Комбинированные системы идентификации и аутентификации

ОБЗОРЫ

Классификация и анализ основных технологий защиты доступа к ресурсам компьютеров

Предотвратить ущерб, связанный с утратой хранящейся в компьютерах конфиденциальной информации, - одна из важнейших задач для любой компании. Известно, что персонал предприятия нередко оказывается главным виновником этих потерь. По результатам исследования Computer Security Institute (www.gocsi.com), на непреднамеренные ошибки сотрудников приходится 55% такого ущерба, на действия нечестных и обиженных коллег - соответственно 10% и 9%. Оставшуюся часть потерь связывают с проблемами физической защиты (стихийные бедствия, электропитание) - 20%, вирусами - 4% и внешними атаками - 2%.

Основным способом защиты информации от злоумышленников считается внедрение так называемых средств ААА, или 3А (authentication, authorization, administration - аутентификация, авторизация, администрирование). Среди средств ААА значимое место занимают аппаратно-программные системы идентификации и аутентификации (СИА) и устройства ввода идентификационных признаков (термин соответствует ГОСТ Р 51241-98), предназначенные для защиты от несанкционированного доступа (НСД) к компьютерам.

При использовании СИА сотрудник получает доступ к компьютеру или в корпоративную сеть только после успешного прохождения процедуры идентификации и аутентификации. Идентификация заключается в распознавании пользователя по присущему или присвоенному ему идентификационному признаку. Проверка принадлежности пользователю предъявленного им идентификационного признака осуществляется в процессе аутентификации.

В состав аппаратно-программных СИА входят идентификаторы, устройства ввода-вывода (считыватели, контактные устройства, адаптеры, платы доверенной загрузки, разъемы системной платы и др.) и соответствующее ПО. Идентификаторы предназначены для хранения уникальных идентификационных признаков. Кроме того, они могут хранить и обрабатывать разнообразные конфиденциальные данные. Устройства ввода-вывода и ПО пересылают данные между идентификатором и защищаемым компьютером.

На мировом рынке информационной безопасности сегмент ААА стабильно растет. Эта тенденция подчеркивается в аналитических обзорах и прогнозах Infonetics Research (www.infonetics.com), IDC (www.idc.com), Gartner (www4.gartner.com) и других консалтинговых компаний.

В нашей статье основное внимание будет уделено комбинированным системам идентификации и аутентификации. Такой выбор обусловлен тем, что в настоящее время системы этого класса обеспечивают наиболее эффективную защиту компьютеров от НСД.

Классификация систем идентификации и аутентификации

Современные СИА по виду используемых идентификационных признаков разделяются на электронные, биометрические и комбинированные (см. рис. 1).

Рис. 1. Классификация СИА по виду идентификационных признаков

В электронных системах идентификационные признаки представляются в виде цифрового кода, хранящегося в памяти идентификатора. Такие СИА разрабатываются на базе следующих идентификаторов:

- контактных смарт-карт;

- бесконтактных смарт-карт;

- USB-ключей (другое название - USB-токенов);

- идентификаторов iButton.

В биометрических системах идентификационными признаками являются индивидуальные особенности человека, называемые биометрическими характеристиками. В основе идентификации и аутентификации этого типа лежит процедура считывания предъявляемого биометрического признака пользователя и его сравнение с предварительно полученным шаблоном. В зависимости от вида используемых характеристик биометрические системы делятся на статические и динамические.

Статическая биометрия (также называемая физиологической) основывается на данных, получаемых из измерений анатомических особенностей человека (отпечатки пальцев, форма кисти руки, узор радужной оболочки глаза, схема кровеносных сосудов лица, рисунок сетчатки глаза, черты лица, фрагменты генетического кода и др.).

Динамическая биометрия (также называемая поведенческой) основывается на анализе совершаемых человеком действий (параметры голоса, динамика и форма подписи).

