Применение электронных идентификаторов

 

Применение для двухфакторной аутентификации пользователей внешних носителей информации (смарт-карт и USB-токенов) позволяет заметно повысить защищенность системы. В отличие от паролей, владелец быстро узнает о краже внешнего носителя информации и может сразу принять необходимые меры для предотвращения ее негативных последствий.

Аутентификацию на основе смарт-карт и USB-токенов сложнее обойти, так как используется уникальный физический объект, которым должен обладать человек, чтобы войти в систему. Двухфакторная аутентификация на основе смарт-карт и USB-токенов намного надежнее аутентификации с применением многоразовых паролей.

В отличие от простой аутентификации, когда пользователю предоставляется доступ к системе после введения своих имени и пароля, двухфакторная аутентификация имеет другой порядок: взамен пароля пользователь должен предъявить физический носитель – смарт-карту или токен, содержащий сертификат и секретный ключ пользователя. При этом пользователь должен предъявить не только данный носитель секретного ключа, но и ввести PIN-код доступа к носителю, причем ни секретный ключ, ни PIN-код ни в каком виде по корпоративной сети не передаются. Отсутствие передачи секретного ключа и PIN-кода через сеть значительно повышает безопасность процесса аутентификации.

 

Идентификаторы iButton

 

Идентификатор iButton относится к классу электронных контактных идентификаторов. В общем виде идентификатор iButton представляет собой микросхему (чип), вмонтированную в герметичный стальной корпус. Питание микросхемы (чипа) обеспечивает миниатюрная литиевая батарейка. Корпус отдаленно напоминает батарейку для наручных часов (рис. 5.4) и имеет диаметр 17,35 мм при высоте 5,89 мм (корпус F5) или 3,1 мм (корпус F3).

Корпус обеспечивает высокую степень защищенности идентификатора от воздействия агрессивных сред, пыли, влаги, внешних электромагнитных полей, механических ударов и т.п. Идентификатор легко крепится на носителе (карточке, брелоке).

 

Рис. 5.4. Идентификатор iButton

 

Основу чипа составляют мультиплексор и память (рис. 5.5). Память идентификаторов iButton состоит из следующих компонентов:

· ПЗУ;

· энергонезависимая NV (nonvolatile) оперативная память NV RAM;

· сверхоперативная SM (scratchpad memory), или блокнотная, память.

 

Рис. 5.5. Структура iButton

 

В ПЗУ хранится 64-разрядный код, состоящий из 48-разрядного уникального серийного номера (идентификационного признака), восьмиразрядного кода типа идентификатора и восьмиразрядной контрольной суммы.

Память NV RAM может быть использована для хранения как общедоступной, так и конфиденциальной информации (криптографических ключей, паролей доступа и других данных).

Память SM является буферной и выполняет функции блокнотной памяти. Существует несколько модификаций идентификаторов iButton семейства DS199X, которые различаются емкостью памяти и функциональными возможностями.

Помимо этого некоторые типы идентификаторов содержат дополнительные компоненты. Например, в идентификаторе DS1963S имеется микроконтроллер, предназначенный для вычисления в соответствии со стандартом хэш-функции SHA-1 160-разрядного кода аутентификации сообщений и генерации ключей доступа для страниц памяти, а в корпус идентификатора DS1994L встроены часы реального времени.

Обмен информацией между идентификатором и компьютером происходит в соответствии с протоколом 1-Wire с помощью разнообразных считывающих устройств (адаптеров последовательного, параллельного и USB-портов). Для записи и считывания данных из идентификатора нужно, чтобы корпус iButton соприкоснулся со считывающим устройством. Время контакта – не более 5 мс, гарантированное количество контактов составляет несколько миллионов. Интерфейс 1-Wire обеспечивает обмен информацией на скоростях 16 или 142 Кбит/с (ускоренный режим).

