С помощью смарт-карт и токенов мобильные пользователи могут подтвердить свое право доступа в корпоративную сеть.
Смарт-карты очень гибки в использовании благодаря возможности записи на них приложений. Миниатюрные генераторы паролей, токены, часто обладают значительным объемом памяти и дополнительной логикой, а потому могут поддерживать ряд дополнительных функций, в частности обеспечивать защиту информации на ноутбуке.
Токены и смарт-карты по сути являются миниатюрными ЭВМ (в виде микросхемы) с собственной небольшой операционной системой. Для выполнения базовой функции — аутентификации — на них выполняется криптографический процесс, который производители описывают при помощи своего программного обеспечения. Часть из них, как Kobil, например, предлагает подобные программные приложения не только для собственных токенов и смарт-карт, но и для других устройств, в том числе для программируемых мобильных телефонов или КПК (см. Рисунок 1), которые после этого служат в качестве вычислительного блока для протокола аутентификации.
Рисунок 1. На КПК можно использовать программные токены в качестве генераторов паролей. |
При аутентификации смарт-карте или токену приходится выполнять операции по шифрованию. Необходимый для этого ключ находится на карте или устройстве. Преимущество для безопасности очевидно: на одном и том же физическом носителе, во-первых, надежно хранится секретный ключ, а во-вторых, здесь же обрабатываются все необходимые алгоритмы шифрования. Таким образом, секретные ключи никогда не покидают свой носитель.
При современном уровне технических разработок смарт-карты представляют собой важный компонент безопасности, поскольку они хорошо подходят для включения в инфраструктуры с открытыми ключами (Public Key Infrastructure, PKI). Как правило, смарт-карты изготавливаются для определенной цели, поэтому выбор системы в большинстве случаев зависит от того, насколько заказчик доверяет продукции соответствующего производителя. Идет ли речь о пропуске на заводскую территорию с правом доступа в здание и подземный гараж, а также с функцией оплаты по счету в буфете или же желаемое приложение относится к области систем электронных платежей для защиты интерактивных транзакций? В потребительском секторе смарт-карты успешно применяются для организации бонусных программ, а в общественном транспорте — в электронных билетах. Тем, кто размышляет над введением системы смарт-карт, следует убедиться в должной компетенции потенциального поставщика.
Рисунок 2. Эксперты в области криптографии, подобно хакерам, пытаются извлечь из карт с интегральными микросхемами секретную информацию при помощи специального оборудования. Цель — защита карт от неправомерного использования. |
Цель атак на карты с интегральными микросхемами — добыть сохраненный на ней ключ. Тот, кто им обладает, может произвольным образом манипулировать картой и даже скопировать ее. Крайне важно выяснить, каким образом производитель чип-карт обеспечивает защиту от таких атак. Хотя поставщики полупроводников уже предусматривают определенную защиту микросхем в целях усложнения проведения атаки, но основную часть мер отражения приходится принимать разработчику программного обеспечения для микросхем. В компании Giesecke & Devrient (G&D), к примеру, есть профессионально оснащенная криптографическая лаборатория, в которой команда из четырех сотрудников тщательно проверяет надежность карт G&D с применением типичных методов хакеров (см. Рисунок 2 и 3).
НЕЗАВИСИМОСТЬ ТОКЕНА ОТ оборудования НА ТЕРМИНАЛЕ ДОСТУПА
Основное назначение токенов заключается в мобильной аутентификации посредством однократных паролей. Самым большим их преимуществом по сравнению, например, с биометрическими методами распознавания является независимость от наличия специального аппаратного и программного обеспечения на терминале доступа — это обязательное требование со стороны мобильных пользователей, нуждающихся в безопасном доступе к корпоративным серверам из любой точки земного шара.