Несмотря на многочисленность биометрических характеристик, разработчики СИА основное внимание уделяют технологиям распознавания по отпечаткам пальцев, чертам лица, геометрии руки и радужной оболочки глаза. Так, например, согласно отчету International Biometric Group (www.biometricgroup.com), на мировом рынке биометрической защиты в 2004 г. доля систем распознавания по отпечаткам пальцев составила 48%, по чертам лица - 12%, геометрии руки - 11%, радужке глаза - 9%, параметрам голоса - 6%, подписи - 2%. Оставшаяся доля (12%) относится к промежуточному ПО.

В комбинированных системах для идентификации используется одновременно несколько идентификационных признаков. Такая интеграция позволяет воздвигнуть перед злоумышленником дополнительные преграды, которые он не сможет преодолеть, а если и сможет, то со значительными трудностями. Разработка комбинированных систем осуществляется по двум направлениям:

- интеграция идентификаторов в рамках системы одного класса;

- интеграция систем разного класса.

В первом случае для защиты компьютеров от НСД используются системы, базирующиеся на бесконтактных смарт-картах и USB-ключах, а также на гибридных (контактных и бесконтактных) смарт-картах. Во втором случае разработчики умело "скрещивают" биометрические и электронные СИА (далее в статье такой конгломерат называется биоэлектронной системой идентификации и аутентификации).

Особенности электронных систем идентификации и аутентификации

С электронными СИА и анализом их ключевых характеристик, позволяющим сделать выбор в пользу того или иного продукта, можно познакомиться в моем обзоре "Защита компьютеров: электронные системы идентификации и аутентификации" (см. PC Week/RE, N 12/2004, с. 18). Приведу лишь основные особенности электронных СИА, знание которых помогает понять структуру и принцип работы комбинированных систем.

В состав комбинированных СИА могут входить электронные контактные и бесконтактные смарт-карты и USB-ключи. Основным элементом этих устройств являются одна или более встроенных интегральных микросхем (чипов), которые могут представлять собой микросхемы памяти, микросхемы с жесткой логикой и микропроцессоры (процессоры). В настоящее время наибольшей функциональностью и степенью защищенности обладают идентификаторы с процессором.

Основу чипа микропроцессорной контактной смарт-карты составляют центральный процессор, специализированный криптографический процессор (опционально), оперативная память (RAM), постоянная память (ROM), энергонезависимая программируемая постоянная память (PROM), датчик случайных чисел, таймеры, последовательный коммуникационный порт.

Оперативная память используется для временного хранения данных, например, результатов вычислений, произведенных процессором. Ее емкость составляет несколько килобайтов.

В постоянной памяти хранятся команды, исполняемые процессором, и другие неизменяемые данные. Информация в ROM записывается при производстве карты. Емкость памяти может составлять десятки килобайтов.

В контактных смарт-картах используется два типа памяти PROM: однократно программируемая память EPROM и чаще встречающаяся многократно программируемая память EEPROM. Память PROM служит для хранения пользовательских данных, которые могут считываться, записываться и модифицироваться, и конфиденциальных данных (например, криптографических ключей), недоступных для прикладных программ. Емкость PROM составляет десятки и сотни килобайтов.

Центральный процессор смарт-карты (обычно это RISC-процессор) обеспечивает реализацию разнообразных процедур обработки данных, контроль доступа к памяти и управление ходом выполнения вычислительного процесса.

На специализированный процессор возлагается реализация различных процедур, необходимых для повышения защищенности СИА:

- генерация криптографических ключей;

- реализация криптографических алгоритмов (ГОСТ 28147-89, DES, 3DES, RSA, SHA-1 и др.);

- выполнение операций с электронной цифровой подписью (генерация и проверка);

- выполнение операций с PIN-кодом и др.

Бесконтактные смарт-карты разделяются на идентификаторы Proximity и смарт-карты, базирующиеся на международных стандартах ISO/IEC 15693 и ISO/IEC 14443. В основе функционирования большинства СИА на базе бесконтактных смарт-карт лежит технология радиочастотной идентификации. Конструктивно радиочастотные идентификаторы (см. табл. 1) изготавливаются в виде пластиковых карточек, брелоков, жетонов, дисков, меток и т. п.

