Централізоване управління засобами аутентифікації

Вбудована флеш-пам'ять

Незважаючи на можливість за допомогою друку на спеціальних  принтерах перетворити токен  у форм-факторі смарт-карти в  універсальний пристрій, що об'єднує  бейдж (з фотокарткою та ПІБ власника), засіб аутентифікації і картку для  проходу в приміщення, в Україні найбільш поширений форм-фактор - це USB-ключі. Пов'язано це в першу чергу з зручністю підключення - немає необхідності обладнувати кожну робочу станцію карт-рідерами (зчитувачами смарт-карт). Психологія користувачів, які очікують при підключенні USB-ключа появи нового диска в папці «Мій комп'ютер», бажання заощадити на додаткових портах, а так само сучасні вимоги інформаційної безпеки багато в чому зумовили появу нового класу пристроїв.

Провідні виробники апаратних  засобів аутентифікації пропонують комбіновану модель апаратного USB-токена з інтегрованою флеш-пам'яттю. Крім звільнення додаткового USB-роз'єму такий  пристрій має цілий ряд переваг  щодо безпечного зберігання, транспортування  та віддаленого доступу до конфіденційних даних

Програми безпеки зручно зберігати і запускати безпосередньо  з пам'яті токена. Апаратна реалізація криптографічних алгоритмів дозволяє в одному корпусі об'єднати самі дані що захищаються і ключі шифрування, необхідні для доступу до них.

Великий обсяг пам'яті (до 4 ГБ) дозволяє розміщувати і автоматично запускати при підключенні:

• Драйвери самого токена;
• Програми безпеки (наприклад, програми для шифрування даних);
• Програми, призначені спеціально для окремих користувачів або груп користувачів;
• Операційні системи;
• Файли установки.

Подібні пристрої дозволяють реалізувати довірене завантаження робочих станцій, термінальних клієнтів і навіть серверів безпосередньо з самої пам'яті токена незалежно від встановленої на недовіреному комп'ютері операційної системи та наявності у нього жорсткого диска. Цікавим рішенням з таким токеном може бути поставка, дистрибуція, установка та тиражування ПЗ.

4. Генератори одноразових паролів

Для роботи поза стінами офісу з необладнаних і ненастроєних робочих місць, наприклад, в інтернет-кафе використовувати USB-ключі і смарт-карти фактично неможливо, особливо з урахуванням того, що останні крім драйверів вимагають наявності кард-рідера.

Використання класичних  «багаторазових» паролів є серйозною  вразливістю при роботі в таких  недовірених середовищах. Це підштовхнуло провідних вендорів ринку аутентифікації до створення апаратних генераторів  одноразових паролів (ОТР-пристроїв, від англ. One Time Password). Такі пристрої генерують черговий пароль, який співробітник вводить в вікно запиту або  за розкладом (наприклад, кожні 30 секунд) або за запитом (при натисканні на кнопку). Кожен такий пароль можна  використовувати тільки один раз. Перевірку  правильності введеного значення на стороні сервера перевіряє спеціальний  сервер аутентифікації, обчислює поточне  значення одноразового пароля програмно.

Для збереження принципу двофакторної аутентифікації крім згенерованого  пристроєм значення користувач вводить  постійний пароль.

Генератори одноразових  паролів з'явилися до широкого поширення  смарт-карт у відповідь на зростаюче  число інцидентів з крадіжкою  конфіденційної інформації за допомогою  віддаленого доступу. Такий метод  аутентифікації не є строгим і  носить назву - посилений. Основна уразливість  одноразових паролів - атака типу «людина посередині». При такій  атаці зловмисник вклинюється в  комунікацію між користувачем і  сервером, повністю контролюючи весь інформаційний обмін між ними. Відсутність криптографічних перетворень  як у випадку з використанням  смарт-карт і цифрових сертифікатів знижує рівень забезпечуваною безпеки, дозволяючи використовувати даний  спосіб тільки в певних випадках. Так, наприклад, банки в залежності від  методу аутентифікації (за одноразовим  паролем або цифровому сертифікату) встановлюють різні ліміти на проведення операцій.

5. Java-токени

Смарт-карта, а точніше  її чіп, імплантований в пластик  або вбудований в корпус USB-ключа  є повноцінним комп'ютером в мініатюрі: з жорстким диском (EEPROM), оперативною  пам'яттю (ROM), процесором і, звичайно, операційною  системою. Функціоналом, операційною  системою і «встановленими» на неї  додатками і визначаються можливості токена.

Попередні покоління токенів, як правило, використовували пропрієтарну ліцензовану операційну систему (один з монополістів цього ринку - компанія Siemens з її CardOS). Закрита архітектура робила вкрай складною розробку додаткових програм і компонентів самої операційної системи, наприклад, реалізацію підтримки національних криптографічних алгоритмів.

Сучасні токени будуються  на базі Java-карти, що є стандартом на ринку (більше 10 великих виробників). Функціональність конкретного токена визначаться набором завантажених аплетів, що виконуються на віртуальній Java-машині. Відкрита платформа і  широка популярність мови програмування Java дозволяє розробляти і в короткі  терміни впроваджувати нові можливості. Серед перспективних розробок - реалізація мобільного електронного гаманця користувача, контроль цілісності критичних даних  засобами аплету, що виконується в завідомо довіреному середовищі смарт-карти і т.п.

