Система аутентификации на основе электронной подписи кто реализовал

Обновлено: 06.07.2024

Объясняем на енотах, в чем разница между идентификацией и авторизацией, а также зачем нужна аутентификация, тем более двухфакторная.

21 сентября 2020

Идентификация, аутентификация и авторизация: серьезные определения

• Идентификация — процедура, в результате выполнения которой для субъекта идентификации выявляется его идентификатор, однозначно определяющий этого субъекта в информационной системе.
• Аутентификация — процедура проверки подлинности, например проверка подлинности пользователя путем сравнения введенного им пароля с паролем, сохраненным в базе данных.
• Авторизация — предоставление определенному лицу или группе лиц прав на выполнение определенных действий.

Объясняем идентификацию, аутентификацию и авторизацию на енотах

Выше было очень много умных слов, теперь давайте упростим до конкретных примеров. Скажем, пользователь хочет войти в свой аккаунт Google. Google подходит лучше всего, потому что там процедура входа явным образом разбита на несколько простейших этапов. Вот что при этом происходит:

• Для начала система запрашивает логин, пользователь его указывает, система распознает его как существующий — это идентификация.
• После этого Google просит ввести пароль, пользователь его вводит, и система соглашается, что пользователь, похоже, действительно настоящий, раз пароль совпал, — это аутентификация.
• Скорее всего, Google дополнительно спросит еще и одноразовый код из SMS или приложения. Если пользователь и его правильно введет, то система окончательно согласится с тем, что он настоящий владелец аккаунта, — это двухфакторная аутентификация.
• После этого система предоставит пользователю право читать письма в его почтовом ящике и все в таком духе — это авторизация.

Аутентификация без предварительной идентификации лишена смысла — пока система не поймет, подлинность чего же надо проверять, совершенно бессмысленно начинать проверку. Для начала надо представиться.

Идентификация без аутентификации — это просто глупо. Потому что мало ли кто ввел существующий в системе логин! Системе обязательно надо удостовериться, что этот кто-то знает еще и пароль. Но пароль могли подсмотреть или подобрать, поэтому лучше подстраховаться и спросить что-то дополнительное, что может быть известно только данному пользователю: например, одноразовый код для подтверждения входа.

А вот авторизация без идентификации и тем более аутентификации очень даже возможна. Например, в Google Документах можно публиковать документы так, чтобы они были доступны вообще кому угодно. В этом случае вы как владелец файла увидите сверху надпись, гласящую, что его читает неопознанный енот. Несмотря на то, что енот совершенно неопознанный, система его все же авторизовала — то есть выдала право прочитать этот документ.

А вот если бы вы открыли этот документ для чтения только определенным пользователям, то еноту в таком случае сперва пришлось бы идентифицироваться (ввести свой логин), потом аутентифицироваться (ввести пароль и одноразовый код) и только потом получить право на чтение документа — авторизоваться.

А уж если речь идет о содержимом вашего почтового ящика, то Google никогда и ни за что не авторизует неопознанного енота на чтение вашей переписки — если, конечно, он не идентифицируется с вашим логином и не аутентифицируется с вашим паролем. Но тогда это уже не будет неопознанный енот, поскольку Google однозначно определит этого енота как вас.

Теперь вы знаете, чем идентификация отличается от аутентификации и авторизации. Что еще важно понимать: аутентификация — пожалуй, самый важный из этих процессов с точки зрения безопасности вашего аккаунта. Если вы ленитесь и используете для аутентификации только слабенький пароль, то какой-нибудь енот может ваш аккаунт угнать. Поэтому:

Специалисты, ответственные за информационную безопасность в компании, имеют дело с целым комплексом задач. Рассмотрим, какие механизмы аутентификации, шифрования и электронной подписи помогают их решать.

Перед ИТ-специалистами стоит нетривиальная задача — не просто обеспечить максимальную безопасность операций, но и придать информации юридическую значимость, сохранить удобство использования сервиса, не выйти за рамки бюджета на техническую часть.

Компании используют возможности интернета в разной степени и с различными целями. Например, согласно законодательству, все предприятия обязаны передавать отчетность по НДС в электронном виде с использованием защищенных каналов связи. Требований, обязывающих вести документооборот в электронном виде, нет, однако электронный документооборот внедрен во многих компаниях с целью оптимизации деятельности. Уровень защиты передаваемой информации и класс используемых технических средств в тех или иных сервисах может быть прописан законодательно, ограничен возможностями и требованиями информационных систем, либо определяться по усмотрению компании.

На данный момент существуют следующие средства обеспечения безопасности, аутентификации, шифрования и придания юридической значимости информации в электронных системах:

• Средства простой аутентификации (логин\пароль, SMS, коды подтверждения и т п.)
• Средства строгой аутентификации (съемные носители, хранящие секретную информацию, использующие криптографические механизмы — токены, смарт-карты, электронные ключи и т п.)
• Облачная криптография (хранение закрытого ключа в облаке, шифрование без использования съемного носителя)

Перечисленные средства различаются по цене, обеспечивают разную степень удобства использования (мобильности), юридической значимости, безопасности. Рассмотрим, какие из этих параметров наиболее важны при проведении ключевых операций в интернете.