Таблица 1. Радиочастотные идентификаторы

Основные компоненты бесконтактных смарт-карт - чип и антенна. Внутри идентификаторов также может находиться литиевая батарея. Идентификаторы с батареей называются активными, без батареи - пассивными. Каждый идентификатор имеет уникальный 32/64-разрядный серийный номер.

Идентификаторы Proximity функционируют на частоте 125 кГц. В состав чипа входит микросхема памяти (или микросхема с жесткой логикой) со вспомогательными блоками: модулем программирования, модулятором, блоком управления и др. Емкость памяти составляет от 8 до 256 байт. В Proximity в основном используется однократно программируемая постоянная память EPROM, но встречается и перезаписываемая EEPROM. В памяти содержатся уникальный номер идентификатора, код устройства и служебная информация (биты четности, биты начала и конца передачи кода и т. д.).

Обычно идентификаторы Proximity являются пассивными и не содержат химического источника питания - литиевой батареи. В этом случае питание микросхемы происходит посредством электромагнитного поля, излучаемого считывателем. Чтение данных считыватель осуществляет со скоростью 4 кбит/с на расстоянии до 1 м.

Системы идентификации и аутентификации на базе Proximity криптографически не защищены (за исключением заказных систем).

Бесконтактные смарт-карты функционируют на частоте 13,56 МГц и разделяются на два класса, которые базируются на международных стандартах ISO/IEC 15693 и ISO/IEC 14443.

Стандарт ISO/IEC 14443 включает в себя версии А и В, различающиеся способами модуляции передаваемого радиосигнала. Стандарт поддерживает обмен (чтение-запись) данными со скоростью 106 кбит/с (возможно увеличение скорости до 212, 424 или 848 кбит/с), дистанция чтения - до 10 см.

Для реализации функций шифрования и аутентификации в идентификаторах стандарта ISO/IEC 14443 могут применяться чипы трех видов: микросхема с жесткой логикой MIFARE, процессор или криптографический процессор. Технология MIFARE является разработкой компании Philips Electronics и представляет собой расширение ISO/IEC 14443 (версии А).

Стандарт ISO/IEC 15693 увеличивает дистанцию применения бесконтактного идентификатора до 1 м. На этом расстоянии обмен данными осуществляется со скоростью 26,6 Кбит/с.

USB-ключи (см. табл. 2) предназначаются для работы с USB-портом компьютера. Они конструктивно изготавливаются в виде брелоков, которые выпускаются в цветных корпусах, имеют световые индикаторы работы и легко размещаются на связке с ключами. Каждый идентификатор имеет прошиваемый при изготовлении уникальный 32/64-разрядный серийный номер.

Таблица 3. Основные функции комбинированных

На российском рынке наибольшей популярностью пользуются следующие USB-ключи:

- серии iKey 10xx, iKey 20xx, iKey 3000 - разработка компании Rainbow Technologies (www.rainbow.com), вошедшей в состав корпорации SafeNet (www.safenet-inc.com);

- eToken R2, eToken Pro фирмы Aladdin Knowledge Systems (www.aks.com);

- ePass1000, ePass2000 фирмы Feitian Technologies (www.ftsafe.com);

- ruToken (www.rutoken.ru) - совместная разработка компании "Актив" и фирмы "АНКАД" (www.ancud.ru).USB- ключи являются преемниками контактных смарт-карт. Поэтому структуры USB-ключей и смарт-карт, как и объемы аналогичных запоминающих устройств, практически идентичны. В состав USB-ключей могут входить:

- процессор - управление и обработка данных;

- криптографический процессор - реализация алгоритмов ГОСТ 28147-89, DES, 3DES, RSA, DSA, MD5, SHA-1 и других криптографических преобразований;

- USB-контроллер - обеспечение интерфейса с USB-портом компьютера;

- RAM - хранение изменяемых данных;

- EEPROM - хранение ключей шифрования, паролей, сертификатов и других важных данных;

- ROM - хранение команд и констант.

Комбинированные системы

Внедрение комбинированных СИА (см. табл. 3) в систему информационной безопасности компании увеличивает количество идентификационных признаков, позволяя таким образом более эффективно защитить компьютеры и корпоративную сеть от НСД. Кроме того, некоторые типы систем способны управлять физическим доступом в здания и помещения и контролировать его.