К достоинствам идентификаторов на базе электронных ключей iButton относятся:

· надежность, долговечность (время хранения информации в памяти идентификатора составляет не менее 10 лет);

· высокая степень механической и электромагнитной защищенности;

· малые размеры;

· относительно невысокая стоимость.

Недостатком этого устройства является зависимость его срабатывания от точности соприкосновения идентификатора и считывателя, осуществляемого вручную.

 

Применение смарт-карт

 

Смарт-карта – это пластиковая карта со встроенным микропроцессором, выполняющим функции контроля доступа к памяти смарт-карты и производящим также ряд специфических функций. Важная особенность смарт-карты состоит в том, что она осуществляет не только хранение, но и обработку содержащейся информации. Содержимое микросхемы смарт-карты надежно защищено от постороннего доступа. Это является одним из главных достоинств смарт-карты. Смарт-карты можно классифицировать по следующим признакам:

· тип микросхемы;

· способ считывания информации с карты;

· соответствие стандартам;

· область применения.

В зависимости от встроенной микросхемы все смарт-карты делятся на два основных типа: карты с памятью и микропроцессорные карты.

Карты с памятью предназначены для хранения информации. Память на таких типах карт может быть свободной для доступа или содержать логику контроля доступа к памяти карты для ограничения операций чтения и записи данных. Карты памяти могут защищаться PIN-кодом.

Микропроцессорные карты используются в задачах, требующих сложной обработки информации. Микропроцессорная карта содержит микроконтроллер, центральный процессор которого соединен с сопроцессором, оперативным запоминающим устройством ОЗУ, постоянным запоминающим устройством ПЗУ и электрически стираемым программируемым ПЗУ - ЭСППЗУ (рис. 5.6).

 

Рис. 5.6. Блок-схема микроконтроллера,

встраиваемого в микропроцессорную смарт-карту

 

В состав микроконтроллера для смарт-карты входят:

· центральный микропроцессор с тактовой частотой до 10 МГц;

· оперативное ЗУ (RAM). Это память для временного хранения данных, например результатов вычислений, произведенных микропроцессором. Емкость этой памяти составляет несколько килобайтов. Данные, хранимые в ОЗУ, при отключении напряжения питания теряются;

· постоянное ЗУ (ROM). В ПЗУ записывается набор программ, являющийся операционной системой смарт-карты. Емкость ПЗУ может составлять десятки килобайтов;

· электрически стираемое программируемое постоянное запоминающее устройство ЭСППЗУ (EEPROM). Информация в это ЗУ может быть многократно перезаписана и считана. Емкость памяти составляет десятки и сотни килобайтов. В этой памяти хранятся пользовательские данные, которые могут считываться, записываться и модифицироваться, и конфиденциальные данные (например, криптографические ключи), недоступные для прикладных программ. Данные в ЭСППЗУ при отключении питания не теряются;

· схема ввода/вывода (I/O). Предназначена для обмена данными с внешними устройствами;

· система безопасности (Security features). Встроенная система безопасности для защиты данных, хранящихся и обрабатываемых в смарт-карте; может быть выполнена в виде специализированного сопроцессора.

На этот сопроцессор возлагается реализация различных процедур, необходимых для повышения защищенности СИА, в том числе:

· генерация криптографических ключей;

· реализация криптографических алгоритмов (ГОСТ 28147-89, DES, 3-DES, RSA, SHA-1);

· выполнение операций с электронной цифровой подписью (генерация и проверка);

· выполнение операций с PIN-кодом и др.

В ПЗУ записан специальный набор программ, называемый операционной системой карты COS (Card Operation System). Информация в ПЗУ записывается на этапе производства смарт-карты. Операционная система поддерживает файловую систему, базирующуюся в ЭСППЗУ и обеспечивающую регламентацию доступа к данным. При этом часть данных может быть доступна только внутренним программам карты. Чтение и запись в сегмент памяти ЭСППЗУ контролируется операционной системой.

