О технологиях идентификации и аутентификации

Об актуальности той или иной проблемы можно судить по разным признакам. Например, по числу докладов на конференциях и специализированных семинарах или публикаций по данной тематике. Однако в качестве более надежного способа может рассматриваться и другой подход, основанный на статистике реальных финансовых потерь от неверного решения данной проблемы. К сожалению, наши российские предприятия до сих пор не научились рассчитывать финансовый ущерб от различных атак. А если и научились, то тщательно скрывают такие данные (что согласуется, в частности, с выводами исследования, проведенного Ernst & Yang и опубликованного на сайте CNews ¹). Поэтому, как всегда, приходится обращаться к открытым данным западных СМИ. Рассмотрим результаты недавно опубликованного ежегодного обзора компьютерной преступности CSI/FBI за 2005 г. Согласно данным, приведенным на рис.1, на втором месте по размеру ущерба находится неавторизованный доступ к данным. Чтобы снизить подобные потери, необходимо применять корректное решение задач аутентификации и управления доступом пользователей. Также одним из основных выводов нового отчета CSI/FBI является значительно возросший ущерб от такой угрозы, как кража конфиденциальных данных. Каждая американская компания из опрошенных в среднем потеряла 355,5 тыс. долларов только из-за утечек конфиденциальных данных за прошедшие 12 мес. Заметим, что в дополнение к применению технологии шифрования как основы защиты данных решение вопросов персонифицированного доступа к конфиденциальным данным и наказания виновного с помощью неопровержимых доказательств невозможно без применения самых современных способов аутентификации и управления доступом.

Идентификация и аутентификация

В отличие от некоторых весьма вольных трактовок, например приведенных в работе ², будем следовать строгим определениям, данным в работах ^{3,4 и 5}. Среди широко применяемых в последние 3–5 лет терминов описания процесса идентификации/аутентификации введено понятие индивидуальных характеристик, доказывающих подлинность субъектов или факторов. К факторам идентификации/аутентификации относят:

• владение скрытой для посторонних информацией (запоминаемая либо хранящаяся конфиденциальная информация). Примерами могут служить пароль, персональный  идентификационный код (PIN), секретные ключи и т.п.;
• обладание материальным носителем информации (карта с магнитной полосой, электронные ключи классов touch memory и eToken, смарт-карта, дискета и т.д.);
• биометрические характеристики субъекта (отпечатки пальцев, голос, геометрия лица, особенности сетчатки и радужной оболочки глаз и т.п.).

В зависимости от используемых в технологиях идентификации и аутентификации факторов (ИАФ) различают однофакторную или двухфакторную аутентификацию. Понятие трехфакторной аутентификации в последнее время используется достаточно редко ввиду призрачности ее промышленного применения при современном состоянии технических средств. Рассмотрим наиболее развитые методы идентификации и аутентификации с точки зрения применяемых в них технологий.

Технологии идентификации

В последнее десятилетие интенсивно развивается направление электронной идентификации, в которой сбор информации происходит с минимальным участием человека. Это объясняется тем, что оператор может допустить ошибку при вводе данных, например с клавиатуры компьютера. Ведь на поиск и исправление ошибок в больших массивах данных может уйти слишком много времени. Главное в системе автоматизации – достоверность информации. Технологии автоматической идентификации наиболее полно соответствуют требованиям компьютерных систем и систем управления, где нужно четко распознавать объекты в реальном масштабе времени.

Кратко рассмотрим основные технологии. Заметим, что на практике часто они используются в различных комбинациях.

Штрихкодовая идентификация

Штрихкоды в основном используются производителями товаров для автоматизации товародвижения. В настоящее время штриховые коды EAN/UPC лежат в основе всемирной многоотраслевой коммуникационной системы, развитие которой обеспечивается двумя крупнейшими специализированными международными организациями – EAN International и AIM International. Наиболее широко распространен тринадцатиразрядный код EAN-13, разработанный в 1976 г. для удовлетворения требований пищевой промышленности на базе кода UPC (Universal Product Code).

