Учебник для вузов в. Олифер Н. Олифер Компьютерные Принципы, технологии, протоколы

Аутентификация, авторизации, аудит
863
Итак, пусть удаленный пользователь пытается совершить логический вход в систему с пер­
сонального компьютера (рис. 24.16). Аутентифицирующая программа предлагает ему ввести его личный персональный номер (PIN), состоящий из четырех десятичных цифр, а также
6 цифр случайного числа, отображаемого в тот момент на дисплее аппаратного ключа. На основе PIN-кода сервер извлекает из базы данных информацию о пользователе, а именно — его секретный ключ. Затем сервер выполняет вычисления по тому же алгоритму, который заложен в аппаратном ключе, используя в качестве параметров секретный ключ и значе­
ние текущего времени, проверяя, совпадает ли сгенерированное число с числом, которое ввел пользователь. Если они совпадают, то пользователю разрешается логический вход.
Удаленный клиент PIN * 2360
login: 2360
password: 112511
1
112511І
т - 0
П£П
Дисплейное окно
Секретный ключ
Таймер
Аутентификационный сервер
Сравнение
112511
к
>
ф
Функция
вычисления
пароля
і к
JТаймер
Рис. 24.16. Аутентификация, основанная на временнбй синхронизации
Потенциальной проблемой этой схемы является временная синхронизация сервера и аппа­
ратного ключа (ясно, что вопрос согласования часовых поясов решается просто). Гораздо сложнее обстоит дело с постепенным рассогласованием внутренних часов сервера и аппа­
ратного ключа, тем более что потенциально аппаратный ключ может работать несколько лет. Компания Security Dynamics решает эту проблему двумя способами. Во-первых, при производстве аппаратного ключа измеряется отклонение частоты его таймера от номинала.
Далее эта величина учитывается в виде параметра алгоритма сервера. Во-вторых, сервер отслеживает коды, генерируемые конкретным аппаратным ключом, и если таймер данного ключа постоянно спешит или отстает, то сервер динамически подстраивается под него.
Существует еще одна проблема, связанная со схемой временнбй синхронизации. Одно­
разовый пароль, генерируемый аппаратным ключом, действителен в течение некоторого интервала времени (от нескольких десятков секунд до нескольких десятков минут), то есть в течение этого времени одноразовый пароль, в сущности, является многоразовым.
Поэтому теоретически возможно, что очень проворный хакер сможет перехватить PIN-код и одноразовый пароль с тем, чтобы также получить доступ в сеть в течение этого интервала.
Аутентификация на основе сертификатов
Аутентификация с применением цифровых сертификатов является альтернативой приме­
нению паролей и представляется естественным решением в условиях, когда число пользо-

864
Глава 24. Сетевая безопасность вателей сети (пусть и потенциальных) измеряется миллионами. В таких обстоятельствах процедура предварительной регистрации пользователей, связанная с назначением и хра­
нением их паролей, станбвится крайне обременительной, опасной, а иногда и просто не­
реализуемой. При наличии сертификатов сеть, которая дает пользователю доступ к своим ресурсам, не хранит никакой информации о своих пользователях — они ее предоставляют сами в своих запросах в виде сертификатов, удостоверяющих личность пользователей.
Сертификаты выдаются специальными уполномоченными организациями —
центрами
сертификации
(Certificate Authority, СА). Поэтому задача хранения секретной инфор­
мации (закрытых ключей) возлагается на самих пользователей, что делает это решение гораздо более масштабируемым, чем вариант с централизованной базой паролей.
С х е м а и с п о л ь з о в а н и я с е р т и ф и к а т о в
Аутентификация личности на основе сертификатов происходит примерно так же, как на проходной большого предприятия. Вахтер пропускает людей на территорию на основании пропуска, который содержит фотографию и подпись сотрудника, удостоверенных печатью предприятия и подписью лица, выдавшего пропуск. Сертификат является аналогом пропу­
ска и выдается по запросам специальными сертифицирующими центрами при выполнении определенных условий.
