Обзор международных стандартов по идентификации субъектов и объектов
Статья В.Б. Голованова, заместителя научного директора НПФ "Кристалл", и Алексея Сабанова, заместителя генерального директора "Аладдин Р.Д."
ВВЕДЕНИЕ
Интенсивная информатизация всех слоёв и сфер жизнедеятельности общества актуализирует вопросы управления доступом пользователей растущего числа информационных систем (ИС).Эти вопросы невозможно решить без надёжных средств и механизмов идентификации участников дистанционного взаимодействия. Не менее актуальными становятся проблемы доверия, основой которого при удалённом электронном взаимодействии (УЭВ) является корректность выполнения идентификации и аутентификации (ИА) участников УЭВ. Технологии, процессы и протоколы ИА нашли отражение во многих национальных и международных стандартах. Причём со временем отдельные корпоративные и отраслевые стандарты постепенно превращаются в международные. Под международным стандартом понимается стандарт, принятый международной организацией по стандартизации и доступный широкому кругу пользователей.
Международными организациями по стандартизации являются: ИСО (Международная организация по стандартизации; the International Organization for Standardization, ISO), МЭК(Международная электротехническая комиссия; the International Electrotechnical Commission, I ЕС) и МСЭ (Международный союз электросвязи; International Telecommunication Union, ITU). Они формируют специализированную систему всемирной стандартизации 11 ].
К международным стандартам относятся стандарты ИСО (ISO), МЭК (IEC) и ИСО/МЭК, которые являются совместными публикациями ИСО и МЭК, а также стандарты Международного союза электросвязи (ITU).
Согласно [ 1 ], в международной системе стандартизации наряду со стандартами применяются руководства ИСО (ISO Guide) и ИСО/МЭК (ISO/IEC Guide), технические отчёты ИСО (ISO/TR), международные стандартизованные профили ИСО/МЭК МСП (ISO/IEC ISP), оценки технологических направлений ИСО/ОТН (ISO/TTA), рекомендации ИСО/Р (ISO/R), технические условия ИСО/ТУ (ISO/TS), общедоступные технические условия ИСО/ОТУ (ISO/PAS), отраслевые технические соглашения ИСО/ОТС (ISO/ITA).
Предметом данного обзора, весьма сжатого из-за ограничений по объёму журнала, являются стандарты 27-го подкомитета (ПК27) 1-го Совместного технического комитета (СТК 1) "Информационные технологии" ИСО/ МЭК, а также стандарты МСЭ-Т серии X (X series) "Data networks, open system communications and security". Задачи ИА в современном "бесконтактном" мире занимают значимую область в системе разработанных стандартов (рис. 1).
Работы в рамках проектов ПК27 СТК 1 ИСО/МЭК [2] по соответствующим документам осуществляются в тесной кооперации со многими организациями, включая МСЭ и его подразделения:
- ITU Development Sector (ITU-D);
- ITU-T Joint Coordination Activity on Cloud Computing (ITU-T JCA-Cloud);
- ITU-T Study Group 13 (ITU-T SG 13);
- ITU-T Study Group 17 (ITU-T SG 17) и др.
Круг вопросов, который мог бы войти в данный обзор международных стандартов по ИА субъектов и объектов, чрезвычайно велик, поэтому ограничимся краткой исторической справкой, анализом терминологии, стандартизации алгоритмов и стандартизации процессов, технологий управления, обеспечения доверия к применяемым механизмам.
КРАТКАЯ ИСТОРИЧЕСКАЯ СПРАВКА
Появлению первых стандартов по ИА предшествовали продолжительные исследования по разработке и стандартизации методов и моделей взаимодействия открытых ИС [3]. Задача управления доступом и проблема предотвращения несанкционированного доступа (НСД) привели к планированию ряда исследований, логическим итогом которых явились стандарты ИСО серий 9594,9798,9805, состоящие из многих частей, и рекомендации ITU-T |4| серий Х.800-Х.849 (безопасность), X.500-Х.599 (активный LDAP-совместимый расширяемый каталог учётных записей) и Х.270-Х.279 (протоколы идентификации).