Микропроцессорные смарт-карты являются очень гибким средством. В современных смарт-карточных системах возможна интеграция в одной карте различных приложений. Программы конкретных приложений не загружаются в ЭСППЗУ до окончания изготовления карты и могут быть инициированы через операционную систему. Опция программирования микропроцессорных карт способствует быстрой адаптации к новым приложениям.

Микропроцессорные смарт-карты осуществляют защиту хранящейся на карте информации при ее передаче, чтении и записи.

Существует разновидность микропроцессорных смарт-карт – карты с криптографической логикой. Эти карты используются в системах защиты информации для принятия непосредственного участия в процессе шифрования данных или выработки криптографических ключей, электронных цифровых подписей и другой информации, необходимой для работы системы.

По способу считывания информации с карты различают следующие типы смарт-карт:

· контактные;

· бесконтактные;

· со сдвоенным интерфейсом.

Контактная смарт-карта состоит из трех частей: чипа с интегральной схемой (микроконтроллера карты); пластиковой основы и контактной области. В контактной области располагается 6 или 8 контактов (рис. 5.7). Размеры пластиковой основы карты и позиции контактов определены Международной организацией по стандартизации и соответствуют стандарту ISO-7816.

Контактные смарт-карты взаимодействуют со считывателем посредством физического соприкосновения своих металлических контактов с контактами считывателя. При этом смарт-карта получает от считывателя через контактные поверхности энергию питания и тактовые импульсы и передает считывателю после проведения аутентификации пользователя и терминала запрашиваемую информацию. Передача данных между считывателем и картой происходит через двунаправленный последовательный интерфейс (I/O-порт). Данный метод считывания реализуется достаточно просто, но при частом использовании повышается износ контактов карты. Недостатком смарт-карт с контактами является уязвимость контактов к износу, коррозии и загрязнению. Используемые считыватели сравнительно дороги и имеют тенденцию к неправильному срабатыванию. Кроме того, считыватели доступные для всех (например, в телефонных аппаратах), не могут быть защищены от вандализма.

 

Рис. 5.7. Контактная микропроцессорная смарт-карта

 

Бесконтактные смарт-карты в отличие от контактных смарт-карт дополнительно имеют радиочастотный модуль со встроенной антенной, необходимой для связи со считывателем и питания микросхемы. Такие карты реализуют технологию радиочастотной идентификации RFID (Radio Frequency IDentification).

В состав бесконтактной смарт-карты входят встроенные в корпус индуктивная антенна и чип с интегральной схемой. Для лучшей механической защиты чип с интегральной схемой помещается в миниатюрный модуль, который подключается к концам антенны. На рис. 5.8 показаны конструктивные элементы микропроцессорной смарт-карты с бесконтактным интерфейсом и архитектура ее интегральной схемы (чипа). Встроенная интегральная схема состоит из двух частей – бесконтактного радиочастотного (РЧ) интерфейса и микроконтроллера. Схема РЧ интерфейса соединяется с выводами антенны смарт-карты и использует переменное электромагнитное поле, излучаемое считывателем, для получения энергии питания для смарт-карты и обмена данными между картой и считывателем.

Считыватель генерирует электромагнитное излучение определенной частоты, и при внесении карты в зону действия считывателя это излучение через встроенную в карту антенну и РЧ интерфейс обеспечивает электропитание для микросхемы карты. Получив необходимую энергию для работы, карта пересылает на считыватель свой идентификационный номер с помощью электромагнитных импульсов определенной формы и частоты.

Бесконтактные смарт-карты срабатывают на расстоянии от 10 см до 1 м от считывателя в зависимости от его рабочей частоты и не требуют четкого позиционирования, что обеспечивает их устойчивую работу и удобство использования, высокую пропускную способность. Для срабатывания бесконтактной карты ее достаточно просто поднести к считывателю.

