехвата также существенно повышается. Еще одна интересная возможность применения токенов со считывателями пластиковых карт - использование обычной платежной банковской карты для получения доступа к серверу транзакций SET или к серверу генерации одноразовых виртуальных номеров кредитных карт. В этом случае обычная платежная карта обеспечивает тот же уровень безопасности, что и смарт-карта, для проведения виртуальных платежей через Интернет, причем без необходимости инсталлировать считыватель смарт-карты. Рассмотрим теперь системы, где технология PKI мало применима - например, call-центры или телефонный банкинг. В таких системах традиционно используется аутентификация с помощью пин-кода. Это далеко не всегда обеспечивает требуемый уровень защиты важных систем. И здесь также на помощь приходят маленькие устройства, выдающие одноразовые пароли для доступа к системе. Существует несколько режимов работы токенов (фактически, приложений, выполняющихся на этих устройствах), используемых для различных прикладных задач. Основные из них - "только ответ", "запрос-ответ", и "цифровая подпись". В простейшем из них, "только ответ", пользователь только включает токен нажатием кнопки, вводит свой пин-код, и токен сразу выдает одноразовый пароль. В случае использования устройств Digipass этот пароль проверяется либо одним из серверов серии VACMAN компании VASCO, либо программным обеспечением организации-заказчика, написанным с использованием специального программного интерфейса (API). При проверке сервером аутентификации используются почти те же исходные данные, что и при создании пароля токеном:
Далее разрешение либо запрет с сервера аутентификации передаются серверу авторизации защищаемой системы. Более сложная схема - "запрос-ответ". Она предполагает запрос от пользователя некоторой дополнительной информации для вычисления пароля. Эта дополнительная информация - число, вычисляемое серверным прикладным ПО и вводимое пользователем в токен при генерации пароля. При проверке сервер использует запомненное число для проведения фактической аутентификации. В режиме "цифровой подписи" токен вычисляет пароль на основе нескольких полей данных, созданных конечным пользователем, а не серверными приложениями. Поля данных (например, электронное письмо или банковская операция) вводятся последовательно в токен, затем токен вычисляет некоторое число (электронную подпись). Данные вместе с электронной подписью отправляются на сервер проверки и обработки данных, где программное обеспечение также вычисляет число на основе полученных данных, используя те же ключи, что и в токене. Если кто-либо по пути прохождения транзакции ее перехватит, он не сможет изменить или подделать ее. Цифровая подпись фактически гарантирует целостность или, другими словами, неизменность пересылаемых данных. В качестве примера современных токенов, несколько слов об аппаратных характеристиках семейства Digipass компании VASCO. Встроенной батареи хватает на 7-10 лет его работы. Ввод информации в токен может быть произведен как с его клавиатуры, так и оптическим способом. Токены снабжен фотоэлементами, которые производят считывание информации (даже с экрана компьютера), и излучающими диодами для двустороннего обмена информацией - например, при его программировании или вводе секретных ключей. Эти ключи никогда не покидают устройство при обычной работе. Библиотеки программных интерфейсов для серверов аутентификации написаны на стандартном языке Си, что делает решение в целом платформонезависимым и упрощает этап внедрения технологий безопасности с использованием одноразовых паролей. В заключение нужно сказать, что технология одноразовых паролей Digipass компании VASCO успешно используется в массовом масштабе во многих крупных финансовых (их более 160), правительственных, образовательных, телекоммуникационных и промышленных компаниях: Loyal Bank, Rabobank, Deutsche Bank, ABN, AMRO, OCBC, Ericsson, France Telecom, Telia, Duke University и других. источник: http://www.topsbi.ru/default.asp?artID=134 |
В последнее время системы PKI начали активно входить в структуру безопасности информационных систем многих предприятий. "Инфраструктура открытых ключей" предполагает наличие в паре электронных ключей "закрытого" ключа, который должен храниться в зашифрованном виде. Если нет гарантии, что "закрытый" ключ сохраняется секретным, то вся система PKI теряет свой смысл. Однако существуют практические применения технологии PKI, в которых требуются постоянные перемещения "закрытого" ключа, где пользователям нужен мобильный доступ к приложениям - например, в системах Интернет-банкинга, или для удаленного доступа к корпоративным информационным системам.