Сетевая безопасность

Существует еще одна проблема, связанная со схемой временной синхронизации. Случайное число, генерируемое аппаратным ключом, является достоверным паролем  в течение определенного интервала  времени. Теоретически возможно, что  очень проворный хакер может  перехватить PIN-код и случайное  число и использовать их для доступа  к какому-либо серверу сети".

Схема с использованием слова-вызова

Другая схема применения аппаратных ключей основана на идее, очень  сходной с рассмотренной выше идеей сетевой аутентификации. В  том и другом случаях используется слово-вызов. Такая схема получила название «запрос-ответ». Когда пользователь пытается осуществить логический вход, то аутентификационный сервер передает ему запрос в виде случайного числа (рис. 11.9). Аппаратный ключ пользователя зашифровывает это случайное число, используя алгоритм DES и секретный ключ пользователя. Секретный ключ пользователя хранится в базе данных сервера и в памяти аппаратного ключа. В зашифрованном виде слово-вызов возвращается на сервер. Сервер, в свою очередь, также зашифровывает сгенерированное им самим случайное число с помощью алгоритма DES и того же секретного ключа пользователя, а затем сравнивает результат с числом, полученным от аппаратного ключа. Как и в методе временной синхронизации, в случае совпадения этих двух чисел пользователю разрешается вход в сеть.

Рис. 11.9. Аутентификация по схеме «запрос-ответ»

Механизм слова-вызова имеет  свои ограничения — он обычно требует  наличия компьютера на каждом конце  соединения, так как аппаратный ключ должен иметь возможность как  получать, так и отправлять информацию. А схема временной синхронизации  позволяет ограничиться простым  терминалом или факсом. В этом случае пользователи могут даже вводить  свой пароль с телефонной клавиатуры, когда звонят в сеть для получения  голосовой почты.

Схема «запрос-ответ» уступает схеме временной синхронизации  по простоте использования. Для логического  входа по схеме временной синхронизации  пользователю достаточно набрать 10 цифр. Схемы же «запрос-ответ» могут потребовать  от пользователя выполнения большего числа ручных действий. В некоторых  схемах «запрос-ответ» пользователь должен сам вводить секретный ключ, а  затем набирать на клавиатуре компьютера полученное с помощью аппаратного  ключа зашифрованное слово-вызов. В некоторых случаях пользователь должен вторично совершить логический вход в коммуникационный сервер уже  после аутентификации.

Аутентификация на основе сертификатов

Аутентификация с применением  цифровых сертификатов является альтернативой  использованию паролей и представляется естественным решением в условиях, когда число пользователей сети (пусть и потенциальных) измеряется миллионами. В таких обстоятельствах  процедура предварительной регистрации  пользователей, связанная с назначением  и хранением их паролей, становится крайне обременительной, опасной, а  иногда и просто нереализуемой. При  использовании сертификатов сеть, которая  дает пользователю доступ к своим  ресурсам, не хранит никакой информации о своих пользователях — они  ее предоставляют сами в своих  запросах в виде сертификатов, удостоверяющих личность пользователей. Сертификаты выдаются специальными уполномоченными организациями — центрами сертификации (Certificate Authority, СА). Поэтому задача хранения секретной информации (закрытых ключей) возлагается на самих пользователей, что делает это решение гораздо более масштабируемым, чем вариант с использованием централизованной базы паролей.

Схема использования  сертификатов

Аутентификация личности на основе сертификатов происходит примерно так же, как на проходной большого предприятия. Вахтер пропускает людей  на территорию на основании пропуска, который содержит фотографию и подпись  сотрудника, удостоверенных печатью  предприятия и подписью лица, выдавшего  пропуск. Сертификат является аналогом пропуска и выдается по запросам специальными сертифицирующими центрами при выполнении определенных условий.

Сертификат представляет собой электронную форму, в которой  содержится следующая информация: 

• открытый ключ владельца данного сертификата; 
• сведения о владельце сертификата, такие, например, как имя, адрес электронной почты, наименование организации, в которой он работает, и т. п.; 
• наименование сертифицирующей организации, выдавшей данный сертификат.

Кроме того, сертификат содержит электронную подпись сертифицирующей  организации — зашифрованные  закрытым ключом этой организации данные, содержащиеся в сертификате.

Использование сертификатов основано на предположении, что сертифицирующих  организаций немного и их открытые ключи могут быть всем известны каким-либо способом, например, из публикаций в  журналах.

Когда пользователь хочет  подтвердить свою личность, он предъявляет  свой сертификат в двух формах —  открытой (то есть такой, в которой  он получил его в сертифицирующей  организации) и зашифрованной с  применением своего закрытого ключа (рис. 11.10). Сторона, проводящая аутентификацию, берет из открытого сертификата открытый ключ пользователя и расшифровывает с помощью него зашифрованный сертификат. Совпадение результата с открытым сертификатом подтверждает факт, что предъявитель действительно является владельцем закрытого ключа, парного с указанным открытым.