Рисунок 3. С помощью специального оборудования производители карт с интегральными микросхемами имитируют тяжелые атаки хакеров. |
После ввода секретного PIN-кода токен вычисляет пароль, с помощью которого пользователь один раз может зарегистрироваться на целевой системе. Код будет отображен на интегрированном дисплее. Однократные пароли предлагают заметно более высокую степень безопасности при аутентификации, чем обычные. Хотя и в этом случае считывание введенного кода нельзя исключить полностью, украденный пароль не принесет атакующему никакой пользы, поскольку он уже будет недействительным.
Уровень безопасности описанного метода оценивается так же высоко, как работа с номерами TAN в электронном банковском бизнесе. Как правило, токены работают с соответствующим сервером аутентификации и авторизации, установленном в центре сети, доступ к которой хочет получить пользователь. Сервер должен быть способен в зависимости от потребности предоставлять свои услуги и другим приложениям и системам — брандмауэрам, маршрутизаторам, шлюзам VPN, серверам Web и т. д. (см. Рисунок 4).
ВАЖНЫЕ МЕХАНИЗМЫ И СТАНДАРТЫ
Криптографические методы, интерфейсы и протоколы должны соответствовать международным стандартам, чтобы они обеспечивали возможность совместной работы между различными платформами и производителями. Безопасность криптографического метода должна заключаться в секретности ключа, а не в секретности самого метода. Известные и подробно изученные специалистами криптографические методы предлагают заслуживающий доверия базис для защиты важных данных.
В случае симметричных методов шифрования, используемых в токенах, для шифрования и расшифровки данных применяется один и тот же ключ. Токен безопасности должен поддерживать такие широко распространенные симметричные методы шифрования, как тройной стандарт шифрования данных (Tripple Data Encryption Standard, 3DES — дальнейшее развитие DES с эффективной длиной ключа 168 бит), RC2 (Ron?s Cipher — симметричный, сравнительно слабый 40-разрядный алгоритм шифрования от RSA Security), RC4 (наследник RC2 с длиной ключа до 2048 бит), международный алгоритм шифрования данных (International Data Encryption Algorithm, IDEA) и расширенный стандарт шифрования (Advanced Encryption Standard, AES).
К важнейшим стандартным интерфейсам и протоколам для защиты доступа относятся RADIUS, TACACS+, PAM и SSL. Служба удаленной аутентификации пользователей по коммутируемой линии (Remote Access Dial-In User Service, RADIUS) фактически является стандартом (RFC 2138) для централизованной аутентификации и авторизации пользователей в крупных вычислительных сетях. В масштабных гетерогенных средах сервер RADIUS должен поддерживать и альтернативные методы. Система контроля доступа с контроллером терминального доступа (Terminal Access Controller Access Control System, TACACS+) представляет собой фактический стандарт (RFC 1492), разработанный компанией Cisco для централизированной аутентификации и авторизации пользователей по типу RADIUS.
Подключаемые модули аутентификации (Pluggable Authentication Modules, PAM) — это концепция, пришедшая из мира UNIX; с ее помощью администратор может гибко задавать директивы аутентификации (правила) для приложений, способных работать с PAM. Они должны поддерживаться хотя бы в качестве опционального модуля. И наконец, протокол защищенных сокетов (Secure Sockets Layer, SSL) — стандартизированная и распространенная технология для защищенных сеансов связи между двумя компьютерными приложениями, причем чаще всего речь идет о браузере и сервере Web (в этом случае — с приложением). Для организации защищенного сеанса сервер Web аутентифицируется через браузер. Опционально он аутентифицирует и пользователя браузера при помощи технологий PKI. Кроме того, для шифрования всех передаваемых данных создается ключ сеанса.
Наряду с соблюдением стандартов важно, чтобы решение на базе токенов вписывалось в имеющуюся инфраструктуру ИТ. Для этого оно должно, к примеру, поддерживать совместную работу с уже инсталлированным в сети сервером RADIUS. Однако производитель обязан предложить и собственные модули аутентификации, если соответствующие средства отсутствуют на предприятии. Безусловно, полезно заранее ознакомиться с программным обеспечением для управления пользователями и их картами/токенами: оно должно быть простым и легко понятным.