Историческая параллель появления стандартов и со-ответствующих рекомендаций МСЭ прослеживается от появления первого стандарта ИСО серии 9594 до сего времени. При этом количество и качество стандартов ИСО по ИА за последние годы непрерывно растёт. Из 66 размещённых на официальном сайте http://www.iso.org стандартов, в которых содержится слово "аутентификация", выделим только "основные", полностью посвящённые ИА для доступа к ИС. Так, в 1993 г. вышли в свет рекомендации МСЭ [5], вслед за которыми в 1995 г. на ту же тему появился стандарт ИСО/МЭК [6], затем драфты документов по управлению доступом [7] (они так и остались "черновиками"). Немалое влияние на развитие международных стандартов по ИА оказал национальный стандарт США [8], вслед за которым была опубликована вторая редакция стандарта [9]. Всего один год потребовался на появление перевода (до сих пор нуждающегося в небольших правках по терминам) этого стандарта на русский язык [10]. В [6,8—10] рекомендованы два способа аутентификации: по паролям и с применением сертификатов Х.509, изданных для управления доступом.
На следующем этапе развития стандартизации идентификации в документах [11] были расписаны участники процессов ИА, их роли и основные процессы аутентификации. Это позволило с помощью методов анализа рисков оценить уровни достоверности идентификации и выйти на современное понимание необходимости введения уровней доверия к аутентификации [12-18]. Заметим, что переводы стандартов на русский язык в части ИА носят отрывочный и бессистемный характер. Например, аналоги [12-18] пока так и не появились в России. Возможно, это стало одной из причин отставания правовой и нормативной базы по регулированию процессов идентификации и аутентификации [19].
ТЕРМИНОЛОГИЯ МЕЖДУНАРОДНЫХ СТАНДАРТОВ ПО ИА СУБЪЕКТОВ И ОБЪЕКТОВ
Проработанность терминологии зачастую предопределяет успех реализации многих начинаний. Качество терминологии может оказать как положительный, так и отрицательный эффект при внедрении тех или иных стандартизированных решений. Именно поэтому и на международном, и на национальном уровне принято руководствоваться соответствующими документами, учитывающими международные рекомендации. Для России это Р 50—603—1—89 Рекомендации. Разработка стандартов на термины и определения, а также РМГ19—96 Межгосударственная система стандартизации. Рекомендации по основным принципам и методам стандартизации терминологии и др. Они базируются на фундаментальных, разработанных под эгидой Комитета технической терминологии АН СССР руководствах [20-22].
В то же время в рамках работ по международной стандартизации зачастую затруднительно на начальном этапе "провести" единую терминологию в содержании ряда взаимосвязанных стандартов, имеющих общую область применения, где ответственность за разработку каждого из них может быть возложена на различные команды разработчиков и редакторов из разных стран мира.
Анализ текстов показывает, что терминологию международных стандартов по ИА субъектов и объектов (называемых в стандартах entity — сущность) нельзя охарактеризовать как идеальную, но она достаточно сбалансирована с точки зрения контекста и определения понятий, что видно на примере терминов "идентификация" (identification) [13,14], "идентификационные данные" (identificationdata) [9,15,16] и "идентификатор" (identifier) [23,18, 13].
Различия в формулировках приведённых определений термина "идентификатор" не столь "катастрофичны" с практической точки зрения, как это могло бы показаться, так как на практике очевидна их "сходимость" с содержательной точки зрения. Не столь очевидна "сходимость" определений термина "идентичность". Причина в более сильном влиянии прикладного контекста. Из четырёх примеров определения термина "идентичность" (identity) [24,23,25,18] первый имеет отношение к оценке безопасности продуктов ИТ, а три последующих к установлению требований к процессам защиты персональных данных и управлению идентификационной информацией. Сделаем предварительные выводы:
- контекст использования идентификационной информации может оказывать влияние на определение соответствующих понятий, хотя по канонам науки о терминологии это не рекомендуется;
- национальный контекст и контекст применения в РФ зависят от целей применения технологии, что должно найти отражение в системе соответствующих понятий (терминов и определений), максимально приближенных к действиям и сущностям реального мира.