Таблица 3. Основные функции комбинированных СИА

Сегодня на рынке компьютерной безопасности присутствуют комбинированные системы идентификации и аутентификации следующих типов:

- системы на базе бесконтактных смарт-карт и USB-ключей;

- системы на базе гибридных смарт-карт;

- биоэлектронные системы.

Бесконтактные смарт-карты и USB-ключи

Аппаратная интеграция USB-ключей и бесконтактных смарт-карт предполагает, что в корпус брелока встраиваются антенна и микросхема, поддерживающая бесконтактный интерфейс. Это позволяет с помощью одного идентификатора организовать управление доступом и к компьютеру, и в помещения офиса. Для входа в служебное помещение сотрудник использует свой идентификатор в качестве бесконтактной карты, а при допуске к защищенным компьютерным данным - в качестве USB-ключа. Кроме того, при выходе из помещения он извлекает идентификатор из USB-разъема (чтобы потом войти обратно) и тем самым автоматически блокирует работу компьютера.

В 2004 г. на российском рынке появились два комбинированных идентификатора такого типа:

- RFiKey - разработка компании Rainbow Technologies (www.rainbow.msk.ru);

- eToken PRO RM - разработка компании Aladdin Software Security R.D. (www.aladdin.ru).

Идентификатор RFiKey (рис. 2) представляет собой USB-ключ iKey со встроенной микросхемой Proximity, разработанной HID Corporation (www.hidcorp.com).

Рис. 2. Идентификатор RFiKey

Изделие RFiKey поддерживает интерфейс USB 1.1/2.0 и функционирует со считывателями HID Corporation (PR5355, PK5355, PR5365, MX5375, PP6005) и российской компании Parsec (APR-03Hx, APR-05Hx, APR-06Hx, APR-08Hx, H-Reader).

К основным характеристикам RFiKey можно отнести следующие показатели:

- частота функционирования микросхемы Proximity - 125 кГц;

- тактовая частота процессора - 12 МГц;

- реализуемые криптографические алгоритмы - MD5, RSA-1024, DES, 3DES, RC2, RC4, RC5;

- наличие аппаратного датчика случайных чисел;

- поддерживаемые стандарты - PKCS#11, MS Crypto API, PC/SC;

- файловая система с тремя уровнями доступа к данным;

- поддерживаемые операционные системы - Windows 95/98/ME/NT4 (SP3)/2000/XP/ 2003.

Идентификатор eToken RM представляет собой USB-ключ eToken Pro со встроенным чипом, поддерживающим бесконтактный интерфейс (рис. 3). Поставщика и тип микросхемы заказчик может выбирать в соответствии со своими потребностями. В настоящее время компанией предлагаются радиочипы производства HID Corporation, EM Microelectronic-Marin, Philips Electronics (технология MIFARE), Cotag International и ОАО "Ангстрем".

Рис. 3. Идентификатор eToken RM

Например, радиочастотный пассивный идентификатор БИМ-002 отечественной компании "Ангстрем" (www.angstrem.ru) изготовлен в виде круглой метки. Он построен на базе микросхемы КБ5004ХК1, основой которой являются память EPROM емкостью 64 бит и блок программирования, используемый для записи уникального идентификационного кода.

К главным характеристикам eToken RM со встроенным идентификатором БИМ-002 можно отнести следующие показатели:

- частота функционирования БИМ-002 - 13,56 МГц;

- дальность чтения идентификационного кода - до 30 мм;

- тактовая частота процессора - 6 МГц;

- реализуемые криптографические алгоритмы - RSA-1024, DES, 3DES, SHA-1;

- наличие аппаратного датчика случайных чисел;

- поддерживаемые стандарты - PKCS#11, PKCS#15 (CRYPTOKI), MS Crypto API, PC/SC, X.509 v3, SSL v3, S/MIME, IPSec/IKE, GINA, RAS/Radius/PAP/CHAP/PAP;

- поддерживаемые операционные системы - Windows 98/ME/NT/2000/XP/2003, ASP Linux 7.2, Red Hat Linux 8.0, SuSe Linux 8.2.

