Токены и одноразовые пароли в системах строгой аутентификации

ЗАЩИТА ДАННЫХ

В последнее время PKI начали активно встраивать в структуру безопасности информационных систем предприятий. Инфраструктура открытых ключей предполагает наличие в паре электронных ключей закрытого ключа, хранящегося в зашифрованном виде. Если нет гарантии, что закрытый ключ сохраняется секретным, то вся система PKI теряет смысл. Однако существуют области применения технологии PKI, в которых требуются постоянные перемещения закрытого ключа, так как пользователям нужен мобильный доступ к приложениям, например в системах Интернет-банкинга или для дистанционного доступа к корпоративной ИС. В этих случаях обычно обращаются к смарт-картам. Но такое решение имеет свои недостатки.

Digipass PRO 800

Для работы систем защиты информации при помощи смарт-карт необходим считыватель. Он требует физического подключения к компьютеру и установки драйверов ОС. Это приводит к неудобству (или невозможности) применения схем защищенного доступа к информации с помощью смарт-карт. Зачем нам смарт-карта, если под рукой нет считывателя? Кроме того, ввод пин-кода на стандартной клавиатуре ПК небезопасен - он может быть перехвачен, записан и использован троянскими программами или злоумышленниками, что фактически дискредитирует смарт-карту, участвовавшую в транзакции на этом компьютере. Это особенно актуально в местах с публичным доступом к компьютерам, оснащенным считывателями смарт-карт.

Избежать подобных проблем можно, если у вас будет считыватель смарт-карты в виде отдельного, не зависимого от персонального компьютера устройства (или его программного эквивалента), называемого “токен”. Оно осуществляет проверку пин-кода и подтверждение введенных данных самостоятельно, не имея в момент фактического проведения авторизации логического соединения с защищаемой системой. Примеры таких устройств - считыватели Digipass 800 и 850 компании VASCO (рис. 1). Они относятся к большому семейству устройств Digipass, обеспечивающих строгую аутентификацию при помощи динамических паролей.

Большинство экспертов по безопасности считают, что обычные статические пароли не являются надежным средством безопасности даже при соблюдении правил их использования. Ведь строгая аутентификация означает, что вы должны обеспечить невозможность входа в ИС и работу в ней от вашего имени. Однако часто достаточно простого наблюдения за действиями человека за компьютером, чтобы раскрыть пароль.

Существует масса технических способов дискредитации паролей: перехват по сети, вычисление зашифрованных паролей с помощью специальных программ или подбором и т. п. Логичное решение этой проблемы - применение одноразовых паролей или паролей, выдаваемых без использования компьютеров, входящих в ИС. Такой пароль весьма надежен: устройство, выдающее его (токен), должно быть зарегистрировано в этой системе, для его активизации требуется ввод пин-кода, а сам пароль зависит от нескольких факторов - как правило, от времени создания и происходивших в системе событий (ранее выданных паролей). Токен имеет постоянную виртуальную связь с защищаемой ИС; можно сказать, что они всегда синхронизированы при помощи нескольких внутренних и внешних процессов. На этих принципах и построены устройства Digipass. Встроенная в них шифровальная машина DES или 3DES (TripleDES) отвечает за генерацию паролей и сигнатур (например, цифровых подписей). Подделка пароля и неавторизованный вход в систему становятся крайне трудновыполнимыми задачами, надежность защиты транзакций от перехвата также существенно повышается.

Еще одна возможность применения токенов со считывателями пластиковых карт - использование обычной платежной банковской карты для получения доступа к серверу транзакций SET или к серверу генерации одноразовых виртуальных номеров кредитных карт. В этом случае платежная карта обеспечивает тот же уровень безопасности платежей через Интернет, что и смарт-карта, причем без необходимости инсталлировать считыватель смарт-карты.

Рассмотрим системы, в которых технология PKI малоприменима, например, call-центры или телефонный банкинг. В таких системах традиционно используется аутентификация с помощью пин-кода, что далеко не всегда обеспечивает требуемый уровень защиты. И здесь также способны помочь устройства, выдающие одноразовые пароли для доступа к системе.

Существует несколько режимов работы токенов для различных прикладных задач. Основные из них - “только ответ”, “запрос - ответ” и “цифровая подпись”. В простейшем из режимов (“только ответ”) пользователь включает токен нажатием кнопки, вводит свой пин-код, и токен сразу выдает одноразовый пароль. В случае использования устройств Digipass этот пароль проверяется либо одним из серверов VACMAN, либо ПО организации-заказчика, написанным с применением специального программного интерфейса (API). Сервер аутентификации проверяет почти те же исходные данные, что и токен при создании пароля:

- внутренние начальные значения (seed values);

- время создания пароля;

- предшествующие события (использованные пароли);

- секретные ключи алгоритмов DES.

Далее разрешение либо запрет с сервера аутентификации передаются серверу авторизации защищаемой системы.

Более сложная схема - “запрос - ответ”. Она предполагает запрос от пользователя дополнительной информации для вычисления пароля, например числа, генерируемого серверным прикладным ПО и вводимого пользователем в токен при генерации пароля. При проверке сервер использует это число для проведения фактической аутентификации.

Схема аутентификации с дополнительным запросом

В режиме “цифровой подписи” токен вычисляет пароль на основе нескольких полей данных, созданных конечным пользователем, а не серверными приложениями. Поля данных (электронное письмо или банковская операция) вводятся последовательно в токен, затем токен вычисляет некоторое число (электронную подпись). Данные вместе с электронной подписью отправляются на сервер проверки и обработки данных, где ПО также вычисляет число на основе полученных данных, используя те же ключи, что и в токене. Если кто-либо по пути прохождения транзакции ее перехватит, он не сможет изменить или подделать ее. Цифровая подпись фактически гарантирует целостность или, другими словами, неизменность пересылаемых данных.

Встроенной в токены Digipass батареи хватает на 7-10 лет работы. Информация в токен может вводиться как с его клавиатуры, так и оптическим способом. Токен снабжен фотоэлементами, считывающими информацию (даже с экрана компьютера), и излучающими диодами для двустороннего обмена информацией - например, при его программировании или вводе секретных ключей. Эти ключи никогда не покидают устройство при обычной работе.

Технология токенов и, в частности, одноразовых паролей Digipass компании VASCO успешно используется в массовом масштабе во многих финансовых, правительственных, образовательных, телекоммуникационных и промышленных компаниях.