Одной из распространенных схем аутентификации является простая аутентификация, которая основана на применении традиционных многоразовых паролей с одновременным согласованием средств его использования и обработки. Аутентификация на основе многоразовых паролей является простым и наглядным примером использования разделяемой информации. Пока в большинстве защищенных виртуальных сетей VPN (Virtual Private Network) доступ клиента к серверу разрешается по паролю.

Аутентификация на основе многоразовых паролей. Базовый принцип «единого входа» предполагает достаточность одноразового прохождения пользователем процедуры аутентификации для доступа ко всем сетевым ресурсам. Поэтому в современных операционных системах предусматривается централизованная служба аутентификации, которая выполняется одним из серверов сети и использует для своей работы базу данных. В этой базе данных хранятся учетные данные о пользователях сети. В эти учетные данные наряду с другой информацией включены идентификаторы и пароли пользователей.

В схеме простой аутентификации передача пароля и идентификатора пользователя может производиться следующими способами:

· в незашифрованном виде; например, согласно протоколу парольной аутентификации РАР (Password Authentication Protocol) пароли передаются по линии связи в открытой незащищенной форме;

· в защищенном виде; все передаваемые данные (идентификатор и пароль пользователя, случайное число и метки времени) защищены посредством шифрования или однонаправленной функции.

Очевидно, что вариант аутентификации с передачей пароля пользователя в незашифрованном виде не гарантирует даже минимального уровня безопасности, так как подвержен многочисленным атакам и легко компрометируется. Чтобы защитить пароль, его нужно зашифровать перед пересылкой по незащищенному каналу. Для этого в схему включены средства шифрования EK и дешифрования DK, управляемые разделяемым секретным ключом K. Проверка подлинности пользователя основана на сравнении присланного пользователем пароля PA и исходного значения PA", хранящегося на сервере аутентификации. Если значения PA и PA" совпадают, то пароль PA считается подлинным, а пользователь А - законным.

Схемы организации простой аутентификации отличаются не только методами передачи паролей, но и видами их хранения и проверки. Наиболее распространенным способом является хранение паролей пользователей в открытом виде в системных файлах, причем на эти файлы устанавливаются атрибуты защиты от чтения и записи (например, при помощи описания соответствующих привилегий в списках контроля доступа операционной системы). Система сопоставляет введенный пользователем пароль с хранящейся в файле парольной записью. При этом способе не используются криптографические механизмы, такие как шифрование или однонаправленные функции. Очевидным недостатком данного способа является возможность получения злоумышленником в системе привилегий администратора, включая права доступа к системным файлам и, в частности, к файлу паролей.

С точки зрения безопасности предпочтительным является метод передачи и хранения паролей с использованием односторонних функций. Обычно для шифрования паролей в списке пользователей используют одну из известных криптографически стойких хэш-функций. В списке пользователей хранится не сам пароль, а образ пароля, являющийся результатом применения к паролю хэш-функции.

В простейшем случае в качестве хэш-функции используется результат шифрования некоторой константы на пароле. Например, односторонняя функция h(·) может быть определена следующим образом:

где P - пароль пользователя;ID - идентификатор пользователя;

EP - процедура шифрования, выполняемая с использованием пароля P в качестве ключа.

Такие функции удобны, если длина пароля и ключа одинакова. В этом случае проверка подлинности пользователя А с помощью пароля РА состоит из пересылки серверу аутентификации отображения () A h P и сравнения его с предварительно вычисленным и хранимым в базе данных сервера аутентификации эквивалентом h"(РА) - рис. 2.17. Если отображения h(PA) и h"(РA) равны, то считается, что пользователь успешно прошел аутентификацию.

Рис. 2.17

На практике пароли состоят лишь из нескольких символов, чтобы дать возможность пользователям запомнить их. Короткие пароли уязвимы к атаке полного перебора всех вариантов. Для того чтобы предотвратить такую атаку, функцию h(Р) можно определить иначе, например в следующем виде:

где К и ID - соответственно ключ и идентификатор отправителя.

Различают две формы представления объектов, аутентифицирующих пользователя:

· внешний аутентифицирующий объект, не принадлежащий системе;

· внутренний объект, принадлежащий системе, в который переносится информация из внешнего объекта.

Допустим, что в компьютерной системе зарегистрировано n пользователей. Пусть і-й аутентифицирующий объект і-го пользователя содержит два информационных поля:

· IDi - неизменный идентификатор і-го пользователя, который является аналогом имени и используется для идентификации пользователя;

· Ki - аутентифицирующая информация пользователя, которая может изменяться и используется для аутентификации (например, пароль Pi = Ki).

Совокупную информацию в ключевом носителе можно назвать первичной аутентифицирующей информацией i-го пользователя. Очевидно, что внутренний аутентифицирующий объект не должен существовать в системе длительное время (больше времени работы конкретного пользователя). Для длительного хранения следует использовать данные в защищенной форме.