ТОКЕНЫ КАК МОБИЛЬНЫЕ УНИВЕРСАЛЬНЫЕ УСТРОЙСТВА ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
Рисунок 5. На первый взгляд это обычная флэш-память, на самом же деле — токен аутентификации, сейф данных, криптографическая машина и органайзер в одном продукте. |
Благодаря своему форм-фактору, напоминающему о накопителях USB или плеерах MP3, область применения токенов выходит далеко за границы их базовой области применения в качестве решения для аутентификации. Так, производители все чаще представляют на рынке продукты, которые выступают в роли шифруемой памяти, устройств для считывания чип-карт (чаще всего в формате SIM) и мини-компьютеров, выполняющих различные дополнительные функции. Для соединения с персональным компьютером или ноутбуком используется интерфейс USB (2.0), вследствие чего токены действительно становятся похожими на приобретающие все большую популярность модули флэш-памяти (см. Рисунок 5 и 6). Однако их отличие очевидно: человек, не обладающий необходимыми правами, не сможет прочесть данные с токена. Устройства шифруются при помощи чип-карты и, как и все прочие функции, защищаются от постороннего доступа при помощи PIN-кода (как минимум из шести символов).
ЗАЩИТА ДАННЫХ НА НОУТБУКЕ ПРИ ПОМОЩИ ТОКЕНА
Некоторые производители реализуют возможность шифрования данных на жестком диске с помощью подключенного к ноутбуку (через USB) токена. С учетом 500 тыс. украденных мобильных компьютеров (источник: IDC, 2002) для сотрудников, хранящих на своих ноутбуках конфиденциальные данные, эта функция, безусловно, будет весьма полезна. Однако необходимо использовать мощное шифрование, к примеру AES, которое должно охватывать все секторы жесткого диска и распространяться на операционную систему. Чем больше разделов и жестких дисков поддерживается, тем лучше.
Рисунок 6. Мобильный генератор паролей в роли брелока: токен Secovid. |
Первичное шифрование должно быть возможным также в фоновом режиме. Это позволит прервать процесс шифрования, чтобы в любой момент перевести компьютер на пониженную нагрузку или перейти в так называемый «режим ожидания», поддержка которого в операционной системе Windows очень важна для мобильных пользователей. В этом случае до выключения компьютера содержимое оперативной памяти переписывается на жесткий диск. При запуске, после аутентификации пользователя, данные снова загружаются из файла ожидания, так что пользователь может продолжать работу с того места, на котором он остановился. Токен должен обеспечивать шифрование файла ожидания.
У некоторых производителей токен способен синхронизировать данные с Outlook и сохранять пользовательские профили Windows. Последнее позволяет создать на чужом компьютере привычную среду и помогает, например, установить привычные настройки при конфигурации только что приобретенного ПК. Если собственные данные были перенесены на чужой компьютер для обработки, то по окончании сеанса они снова могут быть оттуда удалены. Прочими интересными функциями токенов являются, прежде всего, аутентификация VPN, цифровая подпись (для инфраструктуры PKI) и накопители паролей (для статичных паролей). Размер накопителя — важный критерий. Его емкость в большинстве случаев соответствует емкости флэш-памяти USB (т. е. между 32 и 512 Мбайт), однако в идеальном случае она масштабируется.
Таким образом, токены и смарт-карты становятся универсальными системами для всех процессов, нуждающихся в надежной аутентификации. Форм-факторы весьма разнообразны, и в некоторых случаях программное обеспечение токена и функции смарт-карты находятся внутри одного-единственного устройства.
Штефан Мучлер — шеф-корреспондент LANline. С ним можно связаться по адресу: sm@lanline.awi.de.
? AWi Verlag