Сертификат представляет собой электронную форму, в которой содержится следующая ин­
формация:
О открытый ключ владельца данного сертификата;
□ сведения о владельце сертификата, такие, например, как имя, адрес электронной почты, наименование организации, в которой он работает и т. п.;
□ наименование сертифицирующей организации, выдавшей данный сертификат;
□ электронная подпись сертифицирующей организации, то есть зашифрованные закрытым ключом этой организации данные, содержащиеся в сертификате.
Использование сертификатов основано на предположении, что сертифицирующих ор­
ганизаций немного и их открытые ключи широко доступны, например, из публикаций в журналах.
Когда пользователь хочет подтвердить свою личность, он предъявляет свой сертификат в двух формах: открытой (то есть такой, в которой он получил его в сертифицирующей ор­
ганизации) и зашифрованной с применением своего закрытого ключа (рис. 24.17). Сторона, проводящая аутентификацию, берет из незашифрованного сертификата открытый ключ пользователя и расшифровывает с его помощью зашифрованный сертификат. Совпадение результата с открытым сертификатом подтверждает, что предъявитель действительно яв­
ляется владельцем закрытого ключа, соответствующего указанному открытому.
Затем с помощью известного открытого ключа указанной в сертификате организации про­
водится расшифровка подписи этой организации в сертификате. Если в результате получа­
ется тот же сертификат с тем же именем пользователя и его открытым ключом, значит, он действительно прошел регистрацию в сертификационном центре, является тем, за кого себя выдает, и указанный в сертификате открытый ключ действительно принадлежит ему.
Сертификаты можно использовать не только для аутентификации, но и для предоставле­
ния избирательных прав доступа. Для этого 6 сертификат могут вводиться дополнительные поля, в которых указывается принадлежность его владельцев к той или иной категории пользователей. Эта категория назначается сертифицирующей организацией в зависимо­

Аутентификация, авторизации, аудит
865
сти от условий, на которых выдается сертификат. Например, организация, поставляющая через Интернет на коммерческой основе информацию, может выдавать сертификаты определенной категории пользователям, оплатившим годовую подписку на некоторый бюллетень, тогда веб-сервер будет предоставлять доступ к страницам бюллетеня только пользователям, предъявившим сертификат данной категории.
Сертифицирующая
организация
□ □
□
□
□
□ □
□
□
□
□ □
□
□
□
□ □
□
□
□
У
Выдача сертификата
Открытые ключи
сертифицирующих
организаций
Сведения о пользователе
Запрос на получение сертификата
Электронная подпись сертифицирующей организации
Сертификат, зашифрованный закрытым ключом пользователя
Запрос на аутентификацию
С Е Р Т И Ф И К А Т
Ии.ЧОО и---
1 Н----;;----1 0 1 1 0 0 1 0
Валютный цжнтр-Профсояшаи
0 1 0 0 1 1 1
Тал 246-76-44
Ф м с Армадилле
0 1 0 1 1 1 0
■ Я
0 1 1 1 1 0 1 0 1 1 0 1 0 0
Ї
Т
Открытый и закрытый ключи пользователя
Открытый и закрытый ключи сертифицирующей организации
Рис. 24.17. Аутентификация пользователей на основе сертификатов

866
Глава 24. Сетевая безопасность
Подчеркнем тесную связь открытых ключей с сертификатами. Сертификат является удостоверением не только личности, но и принадлежности открытого ключа. Цифровой сертификат устанавливает и гарантирует соответствие между открытым ключом и его вла­
дельцем. Это предотвращает угрозу подмены открытого ключа. Если некоторый абонент А получает по сети сертификат от абонента Б, то он может быть уверен, что открытый ключ, содержащийся в сертификате, гарантированно принадлежит абоненту Б, адрес и другие све­
дения о котором содержатся в этом сертификате. Это значит, что абонент А может без опа­
сений использовать открытый ключ абонента Б для секретных посланий в адрес последнего.