Рис. 11.10. Аутентификация пользователей на основе сертификатов

Затем с помощью известного открытого ключа указанной в  сертификате организации проводится расшифровка подписи этой организации  в сертификате. Если в результате получается тот же сертификат с тем  же именем пользователя и его открытым ключом — значит, он действительно  прошел регистрацию в сертификационном центре, является тем, за кого себя выдает, и указанный в сертификате  открытый ключ действительно принадлежит  ему.

Сертификаты можно использовать не только для аутентификации, но и  для предоставления избирательных  прав доступа. Для этого в сертификат могут вводиться дополнительные поля, в которых указывается принадлежность его владельцев той или иной категории  пользователей. Эта категория назначается  сертифицирующей организацией в  зависимости от условий, на которых  выдается сертификат. Например, организация, поставляющая через Интернет на коммерческой основе информацию, может выдавать сертификаты определенной категории  пользователям, оплатившим годовую  подписку на некоторый бюллетень, а Web-сервер будет предоставлять доступ к страницам бюллетеня только пользователям, предъявившим сертификат данной категории.

Подчеркнем тесную связь  открытых ключей с сертификатами. Сертификат является не только удостоверением личности, но и удостоверением принадлежности открытого ключа. Цифровой сертификат устанавливает и гарантирует  соответствие между открытым ключом и его владельцем. Это предотвращает  угрозу подмены открытого ключа. Если некоторому абоненту поступает  открытый ключ в составе сертификата, то он может быть уверен, что этот открытый ключ гарантированно принадлежит  отправителю, адрес и другие сведения о котором содержатся в этом сертификате.

При использовании сертификатов отпадает необходимость хранить  на серверах корпораций списки пользователей  с их паролями, вместо этого достаточно иметь на сервере список имен и  открытых ключей сертифицирующих организаций. Может также понадобиться некоторый  механизм отображений категорий  владельцев сертификатов на традиционные группы пользователей для того, чтобы  можно было использовать в неизменном виде механизмы управления избирательным  доступом большинства операционных систем или приложений.

Сертифицирующие центры

Сертификат является средством  аутентификации Пользователя при его  обращении к сетевым ресурсам, роль аутентифицирующей стороны  играют при этом информационные серверы  корпоративной сети или Интернета. В то же время и сама процедура  получения сертификата включает этап аутентификации, здесь аутентификатором выступает сертифицирующая организация. Для получения сертификата клиент должен сообщить сертифицирующей организации свой открытый ключ и те или иные сведения, удостоверяющие его личность. Все эти данные клиент может отправить по электронной почте или принести на гибком диске лично. Перечень необходимых данных зависит от типа получаемого сертификата. Сертифицирующая организация проверяет доказательства подлинности, помещает свою цифровую подпись в файл, содержащий открытый ключ, и посылает сертификат обратно, подтверждая факт принадлежности данного конкретного ключа конкретному лицу. После этого сертификат может быть встроен в любой запрос на использование информационных ресурсов сети.

Практически важным вопросом является вопрос о том, кто может  выполнять функции сертифицирующей  организации. Во-первых, задачу обеспечения  своих сотрудников сертификатами  может взять на себя само предприятие. В этом случае упрощается процедура  первичной аутентификации при выдаче сертификата. Предприятия уже достаточно осведомлены о своих сотрудниках, чтобы брать на себя задачу подтверждения  их личности. Для автоматизации процесса генерации, выдачи и обслуживания сертификатов предприятия могут использовать готовые программные продукты, например компания Netscape Communications выпустила сервер сертификатов, который организации могут у себя устанавливать для выпуска своих собственных сертификатов.

Во-вторых, эти функции  могут выполнять независимые  центры по выдаче сертификатов, работающие на коммерческой основе, например сертифицирующий  центр компании Verisign. Сертификаты компании Verisign выполнены в соответствии с международным стандартом Х.509 и используются во многих продуктах защиты данных, в том числе в популярном протоколе защищенного канала SSL. Любой желающий может обратиться с запросом на получение сертификата на Web-сервер этой компании. Сервер Verisign предлагает несколько типов сертификатов, отличающихся уровнем возможностей, которые получает владелец сертификата.  

• Сертификаты класса 1 предоставляют пользователю самый низкий уровень полномочий. Они могут быть использованы для отправки и получения шифрованной электронной почты через Интернет. Чтобы получить сертификат этого класса, пользователь должен сообщить серверу Verisign свой адрес электронной почты или свое уникальное имя. 
• Сертификаты класса 2 дают возможность их владельцу пользоваться внутрикорпоративной электронной почтой и принимать участие в подписных интерактивных службах. Чтобы получить сертификат этого более высокого уровня, пользователь должен организовать подтверждение своей личности сторонним лицом, например своим работодателем. Такой сертификат с информацией от работодателя может быть эффективно использован для деловой корреспонденции. 
• Сертификаты класса 3 предоставляют владельцу все те возможности, которые имеет обладатель сертификата класса 2, плюс возможность участия в электронных банковских операциях, электронных сделках по покупке товаров и некоторые другие возможности. Для доказательства своей аутентичности соискатель сертификата должен явиться лично и предоставить подтверждающие документы. 
• Сертификаты класса 4 используются при выполнении крупных финансовых операций. Поскольку Такой сертификат наделяет владельца самым высоким уровнем доверия, сертифицирующий центр Verisign проводит тщательное изучение частного лица или организации, запрашивающей сертификат.