Системы простой аутентификации на основе многоразовых паролей имеют пониженную стойкость, поскольку в них выбор аутентифицирующей информации происходит из относительно небольшого множества слов. Срок действия многоразового пароля должен быть определен в политике безопасности организации, и такие пароли необходимо регулярно изменять. Выбирать пароли нужно так, чтобы они были трудны для угадывания и не присутствовали в словаре.

Аутентификация на основе одноразовых паролей. Суть схемы одноразовых паролей - использование различных паролей при каждом новом запросе на предоставление доступа. Одноразовый динамический пароль действителен только для одного входа в систему, и затем его действие истекает. Даже если кто-то перехватил его, пароль окажется бесполезен. Динамический механизм задания пароля является одним из лучших способов защитить процесс аутентификации от угроз извне. Обычно системы аутентификации с одноразовыми паролями используются для проверки удаленных пользователей.

Известны следующие методы применения одноразовых паролей для аутентификации пользователей:

1) Использование механизма временных меток на основе системы единого времени.

2) Использование списка случайных паролей, общего для легального пользователя и проверяющего, и надежного механизма их синхронизации.

3) Использование генератора псевдослучайных чисел, общего для пользователя и проверяющего, с одним и тем же начальным значением.

Генерация одноразовых паролей может осуществляться аппаратным или программным способом. Некоторые аппаратные средства доступа на основе одноразовых паролей реализуются в виде миниатюрных устройств со встроенным микропроцессором, внешне похожих на платежные пластиковые карточки. Такие карты, обычно называемые ключами, могут иметь клавиатуру и небольшой дисплей.

В качестве примера реализации первого метода рассмотрим технологию аутентификации SecurID на основе одноразовых паролей с использованием аппаратных ключей и механизма временной синхронизации. Эта технология аутентификации разработана компанией Security Dynamics и реализована в коммуникационных серверах ряда компаний, в частности в серверах компании Cisco Systems и др.

При использовании этой схемы аутентификации, естественно, требуется жесткая временная синхронизация аппаратного ключа и сервера. Поскольку аппаратный ключ может работать несколько лет, вполне возможно постепенное рассогласование внутренних часов сервера и аппаратного ключа. Для решения этой проблемы компания Security Dynamics применяет два способа:

· при производстве аппаратного ключа точно измеряется отклонение частоты его таймера от номинала. Величина этого отклонения учитывается как параметр алгоритма сервера;

· сервер отслеживает коды, генерируемые конкретным аппаратным ключом, и при необходимости динамически подстраивается под этот ключ.

Со схемой аутентификации, основанной на временной синхронизации, связана еще одна проблема. Генерируемое аппаратным ключом случайное число является достоверным паролем в течение небольшого конечного промежутка времени. Поэтому, в принципе, возможна кратковременная ситуация, когда хакер может перехватить PIN-код и случайное число, чтобы использовать их для доступа в сеть. Это самое уязвимое место схемы аутентификации, основанной на временной синхронизации.

Существуют и другие варианты аппаратной реализации процедуры аутентификации с использованием одноразовых паролей, например аутентификация по схеме запрос-ответ. При попытке пользователя осуществить логический вход в сеть, аутентификационный сервер передает ему запрос в виде случайного числа. Аппаратный ключ пользователя зашифровывает это случайное число, используя, например, алгоритм DES и секретный ключ пользователя, хранящийся в памяти аппаратного ключа и в базе данных сервера. Случайное число-запрос возвращается в зашифрованном виде на сервер. Сервер, в свою очередь, также зашифровывает сгенерированное им самим случайное число с помощью того же алгоритма DES и того же секретного ключа пользователя, извлеченного из базы данных сервера. Затем сервер сравнивает результат своего шифрования с числом, пришедшим от аппаратного ключа. При совпадении этих чисел пользователь получает разрешение на вход в сеть. Следует отметить, что схема аутентификации запрос-ответ сложнее в использовании по сравнению со схемой аутентификации с временной синхронизацией.

Второй метод применения одноразовых паролей для аутентификации пользователей основан на использовании списка случайных паролей, общего для пользователя и проверяющего, и надежного механизма их синхронизации. Разделяемый список одноразовых паролей представляется в виде последовательности или набора секретных паролей, где каждый пароль употребляется только один раз. Данный список должен быть заранее распределен между сторонами аутентификационного обмена. Вариантом данного метода является использование таблицы запросов ответов, в которой содержатся запросы и ответы, используемые сторонами для проведения аутентификации, причем каждая пара должна применяться только один раз.

Третий метод применения одноразовых паролей для аутентификации пользователей основан на использовании генератора псевдослучайных чисел, общего для пользователя и проверяющего, с одним и тем же начальным значением. Известны следующие варианты реализации этого метода:

· последовательность преобразуемых одноразовых паролей. В ходе очередной сессии аутентификации пользователь создает и передает пароль именно для данной сессии, зашифрованный на секретном ключе, полученном из пароля предыдущей сессии;

· последовательности паролей, основанные на односторонней функции. Суть данного метода составляет последовательное использование односторонней функции (известная схема Лампорта). Этот метод является более предпочтительным с точки зрения безопасности по сравнению с методом последовательно преобразуемых паролей.

