Другие средства и способы аутентификации
Дальнейшее увеличение вычислительной мощности доступных на рынке компьютеров усугубило проблему, связанную с использованием чисто парольной аутентификации. Чтобы пароль пользователя невозможно было программно подобрать в течение срока его действия, запуская специальную программу перебора на современном компьютере, пароль должен состоять не меньше чем из 8 + 10 символов, содержать буквы нижнего и верхнего регистра, цифры и спецсимволы (знаки препинания, арифметических действий, денежные символы и т. п.), являясь случайной комбинацией символов. Очевидно, что такой пароль невозможно запомнить, поэтому пользователи их записывают на бумажках, а бумажки оставляют или прячут на рабочем месте, теряют - в итоге риск компрометации паролей увеличивается. Получается, что аутентификация по паролю уже не может обеспечить должный уровень защиты, который дают только схемы с использованием аппаратных идентификаторов и комбинированные схемы многофакторной аутентификации.
Достаточно подробный обзор средств аутентификации, включающий в себя классификацию, краткое описание технического устройства и принципов функционирования различных средств аутентификации дан в статье В.Шрамко: «Аппаратно-программные средства контроля доступа» (PC-Week/RE№ 9-2003 г., стр. 25 - 28). За время, прошедшее с момента ее опубликования, никаких революционных технических новшеств на наш взгляд представлено не было.
|
|
|
Можно выделить несколько основных типов аппаратно-программных средств аутентификации:
■ на базе смарт-карт и USB-токенов;
■ на базе пассивных контактных и бесконтактных идентификаторов;
■ биометрические;
■ комбинированные.
Устройства аутентификации на базе смарт-карт и/или USB-токенов
Поддержка такого рода средств встроена штатно в Microsoft Active Directory Windows 2000, Windows Server 2003 и 2008.
Аутентификация на базе смарт-карт и USB-токенов (фактически, USB-токен - это смарт-карта, совмещенная в одном корпусе со считывателем, подключаемым к разъему USB) основывается на проверке сертификатов открытого ключа. Ключевая пара генерируется смарт-картой, соответствующий закрытый ключ хранится в смарт-карте, возможны такие настройки, при которых закрытый ключ не может быть экспортирован. Сертификат открытого ключа также хранится в смарт-карте, но наряду с этим возможно централизованное хранение сертификатов в каталоге (это может быть Microsoft Active Directory или другая служба каталога, поддерживающая LDAP). Все сопутствующие криптографические вычисления производятся процессором смарт-карты.
ОС через считыватель передает в смарт-карту запрос, этот запрос зашифровывается на секретном ключе и передается ОС, ответ расшифровывается на открытом ключе и сравнивается с исходным запросом, в результате сравнения принимается решение -считать аутентификацию успешной или нет.
|
|
|
Данная схема может быть усложнена сопутствующими дополнительными техническими мерами, если необходимо осуществлять аутентификацию по сети (см., например, описание протоколов аутентификации Kerberos - RFC 1510, ЕАР TLS - RFC 2716), но в основе всегда лежит проверка того, что проходящий аутентификацию субъект обладает секретным ключом, соответствующим проверяемому сертификату открытого ключа, фактически - обладает данной смарт-картой, выступающей в роли хранилища этого ключа.
Для реализации схем аутентификации с использованием смарт-карт требуется наличие в достаточном количестве самих смарт-карт и подходящих считывателей (либо USB-токенов), а также сопутствующего ПО (драйверов) на компьютерах, где планируется проводить аутентификацию с использованием смарт-карт. Кроме того, требуется развернуть в АС организации инфраструктуру открытых ключей, в рамках которой будут выпускаться сертификаты для смарт-карт. И, наконец, требуется, чтобы все компоненты этой системы, где используется криптография, были сертифицированы ФСБ России.
|
|
|
Последнее требование резко сужает возможный выбор таких средств.
В качестве программных средств, реализующих инфраструктуру открытых ключей можно использовать Крипто-Про УЦ (производства компании Крипто-Про, Москва, www.cryptopro.ru), Notary Pro (производства компании Сигнал-КОМ, Москва, www. signal-com.ru), либо любое другое ПО для удостоверяющего центра, в которое можно встроить в качестве кр1штопровайдера сертифицированные ФСБ России криптопровайдеры Crypto-CSP (Крипто-Про) или Крипто-Ком (Сигнал-Ком). Существует опыт встраивания российских криптопровайдеров в RSA Keon, Baltimore Unicert и др.
Смарт-карты и токены с поддержкой криптографии ГОСТ выпускает компания Аладдин (www.aladdin.ru), кроме того, достойны внимания токены RuToken производства компании АНКАД и изделия «ШИПКА» от ОКБ САПР (в них совмещена функциональность смарт-карты и съемного диска, содержимое которого зашифровано на аппаратном уровне).
Дата добавления: 2018-02-28; просмотров: 482; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!