Аутентификация как составляющая единого пространства доверия
<br>Статья Алексея Сабанова, заместителя генерального директора компании "Аладдин Р.Д."
Введение. Интенсивное развитие государственной программы "Информационное общество (2011-2020)" требует создания надёжной системы удалённого подключения пользователей к информационным ресурсам посредством открытых каналов связи. Эта система должна обеспечивать юридически значимый электронный документооборот, развитие услуг электронной коммерции и проведение трансграничных операций с приемлемым уровнем рисков. Важную роль в решении этой задачи играет строительство инфраструктуры открытых ключей (Public Key Infrastructure, РКI), создание систем автоматической идентификации и аутентификации (ИА). Средства аутентификации (подтверждения подлинности предъявленных пользователем идентификаторов) относятся к категории классических средств управления доступом и информационной безопасностью как корпоративных, так и глобальных коммуникационных сетей и включают в себя определение, создание, изменение, удаление и аудит пользовательских учетных записей [1].
Если говорить об аутентификации применительно к задачам доступа, то общеупотребительным стал термин ААА (аутентификация, авторизация, администрирование); иногда сюда добавляют четвертое "А" — аудит. Управление доступом пользователей к прикладным системам, обрабатывающим конфиденциальную информацию (например, содержащую персональные данные), и их авторизация входят в число самых сложных задач даже для хорошо изученных корпоративных информационных систем (ИС) [2, 3].
Для территориально распределенных ИС задача существенно усложняется, поскольку наиболее распространенная однократная аутентификация пользователя (Single Sign On) требует синхронизации учётных записей пользователя в различных подсистемах. Чаще всего для этого вводится централизованное управление учётными записями пользователей либо путём интеграции LDAP-каталогов в один мегакаталог, либо установлением определённых правил синхронизации учётных записей пользователей по мандатному или ролевому принципу. Отдельной, но тоже исследованной задачей при этом становится проблема интеграции средств аутентифика-ции [4].
При переходе к облачным вычислениям задача управления доступом намного усложняется. Существенное значение имеет тип облака [5]: 1) частное (private cloud), 2) облако сообщества (community cloud), 3) публичное облако (public cloud) и 4) гибридное (hybrid cloud). В России используются все эти модели облачных вычислений (кстати, федеральное облако, которое строит "Ростелеком", относится к 3-му типу с постепенным переходом на модель 4).
Кроме специфики облаков, необходимо учитывать и то, что создаваемая ИС является системой нового типа, "участниками электронного взаимодействия в которых является неопределённый круг лиц и в использовании которых этим лицам не может быть отказано" (согласно ст. 2 п. 13 № 63-ФЗ) и относится к открытым системам общего пользования (ИСОП). При этом задача управления доступом пользователей выходит на новый уровень [6]. В отличие от хорошо изученных корпоративных ИС, в ИСОП владельцами прикладных сервисов в облаке являются разные юридические лица, не связанные между собой и с оператором облачных сервисов ни единой технической политикой, ни едиными подходами к настройкам сервисов безопасности. В данном случае такие известные приёмы, как интеграция LDAP-каталогов, не имеют смысла, поскольку число систем, предоставляющих сервисы, размещённые в облаках, может исчисляться десятками. С другой стороны, пользователи облачных сервисов — это физические и юридические лица, уровень развития PKI и политики безопасности доступа и применения сервисов безопасности (например, электронной подписи) в корпоративных системах которых также существенно отличаются друг от друга.
Следовательно, требуются новые подходы к организации систем управления доступом пользователей к различным ИС с разным уровнем конфиденциальности обрабатываемой (и хранимой) информации и к облачным сервисам, в частности для предоставления транссистемного доступа.
Одним из способов решения данной задачи является введение уровней доверия к механизмам аутентификации пользователей, которые напрямую связаны с уровнем кон-фиденциальности регистрационных параметров пользователей. Тогда решение о предоставлении доступа пользователя к тому или иному сервису может приниматься с учетом соотношения уровней доверия аутентификации к уровню доверия (и защищённости) данного сервиса. Такой подход и развитая система PKI как база делают возможной решение задачи передачи (трансляции) доверия и построения систем транссистемного доступа. Изучению этого подхода посвящена данная работа.
