"Человек - самое уязвимое место в системе безопасности.."

Строгая аутентификация

Основные термины

Идея строгой аутентификации заключается в том, что сторона должна доказать свою подлинность другой стороне, показывая свои знания определенного секрета. Такой секрет может изначально быть распределен безопасным методом между пользователями аутентификационного обмена.

Стандарт Х.509 определяет аутентификацию следующих видов:

  • односторонняя
  • двусторонняя
  • трехсторонняя

Односторонняя аутентификация определяет обмен данными только в 1 направлении. Такой вид аутентификация разрешает:

  • обнаружить нарушения целостности транспортируемых данных
  • подтвердить подлинность одной стороны аутентификационного обмена
  • найти реализацию атаки типа «повтор-передачи»
  • гарантировать, что транспортируемые аутентификационные данные могут использоваться только проверяющей стороной

Двусторонняя аутентификация в сравнении с односторонней имеет дополнительный от одной стороны к другой. Трехсторонняя аутентификация предполагает, что трех шаговую аутентификацию. Получится, что доказывающая сторона отправит данные 2 раза.

Алгоритм строгой аутентификации может быть реализован на основе проверок параметров и реализации криптографических методов. Реализация многофакторной аутентификации уменьшает важность паролей, и это преимущество, так как пользователям не приходится запоминать множество паролей, а в следствии они не будут их записывать на дополнительных носителях информации.

Использование USB-токенов и смарт-карт

Для двухфакторной строгой аутентификации используют внешние носители данных (usb-токены и смарт-карты), что разрешает увеличить защищенность информационной системы. Преимущество таких средств над паролями, что владелец оперативно узнает о пропаже или караже такого носителя данных, и примет определенные меры для предотвращение рисков и угроз безопасности. Физический носитель содержит сертификат или секретный ключ сотрудника. Также для доступа к самому носителю, нужно ввести PIN-код. Данные секретного ключа и pin-кода не передаются по сети, что увеличивает безопасность алгоритмов аутентификации.

Реализация смарт-карт

Смарт-карта — пластиковая карта с встроенным микропроцессором, реализующим действия контроля доступа к карте. Главным преимуществом таких карт заключается в надежной защите содержимого от внешнего доступа. Смарт-карты делят по следующим параметрам:

  • сфера реализации
  • метод считывания данных с карты
  • тип микросхемы
  • соответствие стандартам

Также все карты делят на: карты с памятью и карты с микропроцессором. Карта с памятью нужна для хранения данных. Такие карты защищены PIN-кодом. Микропроцессорные карты имеют микроконтроллер, ЦП, ОЗУ и ПЗУ и электрически стираемые программируемый ПЗУ (ЭСППЗУ) рис.1.

блок-схема микроконтроллера в смарт-картеРисунок — 1

Самая основная часть работы заключена в сопроцессоре:

  • генерация криптографических ключей
  • реализация операций с электронной подписью
  • реализация криптографических алгоритмов
  • реализация операций с PIN-кодом

Есть категория микропроцессорных смарт-карт — карты с криптографической логикой. Такие карты нужны в системах защиты информации для участия в процессах шифрования или созданий криптографических ключей и других средств защиты.

Генерация ключевой пары вне устройства. В таком случае сотрудник может реализовать резервную копию закрытого ключа. Если носитель потерян, выведен из строя или еще что-то, пользователь может записать закрытый ключ на другое устройство и работать с ним.

Генерация ключевой пары с помощью устройства. Закрытый ключ в таком методе не находится в открытом виде и нет угроз его хищения.

Смарт-карты отлично подходят для инфраструктур управления открытыми ключами PKI, так как реализуют безопасное хранение ключа и сертификата пользователя на самом носителе. К недостаткам смарт-карт относят то, что нужно иметь под рукой средство считывания.

Применение USB-токенов

USB-токены очень похожи на контактные смарт-карты. С виду USB-ключи похожи на брелок или usb-флешку. USB-токенны имеют все плюсы смарт-карт связанные с безопасным хранением данных и реализацией криптографических действий внутри токена, однако лишены главного недостатка смарт-карт, токен не требует дополнительного считывателя. USB-токен подключается к USB-порту. В таблице 1 наведены характеристики USB-токенов.

Таблица 1 — Характеристики USB-токенов

Изделие Объем памяти, Кб Разрядность серийного номера Алгоритм шифрования
iKey20xx 8/32 64 DES(ECB,CBC),3-DES,RC{2;5),MD5,RSA-1024/2048
eToken R2 16/32/64 32 DESX, MD5
eToken PRO 16/32 32 RSA/1024, DES, 3DES, SHA-1
eToken 1000 8/32 64 MD5, MD5-HMAC
eToken 2000 16/32 64 RSA, DES, 3DES, DSA, MD5, SHA-1
ruToken 8/17/32/64/128 32 ГОСТ 28147-89, RSA, DES, 3DES, RC2, RC4, MD4, MD5, SHA-1

К недостаткам USB-токеннов относят гарантироанное количество подключение (всего 5000 раз) и достаточно высокую стоимость и слабую механическую защищенность.

Использование PIN-кода

Самая простая атака на угадывания PIN-кода (Кроме подглядывания) это угадывания значения. Вероятность угадывания зависит от длины PIN-кода и от количества разрешенных попыток ввода. Расчитаем эту вероятность.

  • X — число возможных комбинаций PIN-кода
  • m — число возможных символов на позиции
  • n — число позиций в PIN-коде
  • P — вероятность угадывания
  • i — число попыток угадывания

Количество возможных комбинаций — x = mn. Вероятность угадывания PIN-кода с помощью i попыток: P = i/mn. К примеру, если PIN-код состоит из 4 десятичных цифр, n = 4, m = 10, то число возможных комбинаций — x = 104 = 10000. Если взять стандартное число разрешимых попыток ввода, i = 3, то вероятность угадывания PIN-кода составляет 0,03%.