При использовании сертификатов отпадает необходимость хранить на серверах корпора­
ций списки пользователей с их паролями, вместо этого достаточно иметь на сервере список имен и открытых ключей сертифицирующих организаций. Может также понадобиться некоторый механизм отображений категорий владельцев сертификатов на традиционные группы пользователей для того, чтобы можно было в неизменном виде задействовать ме­
ханизмы управления избирательным доступом большинства операционных систем или приложений.
Сертиф ицирующ ие центры
Сертификат является средством аутентификации пользователя при его обращении к се­
тевым ресурсам, роль аутентифицирующей стороны играют при этом информационные серверы корпоративной сети или Интернета. В то же время и сама процедура получения сертификата включает этап аутентификации, когда аутентификатором выступает серти­
фицирующая организация. Для получения сертификата клиент должен сообщить серти­
фицирующей организации свой открытый ключ и те или иные сведения, удостоверяющие его личность. Все эти данные клиент может отправить по электронной почте или принести на съемном носителе лично. Перечень необходимых данных зависит от типа получаемого сертификата. Сертифицирующая организация проверяет доказательства подлинности, помещает свою цифровую подпись в файл, содержащий открытый ключ, и посылает сер­
тификат обратно, подтверждая факт принадлежности данного конкретного ключа конкрет­
ному лицу. После этого сертификат может быть встроен в любой запрос на использование информационных ресурсов сети.
/
Практически важным является вопрос о том, кто имеет право выполнять функции сертифи­
цирующей организации. Во-первых, задачу обеспечения своих сотрудников сертификатами может взять на себя само предприятие. В этом случае упрощается процедура первичной аутентификации при выдаче сертификата. Предприятия достаточно осведомлены о своих сотрудниках, чтобы брать на себя задачу подтверждения их личности. Для автоматизации процесса генерации, выдачи и обслуживания сертификатов предприятия могут исполь­
зовать готовые программные продукты, например, компания Netscape Communications выпустила сервер сертификатов, который организации могут у себя устанавливать для выпуска своих сертификатов.
Во-вторых, эти функции мргут выполнять независимые центры по выдаче сертификатов, ра­
ботающие на коммерческой основе, например сертифицирующий центр компании Verisign.
Сертификаты компании Verisign выполнены в соответствии с международным стандартом
Х.509 и используются во многих продуктах защиты данных, в том числе в популярном прото­
коле защищенного канала SSL. Любой желающий может обратиться с запросом на получение сертификата на веб-сервер этой компании. Сервер Verisign предлагает несколько типов сер­
тификатов, отличающихся уровне^ полномочий, которые получает владелец сертификата.

Аутентификация, авторизации, аудит
867
□ Сертификаты класса 1предоставляют пользователю самый низкий уровень полно­
мочий. Они могут применяться при отправке и получении шифрованной электронной почты через Интернет. Чтобы получить сертификат этого класса, пользователь должен сообщить серверу Verisign свой адрес электронной почты или свое уникальное имя.
□ Сертификаты класса 2дают возможность его владельцу пользоваться внутрикор­
поративной электронной почтой и принимать участие в подписных интерактивных службах. Чтобы получить сертификат этого более высокого уровня, пользователь дол­
жен организовать подтверждение своей личности сторонним лицом, например своим работодателем. Такой сертификат с информацией от работодателя может эффективно применяться при деловой переписке.
□ Сертификаты класса 3предоставляют владельцу все те возможности, которые имеет обладатель сертификата класса 2, плюс возможность участия в электронных банковских операциях, электронных сделках по покупке товаров и некоторые другие возможности.
Для доказательства своей аутентичности соискатель сертификата должен явиться лично и предоставить подтверждающие документы.
□ Сертификаты класса 4используются при выполнении крупных финансовых операций.
Поскольку такой сертификат наделяет владельца самым высоким уровнем доверия, сертифицирующий центр Verisign проводит тщательное изучение частного лица или организации, запрашивающей сертификат.