Аутентификация как процесс. Основная задача удалённой аутентификации - установление отношений доверия в результате обмена сообщениями (Challenge-response), выполненного по безопасному протоколу с применением криптографических преобразований. Разберём аутентификацию на элементарные процессы, из которых она состоит. Сначала выделим участников процессов аутенти-фикации:
- субъект доступа (аппликант, претендент, заявитель);
- центр регистрации (ЦР). Его основная задача - установление и закрепление связи субъекта и его уникального секретного признака (аутентификатора). В качестве ЦР может выступать, например, удалённый центр регистрации удостоверяющего центра (УЦ), связанный доверительными отношениями сданным УЦ;
- доверяющая сторона. Владелец ресурса, на получение доступа к которому претендует субъект доступа. Он проверяет по протоколу аутентификации факт владения субъектом доступа соответствующим аутентификатором — секретом, который выдаёт субъекту ЦР;
- проверяющая сторона (центр валидации, ЦВ). Входит в состав PKI. Проверяет наличие связи субъект доступа — аутентификатор, который фиксирует ЦР; например, является ли электронное удостоверение (ЭУ) действительным (валид-ным) на момент проверки.
В основе аутентификации лежат три тесно взаимосвязанных процесса:
- Регистрация — установление личности (идентификация) и регистрация аутентификатора (секрета), а также издание связанного с ним ЭУ — аналога выдачи паспорта. Обязательной процедурой также служит привязка зарегистрированного и изданного для данного субъекта ЭУ к его личности. Главная цель ЭУ — связать секрет (аутентификатор) с личностью и предъявленными ей и проверенными иден-тификаторами или с новыми идентификаторами, которые выдает ЦР. Данная процедура, разделённая на несколько связанных между собой последовательных процессов, осуществляется в ЦР при личном присутствии или удалённо — в зависимости от уровня доверия ААА.
- Собственно аутентификация с помощью протокола аутентификации — процедуры проверки факта владения претендентом секретом (аутентификатором). Эта процедура, аналог предъявления паспорта и сличения фотографии для идентификации личности, осуществляется доверяющей стороной. Может быть с разделяемым секретом или нет, устойчивой к атакам по каналу связи или нет. Наиболее сложный вариант - когда аутентификатор состоит из нескольких ком-понентов, каждый из которых проверяется по своему протоколу (так называемая многофакторная аутентификация).
- Валидация — проверка действенности, подлинности, целостности и периода действия ЭУ (аналог проверки действительности паспорта). Проверяется наличие ЭУ в списках отозванных и т.д.
Зарубежный опыт. В западных странах исследованиям в области аутентификации и выработке рекомендаций по использованию средств удалённой аутентификации при взаимодействии пользователей с государственными ИС через от-крытые каналы связи уделяется большое внимание [5, 7—15], поскольку это обеспечивает управление доступом пользователей, а также применение электронной подписи и других сервисов безопасности. Самым общим подходом является разделение способов аутентификации на уровни в зависимости от степени последствий, возникающих из-за ошибок аутентификации и ненадлежащего использования ЭУ.
В США разделение аутентификации на уровни доверия и уровни соответствующих гарантий (Level of Assurance) Административно-бюджетный комитет администрации президента предложил ещё в 2003 г. [9]. Через год это требование было закреплено в виде обязательного к исполнению циркуляра президента, причем принцип разделения на четыре уровня доверия аутентификации (от самых простых требований до самых жёстких) был распространён не только на госслужащих, но и на сотрудников контрагентов [10]. На основе этих документов НИСТ сформулировал технические требования к процессам регистрации, подтверждению подлинности идентификаторов, аутентификаторам и протоколам аутентификации в зависимости от уровней доверия аутентификации, дополнив исследование анализом основных угроз и методов их парирования [5].
Ценность указанной работы заключается в системном подходе к решению задачи и в выработке конкретных требований к основным процессам аутентификации, их взаи-мосвязи с доверенными сервисами PKI. Например, записи фактов регистрации пользователей и отзывов их полномочий для уровней 2 и 3 должны храниться 7,5 лет со дня истечения срока действия, а для уровня 4—10,5 лет. Доверяющие стороны принимают подтверждения при условии, что они снабжены цифровой подписью доверенной стороны или получены непосредственно от доверенной стороны; при этом для второго уровня доверия срок действия подтверждений не должен превышать 12 ч, для третьего — уже 2 ч. При отзыве ЭУ — сертификатов ключей подписи — отозванный сертификат для второго уровня доверия аутентификации должен появиться в списке отозванных не позднее 72 ч, а для третьего и четвертого — не позднее 24 ч. Без жесткого выполнения таких конкретных требований доверенный сервис перестаёт быть доверенным. Так, при проверке валидности ЭУ проверяющей стороне необходимо убедиться в том, что данный сертификат ключа подписи выдан не ранее чем за 24 ч до этого и является действительным.