К достоинствам применения штрихкодовой идентификации согласно ⁶ относятся:

• максимальное снижение бумажного документооборота и числа ошибок при вводе информации;
• повышение скорости обслуживания;
• автоматизация основных технологических процессов товародвижения на всех этапах: от производителя до конечного покупателя.

Основные недостатками штрихкодовой идентификации следующие:

• данные идентификационной метки не могут дополняться – штриховой код записывается только один раз при его печати;
• небольшой объем данных (обычно не более 50 байт);
• данные на метку заносятся медленно – для получения штрихового кода обычно требуется напечатать его символ либо на упаковке, либо на бумажной этикетке, а наклеивание липкой этикетки часто выполняется вручную;
• данные на метке представлены в открытом виде и не защищают товары от подделок и краж;
• штрихкодовые метки недолговечны, так как не защищены от пыли, сырости, грязи, механических воздействий.

В настоящее время штрихкодовая идентификация начинает вытесняться технологией радиочастотной идентификации.

Радиочастотная идентификация

В средствах радиочастотной идентификации (RFID – Radio Frequency Identification Device) разработчики постарались развить все достоинства штрихкодовой идентификации и преодолеть практически все недостатки и ограничения. В настоящее время данная технология интенсивно внедряется во многие отрасли мирового хозяйства. RFID позволяет получать информацию о предмете без прямого контакта. Дистанции, на которых может происходить считывание и запись информации, могут варьироваться от нескольких миллиметров до нескольких метров в зависимости от используемых технологий (главным образом от несущей частоты, находящейся в пределах от 125 кГц до 5,8 ГГц). Большинство применяемых для идентификации сотрудников корпораций смарт-карт c применением компонентов производства "Ангстрем", HID, Atmel, Mifare, EM Microelectronic Marin, Microchip и других чаще всего используют несущие частоты 125 кГц или 13,56 МГц. Подробная информация о технологии RFID находится, например, в работе ⁶.

Биометрическая идентификация

Данные технологии основаны на практическом применении знаний научной дисциплины биометрии. Данная дисциплина занимается статистическим анализом биологических наблюдений и явлений. Биометрическая характеристика — это измеримая физиологическая или поведенческая черта живого человека. Некоторые биометрические характеристики уникальны для данного человека, и их можно использовать для установления личности или проверки декларируемых личных данных:

• для идентификации пользователя (вместо ввода имени пользователя);
• для однофакторной аутентификации пользователя;
• совместно с паролем или персональным идентификатором (таким, как смарт-карта) — для обеспечения двухфакторной аутентификации.

Биометрические характеристики делятся на следующие группы:

1) физиологические биометрические характеристики (также называемые физическими биометрическими характеристиками, статическими биометрическими характеристиками) — это характеристики, основанные на данных, полученных путем измерения анатомических данных человека, таких как отпечаток пальца, форма лица или кисти, сетчатка глаза;

2) поведенческие биометрические характеристики (также называемые динамическими биометрическими характеристиками) — биометрические характеристики, основанные на данных, полученных путем измерения действий человека. Характерной чертой для поведенческих характеристик является их протяженность во времени — измеряемое действие имеет начало, середину и конец; типичные примеры – голос, подпись.

Все биометрические системы работают одинаково, отличаясь в основном только объектами и способами измерений. Пользователь предоставляет образец — опознаваемое, необработанное изображение или запись физиологической или поведенческой характеристики — посредством регистрирующего устройства (например, сканера или камеры). Этот биометрический образец обрабатывается для получения информации об отличительных признаках, в результате чего получается эталонный идентификатор пользователя (ЭИП) или эталон для проверки, который представляет собой числовую последовательность; сам образец невозможно восстановить из эталона.