Что и когда защищать? Расставим приоритеты

Первый блок задач: осуществление безналичных платежей с использованием электронных сервисов банков

Основная часть платежей компаний проходит в электронном виде. Самое важное при работе с деньгами — обеспечить юридическую значимость платежа и защититься от злоумышленников, которые хотят незаконно совершить финансовую операцию.

Платежи часто совершает руководитель, который должен иметь возможность провести операцию вне офиса. Удобство использования, мобильность — следующий по важности фактор после обеспечения безопасности и легитимности платежей.

В то же время банки обязаны соблюдать внушительное количество требований различных регуляторов. Внимательное отношение к рискам и ответственность перед клиентами накладывают определенные ограничения на выбор технических средств при работе с сервисами банков.

Второй блок задач: взаимодействие с контролирующими органами через интернет

Каждая компания, которая ведет деятельность на территории России, должна отчитываться в Пенсионный фонд, Налоговую службу, Фонд социального страхования и т д. Часть отчетности уже сейчас необходимо передавать в электронном виде по защищенным каналам.

В рамках задачи по передаче электронной отчетности через интернет основная цель — обеспечение юридической значимости документов. Во-первых, контролирующий орган должен иметь возможность удостовериться, что данная отчетность легитимна. Во-вторых, компании необходимо иметь механизмы подтверждения того, что отчетность подготовлена правильно и сдана вовремя.

Размер возможного ущерба при передаче отчетности гораздо меньше, чем при совершении финансовых операций, поэтому и требования по обеспечению безопасности более мягкие. Однако здесь важно пресечь возможность махинаций с отчетностью лицами внутри компании.

Параметр мобильности наименее важен, но есть ряд компаний, которым эта опция нужна. Например, предпринимателям, не имеющим выделенного офиса, фрилансерам и т д.

Третий блок задач: электронный документооборот внутри компании и с контрагентами.

Данный спектр задач опционален. Компании самостоятельно принимают решение об использовании электронного документооборота и его объеме, а также о механизмах обеспечения безопасности. Законодательно регулируется лишь небольшая часть форматов электронного документооборота. Для придания документам юридической значимости рекомендуется использовать квалифицированную электронную подпись, так как она имеет максимальную юридическую силу в текущем правовом поле РФ.

Электронный документооборот применяется каждый день большим количеством сотрудников. Поэтому на первый план выходит обеспечение удобства использования.

Вторым по значимости фактором является юридическая значимость документов — они должны иметь вес в суде.

На третьем месте — безопасность. Каждая электронная транзакция должна быть легитимна, у сотрудников должны быть права лишь на те операции, которые он имеет право совершать, и т д. Впрочем, приоритет параметра безопасности зависит от величины рисков. Если в системе электронного документооборота вращается конфиденциальная информация, то фактор безопасности может выйти на первый план.

Четвертый блок задач: работа с веб-сервисами

Компании участвуют в электронных торгах, используют публичные государственные информационные системы (например, портал госуслуг), а также коммерческие облачные сервисы.

При работе с государственными ресурсами действуют правила этих информационных систем, и компании должны соблюдать требования площадок, к которым обращаются. Часто это прописано на уровне законодательства. Владельцы негосударственных ресурсов могут жестко регламентировать технические средства защиты либо отдать этот вопрос на выбор пользователям. В последнем случае использование тех или иных технических средств определяется на основе здравого смысла и оценки рисков.

Пароль или ключ? Смотрим на риски

Теперь рассмотрим технические средства с точки зрения значимых для пользователей параметров: удобство использования, стоимость, юридическая значимость, безопасность.

1. Средства простой аутентификации

Общий признак — отсутствие криптографических механизмов защиты.

Определить, что человек является именно тем, кем он представляется, предлагается по какому-то идентификатору (пароль, номер телефона). Следовательно, уровень защищенности данных средств априори ниже, чем у средств, использующих криптографию.

Особенности:

• Самый низкий уровень защищенности.
• Нулевая стоимость. Мы платим за сервис, но не за средства (SMS-код ничего не стоит для клиента).
• Средний уровень удобства (привязка к устройствам).
• Минимальный уровень юридической значимости.

Согласно 63-ФЗ «Об электронной подписи», эти средства позволяют сформировать простую электронную подпись, однако она не идентична собственноручной подписи. В суде потребуются доказательства.

Разумно использовать: когда риски невелики. Например, в системе внутреннего документооборота компании, где нет высоко критичных данных; на портале госуслуг, когда невозможно совершить серьезных действий без личного присутствия, и т д. Если в систему вошел злоумышленник по чужому паролю, но при этом в ней не вращается критически важной информации, использование нестрогих средств оправдано.

Усилить надежность данных средств можно, используя их комбинации (например, логин\пароль + SMS) в контексте двухфакторной аутентификации.

Для передачи электронной отчетности данных тип средств не подходит, так как по закону требуется использование квалифицированной электронной подписи.

2. Строгие средства аутентификации

В основе работы строгих средств аутентификации лежат криптографические механизмы. Для хранения ключевой секретной информации используются внешние носители.