На отечественном рынке ориентировочные цены комбинированных идентификаторов составляют: RFiKey 1032 - от $41, RFiKey 2032 и RFiKey 3000 - от $57, eToken RM с 32 Кб защищенной памяти и БИМ-002 - от $52.

Разница между стоимостью комбинированных и обычных USB-ключей приблизительно соответствует цене смарт-карты Proximity. Отсюда следует, что интеграция бесконтактных смарт-карт и USB-ключей почти не ведет к росту затрат на аппаратную часть при переходе на комбинированную систему идентификации и аутентификации. Выигрыш же очевиден: один идентификатор вместо двух.

Гибридные смарт-карты

Гибридные смарт-карты содержат не связанные между собой разнородные чипы (рис. 4). Один чип поддерживает контактный интерфейс, другие (Proximity, ISO 14443/15693) - бесконтактный. Как и в случае интеграции USB-ключей и бесконтактных смарт-карт, СИА на базе гибридных смарт-карт решают двоякую задачу: защиту от НСД к компьютерам и в помещения компании, где они содержатся. Кроме этого на смарт-карте помещается фотография сотрудника, что позволяет идентифицировать его визуально.

Рис. 4. Структура гибридной смарт-карты

Стремление к интеграции радиочастотной бесконтактной и контактной смарт-карт-технологий находит отражение в разработках многих компаний: HID Corporation, Axalto (www.axalto.com), GemPlus (www.gemplus.com), Indala (www.indala.com), Aladdin Knowledge Systems и др.

Например, корпорация HID, ведущий разработчик СИА на базе бесконтактных идентификаторов, выпустила идентификаторы-карты, объединяющие в себе различные технологии считывания идентификационных признаков. Результатом этих разработок явилось создание гибридных смарт-карт:

- Smart ISOProx II - интеграция Proximity-чипа и чипа с контактным интерфейсом (опционально);

- iCLASS - интеграция чипа ISO/IEC 15693 и чипа с контактным интерфейсом (опционально);

- iCLASS Prox - интеграция Proximity-чипа, чипа ISO/IEC 15693 и чипа с контактным интерфейсом (опционально).

На отечественном рынке цены на эти изделия составляют: iCLASS - от $5,1; Smart ISOProx II - от $5,7; iCLASS Prox - от $8,9.

В России компанией Aladdin Software Security R.D. разработана технология производства гибридных смарт-карт eToken Pro/SC RM. В них микросхемы с контактным интерфейсом eToken Pro встраиваются в бесконтактные смарт-карты. Фирма предлагает смарт-карты различных производителей: ОАО "Ангстрем" (БИМ-002), HID Corporation (ISOProx II), Cotag International (Bewator Cotag 958), Philips Electronics (технология MIFARE) и других. Выбор варианта комбинирования определяет заказчик.

Анализ финансовых затрат при переходе на применение гибридных смарт-карт, как и в случае комбинирования бесконтактных смарт-карт и USB-ключей, снова подтверждает торжество принципа "два в одном". Если же на идентификатор поместить фотографию сотрудника, то этот принцип трансформируется в "три в одном".

Биоэлектронные системы

Для защиты компьютеров от НСД биометрические системы обычно объединяются с двумя классами электронных СИА - на базе контактных смарт-карт и на базе USB-ключей.

Интеграция с электронными системами на базе бесконтактных смарт-карт главным образом используется в системах управления физическим доступом в помещения.

Как уже было замечено, технологии идентификации по отпечаткам пальцев сегодня лидируют на рынке биометрических средств защиты. Столь почетное место дактилоскопии вызвано следующими обстоятельствами:

- это самый старый и наиболее изученный метод распознавания;

- его биометрический признак устойчив: поверхность кожного покрова на пальце не меняется со временем;

- высокие значения показателей точности распознавания (по заявлениям разработчиков дактилоскопических средств защиты, вероятность ложного отказа в доступе составляет 10-2, а вероятность ложного доступа -10-9);

- простота и удобство процедуры сканирования;

- эргономичность и малый размер сканирующего устройства;

- самая низкая цена среди биометрических систем идентификации.