На базе этих разработок НИСТ в 2006 г. выпустил стандарт проверки ИА [12] для сотрудников госорганов и учреждений, работающих с ведомствами по контрактам. С учётом результатов [10] в этом стандарте конкретизированы требования по применению интеллектуальных смарт-карт, в которых криптографические ключевые пары генерируются внутри чипа (устройства SSCD - Secure Signature Creation Device). В драфте новой версии стандарта (март 2011 г.) уже не в рекомендательном, а в обязательном порядке вводятся асимметричные ключевые пары для аутентификации, опционально добавлена возможность использования смарт-карт с поддержкой биометрии "на борту", а максимальный срок жизни карты продлён с 5 до 6 лет.
Нормативная база по аутентификации развивалась и в других странах. Так, в Руководстве по электронной аутентификации [13], принятом Организацией экономического сотрудничества и развития (ОЭСР), государствам и международным организациям при электронном взаимодействии предлагается три уровня гарантий и доверия аутентификации с точки зрения управления рисками: базовый, средний, высокий. Требование использования SSCD-устройств для трансграничных операций появилось в Европе в 2003 г. [8].
Подходы США и ОЭСР к уровням доверия аутентификации различны: в США на самом низком (первом) уровне требований речь идет о пользователях без утвержденных правил аутентификации (NoName-пользователи). Предоставление доступа к информационным ресурсам здесь можно сравнить с поездкой на транспорте или посещением кинотеатра: купил билет - и пользуйся. В России это соответствует случаю предоставления платных услуг, не требующих идентификации и аутентификации.
Уровни доверия аутентификации. Предлагаемая в данной работе трехуровневая модель доверия аутентификации довольно полно согласовывается с текущим состоянием нормативной базы РФ в плане оценки состояния защищённости ИС, обрабатывающих информацию ограниченного доступа, не содержащую гостайну, а также законодательства по защите персональных данных и введению трёх видов электронной подписи. Этот подход не противоречит № 149-ФЗ, где сказано, что участниками электронного взаимодействия и обладателями информации могут быть три уровня пользователей: граждане (физические лица), организации (юридические лица), государство (государственные органы и органы местного самоуправления).
Деление на три большие группы приемлемо с точки зрения как грубой оценки рисков (низкий, средний, высокий уровень), так и оценки надёжности и последствий от ошибок ИА и атак (низкий, средний, высокий уровень). В сложившейся за период с 2002 г. практике применения аутентификаторов (токенов) массово используется тоже всего три типа: многоразовый пароль, технология одноразовых паролей OTP (One Time Password) и технология аутентификации на основе PKI и цифровых сертификатов, в частности строгой двухфакторной аутентификации посредством смарт-карт, содержащих неизвлекаемый ключ электронной подписи, применение которого невозможно без ввода PIN-кода (когда по сути используется технология электронной подписи). Таким образом, основываясь на приведённых рассуждениях и исследованиях [6], можно выделить три уровня строгости (достоверности) аутентификации:
Уровень 1. Разрешённым токеном при удалённой аутентификации является многоразовый пароль. Аутентификация признаётся успешной при доказательстве владения токеном по одному из безопасных протоколов аутентификации [3]. Пароль не должен передаваться по сети в открытом виде. Желательно соблюдать требования по длине пароля — не менее 6 символов. Разрешается использовать простую электронную подпись. Отсутствуют требования по надёжности ИА. Основные обладатели информационных ресурсов на этом уровне — граждане, которые определяют риски проникновения на их ресурсы мошенников самостоятельно или принимают риски, предложенные им владельцами ИС, предоставляющих услуги. Безусловно, приветс-твуется использование на этом уровне аутентификаторов и ЭУ уровней 2 и 3.
Уровень 2. Рекомендуется применение технологии ОТР с криптографическими алгоритмами или двухфакторной аутентификации (смарт-карта плюс PIN-код). При этом издание ЭУ разрешено не только аккредитованным УЦ. Передача прав доверия третьим сторонам производится на основе двусторонних соглашений (договоров) или кросс-сертификации. Приветствуется использование технологий уровня 3. Основные обладатели информационных ресурсов — организации с развитой инфраструктурой открытых ключей. Для взаимодействия с госорганами рекомендуется применение аутентификации уровня 3 и криптоалгоритмов ГОСТ 34.10-2001 и ГОСТ 34.11-2001.