Особенности:

Наиболее неуязвимы средства, в которых криптографические механизмы реализованы на самом носителе. Существуют также средства, которые хранят закрытый ключ, при этом программа, которая осуществляет шифрование, установлена на компьютере. В момент, когда ключ покидает устройство, чтобы попасть в оперативную память компьютера, он может быть перехвачен вредоносным ПО. Этот ряд средств более уязвим, однако превосходит по уровню защищенности средства нестрогой аутентификации.

• Максимально неудобные в использовании средства.

Спектр устройств, на которых возможно применение данных средств, ограничен (необходим внешний разъем для подключения устройства). Требуется установка ПО на компьютер, а также настройка рабочего места. Устройство может выйти из строя, при этом его восстановление или замена потребует времени.

• Ненулевая стоимость. Из трех видов это самое дорогое средство.

Использование строгих средств аутентификации может быть предписано законом. Например, Федеральная таможенная служба требует использовать сертифицированный носитель и квалифицированную электронную подпись при подаче электронных деклараций.

3. Облачная криптография

Закрытые ключи пользователей хранятся на облачном сервере, который отвечает определенным требованиям безопасности. Специальное ПО умеет использовать закрытые ключи и осуществлять криптографические операции с ними. Подтверждение операций происходит с помощью простой электронной подписи или пары логин\пароль + SMS (то есть средств нестрогой аутентификации).

Суть работы:

Когда пользователю требуется поставить электронную подпись в информационной системе, система обращается к облачному хранилищу ключей. Хранилище высылает пользователю код подтверждения. Пользователь вводит код в информационную систему, система высылает код в хранилище. Если код, отправленный пользователю, совпадает с кодом, пришедшим из информационной системы, документ подписывается электронной подписью пользователя.

Особенности:

Применение механизмов облачной криптографии требует интеграции информационной системы с системой хранения закрытых ключей. Это делает такой способ менее универсальным с точки зрения разнообразия сценариев применения.

Также есть нюанс, связанный с необходимостью доверия к оператору облачной системы хранения закрытых ключей, так как физически закрытый ключ пользователя находится на стороннем сервере оператора.

Использовать облачную криптографию для аутентификации в сторонних сервисах проблематично.

• Максимальный уровень удобства
• Максимальное обеспечение юридической значимости
• Низкая стоимость

Разумно использовать: в сервисах не самой высокой доли риска.

Подходит для сектора отчетности. Идеально для электронного документооборота.

Для банковского сектора подходит при условии, что сервер для хранения закрытых ключей пользователя расположен на стороне банка.

Комментарий Артура Скока, ведущего специалиста по внедрению систем защиты «Контур-Безопасность» (СКБ Контур)

Назначить сотруднику тот или иной идентификатор и выдать ему, к примеру, аппаратный ключ типа eToken — недостаточно. Необходимо также организовать систему учета и контроля за аутентификационной информацией. Часто случается, что уволенный сотрудник может использовать аутентификационные данные еще некоторое время после увольнения, что может привести к финансовым потерям, таким как кража клиентской базы, проведение расчетных операций. К похожим последствиям приводят случаи бесконтрольного обращения идентификаторов.
С одной стороны, данный вопрос можно решить организационными мерами (журналы учета, политика обращения). Но это удобно, когда в компании порядка нескольких десятков сотрудников. По мере роста их количества встает вопрос контроля за идентификаторами: их выдача, отслеживание, интеграция с сервисами компании, отзыв в случае утери или увольнения сотрудника.
В данном случае целесообразно было бы рассмотреть решения в области создания систем управления учетными данными (IdM — identity management) и систем управления безопасностью (SIЕM — Security information and event management). Данные системы предлагают возможности по автоматизации процессов по контролю доступа по идентификаторам (то есть снижению рисков, связанных с человеческим фактором), расследованию инцидентов по утечке информации.
Также процесс внедрения IDM-, SIEM-систем помогает понять, какая информация циркулирует и является важной.

Михаил Добровольский, эксперт в области применения сертификатов электронных подписей компании «СКБ Контур»

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

ГОСТ Р 58833-2020

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ

Information protection. Identification and authentication. General

Дата введения 2020-05-01

Предисловие

1 РАЗРАБОТАН Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Закрытым акционерным обществом "Аладдин Р.Д." (ЗАО "Аладдин Р.Д.") и Обществом с ограниченной ответственностью "Научно-производственная фирма "КРИСТАЛЛ" (ООО "НПФ "КРИСТАЛЛ")

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 "Защита информации" и Техническим комитетом по стандартизации ТК 26 "Криптографическая защита информации"

4 ВВЕДЕН ВПЕРВЫЕ

Введение

Одной из главных задач защиты информации при ее автоматизированной (автоматической) обработке является управление доступом. Решение о предоставлении доступа для использования информационных и вычислительных ресурсов средств вычислительной техники, а также ресурсов автоматизированных (информационных) систем, основывается на результатах идентификации и аутентификации.

При автоматизированной обработке информации физическому лицу как субъекту доступа соответствуют вычислительные процессы, выполняющие операции с данными. Это создает риски неоднозначного сопоставления вычислительных процессов с конкретным физическим лицом. Аналогичные риски существуют и при автоматической обработке информации. Кроме того, удаленное информационное взаимодействие дополнительно порождает риск ошибочной идентификации удаленного субъекта доступа и, следовательно, риск предоставления доступа злоумышленнику. Наряду с этим существуют риски того, что вычислительный процесс, действующий в интересах злоумышленника, может имитировать объекты (субъекты) доступа, функционирующие как параллельно с легальными, так и существующие независимо от них.