В связи с этим сканеры отпечатков пальцев стали наиболее используемой составной частью комбинированных СИА, применяемых для защиты компьютеров от НСД. На втором месте по распространенности на рынке компьютерной безопасности находятся СИА на базе контактных смарт-карт.

Примером такого рода интеграции служат изделия Precise 100 MC (рис. 5) и AET60 BioCARDKey (рис. 6) компаний Precise Biometrics AB (www.precisebiometrics.com) и Advanced Card Systems (www.acs.com.hk) соответственно. Чтобы получить доступ к информационным ресурсам компьютера с помощью этих средств, пользователю необходимо вставить в считыватель смарт-карту и приложить палец к сканеру. Шаблоны отпечатков пальцев хранятся в зашифрованном виде в защищенной памяти смарт-карты. При совпадении изображения отпечатка с шаблоном разрешается доступ к компьютеру. Пользователь очень доволен: не надо запоминать пароль или PIN-код, процедура входа в систему значительно упрощается.

Рис. 5. Изделие Precise 100 MC

Изделия Precise 100 MC и AET60 BioCARDKey - это USB-устройства, работающие в среде Windows. Считыватели смарт-карт поддерживают все типы микропроцессорных карточек, удовлетворяющих стандарту ISO 7816-3 (протоколы T=0, T=1). Дактилоскопические считыватели представляют собой сканеры емкостного типа со скоростями сканирования 4 и 14 отпечатков пальцев в секунду у Precise 100 MC и AET60 BioCARDKey соответственно.

Рис. 6. Изделие AET60 BioCARDKey

Чтобы уменьшить число периферийных устройств, можно интегрировать дактилоскопический сканер и считыватель смарт-карт в USB-клавиатуру защищаемого компьютера. Примерами таких устройств служат изделия KBPC-CID (рис. 7) альянса Fujitsu Siemens Computers (www.fujitsu-siemens.com), Precise 100 SC Keyboard (рис. 8) и Precise 100 MC Keyboard компании Precise Biometrics AB.

Рис. 7. Изделие KBPC-CID

Для доступа к информационным ресурсам компьютера, как и в предыдущем варианте, пользователю необходимо поместить смарт-карту в считыватель и к сканеру приложить палец.

Рис. 8. Изделие Precise 100 SC Keyboard

Представляется интересным и перспективным решение разработчиков комбинированных систем защиты объединить USB-ключ с дактилоскопической системой идентификации (далее такое устройство будем именовать USB-биоключом). Примером этого решения могут служить USB-биоключи FingerQuick (рис. 9) японской корпорации NTT Electronics и ClearedKey (рис. 10) американской компании Priva Technologies (www.cleared.com).

Рис. 9. USB-биоключ FingerQuick

Рис. 10. USB-биоключ ClearedKey

В ближайшем будущем USB-биоключи могут получить широкое распространение благодаря своим достоинствам:

- высокий уровень защищенности (наличие дактилоскопического сканера, хранение секретных данных, в частности шаблонов отпечатков пальцев, в защищенной энергонезависимой памяти идентификатора, шифрование обмена данными с компьютером);

- аппаратная реализация криптографических преобразований;

- отсутствие аппаратного считывателя;

- уникальность признака, малые размеры и удобство хранения идентификаторов.

Главным недостатком USB-биоключей является их высокая цена. Например, приблизительная стоимость FingerQuick составляет $190.

Заключение

На первый взгляд комбинированные системы идентификации и аутентификации представляют собой какие-то дорогостоящие, экзотические продукты. Но мировой опыт разработок систем компьютерной безопасности показывает, что все используемые в настоящий момент средства защиты тоже когда-то были такими вот экзотическими изделиями. А сейчас они - норма безопасной жизни. Отсюда с высокой вероятностью можно утверждать, что подобная судьба ожидает и комбинированные системы.

С автором, кандидатом технических наук и ведущим специалистом НИП "Информзащита", можно связаться по адресу: vnshramko@infosec.ru.