 

Рис. 5.8. Микропроцессорная смарт-карта с бесконтактным интерфейсом:

а) конструктивные элементы бесконтактной смарт-карты;

б) архитектура интегральной схемы (чипа) бесконтактной смарт-карты

 

Для повышения уровня защищенности может использоваться персональный идентификационный код PIN (Personal Identification Number), известный только законному владельцу карты. Для набора этого персонального идентификационного кода (PIN-кода) устанавливают вместе со считывателем PIN-кодовую панель (клавиатуру). Следует отметить, что применение PIN-кода в качестве основного идентификатора в системах контроля доступа не рекомендуется, так как этот метод характеризуется низким уровнем секретности.

Бесконтактные смарт-карты функционируют на частоте 13,56 МГц и разделяются на два класса, которые базируются на международных стандартах ISO/IEC 14443 и ISO/IEC 15693.

В табл. 5.1 представлены основные характеристики бесконтактных смарт-карт.

Для использования смарт-карт в компьютерных системах необходимо считывающее устройство (или считыватель) смарт-карт. Устройства чтения смарт-карт могут подключаться к компьютеру посредством последовательного порта, слота PCMCIA или USB.

Смарт-карты осуществляют хранение сертификатов пользователей и ключевого материала в самом устройстве, поэтому секретный ключ пользователя не попадает во враждебную внешнюю среду. Для проведения успешной аутентификации требуется вставить смарт-карту в считывающее устройство и ввести пароль (PIN-код). Операционная система считывает идентификатор пользователя и соответствующий ему ключ.

 

Таблица 5.1. Характеристики бесконтактных смарт-карт

Характеристика	Смарт-карта, стандарт ISO/IEC 14443	Смарт-карта, стандарт ISO/IEC 15694
Частота радиоканала, МГц	13,56	13,56
Дистанция чтения	До 10 см	До 1 м
Встроенные типы чипов	Микросхема памяти, микросхема с «жесткой» логикой, процессор	Микросхема памяти, микросхема с «жесткой» логикой
Функции памяти	Чтение/запись	Чтение/запись
Емкость памяти	64 байт - 64 Кб	256 байт - 2 Кб
Алгоритмы шифрования и аутентификации	Технология MIFARE, DES, 3-DES, AES, RSA, ЕСС	DES, 3-DES
Механизм антиколлизии	Есть	Есть

 

Для хранения и применения закрытого ключа используются разные подходы. Наиболее простой из них – использование устройства аутентификации в качестве защищенного носителя аутентификационной информации: при необходимости карта экспортирует закрытый ключ и криптографические операции осуществляются на рабочей станции. Этот подход является не самым совершенным с точки зрения безопасности, но зато он относительно легко реализуем и предъявляет невысокие требования к устройству аутентификации.

Два других подхода более безопасны, поскольку предполагают выполнение устройством аутентификации криптографических операций.

При первом подходе пользователь генерирует ключи на рабочей станции и сохраняет их в памяти устройства. При втором подходе пользователь генерирует ключи при помощи устройства. В обоих случаях после того, как закрытый ключ сохранен, его нельзя извлечь из устройства и получить любым другим способом.

Генерация ключевой пары вне устройства. В этом случае пользователь может сделать резервную копию закрытого ключа. Если устройство выйдет из строя, будет потеряно, повреждено или уничтожено, пользователь сможет сохранить тот же закрытый ключ в памяти нового устройства. Это необходимо, если пользователю требуется расшифровать какие-либо данные или сообщения, зашифрованные с помощью соответствующего открытого ключа. Однако при этом закрытый ключ пользователя подвергается риску быть похищенным, что означает его компрометацию.

Генерация ключевой пары с помощью устройства. При этом закрытый ключ не появляется в открытом виде и нет риска его похищения. Единственный способ использования закрытого ключа – это обладание устройством аутентификации. Являясь наиболее безопасным, это решение выдвигает высокие требования к возможностям самого устройства: оно должно обладать функциональностью генерации ключей и осуществления криптографических преобразований. Это решение также предполагает, что закрытый ключ не может быть восстановлен в случае выхода устройства из строя.

