Исследование особенностей аутентификации пользователей корпоративных сетей с использованием USB-ключей



Статья посвящена исследованию аутентификации пользователей с использованием USB-ключей в корпоративных и частных сетях, который предназначен для обеспечения информационной безопасности пользователей, их идентификации и безопасного удаленного доступа к информационным ресурсам.

Ключевые слова: USB-токен, электронный USB-ключ, электронный ключ.

Основой программно-технических средств безопасности информации является идентификация и аутентификации.

Идентификация позволяет субъекту (пользователю, процесса, действует от имени определенного пользователя или иному аппаратно-программном компонента) назвать себя (сообщить свое имя).

С помощью аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. Как синоним слова «аутентификация» иногда используют словосочетание «проверка подлинности».

Специалисты по информационной безопасности уже давно твердят о том, что парольная аутентификация — это самый ненадежный и уязвимый способ проверки подлинности пользователя. Интересное исследование было проведено в школе повышения квалификации командного состава ВМС США. Среди слушателей и профессорско-преподавательского состава наиболее распространенным для использования оказался 6-символьный пароль. Исследователи провели программный эксперимент по подбору пароля путем простого перебора и выяснили, что 6-символьные пароли подбираются примерно за 6 дней непрерывной работы компьютера, 8-символьные — примерно за 80 дней для английского языка и до 110 дней для русского. Интересный момент: при использовании заглавных букв приведенные цифры можно умножить еще на 2. Добавьте к этим данным год исследования — 2003, ресурс для исследования — процессор Pentium 166 и скорость подбора паролей 6000–15 000 в минуту. Проектируя ситуацию на сегодняшний день, можно сделать весьма неутешительные выводы. Технологии ушли далеко вперед, скорости выросли в несколько раз, а люди, как и раньше, для паролей используют преимущественно имена своих домашних питомцев.

На современном этапе развития науки в области информационной безопасности все чаще вводится относительно новая технология — биометрия. Однако, на практике, в корпоративной среде находим лишь единицы крупных серьезных внедрений биометрии. Биометрические системы достаточно дороги, кроме того, следует учитывать и морально-этические аспекты: работник, меняя место работы, не всегда будет равнодушным к своему оставленного ранее «цифрового клона». Однако, главным недостатком биометрии является вероятностный подход к определению личности. Отпечаток пальца сравнивается с эталонным на «сходство», и всегда есть вероятность того, что один человек окажется «похожим» на второго, или же оригинал окажется «не похожим» сам на себя (например, вследствие химического ожога пальца). Не простым является решение вопроса по централизованному хранению биометрических данных сотрудников — стоимость работ по обеспечению безопасности такой базы данных вполне может оказаться не намного меньше стоимости внедрения самой системы биометрической аутентификации.

USB-ключи представляют собой компактные устройства, предназначенные для обеспечения информационной безопасности корпоративных заказчиков и частных пользователей. Подобно персональному компьютеру устройства USB — токенов содержат процессор и модули памяти, функционирующие под управлением своей операционной системы, выполняя необходимые приложения и храня информацию.

USB-ключи базируются на высокозащищенной платформе, которая разработана для производства смарт-карт, в которой традиционно предъявляют повышенные требования в отношении информационной безопасности. Поэтому USB-ключи фактически является миниатюрным компьютером, обеспечивает безопасное хранение персональных данных и надежно защищенным от несанкционированного вмешательства.

USB-токен разработан таким образом, чтобы удовлетворить потребности большинства пользователей. USB-ключи и смарт-карты USB-токенов включают в себя устройства, выполняющие базовые функции безопасности, а также комбинированные продукты, сочетающие в себе возможности нескольких устройств.

Используя USB-токен, можно решить следующие задачи:

– усовершенствовать процесс аутентификации (двухфакторная аутентификация) на локальном компьютере и в корпоративной сети, а также защищенный доступ к бизнес-приложениям;

– зашифровать данные на серверах, ноутбуках и рабочих станциях;

– обеспечить защиту персональных данных;

– защитить электронную почту и взаимодействие с коллегами в системах электронного документооборота;

– обезопасить финансовые операции в системах дистанционного банковского обслуживания (ДБО)

– внедрить электронную цифровую подпись (ЭЦП) и защитить документы в системах сдачи электронной отчетности через Интернет;

– обеспечить защиту корпоративного сайта в Интернет.

USB-токены являются основой инфраструктуры информационной безопасности современного предприятия. Они поддерживаются всеми ведущими производителями информационных систем и бизнес-приложений, отвечающих требованиям международных норм. Внедрение USB-ключей или смарт-карт позволяет не только решить нынешние актуальные задачи, но и сохранить инвестиции в дальнейших проектах обеспечения информационной безопасности.

Электронный USB-ключ — носитель ключевой информации, предназначенный для использования в системах информационного доступа, электронного документооборота, авторизации пользователей и защищенного хранения ключевой информации.

В USB-токенах реализованы следующие криптографические функции:

– аппаратный криптографически стойкий генератор случайных чисел;

– генерация пары ключей ЭЦП;

– формирование и проверка ЭЦП (эллиптические кривые)

– генерация ключей шифрования;

– шифрования и расшифровки;

– формирование и проверка имитовставки (последовательности данных фиксированной длины, получаемой по определенному правилу из открытых данных и секретного ключа и добавляется к данным для обеспечения имитозащиты);

– вычисление хэш-функции.

Формирование ЭЦП клиента непосредственно внутри SIM-карты токена: на вход токен принимает электронный документ, на выходе выдает ЭЦП под данным документом. При этом при формировании токеном ЭЦП около 0,5 сек.

Секретный ключ ЭЦП генерируется самим токеном, хранится в защищенной памяти токена и никогда, никем и ни при каких условиях не может быть считан из токена.

Литература:

1. Сабанов А. Г. Об идентификации и аутентификации. Справочник.- М.: Издательство ЭКОМ, 2014.
2. Давлетханов М. Недостатки биометрии. Учебник — Москва. 2013.
3. Фергюсон Н., Шнайер Б. «Практическая криптография» — М.: Издательский дом «Вильямс», 2015.