Устанавливая правила управления доступом к информации и сервисам, обеспечивающим ее обработку, для различных категорий субъектов доступа необходимо учитывать не только конфиденциальность защищаемой информации, но и указанные риски. Для снижения рисков должны применяться соответствующие методы идентификации и аутентификации, которые обеспечивают уверенность в подлинности сторон, участвующих в информационном взаимодействии, включая и субъекты доступа, и объекты доступа. Это особенно востребовано в том случае, когда взаимодействующие стороны имеют дефицит взаимного доверия, обусловленный, например, использованием небезопасной среды функционирования.

Для понимания положений настоящего стандарта необходимы знания основ информационных технологий, а также способов защиты информации.

1 Область применения

Настоящий стандарт устанавливает единообразную организацию процессов идентификации и аутентификации в средствах защиты информации, в том числе реализующих криптографическую защиту, средствах вычислительной техники и автоматизированных (информационных) системах, а также определяет общие правила применения методов идентификации и аутентификации, обеспечивающих необходимую уверенность в результатах.

Положения настоящего стандарта не исключают применение криптографических и биометрических методов (алгоритмов) при идентификации и аутентификации, но не устанавливают требования по их реализации.

Настоящий стандарт определяет состав участников и основное содержание процессов идентификации и аутентификации, рекомендуемое к реализации при разработке, внедрении и совершенствовании правил, механизмов и технологий управления доступом. Положения настоящего стандарта могут использоваться при управлении доступом к информационным ресурсам, вычислительным ресурсам средств вычислительной техники, ресурсам автоматизированных (информационных) систем, средствам вычислительной техники и автоматизированным (информационным) системам в целом.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р 50922 Защита информации. Основные термины и определения

ГОСТ Р 56939 Защита информации. Разработка безопасного программного обеспечения. Общие требования

ГОСТ Р ИСО 704 Терминологическая работа. Принципы и методы

ГОСТ Р ИСО 10241-1 Терминологические статьи в стандартах. Часть 1. Общие требования и примеры представления

ГОСТ Р ИСО/МЭК 27005 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3 Термины и определения

В настоящем стандарте применены термины по ГОСТ Р 50922, а также следующие термины с соответствующими определениями:

3.1 анонимный субъект доступа (аноним): Субъект доступа, первичная идентификация которого выполнена в конкретной среде функционирования, но при этом его идентификационные данные не соответствуют требованиям к первичной идентификации или не подтверждались.

3.2 атрибут субъекта (объекта) доступа [атрибут]: Признак или свойство субъекта доступа или объекта доступа.

3.3 аутентификационная информация: Информация, используемая при аутентификации субъекта доступа или объекта доступа.

аутентификация: Действия по проверке подлинности субъекта доступа и/или объекта доступа, а также по проверке принадлежности субъекту доступа и/или объекту доступа предъявленного идентификатора доступа и аутентификационной информации.

[Адаптировано из [1], статья 3.3.8]

Примечание - Аутентификация рассматривается применительно к конкретному субъекту доступа и/или конкретному объекту доступа.

3.5 аутентификация анонимного субъекта доступа, анонимная аутентификация: Аутентификация, используемая для подтверждения подлинности анонимного субъекта доступа.

биометрические персональные данные: Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

3.7 верификатор идентификации: Доверенный объект, выполняющий вторичную идентификацию субъекта доступа при доступе.

3.8 верификатор аутентификации: Доверенный объект, выполняющий аутентификацию субъекта доступа при доступе.

3.9 верификация: Процесс проверки информации путем сопоставления предоставленной информации с ранее подтвержденной информацией.

3.10 взаимная аутентификация: Обоюдная аутентификация, обеспечивающая для каждого из участников процесса аутентификации, и субъекту доступа, и объекту доступа, уверенность в том, что другой участник процесса аутентификации является тем, за кого себя выдает.

виртуальный: Определение, характеризующее процесс или устройство в системе обработки информации кажущихся реально существующими, поскольку все их функции реализуются какими-либо другими средствами.

3.12 вторичная идентификация: Действия по проверке существования (наличия) идентификатора, предъявленного субъектом доступа при доступе, в перечне идентификаторов доступа, которые были присвоены субъектам доступа и объектам доступа при первичной идентификации.

Примечание - Вторичная идентификация рассматривается применительно к конкретному субъекту доступа.

вычислительные ресурсы: Технические средства ЭВМ, в том числе процессор, объемы оперативной и внешней памяти, время, в течение которого программа занимает эти средства в ходе выполнения.

3.14 доверенный объект: Объект, который будет действовать в полном соответствии с ожиданиями и субъекта доступа, и объекта доступа или любого из них, при этом выполняя то, что он должен делать, и не выполняя то, что он не должен делать.

Примечание - Адаптировано из [3].

* Поз.[3], [5], [8] см. раздел Библиография. - Примечание изготовителя базы данных.

3.15 доверенная третья сторона: Участник процесса аутентификации, предоставляющий один или более сервисов в области защиты информации, которому доверяют другие участники процесса аутентификации как поставщику данных услуг.