Результат проверки других известных рынку идентификационных данных, как правило, однозначен — это решение "да" или "нет" (например, если идентификатор – пароль, то проверяется, совпал он на 100% с эталоном или нет). В случае проверки биометрической идентификации снятая в процессе идентификации характеристика сравнивается с ЭИП. Поскольку эти два значения (полученное при попытке доступа и ЭИП) полностью никогда не совпадают, то для принятия положительного решения о доступе степень совпадения должна превышать определенную настраиваемую пороговую величину. Соответственно в биометрических системах полученная при попытке идентификации характеристика претендента может быть ошибочно признана:

• соответствующей ЭИП другого лица;
• не соответствующей ЭИП данного пользователя, несмотря на то, что этот пользователь зарегистрирован в биометрической системе.

Итак, при использовании одного отдельно взятого из биометрических методов используются схемы именно идентификации субъектов. Покажем это на простом примере одного из широко известных (в том числе и в России) методов – идентификации личности по отпечатку пальца. Как правило, системы идентификации в данном случае построены с применением клиент-серверной архитектуры; при этом на клиентском рабочем месте обычно находится сканер (для снятия и оцифровки отпечатка пальца) и программное обеспечение (ПО), формирующее цифровой идентификатор пользователя, а на сервере размещаются база данных идентификаторов легальных пользователей, ПО, производящее сравнение полученных при попытке идентификации отпечатков с эталонными образцами идентификаторов пользователей, и алгоритм принятия решения о допуске (авторизации). Эффективность биометрических систем характеризуется двумя основными параметрами с точки зрения потребительских свойств: коэффициентом ошибочных отказов и коэффициентом ошибочных подтверждений. Как видно из представленного краткого описания системы, принятие решения об успешности или неуспешности процедуры идентификации основано на применении вероятностных методов.

Проблемами, выявленными в специальных исследованиях и при эксплуатации подобных систем, являются:

• быстрое загрязнение сканеров;
• существование значительного числа людей (по данным работы ⁷ – от 5 до 10%), которые вообще не обладают отпечатками пальцев, достаточными для технического распознавания;
• невозможность успешной идентификации при порезах и других травмах пальцев;
• влияние влажности рук на процесс сканирования;
• отсутствие защиты от НСД базы данных эталонных значений цифровых идентификаторов пользователей.

В качестве биометрических признаков, использующихся в известных к сегодняшнему дню для идентификации потенциальных пользователей информационных систем, применяются следующие:

• отпечатки пальцев (плоская картинка);
• геометрическая форма кисти руки (от одномерной до 3D-технологии);
• форма и размер лица (от одномерной до 3D-технологии);
• частотные характеристики и тембр голоса (например, по стандартным критериям EAL2);
• узор радужной оболочки и особенности сетчатки глаза.

Наверное, надежные технологии биометрической идентификации все же появятся в недалеком будущем. Gartner Group (см. раздел "Обзор перспективных технологий") осторожно оценивает появление промышленных технологий не ранее, чем через 10 лет. Однако техника и технологии развиваются столь стремительными темпами, что можно ожидать появление промышленных биометрических технологий значительно раньше. Например, весьма перспективными представляются разработанный в германском филиале компании Fujitsu датчик вен руки и система проверки голоса от Voicetrust, рассмотренные в работе [7].

Технологии идентификации на основе карт с магнитной полосой

Магнитные карты срабатывают при проведении в определенном направлении и с определенной скоростью по щели считывателя. Современные магнитные полосы изготовлены из материалов, требующих сильных магнитных полей для записи и уничтожения информации, с целью сохранности информации от случайного размагничивания.

Существенным преимуществом магнитных карт является их низкая стоимость.

К основным недостаткам данной технологии можно отнести:

• ограничение по объему информации, которая может быть записана на магнитную полосу;
• незащищенность от копирования;
• чувствительность к загрязнению, механическим повреждениям (например, царапинам, изломам), воздействию влаги;
• короткий срок службы (не более 1 – 1,5 лет).

Однако технологии и средства безопасности совершенствуются, и, возможно, в недалеком будущем появятся карты, лишенные указанных недостатков.

