Формирование уровней доверия к идентификации и аутентификации субъектов при удалённом электронном взаимодействии

ВВЕДЕНИЕ

Интенсивная информатизация общества и возрастающий обмен конфиденциальной информацией, в том числе в условиях удалённого электронного взаимодействия (УЭВ), делают весьма актуальными вопросы управления доступом.

Управление доступом пользователей в информационных системах (ИС) невозможно без корректного решения задач идентификации и аутентификации (ИА) [1]. Подсистемы идентификации и аутентификации (ПсИА) обычно являются отдельной составной частью любой ИС. Выполнение основных функций ПсИА зависит, в первую очередь, от надёжности идентификации претендента и полноты выполнения требований информационной без-опасности [2,3]. В |4] ПсИА классифицированы по при-знаку обеспечения доступности, конфиденциальности и целостности аутентификационной информации. Предлагаемая работа является логическим продолжением и развитием исследования ИА, начатого в [2, 3] и продолженного в |4—8]. Её целью является разработка способов формирования уровней доверия к ИА, необходимость введения которых сформулирована на основе анализа нормативной базы [9]. Для достижения цели в |5] рассмотрены основные процессы ИА, которые классифицированы в [6], а анализ рисков при реализации последовательности процессов аутентификации [7,8] дал возможность разработать способы формирования уровней доверия к результатам работы ПсИА, представленные ниже.

СОВРЕМЕННЫЕ ПРОБЛЕМЫ ИДЕНТИФИКАЦИИ

В качестве болезни интенсивного роста чаще всего выступает такой фактор, как потери качества и надёжности. Применительно к ПсИА качество идентификации может быть выражено через надёжность выполнения главной цели идентификации (ГЦИ) при реализации требований безопасности, в качестве которых выступают прежде всего обеспечение доступности и целостности, конфиденциальность идентификационных данных при их создании, хранении, обработке и передаче [4], противодействие атакам на ПсИА, в том числе с целью внесения изменений в базу данных учётных записей (БДУЗ).

Сформулируем ГЦИ как однозначное (уникальное) выделение сущности (субъекта, объекта) из множества идентификационных данных в БДУЗ. Процедура идентификации (поиска и определения сущности) производится с помощью идентификатора - уникальной метки, которая присваивается сущности при её регистрации в БДУЗ локальной корпоративной ИС, отдельного домена или ИС общего пользования (ИСОП).

В современных ИС задачи идентификации, вытекающие из ГЦИ, усложняются. Для больших ИС, особенно для ИСОП, одного идентификатора при выполнении ГЦИ может оказаться недостаточно [10|. Если число за-регистрированных в ИС сущностей превышает 104—10s, необходимо применять дополнительные меры по повышению надёжности и безопасности автоматической идентификации, что показано на примере идентификации по сертификату ключа проверки квалифицированной электронной подписи (СКПЭП) владельца. В частности, поскольку вероятность безошибочной автоматической идентификации объекта с помощью одного идентификатора в СКПЭП, как правило, не превышает 10 3, организационных мер мало, поэтому зачастую требуется введение в процедуру идентификации некоторого числа дополнительных идентификаторов: оно определяется количеством зарегистрированных в БДУЗ объектов и класса И С. Для грубых оценок надёжности идентификации [2] можно применить формулу [11]:

Альтернативным способом решения задачи могло бы быть применение международной системы идентификации объектов (Object Identification, 01D). К её достоинствам относится уникальность объектов, обусловленная строгой иерархической структурой. Существенным недостатком системы OID является заметный рост количества индексов объектов при учёте большого числа объектов в крупных распределённых И С, что обуславливает необходимость расширения места в соответствующем поле СКПЭП и увеличения времени его обработки. Из- за этого применение системы 01D ограничено.