1 При аутентификации доверенной третьей стороне доверяют и субъект доступа и объект доступа.

2 В качестве доверенной третьей стороны могут рассматриваться: организация (например, осуществляющая функции удостоверяющего центра), администратор автоматизированной (информационной) системы, устройство.

3 Доверенная третья сторона является доверенным объектом.

доверие (assurance): Выполнение соответствующих действий или процедур для обеспечения уверенности в том, что оцениваемый объект соответствует своим целям безопасности.

Примечание - Результаты, получаемые в рамках обеспечения доверия, рассматриваются в качестве оснований для уверенности.

3.17 доступ: Получение одной стороной информационного взаимодействия возможности использования ресурсов другой стороны информационного взаимодействия.

1 В качестве ресурсов стороны информационного взаимодействия, которые может использовать другая сторона информационного взаимодействия, рассматриваются информационные ресурсы, вычислительные ресурсы средств вычислительной техники и ресурсы автоматизированных (информационных) систем, а также средства вычислительной техники и автоматизированные (информационные) системы в целом.

2 Доступ к информации - возможность получения информации и ее использования (см. [4]).

3.18 закрытый ключ: Ключ из состава асимметричной пары ключей, сформированных для объекта, который должен быть использован только этим объектом.

1 Адаптировано из [5].

2 Закрытый ключ не является общедоступным (см. [5]).

3 Ключ электронной подписи является примером закрытого ключа (см. [6]).

3.19 закрытый ключ неизвлекаемый: Закрытый ключ, который при его формировании и хранении невозможно извлечь из устройства аутентификации, в котором он был создан.

Примечание - Неизвлекаемость закрытого ключа заключается в отсутствии возможности его извлечения из устройства аутентификации, в котором он был создан, штатными средствами, предоставляемыми данным устройством аутентификации. Неизвлекаемость закрытого ключа в устройствах аутентификации, как правило, обеспечивается применяемыми схемотехническими решениями и гарантируется производителями устройств.

3.20 идентификатор доступа [субъекта (объекта) доступа], [идентификатор]: Признак субъекта доступа или объекта доступа в виде строки знаков (символов), который используется при идентификации и однозначно определяет (указывает) соотнесенную с ними идентификационную информацию.

3.21 идентификационная информация: Совокупность значений идентификационных атрибутов, которая связана с конкретным субъектом доступа или конкретным объектом доступа.

3.22 идентификационные данные: Совокупность идентификационных атрибутов и их значений, которая связана с конкретным субъектом доступа или конкретным объектом доступа.

Примечание - При первичной идентификации идентификационные данные, как правило, предоставляются субъектом доступа, ассоциированным с физическим лицом, или получаются возможным (доступным) способом от субъекта доступа, ассоциированного с ресурсом, и объекта доступа. Указанные идентификационные данные считаются идентификационными данными, заявленными субъектом (объектом) доступа (заявленными идентификационными данными).

Сегодняшние методы аутентификации дают возможность подобрать подходящую конфигурацию под разные ситуации. Для компьютерной игры без микротранзакций подойдет обычный пароль, интернет-банкинг потребует двухфакторной аутентификации, а для некоторых государственных услуг понадобятся не только постоянный и временный пароли, но и документ, подтвержденный электронной цифровой подписью. Статья поможет разобраться, какая защита целесообразна в различных случаях.

Введение

Как отличить специалиста по безопасности от обычного человека? Специалист по безопасности знает разницу между идентификацией, аутентификацией и авторизацией. Неудивительно, впрочем, что эти слова пытаются использовать как синонимы, поскольку все три понятия являются частями одного общего процесса. Первое постепенно перетекает во второе, а второе служит отправной точкой для третьего, так что на первый взгляд не всегда ясно, где заканчивается один этап и начинается следующий. Однако суть каждого из них выделяется четко и ясно.

Аутентификация заслуживает особого внимания, когда речь идет о защите, поскольку ее задача – удостовериться, что пользователь действительно является тем, за кого себя выдает. На третьем шаге процесса авторизация выдаст ему полномочия для действий в информационной системе, и если эти права достанутся постороннему человеку, то последствия могут быть весьма печальны. Соответственно, идет постоянный поиск таких решений, которые с безупречной надежностью отличали бы нужного пользователя от всех остальных.

Российское общество и государство довольно давно информатизируются, догоняя восточные страны и оставляя позади западные. Чем больше сторон жизни людей уходит в информационные системы, тем больше становится нагрузка на средства аутентификации. Важные данные граждан, взаимодействующих с «электронным правительством» или с банками, естественным образом становятся интересны злоумышленникам; органы власти, в свою очередь, закономерно реагируют и выдвигают строгие требования к безопасности таких систем, чтобы не терять контроль над ситуацией и гарантировать людям защищенность их сведений.

Именно поэтому выбор и методов аутентификации в целом, и конкретных решений для их реализации уже не ограничивается только эргономикой и расчетом рисков: влиятельным фактором становится законодательная регуляция, причем со стороны не только государственных нормативных актов, но и отраслевых стандартов. Еще два года назад появился первый прототип ГОСТа по идентификации и аутентификации, что свидетельствует о внимании государства к таким вопросам и о намерении их решать.