Важливою особливістю  сучасних Java-токенів є підтримка USB CCID Class Driver. Це клас драйверів для USB-зчитувачів смарт-карт, що дозволяє реалізувати мінімальний функціонал по роботі зі смарт-картою без установки  спеціалізованих драйверів від  виробника. Аналогічний клас драйверів, для, наприклад, комп'ютерної мишки  гарантує працездатність двох кнопок і колеса прокрутки будь-якого  пристрою відразу після підключення.

USB CCID Class Driver вбудований в  операційну систему Windows Vista і  автоматично скачується з сайту  Windows Update при виявленні нового  підключеного пристрою в Windows XP, 2003.

Описані технології дозволяють використовувати сучасні токени, на відміну від пристроїв попереднього покоління на більш широкому парку  комп'ютерної техніки та для вирішення  більш широкого спектру завдань.

6. Централізоване управління засобами аутентифікації

Великі компанії фінансового сектора, а також телекомунікаційні компанії, а слідом за ними і всі інші, аж до компаній малого бізнесу, на тлі зростаючих загроз інформаційної безпеки поступово приходять до розуміння необхідності використання засобів строгої аутентифікації користувачів.

Велика кількість різних моделей апаратних засобів аутентифікації, велика кількість технологій, методів  аутентифікації, а так само різноманітність  програм безпеки і цілей використання призводить до певних складнощів при  впровадженні токенів в масштабах  організаціі. Типовими сценаріями стають скидання забутого PIN-коду токена , заміна або видача тимчасового замість пошкодженого / втраченого токена.

При значній кількості  користувачів (від 100 і вище) витрати  на супровід засобів аутентифікації в масштабах компанії стають порівнянними з вартістю володіння централізованою  системою управління життєвим циклом токенів. При цьому потрібно віддавати  собі звіт в тому, що впровадження апаратних  засобів аутентифікації користувачів саме по собі не дозволяє підвищити  безпеку системи. Для дійсно ефективного  їх використання необхідно грамотно розробити та впровадити відповідні політики безпеки, що визначають регламенти та правила використання цих засобів.

Не менш важливий і контроль за правильністю застосування політик, що особливо стає значущим у випадку  територіальної розподіленості компанії, великої кількості філій та груп користувачів, що використовують ті чи інші види токенів для доступу  до інформації різного рівня конфіденційності.

Ручний облік токенів, персоналізація і правильне призначення  їх користувачам залежно від посадових  обов'язків, а так само аудит використання та контроль правильності застосування політик в масштабах великої  компанії просто немислимий.

Описані вище і багато інших  завдань з міркувань безпеки  і в тому числі для зменшення  впливу людського фактора як правило  автоматизують з використанням спеціалізованих систем класу Token Management System (TMS).

Власне, TMS - це система, призначена для впровадження, управління, використання та обліку апаратних засобів аутентифікації користувачів (USB-ключів і смарт-карт) в масштабах підприємства. З моменту  ініціалізації токена і до його відкликання, тобто протягом усього часу його функціонування в інфраструктурі компанії, основним інструментом для управління ним  є TMS. До базових функцій TMS відносяться: введення в експлуатацію токена (смарт-карти, USB-ключа, комбінованого USB-ключа або  генератора одноразових паролів), персоналізація токена співробітником, додавання можливості доступу до нових додатків, а так  само його відкликання, заміна або тимчасова видача нової карти, розблокування PIN-коду, обслуговування смарт-карти що вийшла з ладу та відкликання її.

Висновки

При всій великій кількості  методів аутентифікації найбільш популярними  на ринку залишаються апаратні токени у всіх їхніх модифікаціях і варіантах виконання. Дана технологія поза всяким сумнівом буде затребувана і попит на неї зростатиме. Виробники апаратних токенів постійно пропонують все нові і нові моделі, а розробники прикладного ПО і операційних систем вбудовують в свої продукти підтримку смарт-карт і не поспішають від них відмовлятися.

Сучасні токени дозволяють вирішити широкий спектр завдань по забезпеченню інформаційної безпеки і не рідкісні випадки, коли великі багатофіліальні компанії приймають токени як корпоративний стандарт, роблячи обов'язковим застосування апаратних засобів аутентифікації в усіх своїх дочірніх підрозділах.

Середній та малий бізнес слідом за великими компаніями і державою проявляють все більший інтерес до токенів як засобів збереження конфіденційності комерційної інформації. Інтерес з боку домашніх користувачів, цілком можливо, не за горами. Так популярність персональних засобів антивірусного захисту сьогодні вже нікого не дивує, адже токени дозволяють захистити особисту інформацію і персональні дані від загроз, перед якими антивіруси просто безсилі.

Література

1. Романец Ю.В., Тимофеев П.А., Шаньгин  В.Ф. Защита информации в современных  компьютерных системах.  – 2-е издание: М.: Радио и связь, 2001.
2. Леонтьев Б. Хакинг без секретов. – М.: Познавательная книга плюс, 2000.
3. Евангели А. Технологии биоидентификации и биометрический рынок. // PC Week /RE. – 2003 - № 7 – c. 24-25.
4. Матвеев И.А., Ганькин К.А. Распознавание человека по радужке. // Системы безопасности. – 2004 - № 5 – с. 72-76.