Механизм получения пользователем  сертификата хорошо автоматизируется в сети в модели клиент-сервер, когда  браузер выполняет роль клиента, а в сертифицирующей организации установлен специальный сервер выдачи сертификатов. Браузер вырабатывает для пользователя пару ключей, оставляет закрытый ключ у себя и передает частично заполненную форму сертификата серверу. Для того чтобы неподписанный еще сертификат нельзя было подменить при передаче по сети, браузер ставит свою электронную подпись, зашифровывая сертификат выработанным закрытым ключом. Сервер сертификатов подписывает полученный сертификат, фиксирует его в своей базе данных и возвращает его каким-либо способом владельцу. Очевидно, что при этом может выполняться еще и неформальная процедура подтверждения пользователем своей личности и права на получение сертификата, требующая участия оператора сервера сертификатов. Это могут быть доказательства оплаты услуги, доказательства принадлежности к той или иной организации — все случаи жизни предусмотреть и автоматизировать нельзя. После получения сертификата браузер сохраняет его вместе с закрытым ключом и использует при аутентификации на тех серверах, которые поддерживают такой процесс.

В настоящее время существует уже большое количество протоколов и продуктов, использующих сертификаты. Например, компания Netscape Communications поддерживает сертификаты стандарта Х.509 в браузерах Netscape Navigator и своих информационных серверах. В технологиях Microsoft сертификаты также представлены очень широко. Microsoft реализовала поддержку сертификатов в своих браузерах Internet Explorer и в сервере Internet Information Server, разработала собственный сервер сертификатов, а также продукты, которые позволяют хранить сертификаты пользователя, его закрытые ключи и пароли защищенным образом.

Инфраструктура  с открытыми ключами

Несмотря на активное использование  технологии цифровых сертификатов во многих системах безопасности, эта  технология еще не решила целый ряд  серьезных проблем. Это прежде всего поддержание базы данных о выпущенных сертификатах. Сертификат выдается не навсегда, а на некоторый вполне определенный срок. По истечении срока годности сертификат должен либо обновляться, либо аннулироваться. Кроме того, необходимо предусмотреть возможность досрочного прекращения полномочий сертификата. Все заинтересованные участники информационного процесса должны быть вовремя оповещены о том, что некоторый сертификат уже не действителен. Для этого сертифицирующая организация должна оперативно поддерживать список аннулированных сертификатов.

Имеется также ряд проблем, связанных с тем, что сертифицирующие  организации существуют не в единственном числе. Все они выпускают сертификаты, но даже если эти сертификаты соответствуют  единому стандарту (сейчас это, как  правило, стандарт Х.509), все равно  остаются нерешенными многие вопросы. Все ли сертифицирующие центры заслуживают  доверия? Каким образом можно  проверить полномочия того или иного  сертифицирующего центра? Можно ли создать иерархию сертифицирующих  центров, когда сертифицирующий  центр, стоящий выше, мог бы сертифицировать  центры, расположенные ниже по иерархии? Как организовать совместное использование  сертификатов, выпущенных разными сертифицирующими организациями?

Для решения упомянутых выше и многих других проблем, возникающих  в системах, использующих технологии шифрования с открытыми ключами, оказывается необходимым комплекс программных средств и методик, называемый инфраструктурой с открытыми  ключами (Public Key Infrastructure, РКГ). Информационные системы больших предприятий нуждаются в специальных средствах администрирования и управления цифровыми сертификатами, парами открытых/закрытых ключей, а также приложениями, функционирующими в среде с открытыми ключами.

В настоящее время любой  пользователь имеет возможность, загрузив широко доступное программное обеспечение, абсолютно бесконтрольно сгенерировать себе пару открытый/закрытый ключ. Затем он может также совершенно независимо от администрации вести шифрованную переписку со своими внешними абонентами. Такая «свобода» пользователя часто не соответствует принятой на предприятии политике безопасности. Для обеспечения более надежной защиты корпоративной информации желательно реализовать централизованную службу генерации и распределения ключей. Для администрации предприятия важно иметь возможность получить копии закрытых ключей каждого пользователя сети, чтобы в случае увольнения пользователя или потери пользователем его закрытого ключа сохранить доступ к зашифрованным данным этого пользователя. В противном случае резко ухудшается одна из трех характеристик безопасной системы — доступность данных.