Технологии аутентификации

Для того чтобы понять, что такое ААА и, в частности, аутентификация, обратимся к простому примеру: ваш сотовый телефон. Телефон – это устройство, куда для начала работы вы вкладываете свою SIM-карту. Когда вы включаете телефон, на дисплее появляется надпись: "Введите PIN-код". После правильного ввода PIN-кода (как правило, это четыре легко запоминаемые цифры) и кратковременной задержки телефон начинает работать. Налицо так называемая двухфакторная аутентификация. Вам надо иметь персональный носитель (SIM-карту) и знать личный PIN-код. Они связаны между собой. Причем эта связь закладывается администратором оператора сотовой связи при предпродажной подготовке контрактов с определенным тарифом и самих SIM-карт. Сам телефонный аппарат по аналогии с корпоративными информационными системами играет роль компьютера. Аналогом SIM-карты может являться микропроцессорная смарт-карта или устройство eToken, к которому привязан личный PIN-код. Только в отличие от сотового телефона PIN-код для доступа к информационной системе предприятия содержит, как правило, не менее 5 – 7 символов различных регистров (не только цифр). Да и алгоритмы аутентификации и шифрования там намного сложнее, чем традиционные А3 (алгоритм аутентификации), А8 (алгоритм генерации криптоключа), A5/2 (собственно алгоритм шифрования оцифрованной речи для обеспечения конфиденциальности переговоров), используемые в сотовой связи. Рассмотрим основные методы аутентификации по принципу нарастающей сложности. Начнем с самого простого и общеизвестного метода – аутентификация по паролю.

Аутентификация по многоразовым паролям

Учетные записи пользователей современных операционных систем включают в себя службу аутентификации, которая может хранить простейший идентификатор (login) и пароль (password) пользователя в своей базе данных. При попытке логического входа в сеть пользователь набирает свой пароль, который поступает в службу аутентификации. По итогам сравнения пары login/password с эталонным значением из базы данных учетных записей пользователь может успешно пройти процедуру простейшей аутентификации и авторизоваться в информационной системе. В зависимости от степени защищенности в рамках эволюционного развития операционных систем Windows компанией Microsoft использовались протоколы LAN Manager (LM), NT LAN Manager (NTLM), NT LAN Manager версии 2 (NTLM v2) и Kerberos,  наиболее распространенный и защищенный на сегодня протокол аутентификации в локальных сетях.

Протоколы аутентификации для удаленного доступа

Поддержка протокола RADIUS реализована на многих современных платформах, что позволяет использовать его в межплатформенных решениях.

В качестве примера сервера и посредника RADIUS можно привести реализованную в Windows Server 2003 службу проверки подлинности в Интернете (Internet Authentication Service, IAS), которая позиционируется как механизм централизованной аутентификации и авторизации пользователей, использующих различные способы подключений к сети. Служба IAS интегрирована с другими сетевыми службами Windows Server 2003, такими как служба маршрутизации и удалённого доступа и служба каталога Active Directory.

Аутентификация на основе одноразовых паролей

Для организации удаленного доступа пользователей к защищенным информационным ресурсам были разработаны достаточно надежные схемы с применением одноразовых паролей (OTP – One Time Password). Суть концепции одноразовых паролей состоит в использовании различных паролей при каждом новом запросе на предоставление доступа. Одноразовый пароль действителен только для одного входа в систему. Динамический механизм задания пароля является одним из лучших способов защитить процесс аутентификации от внешних угроз. Известно четыре метода аутентификации с применением технологии ОТР:

• использование механизма временных меток на основе системы единого времени;
• применение общего пароля для легального пользователя и проверяющего списка случайных паролей и надежного механизма их синхронизации;
• использование общего пароля для пользователя и проверяющего генератора псевдослучайных чисел с одним и тем же начальным значением;
• применение фиксированного числа случайных (псевдослучайных) последовательностей, скопированных на носители в виде скретч-карт.

