Защита ключей в системах аутентификации

Защита секретного ключа является важнейшим фактором в системах аутентификации посредством сертификатов. Если атакующий получит секретный ключом сможет под видом клиента успешно пройти аутентификацию. Реализация таких систем в значительной степени помогает защитить секретный ключ, однако, в конечном счете, если ключ хранится на компьютере, он потенциально может быть раскрыт злоумышленником.

Более надежна система, предусматривающая необходимость защиты секретного ключа и его отделения от компьютера. Для достижения данной цели могут использоваться смарт-карты. Хотя существует множество типов смарт-карт, карты, используемые для аутентификации, выглядят наподобие кредитных карт, НС держат микропроцессор, используемый для хранения секретного ключа и копии сертификата, а также для обеспечения обработки. Следует внимательно выбирать соответствующие смарт-карты для приложения, которое будет их использовать. Дополнительные аппаратные маркеры доступа, например, выпускаемые Rainbow Technologies и Datakey, могут быть USB-совместимыми и служить для тех же целей. Смарт-карты требуют наличия специальных считывателей смарт-карт для соеди­нения между смарт-картами и компьютерными системами.

Использование смарт-карт для хранения секретного ключа и сертификатов ре­шает проблему защиты ключей. Однако необходимо проводить обучение пользо­вателей, чтобы они не записывали свой номер PIN на смарт-карту, или не фикси­ровали бы его каким-либо еще способом. Как в более традиционных системах аутентификации, в качестве пользователя идентифицируется человек, владеющий смарт-картой и номером PIN.[25]

Расширяемый протокол аутентификации (ЕАР) был разработан для включения в общий процесс аутентификации подключаемых модулей. Это означает, что интерфейсы аутентификации и основные процессы могут оставаться без изменений возможностью настройки приемлемых аутентификационных данных. После применения протокола ЕАР в системе можно добавлять в систему новые алгоритмы аутентификации по мере их разработки, и при этом не нужно будет вносить кардинальные изменения в операционную систему. ЕАР в настоя­щее время применяется в нескольких системах удаленного доступа, включая Microsoft-реализацию службы Remote Authentication Dial-In User Service (RADIUS) (Служба удаленной аутентификации пользователей по телефонным каналам).

Модули аутентификации, используемые с ЕАР, именуются типами ЕАР. Суще­ствует несколько типов ЕАР; имя каждого из них означает тип используемой аутен­тификации.

· EAP/TLS - использует протокол аутентификации TLS и обеспечивает возмож­ность использования смарт-карт при удаленной аутентификации.

· EAP/MD5-CHAP - позволяет использовать пароли в организациях, требующих обеспечения дополнительного уровня безопасности при удаленной беспровод­ной аутентификации 802.1х, но в которых отсутствует PKI для поддержки паро­лей.[26]

Биометрические методы аутентификации являют собой самую надежную реализацию двух факторной аутентификации - то, что вы имеете, является неотъемлемой частью вашего организма. Биометрические системы включают в себя модули рас познавания и идентификации по лицу, радужной оболочке глаза, сетчатке глаза, отпечаткам пальцев и др.

Данный процесс базируется на двух моментах. Во-первых, можно с увереннос­тью утверждать, что каждая проверяемая часть человеческого тела является уникальной, и во-вторых, система может быть настроена на требование достаточного объема информации для установления уникальной личности и избегания ошибочного отказа в доступе, в то время как фиксируемой информации не будет слишком мало для возможности ошибочного предоставления доступа. Все используемые в настоящее время биометрические средства аутентификации представляют характеристики, являющиеся уникальными для людей. Относительная точность каждой системы определяется числом ошибочных отказов и фактов ошибочного предос­тавления доступа.

Авторизация

Процессом, противоположным аутентификации, является авторизация. В процес­се аутентификации устанавливается личность пользователя, а при авторизации оп­ределяется, какие действия пользователь может выполнять. Процесс авторизации, как правило, рассматривается как метод получения доступа к ресурсам, таким как файлы и принтеры, и предусматривает наличие пакета привилегий, которыми пользователь может обладать в рамках системы или сети. При полноценном ис­пользовании, процесс авторизации даже указывает, может ли пользователь вообще иметь доступ к системе. Существует множество различных типов систем авториза­ции, включая права пользователей, авторизацию по ролям, списки контроля дос­тупа и авторизацию по правилам.[27]

Привилегии - это понятие, отличное от разрешений. Права пользователей обеспечивают авторизацию для выполнения действий, которые влияют на всю систему в целом. Возможность создавать группы, присваивать группам пользователей, входить в систему и выполнять многие другие действия может быть присвоена с помощью прав пользователей. Другие права пользователей являются подразумеваемыми и присваиваемыми группам по умолчанию, т.е. группам, создаваемым операционной системой без участия ад­министраторов. Эти права не могут быть удалены.