Уровень 3. Рекомендуется использование только строгой, как минимум двухфакторной, взаимной (информационный ресурс — претендент) аутентификации с применением аутентификаторов с неизвлекаемым ключом электронной подписи (устройства класса SSCD). Это обеспечит надёжную защиту ключа подписи от компрометации. Как дополнительный (но не основной) фактор аутентификации может использоваться биометрия [16]. Особое внимание — строгости процесса регистрации заявителей, изданию ЭУ и передаче прав доверительным сторонам. Рекомендуется использование только российских криптографических алгоритмов при издании ЭУ для электронной подписи и шифрования. При этом УЦ, издающий ЭУ, должен быть аккредитован в Минкомсвязи РФ.
Модели доверия аутентификации. Как построено пространство доверия ААА и как осуществляется процесс трансляции доверия? Рассмотрим простейшие модели доверия на примере управления доступом пользователей. Обозначим понятием "субъект" взаимодействующую сторону: это может быть собственно субъект, информационный ресурс и т.д.
Для того чтобы у субъекта 2 появилось доверие к субъекту 1, субъект 1 должен предъявить свой аутентификатор (Aut), а субъект 2 — проверить его с помощью некоего механизма проверки — валидатора (Val). Для установления доверительных отношений между субъектами необходимо, чтобы у обоих было доверие к валидатору, а проверка прошла успешно. Если субъектов, имеющих аутентификаторы и доверяющих конкретному валидатору, набирается некоторое количество, образуется система доверия. Если валидатор один, но ему доверяют не только субъекты-претенденты (субъект 1 — субъект 3), но и информационные ресурсы, на которые эти субъекты хотят получить доступ, это называется доменом доверия.
В случае образования в информационной системе двух доменов доверия, связанных между собой трастовыми отношениями, получаем пространство доверия.
Масштабирование пространства доверия может происходить разными способами. У каждой модели масштабирования свои достоинства и недостатки. Так, распределенная модель отличается повышенной устойчивостью. В случае компрометации одного домена доверия остальные будут работать в штатном режиме. Однако, если количество доменов доверия будет исчисляться не единицами, а десятками, установление и поддержание доверительных отношений между всеми доменами легче проводить по мостовой схеме, где "мост" уже будет выполнять функции доверенной третьей стороны (ДТС). Однако ДТС, являясь лишь "консолидатором" и "транслятором" доверия, не может выполнять функции управления для доменов. С точки зрения управления наиболее привлекательна плоская схема, и в то же время в случае компрометации одного валидатора система прекратит работу до его восстановления.
Рассмотренные модели касаются прежде всего пространства доверия аутентификации. Определим, что такое единое пространство доверия и как сервис аутентификации связан с другими доверенными сервисами.
Единое пространство доверия (ЕПД). Это часто употребляемое в последнее десятилетие понятие до сих пор не имеет ни законодательного, ни регуляторного оформления. Имеется понятие "единое пространство доверия сертификатам ключей подписи", закреплённое в приказе ФНС РФ [17]. Однако вопросы о принципах формирования ЕПД остаются.
Попытаемся сформулировать определение ЕПД, исходя из того, что мы связываем с этим понятием. ЕПД должно выполнять функции не только проверки и признания серти-фикатов ключей подписи (СКП), но и ряд других доверенных операций (валидация, штампы времени и т.д.). Простой пример: в настоящее время у всех аккредитованных в Минкомсвязи УЦ ставятся отметки о времени, но это время не синхронизировано. В некоторых случаях получается, что в одну и ту же секунду по часам одного УЦ сертификат (ЭУ) был действителен, по часам другого — нет. Следовательно, необходимы единая служба доверенного времени, а также регламент периодической проверки часов всех УЦ на синхронность.
Такие же примеры можно привести по сервисам проверки подлинности ЭП, реализации политик безопасности, службы каталогов сертификатов, службы архивирования электронных документов и т.д. Эти службы связывает одно: все они развернуты или разворачиваются в удостоверяющих центрах и работают на базе PKI. Основные процессы аутентификации полностью базируются на использовании доверенных сервисов, таких как проверка валидности ЭУ, создание и проверка реестров, издание ЭУ, делегирование прав доступа и т.д. Собственно сам процесс аутентификации с помощью протокола обмена должен быть доверенным сервисом по определению.
С учетом приведенных данных предлагаем формулировку:
ЕПД — это совокупность взаимосвязанных доверенных сервисов, развёрнутых на базе инфраструктуры открытых ключей.