Обратимся к существующим методам аутентификации и освежим в памяти то, насколько они соответствуют требованиям времени – в том числе применительно к отечественной специфике.

Однофакторная аутентификация

Фактор аутентификации – это, обобщенно говоря, атрибут, по которому удостоверяется подлинность пользователя. В роли фактора могут выступать материальные объекты (аппаратные устройства, части тела) или нематериальные сущности (кодовые слова, файлы). Простейший случай аутентификации – использование одного фактора.

Пароли

Классика удостоверения личности в информационных системах – пароль. Он так прочно ассоциируется с аутентификацией, что иногда считается ее сущностью. Например, в ГОСТе по судебно-технической экспертизе (Р 57429-2017) значится, что аутентификация пользователя – это «процедура проверки подлинности пользователя путём сравнения введенного им пароля с паролем, сохраненным в базе данных пользователей». Кажется очевидным, что здесь подразумевается постоянный, или многоразовый, пароль, который пользователь запоминает и воспроизводит каждый раз, когда ему нужно подтвердить свою подлинность.

Попытка решить проблему постоянных паролей – концепция паролей временных, или одноразовых, которые нужно получать заново для каждой попытки входа. Такой подход ликвидирует большинство недостатков постоянных кодовых слов – временный пароль не нуждается ни в особой сложности, ни в хранении, ни в запоминании. В то же время пользователю обычно нужно иметь при себе какое-либо устройство, позволяющее получать пароли, а система аутентификации закономерно усложняется изнутри, т.к. хранить в базе данных постоянный пароль гораздо проще, чем генерировать его, сопоставлять с учетными записями, следить за сроком действия и т.п. Впрочем, обработку одноразовых паролей можно переложить на «подрядчика»: скажем, Google предлагает всем желающим воспользоваться приложением Authenticator, которое берет работу с одноразовыми паролями на себя. В этом случае можно не разрабатывать свою систему, а воспользоваться уже существующей – что и делает, например, популярное геймерское приложение Discord. Впрочем, это – уже тема для разговора о двухфакторной аутентификации.

Рисунок 1. Одноразовый пароль по SMS

Для парольной защиты настоящим является тот пользователь, который знает условную комбинацию символов. Вполне очевидно, что этот вариант никак не гарантирует подлинности лица, допускаемого к работе с системой: достаточно узнать пароль тем или иным способом. В случае одноразового пароля эта процедура сложнее, но технически она вполне возможна и реализуема – были бы желание и выгода. Например, передачу временного кода по SMS, которую практикуют многие банки, относительно просто перехватить путем анализа радиосигнала или посредством обычного вируса. Потому, кстати, этот способ доставки одноразовых паролей обоснованно считается ненадежным, и финансовые организации переходят на альтернативные варианты вроде использования Push-уведомлений. Национальный институт стандартов и технологий США призвал отказаться от SMS-аутентификации еще два года назад.

Цифровые сертификаты и ЭЦП

Цифровой сертификат – элемент криптографической защиты информации, электронное удостоверение, которое подтверждает, что открытый ключ шифрования принадлежит определенному пользователю. Он является обязательной частью инфраструктуры открытых ключей (public key infrastructure, PKI), поскольку без подобной верификации открытый ключ уязвим для злонамеренных манипуляций.

Вообще пользователи чаще всего соприкасаются с цифровыми сертификатами при зашифрованных соединениях с ресурсами Интернета по протоколу SSL. Здесь удостоверяется подлинность не пользователя, а сервера – т.е. посетитель имеет возможность убедиться, что подключается к настоящему сайту, а не фишинговой копии, например. Тем не менее, поскольку сертификат сопоставляет ключ с его владельцем, электронное удостоверение можно применять и для аутентификации пользователей. В этом случае информационная система проверит его источник (центр сертификации должен входить в список доверенных) и срок действия, после чего личность пользователя будет считаться подтвержденной.

Помимо прочего, цифровой сертификат является частью механизма электронной цифровой подписи, поскольку ЭЦП является по сути результатом криптографического преобразования документа и тоже основана на инфраструктуре открытых ключей. Открытый ключ позволяет проверить корректность ЭЦП, а сертификат увязывает этот открытый ключ с человеком, которому он принадлежит.

В каком-то смысле электронная цифровая подпись также является средством аутентификации, так как среди ее функций есть подтверждение авторства: она удостоверяет, что документ действительно исходит от определенного лица и может рассматриваться как официальное выражение его намерений. В подобной роли ЭЦП используется, например, в «электронном правительстве», где гражданин может обратиться в органы власти удаленно, заменяя собственноручную подпись на бумажном документе этим специальным реквизитом. Квалифицированная электронная подпись придает документу полную юридическую силу.

При таком подходе, когда фактором аутентификации служит файл или набор данных, настоящим считается тот пользователь, у которого есть сертификат и закрытый (секретный) ключ шифрования. К сожалению, в случае с той же ЭЦП ответственность за хранение закрытого ключа возлагается на самого владельца, и он может принимать те меры, которые сам сочтет необходимыми и достаточными для защиты. В результате образуется риск кражи данных, и если злоумышленник сможет завладеть закрытым ключом, то ничто более не помешает ему выдать себя за легитимного владельца. Конечно, криптографические методы более надежны, чем пароли, однако и здесь нельзя говорить с абсолютной уверенностью о том, что пользователь и владелец ключа – одно и то же лицо.