Каждая должность и организации подразумевает соответствие сотрудника определенной роли. Каждый сотрудник должен быть наделен привилегиями (т.е. правами на выполнение каких-либо действий) и разрешениями (предоставление доступа к ресурсам и указание того, какие действия можно выполнять относительно них), если он выполняет свои должностные обязанности. Первые разработчики компь­ютерных систем вспоминают, что нужды возможных пользователей могут быть со­вершенно разными, и что не всем пользователям следует присваивать право администрирования системы.[28]

Первыми ролями в компьютерных системах были роли пользователя и администратора. В ранних системах роли определялись для данных типов пользователей, которым посредством этого предоставлялся доступ, в зависимости от членства в одной из двух групп. Администраторы (суперпользователи, пользователи корневой учётной записи, и т.д.) наделялись специальными привилегиями и допусками к большому массиву компьютерных ресурсов, нежели рядовые пользователи.

В простейших примерах подобных ролевых систем пользователи добавляются в группы, имеющие определенные права и привилегии. В других ролевых системах используются более сложные системы контроля доступа, включая некоторые сис­темы, которые могут быть реализованы только в том случае, если операционная система их поддерживает. В модели безопасности Белла-Ла Падула, например, ин­формационные ресурсы поделены на уровни и зоны. Каждая зона представляет со­бой классификацию данных, и данные не могут переноситься из одной зоны в дру­гую без специальной авторизации; пользователю должен быть предоставлен доступ к зоне, чтобы он мог работать с соответствующими данными. В этой роли пользо­ватель не может осуществлять запись в зону, расположенную ниже в иерархичес­кой системе (например, из секретной области в конфиденциальную), а также не может считывать данные, находящиеся на более высоком уровне, чем тот, к кото­рому у пользователя имеется доступ (например, если пользователю предоставлен доступ к общей зоне, то он не может считывать данные, находящиеся в конфиден­циальной или секретной зонах).

Присутствие на некоторых общественных мероприятиях может быть ограничено только непосредственно приглашенными лицами. Чтобы обеспечить присутствие на мероприятии только приглашенных лиц, можно составить список авторизован­ных лиц и предоставить его тем, кто несет ответственность за приглашение участ­ников. Если вы придете на мероприятие в качестве его участника, то ваше имя будет сверено со списком, и после этого вам будет либо предоставлен доступ на мероприятие, либо вам будет отказано. Здесь может также применяться аутенти­фикация в виде проверки посредством фотоидентификации, и это надежный и про­стой пример использования списка контроля доступа (ACL).

В информационных системах списки контроля доступа также могут применяться для определения того, является ли авторизованной запрошенная служба или ре­сурс. Доступ к файлам на сервере часто контролируется посредством информации о каждом файле. Аналогично возможность различных видов соединений проходить через сеть может также контролироваться посредством списков контроля доступа.[29]

Авторизация по правилам требует разработки соответствующих правил. В этих правилах четко прописываются действия, которые может выполнять на системе конкретный пользователь.

Контрольные вопросы

1. В чем отличие аутентификации от авторизации?

2. Как работает Kerberos?

3. Каков механизм системы с одноразовыми паролями?

4. Как работает система аутентификации с использованием открытого и секретного ключей?

5. В чем отличие TLS от SSL?

6. Что такое «авторизация по правилам»

Библиографический список

Основная литература:

1. Ярочкин В.И. Информационная безопасность: учебник для студентов высших учеб. заведений, обучающихся по гуманитарным и социально-экономическим специальностям / В. И. Ярочкин. - М.: Акад. проект, 2008. – C.92-98.

Дополнительная литература:

1. Брэгг Р. Безопасность сетей / Р. Брэгг, М. Родс-Оусли, К. Страссберг; [пер. с англ.] – М.: Издательство «ЭКОМ», 2006.

2. Брэгг Р. Безопасность сети на основе Microsoft Windows Server 2003 / Р. Брэгг; [пер. с англ. под общ. ред. А. Е. Соловченко]. - СПб.: Питер, 2005. - 672 с.

3. Мэйволд Э. Безопасность сетей: практическое пособие / Э. Мэйволд; [пер. с англ.] – М.: «СП ЭКОМ», 2005.

4. Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа / А. Ю. Щеглов. - СПб.: Наука и техника, 2004. – С.29-46.

Наши рекомендации