Другим способом решения задачи является выпуск сертификатов доступа, рассмотренных в стандартах [12—15] и работах [3,10]. Введение дополнительных полей сертификата, а в ряде случаев дополнительного "доверенного" идентификатора для конкретной ИС также способствует достижению необходимого уровня надёжности идентификации объектов и субъектов.

Рассмотрим ещё одну проблему, появление которой связывают с внедрением современных технологий: это развитие нового класса систем — М2М (machine-to- machine, объект-объект, т.е. взаимодействие неодушевлённых объектов). Объектам "умного города", бортовым системам регистрации и навигации и другим устройствам потребовалась надёжная идентификация и аутентификация из-за растущих кибератак на системы их управления. В качестве решения данной задачи могут применяться сертификаты доступа, изданные для каждого бортового устройства корпоративным центром сертификации, что позволяет проводить строгую аутентификацию взаимодействующих сторон и создавать защищённый канал между бортовым устройством и сервером.

Нельзя, наконец, не упомянуть и о проблеме идентификации субъектов — владельцев СКПЭП — при обеспечении юридической силы электронным документам и при применении электронной подписи как таковой. В дополнение к СКПЭП для решения данной задачи также могут применяться сертификаты доступа, что позволит воспользоваться электронной подписью (ЭП) только после успешного прохождения субъектом строгой аутентификации для доступа к прикладному программному обеспечению, поддерживающему ЭП [16].

Перечисленные проблемы и методы их решения пока полностью не вошли в нормативную базу — их исследование продолжается. Вероятностный характер результатов идентификации и предложенные методы решения подразумевают введение уровней доверия к полученным от ПсИА значениям идентификации и аутентификации [4]. С математической точки зрения уровни доверия ИА проще всего определять через уровни достоверности идентификации [10]. Такой подход позволяет объединить задачу формирования уровней доверия к ИА.

УРОВНИ ДОВЕРИЯ К РЕЗУЛЬТАТАМ ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ

Под достоверностью идентификации будем понимать общую точность и пол ноту идентификационной информации об объекте. Достоверность идентификации обратно пропорциональна вероятности возникновения ошибок в информационной системе при выполнении процессов идентификации. Обычно при сравнении методов идентификации рассматривают только точность самой технологии идентификации, опираясь на значения, заявленные производителем. В отличие от такого подхода здесь процедура идентификации рассматривается как процесс принятия решения класса "да/нет" с учётом возможных погрешностей и ошибок—и при первичной регистрации идентификаторов объектов, и непосредственно в процессе идентификации.

В зависимости от уровня рисков операций, производимых пользователем СКПЭП, выделим способы идентификации, от упрощённой (по номеру мобильного телефона, адресу электронной почты), стандартной идентификации (предъявление СКП, выданного не доверенным УЦ, или личная явка заявителя в центр регистрации УЦ) до усиленной идентификации (рис. 1). Личная явка заявителя в центр регистрации, в отличие от скана паспорта, высланного по электронной почте, может значительно повысить достоверность идентификации путём проверки ИНН и СНИЛС, а так же сличения фотографии в паспорте с личностью предъявителя. При этом в случае проверки паспорта на подлинность с помощью процедур, принятых в ряде крупных банков и федеральных структур, достоверность идентификации может быть поднята на более высокий уровень.

Также надо учитывать, что доверие к идентификации личности при первичном обращении заявителя зависит от следующих факторов:

• основным критерием выполнения ГЦИ должно являться качество идентификации — отличие одного субъекта от другого путём сравнения предъявленных идентификаторов с занесёнными в БДУЗ при регистрации;
• в процессе идентификации имеются ошибки первого (злоумышленник идентифицирован как легальный пользователь) и второго (легальный пользователь не идентифицирован) рода;
• требуется введение уровней доверия к результатам сравнения в зависимости от числа идентификаторов и, главное, от надёжности и безопасности механизмов сравнения;
• необходимо протоколирование результатов процессов подтверждения совпадения идентификаторов из государственных баз данных для разбора конфликтных ситуаций.