Это позволит найти компромисс и сходимость практики с нормами регулирования и процессами разбора спорных и конфликтных ситуаций, в том числе с участием следственных и судебных органов. Для целей разбора спорных и конфликтных ситуаций применительно к области идентификации имеет отношение ряд соответствующих терминов, закреплённых международными стандартами. Их определения отражают как учёт вклада той или иной причастной стороны, так и суть задач идентификации в современном мире, базирующемся на дистанционном взаимодействии.
Некоторые из терминов имеют отношение к "подтверждению идентичности" (identity proofing) и "аутентификации" (authentication) как процесса, неразрывно связанного с задачами идентификации [18, 26]. Из приведённых терминов вытекают потребность и контекст "доверия" (assurance). Теме "доверия" и "доверия информационной безопасности" во всех её функциях посвящён технический отчёт ПК27 СТК 1 ИСО/МЭК, включающий несколько частей: ISO/IEC TR 15443. Им занимались специалисты, имеющие непосредственное отношение к стандартам оценки безопасности продуктов ИТ: ISO/IEC 15408/ 1SO/IEC 18045, а его назначение — обеспечить методологическую поддержку в вопросе доверия и гарантий безопасности современных ИТ. Технический отчёт ISO/IEC TR 15443-1 [27], в котором определена терминология "доверия", гармонизирован в системе документов "ГОСТ Р" в виде [28], где даны следующие определения терминов:
- доверие (assurance): выполнение действий или процедур для обеспечения уверенности в том, что оцениваемый объект соответствует своим целям безопасности; основание для уверенности в том, что сущность отвечает своим целям безопасности [24];
- подход к обеспечению доверия (assurance approach): группирование методов обеспечения доверия в соответствии с исследуемым аспектом;
- стадия обеспечения доверия (assurance stage): стадия жизненного цикла оцениваемого объекта, на которой используется заданный метод обеспечения доверия. При обеспечении общего доверия к оцениваемому объекту учитываются результаты реализации методов обеспечения доверия, применяемых на всех стадиях его жизненного цикла;
- свидетельство доверия (assurance evidence): документированные результаты, представленные данными, полученными при анализе доверия к оцениваемому объекту, включая отчёты (обоснования) в поддержку утверждения о доверии;
- уверенность (confidence): убеждённость в том, что оцениваемый объект будет функционировать.
Приведённые термины отражают субъективную сущность понятия "доверие" к безопасности. Она основывается на уверенности, подкреплённой объективными свидетельствами (доказательствами), т.е. чем больше свидетельств доверия в безопасности, тем выше уверенность, и наоборот. При этом в жизни каждое из свидетельств, как правило, требует ресурсов. Затрата ресурсов "в непроизводственной сфере" (безопасности) должна быть обусловлена. Поэтому в каждом случае необходимо выявить оптимальную комбинацию свидетельств доверия и соответствующих оценочных методов, позволяющих определить "уровень доверия" безопасности (так называемый level of assurance).
АЛГОРИТМЫ ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ В МЕЖДУНАРОДНЫХ СТАНДАРТАХ
Вопросам стандартизации алгоритмов и протоколов уделялось значительное внимание с самого начала работ по международной стандартизации в сфере обеспечения безопасности ИТ. Акценты, по понятным причинам, делались на алгоритмы криптографических преобразований, но их практическая реализация затрагивала алгоритмы идентификации и аутентификации.
На рис. 2 приведён фрагмент из официальной презентации ПК27СТК 1 ИСО/МЭК [2], иллюстрирующий содержание двух международных стандартов, имеющих непосредственное отношение к рассматриваемой тема-тике: "Аутентификация сущности" и "Аутентификация сущности с соблюдением анонимности".
Различные части стандарта "Аутентификация сущности" рассматривают использование тех или иных криптографических алгоритмов, обеспечивающих различный уровень строгости аутентификации. Стандарт "Аутентификация сущности с соблюдением анонимности" предлагает иные решения для задач аутентификации, позволяющие соблюсти анонимность идентификационных данных сущности. Подобные решения все более актуальны в современных технологиях повседневной жизни, например при использовании реальных электронных денежных средств, т.е. средств, имеющих свой центр эмиссии электронной стоимости; востребованы механизмы, основывающиеся на "слепой подписи" ("blindsignature", см. рис. 2, наименование части 3 ISO/IEC 20009). Центр эмиссии с использованием "слепой подписи" контролирует движение и обращение (создание/погашение) электронных денежных средств.