Наиболее распространены аппаратные реализации одноразовых паролей, рассмотренные в работе ⁸. Их называют ОТР-токенами. Они имеют небольшой размер и выпускаются в виде различных форм-факторах:

• карманного калькулятора;
• брелока;
• смарт-карты; 
• устройства, комбинированного с USB-ключом.

В качестве примера решений OTP можно привести линейку RSA SecurID, ActivCard Token, комбинированный USB-ключ Aladdin eToken NG-OTP. В частности, одной из распространенных аппаратных реализаций одноразовых паролей является технология SecurID, предлагаемая компанией RSA Security. Она основана на специальных калькуляторах — токенах, которые каждую минуту генерируют новый код. В токен встроена батарейка, заряда которой хватает на 3 – 5 лет, после чего токен нужно менять. Аутентификация с помощью SecurID интегрирована в сотни приложений, а недавно при поддержке Microsoft она была встроена в операционную систему Windows. Впрочем, имеются реализации "в железе" и другие алгоритмы генерации одноразовых паролей. Например, можно генерировать пароль по событию — нажатию клавиши на устройстве. Такое решение предлагает компания Secure Computing в виде продукта Safeword. Аппаратную реализацию технологии "запрос-ответ" продает корпорация CryptoCard. Имеются даже универсальные аппаратные реализации, которые позволяют перепрограммировать токены. В частности, решения, выпускаемые компанией VASCO, допускают реализацию нескольких десятков алгоритмов аутентификации с помощью одноразовых паролей. В целом технология ОТР основана на использовании двухфакторных схем аутентификации и может быть классифицирована как усиленная технология аутентификации.

Аутентификация по предъявлению цифрового сертификата

Механизмы аутентификации на основе сертификатов обычно используют протокол с запросом и ответом. Согласно этому протоколу сервер аутентификации направляет пользователю последовательность символов, называемую запросом, а программное обеспечение клиентского компьютера для генерирования ответа вырабатывает с помощью закрытого ключа пользователя цифровую подпись под запросом от сервера аутентификации. Общий процесс подтверждения подлинности пользователя состоит из следующих стадий:

• получение открытого ключа CA (одноразовый процесс);
• получение по некоторому незащищенному каналу от этого пользователя его сертификата открытого ключа (включающее получение идентификатора пользователя, проверку даты и времени относительно срока действия, указанного в сертификате, на основе локальных доверенных часов, проверку действительности открытого ключа СА, проверку подписи под сертификатом пользователя с помощью открытого ключа СА, проверку сертификата на предмет отзыва);
• если все проверки успешны, открытый ключ в сертификате считается подлинным открытым ключом заявленного пользователя;
• проверка на наличие у пользователя закрытого ключа, соответствующего данному сертификату, с помощью алгоритма запрос-ответ.

В качестве примера алгоритмов, работающих по такой схеме, можно назвать протокол SSL. Аутентификация с открытым ключом используется как защищенный механизм аутентификации в таких протоколах как SSL, а также может использоваться как один из методов аутентификации в рамках рассмотренных протоколов Kerberos и RADIUS.

Использование смарт-карт и USB-ключей

Несмотря на то что криптография с открытым ключом согласно спецификации Х.509 может обеспечивать строгую аутентификацию пользователя, сам по себе незащищенный закрытый ключ подобен паспорту без фотографии. Закрытый ключ, хранящийся на жестком диске компьютера владельца, уязвим по отношению к прямым и сетевым атакам. Достаточно подготовленный злоумышленник может похитить персональный ключ пользователя и с помощью этого ключа представляться этим пользователем. Защита ключа с помощью пароля помогает, но недостаточно эффективно — пароли уязвимы по отношению ко многим атакам. Несомненно, требуется более безопасное хранилище.