Предлагаемые в [9] уровни аутентификации также могут быть разбиты на подуровни достоверности в зависимости от используемых технологий и механизмов аутентификации. Они, по сути, тоже связаны с рисками авторизации злоумышленника под именем легального пользователя. Пример оценки достоверности идентификации в терминах такого обобщённого подхода приведены на рис. 2. Поясним некоторые точки, изображённые на рисунке.

Так, предоставление паспортных данных в удалённом режиме (например, в виде скана второй и третьей страниц паспорта) может служить основанием для проведения упрощённой идентификации в терминах 115- ФЗ. Заметим, что предъявление уже не скана, а самого паспорта при личной явке и проверка его подлинности, описанная выше, существенно повышают уровень идентификации (см. рис. 1). Если при проверке паспорта уполномоченным представителем центра регистрации (в пункте идентификации) задавались бы вопросы, на которые может знать ответ только его владелец (например, ФИО и дата рождения тёщи), это была бы не идентификация, а аутентификация владельца.

Следующей интересной точкой на рис. 2 является предоставление заявителем его биометрической информации. Достоверность идентификации в таких случаях зависит от механизма и технологий, используемых в процессе идентификации. Например, при точности метода анализа ДНК, оцениваемого как 10‘\ совокупная точность идентификации личности путём поиска и экспертного анализа сопоставляемых образцов в базе данных составляете,036% [17]. Биометрические данные заявителя в дальнейшем могут использоваться не только для его идентификации, но, в частности, и для разблокирования токена, содержащего ключевой материал для сертификатов доступа и СКПЭП.

Рассмотрим самую верхнюю точку на рис. 2, помеченную как Х.509*. Она отличается отточки Х.509 тем, что в данном случае применяется устройство безопасной генерации ключей подписи SSCD (Secure Signature Creation Device) с неизвлекаемым закрытым ключом [18]. Достоверность идентификации и аутентификации владельца такого устройства выше, чем в случае применения устройств для хранения ключевых контейнеров (точка Х.509), где существует отличная от нуля вероятность подмены ключевого материала (например, не взведён флаг "неэкспортируемость").

Кратко сформулируем промежуточные выводы:

• только аутентификация доказывает привязку идентификаторов и аутентификатора к конкретной личности. Самая безопасная и наиболее достоверная аутентификация основана на цифровом сертификате доступа с механизмом аутентификации в виде электронной подписи; при этом самым надёжным устройством является устройство класса SSCD с неизвлекаемыми закрытыми ключами;
• основными критериями качества аутентификации будем считать безопасность и надёжность;
• требуется введение уровней доверия к аутентификации.

СПОСОБЫ ФОРМИРОВАНИЯ УРОВНЕЙ ДОВЕРИЯ

Для государственных ИС (ГИС) минимально необходимым является введение трёх уровней доверия к результатам аутентификации сущностей в зависимости от применяемых технологий аутентификации [2,19,20]. В основе такого подхода лежат следующие факторы:

• анализ рисков ИА [7, 8]; при этом, согласно [21- 23], рекомендуется не менее трёх уровней рисков;
• рассмотрение, как минимум, трёх уровней надёжности [2, 20];
• положения ФЗ "Об электронной подписи"[24], рекомендующие три типа ЭП, которым должны предшествовать ИА субъекта. 

В [18] показано, что по аналогии с тремя видами ЭП можно ввести три типа аутентификации (табл. 1).

При этом типы аутентификации могут определяться основными технологиями, т.е. видами учётных записей в БДУЗ и уровнем защиты от подбора или копирования секрета - аутентификатора, с помощью которого подтверждается подлинность идентификатора и доказывается принадлежность идентификатора и аутентификатора конкретному объекту (табл. 2).