Суть единого пространства доверия:
под доверенными сервисами будем понимать электронные сервисы, участвующие в создании, валидации, обработке, хранении электронных подписей, электронных печатей, штампов времени, электронных документов, средств доставки элект-ронных сообщений, аутентификации на веб-сайтах, электронных сертификатов и т.д.
В зависимости от модели построения ЕПД доверенные сервисы могут иметь разные уровни доверия, назначение и "направленность" (например, горизонтальную и вертикальную). Имеет смысл говорить о ЕПД в масштабах государства. Известны три модели: сетевая, браузерная и иерархическая. В Минкомсвязи России с июня 2012 г., согласно приказам [18, 19], происходит аккредитация удостоверяющих центров по иерархической модели. Эта модель сулит широкие возможности для регулирования. Однако технических требований к аутентификации, кроме перечисленных в № 6Э-ФЗ и приказах Минкомсвязи России [18, 19], касающихся квалифицированных СКП электронных подписей, в правилах аккредитации не содержится.
Первым отдельным нормативным документом по вопросам построения систем аутентификации в России стало Постановление Правительства РФ № 977 [20]. Сама Еди-ная система идентификации и аутентификации (ЕСИА) и выпущенные в мае 2012 г. Методические рекомендации по использованию ЕСИА [21], а также Положение [22], утвержденное Минкомсвязи в виде приказа от 13.04.2012 г. № 107 [23], явно нуждаются в доработке в части развития доверенных сервисов и особенно сервиса аутентификации. Предложенная в Методических рекомендациях модель уровней достоверности аутентификации является урезанной копией американского подхода (NIST). Видимо, сжатые сроки ввода ЕСИА в эксплуатацию и сложность создания таких масштабных систем помешали более внимательно отнестись к разработке соответствующих документов [24].
В то же время в мире и особенно в Европе регулирование в части формирования доверенного пространства существенно опережает российскую нормативную базу. В европейских регулятивных документах уже несколько лет нормативно вводится понятие доверенный (Trusted) УЦ. Введена система аудита УЦ и ДТС на состояние "доверенности" с ежегодными инспекционными проверками. За рубежом нет такого большого количества УЦ, как в России, но там оказывают доверенные услути высокого качества, в том числе ряд УЦ — услуги ДТС как для внутренних нужд экономики, так и для проведения трансграничных транзакций. В рекомендациях X.842 к ДТС описаны 14 доверенных сервисов, включая сервис аутентификации. Уже три года как принято не выделять сервис аутентификации, а говорить о качестве электронной идентификации, в состав которой аутентификация входит как основная составная часть.
Например, в документе [25], разработанном специалистами Германии, Италии, Франции и Греции, для оценки качества электронной идентификации предлагаются два параметра: семиуровневая классификация качества политик электронной подписи, причём начиная с четвёртого уровня для генерации ключевой пары требуется применение SSCD- устройств, и восьмиуровневая шкала оценки независимого уровня гарантий, связанного с качеством регистрации клиентов.
В проекте Европейской комиссии по регулированию в области электронной идентификации и доверенных сервисов электронных транзакций на внутренних рынках [26] дано определение доверенного УЦ и квалифицированного доверенного УЦ, который должен проходить регулярный аудит на степень "доверенности". Доверенным удостоверяющим центром называется УЦ, где развёрнута хотя бы одна доверенная функция. Так, все УЦ, прошедшие аккредитацию в Минкомсвязи на корректность проверки СКП, могут считаться доверенными как по российской, так и по европейской шкале. Однако сегодня тест на соответствие требованиям Qualified Trusted CSP (квалифицированный доверенный УЦ) могут пройти единицы.
Для построения ЕПД на доверенном УЦ, кроме функций, связанных с проверкой СКП, требуется вводить дополнительные регламентированные обязанности, связанные с регистрацией пользователей, синхронизацией времени с эталоном и проставлением квалифицированных штампов времени, проверкой актуальности реестров идентификато-ров, валидности СКП и т.д. Тогда этот УЦ может стать, в терминах западных нормативных источников, в частности [26], квалифицированным доверенным УЦ.
Заключение. Таким образом, российская нормативная база в области аутентификации и доверенных сервисов нуждается в совершенствовании. Рассмотренный подход к построению доверенных сервисов аутентификации как состав-ной части единого пространства доверия позволит построить систему управления доступом к прикладным системам и электронным сервисам при переходе к облачным вычислениям, в том числе при транссистемном доступе. Однако для практического построения таких систем необходима прежде всего нормативно-правовая поддержка.