Аппаратные токены

Аппаратный токен – это устройство, предназначенное специально для аутентификации.

В простейшем случае токен сам по себе является удостоверением, т.е. пользователь должен иметь его при себе и тем или иным образом предъявить системе – например, подключить к компьютеру или поднести к считывателю. В этих же целях используются пластиковые карты с микросхемами, они же смарт-карты, которые при желании можно реализовать программно – создавая тем самым более удобную и практичную виртуальную карту.

В то же время токены или смарт-карты могут служить средством реализации двух предыдущих факторов аутентификации. Так, например, известны токены, которые генерируют одноразовые пароли для ввода вручную. В этом случае сам токен не является удостоверением, поскольку подлинность пользователя определяется не по нему, а по паролю. Также токены и смарт-карты используются для хранения данных электронной цифровой подписи и для ее создания. Тогда устройство будет содержать на себе криптопровайдер – программное обеспечение, выполняющее криптографические преобразования. Там же часто хранится и закрытый ключ шифрования.

Рисунок 2. Аппаратный токен с генерацией одноразовых ключей RSA SecurID

Однако даже в тех случаях, когда токен или смарт-карта играют роль обычного удостоверения, «изнутри» процедура аутентификации тоже может быть построена на сопоставлении временных паролей или на криптографических операциях. Например, устройство пользователя может получать от сервера случайную последовательность данных, шифровать ее и отправлять обратно, позволяя системе определить, чьим именно ключом было проведено преобразование. В отечественных реалиях криптографические алгоритмы токена должны соответствовать ГОСТу и иметь сертификат Федеральной службы безопасности.

Каким бы именно образом ни работал аппаратный токен, для системы будет подлинным тот пользователь, который держит устройство в руках. Так же, как и в двух предыдущих случаях, наличие токена никоим образом не связано с конкретным человеком: устройство можно украсть и использовать злонамеренно. Пусть физическая кража может быть сложнее в исполнении, чем виртуальная, но, как обычно, в конечном счете все упирается в мотивацию и усилия: если нападающий действительно желает добыть токен, то тем или иным образом у него это получится. Так, вневедомственная охрана предпочитает не ставить приборы сигнализации с аппаратными ключами, поскольку в этом случае злоумышленники решают проблему доступа в помещение путем нападения на владельца ключа.

Биометрия

Средства аутентификации, использующие биометрию, полагаются на параметры тела человека или на особенности его поведения. Уникальных параметров относительно много: можно сканировать отпечатки пальцев, как это делают популярные модели смартфонов, можно распознавать лицо или голос, анализировать походку или характерные особенности набора текста на клавиатуре. Все это обещает избавление от традиционных недочетов перечисленных выше методов: биометрические параметры не только уникальны, но и неотделимы от человека, что позволяет с гораздо большей уверенностью говорить о подлинности пользователя. Кроме того, для прохождения такой проверки не нужно никаких дополнительных предметов или устройств, которые можно потерять или забыть дома.

Тем не менее, пока что технологии считывания этих показателей не вполне совершенны, и специалисты еще не могут рекомендовать полагаться всецело на биометрию. Известны случаи, когда исследователям удавалось обмануть считыватели с помощью распечаток на 3D-принтерах или даже просто фотографий в высоком разрешении. Однако это – проблема не самого метода аутентификации как такового, а технических средств его реализации, которые имеют свойство совершенствоваться. Кажется вполне вероятным, что рано или поздно биометрия начнет доминировать над остальными вариантами удостоверения личности. В отечественной практике уже есть проект создания Единой биометрической системы федерального масштаба.

Помимо считывателей, есть еще две проблемы, которые могут возникнуть при биометрической аутентификации. С одной стороны, есть теоретическая вероятность появления «двойников», т.е. людей с параметрами, похожими до степени смешения – в особенности это касается распознавания лиц. С другой стороны, характеристика человека может внезапно измениться (например, в результате травмы), и тогда пользователь утратит доступ к системе. Впрочем, те или иные риски характерны для любого механизма, и присутствие этих проблем кажется скорее естественным побочным эффектом, чем опасным изъяном метода в целом. На данный момент биометрическая аутентификация выглядит наиболее надежной с точки зрения гарантированной подлинности пользователя – если, конечно, разработчики считывателей все же научат их отличать живого человека от искусственной копии пальца.

Многофакторная (двухфакторная) аутентификация

Идеология многофакторной аутентификации (multi-factor authentication, MFA) заключается в том, чтобы взаимно компенсировать недостатки нескольких отдельных факторов, как минимум двух, у которых различаются ключевые риски. Чаще всего на практике используется двухфакторная аутентификация. Например, систему, построенную на аппаратных ключах, которые пользователи должны иметь при себе, можно усилить за счет механизма паролей, которые пользователи должны помнить. Тогда злоумышленник с токеном не будет знать пароля, а взломщик, укравший пароль, не будет иметь токена. Конечно, самый распространенный и общеизвестный вариант двухфакторной аутентификации – это два пароля, постоянный и одноразовый; однако сущность этой конструкции аналогична описанной выше, потому что базовым способом доставки одноразового пароля остается мобильная связь. Иными словами, подлинным признается тот пользователь, который знает постоянный пароль и имеет при себе смартфон, куда приходит пароль временный – так что устройство связи де-факто играет роль аппаратного токена.