В заключение подробнее рассмотрим предложенный в [3]подход к формированию уровней доверия к результатам аутентификации. Сформулированные в рассматриваемой работе цели и задачи по обеспечению доступности, конфиденциальности и целостности аутентификационной информации пользователя, решаемые ПсИА, дополним методами их решения и предлагаемыми уровнями доверия (рис. 3).

Например, для обеспечения доступности сервиса аутентификации ПсИА должна обрабатывать все поступающие на её вход заявки на идентификацию и аутентификацию. При этом на первом уровне (низкие риски, низкие требования) допускаются неограниченная очередь заявок в буфере ПсИА и возможность потери части заявок. На втором уровне доверия длина очереди и время обслуживания ограничиваются, исходя из требований технического задания на исполнение ПсИА. На третьем уровне должно обеспечиваться гарантированное обслуживание каждой заявки при ограничении длины очереди и времени обслуживания. Расчёты производительности ПсИА осуществляются методами систем массового обслуживания |2|.

В качестве второго примера рассмотрим задачу ИА пользователя для разделения доступа. Критерием решения задачи в данном случае является ошибка идентификации претендента [2,19]. Источниками ошибок могут служить неверные символы ввода, ошибки в БДУЗ, процесс сравнения идентификаторов ввода претендентом и регистра-тором, ошибки и сбои системы при передаче идентификационной информации. В зависимости от настроенного в ПсИА необходимого к предъявлению претендентом количества идентификаторов и суммарной ошибки предлагается ввести три уровня вероятности появления ошибок. На первом уровне, как правило, используется один идентификатор, а точность используемых для идентификации механизмов должна быть не ниже от 10*4до 10 \ на втором уровне - от 10'6 до 10“*, на третьем-от 10** до 10‘6.

Достаточно важным представляется обеспечение конфиденциальности аутентификатора — секрета, с помощью которого в процессе аутентификации подтверждается подлинность идентификаторов конкретного объекта. На первом уровне доверия пользователь самостоятельно несёт ответственность за сохранение втайне пароля, который на этом уровне является аутентификатором [20]. На втором уровне могут использоваться устройства генерации одноразовых паролей или безопасные устройства генерации ключевого материала класса SSCD. На третьем уровне, согласно рекомендациям [25], предлагается применение квалифицированных устройств генерации ключевого материала для электронной подписи QSCD (Qualified Signature Creation Device) внутри специально спроектированного защищённого чипа, который не предусматривает экспорт закрытого ключа (аутентификатора) ни при каких сценариях, т.е. это неизвлекаемый закрытый ключ. На данном уровне в БДУЗ находится только открытый ключ пользователя, серверная сторона в криптографическом протоколе аутентификации использует лишь этот открытый ключ пользователя и ключевую пару серверной стороны.

Предложенной трёхуровневой схеме организации доверия фактически соответствуют и три типа аутентификации: простая, усиленная и строгая. При этом применение более строгой аутентификации на низких уровнях только приветствуется. Напомним, что простая аутентификация предполагает в качестве учётной записи в БДУЗ логин, а в качестве аутентификатора — пароль, усиленная аутентификация отличается от простой применением одноразового пароля. Строгая аутентификация требует использования в качестве учётной записи в БДУЗ определённых полей цифрового сертификата доступа, изданного доверенным удостоверяющим центром (в том числе открытого ключа пользователя), а в качестве аутентификатора - неизвлекаемого закрытого ключа.

ЗАКЛЮЧЕНИЕ

Результаты данной статьи могут быть полезны в практических работах по внедрению ПсИА, а также по выбору средств ИА на этапах проектирования.

В следующей статье планируется более подробно рассмотреть математические модели и особенности методов оценки надёжности и качества аутентификации при УЭВ для уточнения границ предложенных уровней доверия. Конечной целью исследования должна стать разработка рекомендаций для внесения изменений в нормативную базу регулирования процессов ИА, атак же рекомендаций по учёту требований безопасности и надёжности при проектировании и построении ПсИА в ГИС.