Существует несколько возможных схем и режимов совместного использования различных алгоритмов при распределённой обработке сообщений, требующих наличия защитных механизмов, в том числе через назначение и использование идентификаторов различных алгоритмов. Данные идентификаторы включаются в заголовки сообщений и передаются вместе с сообщением, к которому был применён тот или иной алгоритм. Так, для целей абстрактного технологического процесса абсолютно безразлично, на основе какого алгоритма были сформированы четыре дополнительных байта кода аутентификации сообщения, а для среды и системы приёма/передачи и обработки сообщений это важно.
В качестве меток и признаков в теле сообщений и команд, в соответствии с которыми используются те или иные программные (аппаратные) модули и примитивы безопасности, потенциально могут выступать уже применяемые индексные и классификационные признаки алгоритмов. Если брать алгоритмы и протоколы крипто-графических преобразований, реализуемых в том числе для целей ИА и нашедших отражение в международных стандартах, соответствующие сведения представлены в специализированных справочниках. Например, для алгоритмов международных стандартов они присутствуют в документе "SC 27/WG 2 Standing Document 2 WG 2 01D list".
Международная система идентификаторов объектов 01 Ds ("Object Identifiers") обеспечивает универсальную схему идентификации постоянных объектов, основывающуюся на иерархической структуре. Поддержанная и рекомендованная как!50/1ЕС,таки МСЭ-Т, она встречается во многих интернет-протоколах. Использование ОЮдлястандартовалгоритмовПК27СТК 1 ИСО/МЭК позволяет:
- для различных продуктов, реализующих один из стандартов, обеспечить уверенность в том, что в телекоммуникационных протоколах (межсетевого взаимодействия) не будет двусмысленности в определении, какой алгоритм необходимо использовать, и наоборот;
- для любых протоколов, связанных с безопасностью, обеспечить однозначную идентификацию алгоритма (OID может присутствовать в строке данных заголовков).
- последовательность целых чисел,"1.0.9798.2.1.1"(в нотации через точку), или
- при использовании в веб-сервисах как универсальное имя ресурса (Universal Resource Name, URN) "um:asnl: 1.0.9798.2.1.1"; или
- с использованием международного идентификатора ресурса (Internationalized Resource Identifier, IR1) "oid:/ I SO/Stan dard/9798/2/1 /1".
Рис. 3 служит иллюстрацией иерархической организации содержания глобального реестра идентификаторов объектов алгоритмов в OI Ds на примере фрагмента, имеющего отношение к алгоритмам, определённым во второй части международного стандарта 1SO/1 ЕС 9798 в его третьей редакции от 2008 г.
В настоящее время готовится документ "Cryptographic Message Syntax", предназначенный для поддержки применения электронной подписи, шифрования на симметричных и асимметричных ключах с учётом спецификаций рекомендаций серии Х.500 (ISO/I ЕС 9594). Также планируется обеспечить поддержку ASN. 1 для кодирования со-ответствующих протокольных блоков данных сообщений.
ЗАКЛЮЧЕНИЕ
Из-за ограничений по объёму данный обзор, к сожалению, охватывает далеко не все стандарты, касающиеся идентификации. Статьи по ИА можно обнаружить в стандартах по анализу рисков, аудиту, обеспечению защиты от НСД и т.д. Их рассмотрение - предмет отдельной книги. Тем не менее изложенный выше материал позволяет сделать некоторые основные выводы.
Далеко не все стандарты по ИА переведены на русский язык - по причине, видимо, непонимания сути процессов аутентификации многими специалистами, в том числе пишущими законы и нормативные акты.
В отдельных стандартах нельзя не заметить недостаточно высокое качество перевода. С языковой точки зрения перевод выполнен правильно, а с технической безграмотно. На Западе стандарты регулярно обновляют. В РФ официальное издание 110] до сих пор не "освежено", хотя не совсем технически грамотный перевод (беда практически всех стандартов) так и остался без изменений. Предлагается запланировать работу по исправлению смысла, а заодно и "причёсыванию" терминов в действующих российских стандартах.