Доклады, выступления, видео и электронные публикации

Аутентификация за пределами 3А

Когда идея "овладевает массами", она зачастую видоизменяется - становится несколько уже, чем исходная. Все разработчики технических средств согласятся, что прежде, чем разработка будет востребована, идея должна стать общепринятой и, желательно, даже банальной. К радости разработчиков СЗИ и к выгоде всех тех, кому есть что скрывать, идея аутентификации массами овладела. Очень просто представить себе, что идентификатор украден или отобран, и предъявляется отнюдь не тем, кому принадлежит легально. Соответственно и мысль о необходимости жесткой "привязки" идентификатора к идентифицируемому - подтверждение подлинности идентифицирующей информации - была воспринята как достаточно очевидная, и никому уже не надо доказывать, что необходима "проверка подлинности" пользователя.

Однако, почему, собственно, только пользователя? Неизбежный побочный эффект популяризации концепции в данном случае проявился в том, что аутентификацию стали связывать только с человеком, в то время как совершенно необходимо подтверждать подлинность и взаимодействующих средств вычислительной техники (СВТ). Например, при получении информации с сервера, или отправке ее на сервер необходимо знать, что Вы соединены именно с тем сервером, с которым собирались, а не с тем, кто выдает себя за него. А сервер, в свою очередь, должен допускать взаимодействие не только со строго определенными пользователями, но и со строго определенными терминалами, чтобы исключить возможность подключения в качестве терминала "постороннего" ПК даже в том случае, если это пытается осуществить легальный пользователь. Безусловно, это касается не только терминальных систем, но и работы в локальных сетях, и т. п.

Поэтому во всех продуктах ОКБ САПР, предусматривающих взаимодействие на уровне СВТ, реализована технология взаимной аппаратной аутентификации участников. Специальный комплекс AcXNet обеспечивает дополнительный сеанс обмена сетевыми пакетами, подписанными ЭЦП станций на их закрытых ключах. Это происходит при установлении соединения и периодически повторяется на протяжении всей сессии.

Подтверждение подлинности станций А и В происходит в 4 шага обмена подписанными ЭЦП случайными данными (X и Y) и проверки этих случайных данных и подписей. При этом случайные числа являются "одноразовыми" идентификаторами, "выдаваемыми" станциями друг другу (так, обратно на А должно вернуться именно то число, которое было ею сгенерировано и отправлено), а ЭЦП, которыми подписаны эти числа, являются подтверждением принадлежности идентификаторов станциям (если подпись проверена (с помощью заранее надежно распределенных открытых ключей) и оказалась подлинной). Тот факт, что случайные числа генерируются каждый раз заново, обеспечивает невозможность предъявления "подслушанного" пакета "идентификатор + подпись".

Именно такая логика лежит в основе установления защищенного виртуального канала в ПАК СЗИ НСД Аккорд-NT/2000 V3.0 TSE (программно-аппаратном комплексе для защиты информации в терминальных системах) и Аккорд-РАУ (Подсистеме Распределенного Аудита и Управления - для управления защитой информации в рамках локальной сети).

И в том и в другом случае взаимная аутентификация станций не просто желательна, а принципиальна, потому что СЗИ, работающее с использованием незащищенного канала передачи данных, только повышает уязвимость системы, а не снижает ее. Не хочется даже представлять себе последствия ситуации, когда роль администратора безопасности информации в локальной сети или роль терминального сервера возьмет на себя злоумышленник, подсоединив свой ПК к системе.

Достаточно очевидно, что подобную систему можно построить только на базе аппаратного СЗИ, причем такого, как Аппаратный Модуль Доверенной Загрузки (Аккорд-АМДЗR), обладающего достаточными ресурсами и необходимой функциональностью. Оно должно иметь в своем составе по меньшей мере аппаратный генератор случайных чисел, защищенное хранилище ключевой информации и собственную криптографическую подсистему, а также обеспечивать защищенность аутентифицируемого ПК от несанкционированных изменений, иначе смысл аутентификации сводится на нет: зачем подтверждать подлинность устройства, которое, возможно, было модифицировано злоумышленником?

Функционирование Аккорд-РАУ и ПАК СЗИ НСД Аккорд-NT/2000 V 3.0 предполагает установку на каждый ПК, входящий в систему, контроллера АМДЗ. Это обозначает, что ОС на этих станциях загружается только после успешного завершения контрольных процедур (запрет загрузки с внешних носителей, идентификация/аутентификация пользователя, пошаговый контроль целостности аппаратной части и ПО), что делает аутентификацию станций целесообразной. А за счет архитектуры Аккорда-АМДЗ каждый этап процесса аутентификации проходит в доверенной среде и не может быть сфальсифицирован. Стало быть, взаимодействие в защищенной таким способом системе происходит только между теми ПК, которым положено взаимодействовать, и только при условии отсутствия в них несанкционированных модификаций и под управлением легального пользователя.

PS. Аргументы о целесообразности аутентификации аппаратуры постепенно - не станем утверждать, что исключительно нашими усилиями, - начинают звучать все чаще - в статьях и докладах российских ученых и разработчиков систем, требующих высокого уровня доверенности, и даже - что традиционно очень важно для популяризации - в статьях зарубежных аналитиков. В соответствии с их статистическими выкладками, аутентификация на уровне устройств более 70 % атак сделала бы принципиально нереализуемыми. Это позволяет надеяться, что со временем эта идея станет не менее очевидной, чем 3А. Тем, для кого она очевидна уже сейчас, мы предлагаем свои решения для построения действительно защищенных систем.

Автор: Конявская С. В.

Дата публикации: 01.01.2007

Библиографическая ссылка: Конявская С. В. Аутентификация за пределами 3А // Information Security. М., 2007.№ 3 (апрель-май) С. 45.


Scientia potestas est
Кнопка связи