Аутентификацию на основе смарт-карт и USB-ключей сложнее всего обойти, так как используется уникальный физический объект, которым должен обладать человек, чтобы войти в систему. В отличие от паролей владелец быстро узнает о краже и может сразу принять необходимые меры для предотвращения ее негативных последствий. Кроме того, реализуется двухфакторная аутентификация. Микропроцессорные смарт-карты и USB-ключи могут повысить надежность служб PKI: смарт-карта может использоваться для безопасного хранения закрытых ключей пользователя, а также для безопасного выполнения криптографических преобразований. Безусловно, данные устройства аутентификации не обеспечивают абсолютную безопасность, но надежность их защиты намного превосходит возможности обычного настольного компьютера.

Для хранения и использования закрытого ключа разработчики используют различные подходы. Наиболее простой из них — использование устройства аутентификации в качестве защищенного носителя аутентификационной информации: при необходимости карта экспортирует закрытый ключ, и криптографические операции осуществляются на рабочей станции. Этот подход является не самым совершенным с точки зрения безопасности, зато относительно легко реализуемым и предъявляющим невысокие требования к устройству аутентификации.

В качестве примеров подобного рода устройств аутентификации можно привести eToken R2 производства компании Aladdin, iKey 1000 от Rainbow, ruToken от компании "Актив".

Два следующих подхода, на которые хочется обратить ваше внимание, более безопасны, поскольку предполагают выполнение устройством аутентификации криптографические операций. При первом пользователь генерирует ключи на рабочей станции и сохраняет их в памяти устройства. При втором пользователь генерирует ключи при помощи устройства. В обоих случаях после того как закрытый ключ сохранен, его нельзя извлечь из устройства и получить любым другим способом.

Генерация ключевой пары вне устройства. В этом случае пользователь может сделать резервную копию закрытого ключа. Если устройство выйдет из строя, будет потеряно, повреждено или уничтожено, пользователь сможет сохранить тот же закрытый ключ в памяти нового устройства. Это необходимо, если пользователю требуется расшифровать какие-либо данные, сообщения и так далее, зашифрованные с помощью соответствующего открытого ключа. Однако при этом закрытый ключ пользователя подвергается риску быть похищенным, т.е. скомпрометированным.

Генерация ключевой пары с помощью устройства. В этом случае закрытый ключ не появляется в открытом виде, и нет риска, что злоумышленник украдет его резервную копию. Единственный способ использования закрытого ключа — это обладание устройством аутентификации. Являясь наиболее безопасным, это решение выдвигает высокие требования к возможностям самого устройства: оно должно обладать функциональностью генерации ключей и осуществления криптографических преобразований. Это решение также предполагает, что закрытый ключ не может быть восстановлен в случае выхода устройства из строя и т. п.

Подобным образом способны работать процессорные смарт-карты и USB-токены на их основе, к примеру Aladdin eToken PRO, eToken NG OTP, Rainbow iKey 2000, iKey 3000, Athena ASECard Crypto, Schlumberger Cryptoflex, ActivCard USB Key и др.

В качестве итога рассмотренных материалов попробуем классифицировать методы идентификации и аутентификации с точки зрения применяемых технологий. Результаты такого подхода

¹http://www.cnews.ru/newcom/index.shtml.2004/11/01/167428.

²Давлетханов М. Что такое аутентификация. http://www.infobez.ru/article.asp.ob_no=2161.

³Курило А.П. и др. Обеспечение информационной безопасности бизнеса. –М.: БДЦ-пресс, 2005.

⁴Галицкий А.В., Рябко С.Д., Шаньгин В.Ф. Защита информации в сети – анализ технологий и синтез решений — М., ДМК Пресс, 2004.

⁵Сарбуков А., Грушо А. Аутентификация в компьютерных системах//Системы безопасности. – 2003. – №5 (53).

⁶Дшхунян В.Л., Шаньгин В.Ф. Электронная идентификация. Бесконтактные электронные идентификаторы и смарт-карты. — М.: ООО "Издательство АСТ": Изд-во "НТ Пресс", 2004.

⁷Йоханнес Вилле. "Новые пути биометрии" //Журнал сетевых решений LAN. – 2005. – ноябрь.

⁸Коржов В. Пароль на минуту // Computerworld.– 2005. – №1.