Популярность и относительная надежность двухфакторной аутентификации приводят к тому, что на рынке появляются готовые решения, избавляющие клиента от необходимости разрабатывать все самому. Одно из них – упоминавшийся выше Google Authenticator, однако это приложение – не единственный вариант. Например, Symantec предлагает сервис VIP – Validation and Identity Protection (бывший VeriSign Identity Protection), который не бесплатен, но предлагает довольно разнообразные функции вроде бесконтактной разблокировки, когда сотруднику не нужно ничего вставлять в считыватель или подносить к нему – достаточно находиться рядом.

В целом, если нет специальных требований к системе защиты, а риски, связанные с компрометацией учетной записи, не слишком велики, то двухфакторная аутентификация вполне надежна (и в любом случае превосходит большинство однофакторных вариантов) – особенно в том случае, если сотрудники или клиенты обучены базовым мерам безопасности. В корпоративной среде у потенциального злоумышленника меньше пространства для маневра, чем, например, при дистанционном банковском обслуживании, поэтому здесь двухфакторная аутентификация может успешно заменить биометрию (тем более что в пределах организации она поддерживается другими средствами защиты информации).

Выводы

Как обычно, при выборе элементов системы безопасности необходимо подчиняться требованиям законов и стандартов, а также соизмерять риски с затратами.

Большинство методов удостоверения личности в информационных системах основано на произвольных атрибутах, т. е. таких, которые не имеют прямой связи с личностью человека и могут переходить от одного пользователя к другому. Это создает очевидные риски, однако постольку, поскольку этих мер оказывается достаточно и для них нет более выгодных альтернатив, эксплуатанты готовы мириться с их недостатками. В конце концов, идеальная защищенность в любом случае недостижима, а если система аутентификации справляется со своими задачами, то менять ее на нечто более совершенное ни к чему.

Безусловную гарантию того, что пользователь действительно является тем, за кого себя выдает, обеспечивает только биометрия, поскольку она использует неотъемлемые атрибуты вроде частей тела человека, которые невозможно передать другому. При условии, что считыватели будут технически совершенны, просты в производстве и экономичны, можно ожидать, что информационные системы с важными данными будут полагаться исключительно на этот метод аутентификации в качестве основного. Однако двухфакторные (и многофакторные) варианты вряд ли исчезнут: в конце концов, два фактора всегда лучше одного, и даже биометрию всегда полезно подкрепить дополнительным уровнем защиты.

В версии платформы «1С:Предприятие» 8.3.15 реализовали механизм, который обеспечит дополнительную защиту информационной базы. При входе в базу механизм потребует подтвердить личность пользователя двумя разными способами.

Аутентификация

В системе «1С:Предприятия» аутентификация означает проверку логина и пароля пользователя на корректность. Платформа выполняет эту операцию самостоятельно, или пользуется помощью другого надежного ресурса, будь то операционная система или аутентификация OpenID.

OpenID – открытый стандарт децентрализованной системы аутентификации. Технология позволяет создавать единую учетную запись для аутентификации на множестве не связанных друг с другом интернет-ресурсов.

У такой системы есть недостаток: для своего удобства пользователи придумывают простые и короткие пароли. Но это противоречит сути «запароливания» данных, которые мы хотим защитить: простые пароли легко взломать.

Двухфакторная аутентификация – один из самых надежных способов защиты информации. Чтобы пройти проверку личности, пользователю нужны два из трех типов данных, например:

• логин / пароль;
• мобильный телефон;
• отпечаток пальца.

Например, мы вводим логин и пароль, а затем входим по отпечатку пальца. Либо вводим присланный на мобильный телефон код.

Платформа «1С» проверит первый фактор самостоятельно, а для второго ей потребуется помощник – провайдер.

Провайдер второго фактора аутентификации

Сценарии аутентификации

Существует два возможных сценария для второго фактора аутентификации: для «простых» и «умных» провайдеров.

В первом случае клиентское приложение показывает пользователю окно дополнительной аутентификации:

Как работает «умный» провайдер

Пользователи и провайдеры

Шаблон для простого провайдера, отправляющего СМС, формируется по одному запросу – для аутентификации. Шаблон «умного» провайдера содержит два запроса: просьба выполнить аутентификацию и запрос результатов аутентификации.

После сохранения шаблонов для провайдеров, каждый из них присваивается определенному пользователю вместе с набором значений для параметров, которые должны подставляться в этот шаблон.

Пользователь, для которого используется «умный» провайдер, потребует больше параметров:

Журнал регистрации

Для всех новых сценариев аутентификации в журнал регистрации добавили новые события и новые поля некоторым старым событиям. Поэтому контролировать можно не только двухфакторную проверку пользователя, но и связанные с ней действия: изменение шаблонов или настроек пользователей.

Читайте также:

  
• Raid shadow legends вогот как одеть
  
• Принципы построения компьютерных систем
  
• Как узнать коэффициент мощности компьютера
  
• Laserjet pro mfp m180n не работает сетевая карта
  
• Как создать свой искусственный интеллект на компьютере с помощью python