- •Лекция 7
- •7.1.1. Статическая аутентификация
- •7.1.2. Устойчивая аутентификация
- •7.1.3. Постоянная аутентификация
- •7.2. Токены
- •7.2.1. Экскурс в историю:
- •7.2.2. Основные виды пластиковых карточек:
- •7.2.3. Недостатки токенов:
- •Пример 1. Система дик
- •7.3. Электронные подписи
- •7.3.1. Алгоритм Эль Гамаля:
- •7.3.2. Цифровая подпись «нотариус»
- •Юридические аспекты использования программы "Нотариус"
7.2.3. Недостатки токенов:
Прежде всего, токены существенно дороже паролей и нуждаются в специальных устройствах чтения;
Устройства контроля биометрических характеристик еще более сложны и дороги, по сравнению с карточками, поэтому пока они применяются только в специфических организациях с высокими требованиями к безопасности;
Токены необходимо раздавать пользователям, обслуживать случаи потери;
Пользоваться токенами не очень удобно; чтобы отойти от рабочего места, нужно вытаскивать карточку из устройства чтения, для активации доступа вновь вставлять карточку в устройство чтения и т.д..
Очень важной и трудной задачей является администрирование службы идентификации и аутентификации. Целесообразно применять максимально возможную централизацию информации. Централизация облегчает жизнь не только системным администраторам, но и пользователям, поскольку позволяет реализовать важную концепцию единого входа. Единожды пройдя проверку подлинности, пользователь получает доступ ко всем ресурсам сети (естественно, в пределах своих полномочий).
Примеры:
Пример 1. Система дик
Производитель: компания «Ниеншанц – Защита»
Назначение: ДИК (Доступ по Индивидуальному Ключу) для защиты персонального компьютера от несанкционированного доступа при работе как отдельно, так и в составе сети.
В основу “ДИК” положена идея блокирования загрузки операционной системы для пользователей, не имеющих права работы на защищенном опечатанном компьютере. Для идентификации пользователя используется личная смарт - карта, наличие которой контролируется на этапе загрузки системы. Система защищена паролем. Таким образом, знание пароля при отсутствии смарт - карты не обеспечивает доступа к ресурсам компьютера, и наоборот, даже имея смарт - карту, невозможно войти в защищенную систему без пароля. “ДИК” выполнен в виде стандартной платы расширения, устанавливаемой в ПК. В качестве устройства работы со смарт - картами используется универсальный ридер ASEDrive компании Аладдин.
Основные характеристики системы:
поддержка нескольких пользователей при работе с компьютером;
возможность в любое время изменять права доступа пользователей;
невозможность бесконтрольного доступа к секретной информации со стороны администратора системы;
предусмотрено ведение журнала, позволяющего контролировать работу пользователей и действия администратора на защищенном компьютере, при входе в систему регистрируются не только успешные попытки, но и те, при которых пользователю было отказано в доступе;
поскольку журнал регистрации событий предназначен для контроля за функционированием системы, его редактирование невозможно.
Пример 2. Smart - Card Security System
Производитель: компания «Прикладная Логистика»
Назначение: система разграничения доступа к корпоративным сетям.
Основные характеристики системы:
Автоматическая идентификация пользователей с помощью смарт - карт взамен стандартной процедуры ввода имени;
Возможность использования платежных смарт - карт для идентификации пользователей;
Проверка наличия карты при работе пользователя с программируемым интервалом опроса и заданной реакцией на извлечение карты в процессе работы: блокировка компьютера, LogOff, ShutDown и пр.
Пример 3. Первая российская смарт – карта.
Производитель: завод «Ангстрем».
Лидеры мирового рынка в производстве смарт – карт: Schlumberger, Gemplus.
Первая российская смарт – карта была анонсирована в 1998 году и сейчас она запущена в серийное производство. Стартовали пилотные проекты с использованием этой карты. Они действительно полностью изготовлены в России, без участия каких-либо зарубежных поставщиков или посредников: микроконтроллер разработан и произведен в Зеленограде.
Преимущества российских карточек:
реализованные в кристалле сертифицированные алгоритмы криптографической защиты;
карточка существенно дешевле своих зарубежных аналогов;
локальная техническая поддержка: все разработчики находятся в России и в любой момент могут оказать техническую помощь.
Российская карта имеет реальный шанс лечь в основу программы "Карта москвича", поскольку должна быть полная уверенность со стороны ФАПСИ, что произведенная карта не содержит никаких закладок от производителя. Для достижения такой уверенности необходим сертификат ФАПСИ, что предполагает передачу исходных кодов системы, а также проведение контроля над производством т.к. без этого невозможна полная экспертиза. Но предположить, что западная компания допустит специалистов ФАПСИ контролировать производство на своих заводах - это маловероятно.