Механизм получения пользователем сертификата хорошо автоматизируется в сети в мо­
дели клиент-сервер, когда браузер исполняет роль клиента, а в сертифицирующей орга­
низации установлен специальный сервер выдачи сертификатов. Браузер генерирует для пользователя пару ключей, оставляет закрытый ключ у себя и передает частично заполнен­
ную форму сертификата серверу. Для того чтобы неподписанный еще сертификат нельзя было подменить при передаче по сети, браузер ставит свою электронную подпись, зашиф­
ровывая сертификат выработанным закрытым ключом. Сервер сертификатов подписывает полученный сертификат, фиксирует его в своей базе данных и возвращает его каким-либо способом владельцу. Очевидно, что при этом может выполняться еще и неформальная процедура подтверждения пользователем своей личности и права на получение сертифи­
ката, требующая участия оператора сервера сертификатов. Это могут быть доказательства оплаты услуги, доказательства принадлежности к той или иной организации — все случаи жизни предусмотреть и автоматизировать нельзя. После получения сертификата браузер сохраняет его вместе с закрытым ключом и использует при аутентификации на тех серве­
рах, которые поддерживают такой процесс.
В настоящее время существует большое количество протоколов и продуктов, использую­
щих сертификаты. Например, компания Microsoft реализовала поддержку сертификатов и в своем браузере Internet Explorer, и в сервере Internet Information Server, разработала собственный сервер сертификатов, а также продукты, которые позволяют хранить серти­
фикаты пользователя, его закрытые ключи и пароли защищенным образом.
Инфраструктура с откры ты ми ключами
Несмотря на активное использование технологии цифровых сертификатов во многих системах безопасности, эта технология еще не решила целый ряд серьезных проблем.
Это, прежде всего, поддержание базы данных о выпущенных сертификатах. Сертификат выдается не навсегда, а на некоторый вполне определенный срок. По истечении срока

868
Глава 24. Сетевая безопасность годности сертификат должен либо обновляться, либо аннулироваться. Кроме того, необ­
ходимо предусмотреть возможность досрочного прекращения полномочий сертификата.
Все заинтересованные участники информационного процесса должны быть вовремя оповещены о том, что некоторый сертификат уже недействителен. Для этого серти­
фицирующая организация должна оперативно поддерживать список аннулированных сертификатов.
Имеется также ряд проблем, связанных с тем, что сертифицирующие организации су­
ществуют не в единственном числе. Все они выпускают сертификаты, но даже если эти сертификаты соответствуют единому стандарту (сейчас это, как правило, стандарт Х.509), все равно остаются нерешенными многие вопросы. Все ли сертифицирующие центры заслуживают доверия? Каким образом можно проверить полномочия того или иного сертифицирующего центра? Можно ли создать иерархию сертифицирующих центров, когда сертифицирующий центр, стоящий выше, мог бы сертифицировать центры, рас­
положенные ниже в иерархии? Как организовать совместное использование сертификатов, выпущенных разными сертифицирующими организациями?
Для решения этих и многих других проблем, возникающих в системах, использующих технологии шифрования с открытыми ключами, оказывается необходимым комплекс про­
граммных средств и методик, называемый инфраструктурой с открытыми ключами (Public
Key Infrastructure, PKI). Информационные системы больших предприятий нуждаются в специальных средствах администрирования и управления цифровыми сертификатами, парами открытых/закрытых ключей, а также приложениями, функционирующими в среде с открытыми ключами,
В настоящее время любой пользователь имеет возможность, загрузив широко доступное программное обеспечение, абсолютно бесконтрольно сгенерировать себе пару открытый/ закрытый ключ. Затем он может также совершенно независимо от администрации вести шифрованную переписку со своими внешними абонентами. Такая «свобода» пользователя часто не соответствует принятой на предприятии политике безопасности. Для более на­
дежной защиты корпоративной информации желательно реализовать централизованную службу генерации и распределения ключей. Для администрации предприятия важно иметь возможность получить копии закрытых ключей каждого пользователя сети, чтобы в случае увольнения пользователя или потери пользователем его закрытого ключа сохранить доступ к зашифрованным данным этого пользователя. В противном случае резко ухудшается одна из трех характеристик безопасной системы — доступность данных.
Процедура, позволяющая получать копии закрытых ключей, называется