Интеллектуальные смарт-карты способны самостоятельно проверять правильность пароля на доступ к ключевой информации. При аутентификации пользователя с использованием интеллектуальной карты проверку пароля на доступ к карте может производить не операционная система, а сама карта. Интеллектуальная карта может быть запрограммирована на стирание хранимой информации после превышения максимально допустимого количества неправильных попыток ввода пароля, что не позволяет подбирать пароль без частого копирования карты, а это весьма дорого.

Недостатком смарт-карт является низкая мобильность, поскольку для работы с ними требуется считывающее устройство.

 

Применение USB-токенов

 

USB-токены являются преемниками контактных смарт-карт. Структуры и функциональность USB-токенов и смарт-карт практически идентичны. В состав USB-токенов могут входить:

· микропроцессор – управление и обработка данных;

· криптографический процессор – реализация алгоритмов ГОСТ 28147-89, DES, 3-DES, RSA, DSA, MD5, SHA-1 и других криптографических преоб­разований;

· USB-контроллер – обеспечение интерфейса с USB-портом компьютера;

· оперативная память (RAM) – хранение изменяемых данных;

· защищенная память (EEPROM) – хранение ключей шифрования, паролей, сертификатов и других важных данных;

· постоянная память (ROM) – хранение команд и констант.

Конструктивно USB-ключи выпускаются в виде брелоков (рис. 5.9), которые легко размещаются на связке с обычными ключами. Каждый идентификатор имеет прошиваемый при изготовлении собственный уникальный 32/64-разрядный серийный номер.

 

Рис. 5.9. Идентификатор eToken R2

 

USB-токены со встроенным чипом обладают всеми преимуществами смарт-карт, связанными с безопасным хранением конфиденциальных сведений и осуществлением криптографических операций прямо внутри токена, но лишены их основного недостатка, то есть не требуют дорогостоящего аппаратного считывателя. USB-токен подключается к USB-порту непосредственно или с помощью соединительного кабеля.

Процесс двухфакторной аутентификации с применением USB-токенов проходит в два этапа: пользователь подключает устройство к компьютеру и вводит PIN-код.

Поддержка спецификаций PC/SC позволяет переходить от смарт-карт к USB-ключам и встраивать их как в существующие приложения, так и в новые.

В табл. 5.2 представлены некоторые характеристики USB-токенов.

Многофункциональность токенов обеспечивает широкие возможности их применения – от строгой аутентификации и организации безопасного локального или удаленного входа в вычислительную сеть до построения на основе токенов систем юридически важного электронного документооборота, шифрования файлов, организации защищенных каналов передачи данных, управления правами пользователя, осуществления безопасных транзакций и др.

Достоинствами USB-токенов являются малые размеры и удобство хранения, отсутствие аппаратного считывателя, простота подсоединения к USB-порту, высокая мобильность. Слабым местом USB-токенов является ограниченный ресурс их USB-разъемов. Например, для идентификаторов семейства eToken гарантированное число подключений составляет 5000 раз. К недостаткам можно также отнести относительно высокую стоимость и слабую механическую защищенность брелока.

 

Таблица 5.2. Характеристики USB-токенов

Изделие	Емкость памяти, Кб	Разрядность серийного номера	Алгоритмы шифрования
iKey 20xx	8/32		DES (режимы ЕСВ и СВС), 3-DES, RC2, RC4, RC5, MD5, RSA- 1024/2048
eToken R2	16/32/64		DESХ(ключ 120бит), MD5
eToken PRO	16/32		RSA/1024, DES, 3-DES, SHA-1
ePass1000	8/32		MD5, MD5-HMAC
ePass2000	16/32		RSA, DES, 3-DES, DSA, MD5, SHA-1
ruToken	8/16/32/64/128		ГОСТ 281 47-89, RSA, DES, 3-DES, RC2, RC4, MD4, MD5, SHA-1