Одним из наиболее распространенных протоколов аутентификации на основе одноразовых паролей является стандартизованный в Интернете протокол S/Key (RFC 1760). Данный протокол реализован во многих системах, требующих проверки подлинности удаленных пользователей, в частности в системе TACACS+ компании Cisco.

Назад

ГЛАВА IV

ТЕХНОЛОГИИВЗЛОМАПРОГРАММНЫХ ЗАЩИТ

Препятствование распространению информации об атаках приводит к опасной иллюзии безопасности…

Крис Касперски. Техника и философия хакерских атак.

Программист, владеющий методами технической защиты, несомненно, должен знать технологии взлома защит для того, чтобы, во-первых, не повторять ошибки существующих систем и, во-вторых, создавать более эффективные и надежные механизмы. Автор защиты также должен быть хорошо знаком с инструментарием современных взломщиков и учитывать возможности существующих средств исследования программ (отладчиков, дисассемблеров, просмотрщиков) при проектировании механизмов и систем защиты программного обеспечения.

В этой главе рассмотрим основные идеи, приемы, алгоритмы и технологии, позволяющие снимать, обходить или взламывать программную защиту. А также дадимнекоторые рекомендации по улучшению защитных механизмов.

Широко известны эксперименты со взломом знаменитого криптографического стандарта США - DES -алгоритма (Data Encryption Standart ). 56-битный ключ DES -алгоритма был невскрываем около двадцати лет. «... он пал 17 июня 1997 г., через 140 дней после начала конкурса (при этом было протестировано около 25% всех возможных ключей и затрачено 450 MIPS -лет » . В 1998 году появилось сообщение о взломе DES -алгоритма за 56 часов .

С резким скачком производительности вычислительной техники сначала столкнулся алгоритм RSA, для вскрытия которого необходимо решать задачу факторизации. В марте 1994 была закончена длившаяся в течение 8 месяцев факторизация числа из 129 цифр (428 бит6). Для этого было задействовано 600 добровольцев и 1600 машин, связанных посредством электронной почты. Затраченное машинное время было эквивалентно примерно 5000 MIPS-лет .

29 января 1997 фирмой RSA Labs был объявлен конкурс на вскрытие симметричного алгоритма RC5. 40-битный ключ был вскрыт через 3.5 часа после начала конкурса! (Для этого даже не потребовалась связывать компьютеры через Интернет - хватило локальной сети из 250 машин в Берклевском университете). Через 313 часов был вскрыт и 48-битный ключ [ 24].

Написать программу, строящую все возможные последовательности символов из заданного последовательного перечислимого множества, может даже начинающий программист. Очевидно, что расчет автора защиты должен быть основан на том, чтобы полный перебор занял промежуток времени, выходящий за рамки разумного. И первое, что используют для этого разработчики, - увеличение длины ключа (пароля). По-своему они правы. Но

Во-первых, как уже отмечалось, растут мощности компьютеров, и, если на полный перебор еще вчера требовался большой промежуток времени, то время, которое потребуется компьютеру завтра, вероятнее всего, будет уже приемлемым для снятия защиты.

С связи с резким ростом вычислительных мощностей атаки полным перебором имеют гораздо больше шансов на успех, чем раньше. Если для системы UNIX функция crypt(), которая отвечает за хеширование паролей, была реализована так, что выполнялась почти 1 секунду на машину класса PDP, то за двадцать лет скорость ее вычисления увеличилась в 10000 раз (!). Поэтому если раньше хакеры (и разработчики, которые ограничили длину пароля 8 символами) и представить себе не могли полный перебор, то сегодня такая атака в среднем приведет к успеху за 125 дней .

Во-вторых, для увеличения скорости перебора уже предложены и могут быть усовершенствованы эффективные алгоритмы (как правило, основанные на формальной логике и использующие теорию множеств, теорию вероятностей и другие области математики). Кроме этого, применяются и алгоритмы быстрого поиска. (Например, для атаки на RSA и подобные системы предлагается использовать самоорганизующийся табличный поиск.)

Более того, уже создана специальная аппаратура, выполняющая функции перебора.

Важно отметить, что хранение хеш-функции пароля не исключает возможности полного перебора, а только изменяет необходимое для взлома время. В самом деле, теперь программу, осуществляющую перебор паролей, необходимо дополнить вычислением хеш-функции каждого варианта и сравнивать результат с хеш-эталоном.

Обратим внимание на еще одно обстоятельство, связанное с защитой на основе хеширования пароля. Некоторые хеш-функции могут возвращать результат, совпадающий с оригиналом, и дляневерного пароля. Для снятия защиты в данном случае достаточно найти любой подходящий пароль, что, очевидно, ослабляет защиту, снижает затраты на взлом. (Таким свойством обладают хеш-функции, дающие результат, сравнимый по длине (в битах) с паролем.)

Остановимся еще на разновидности техники полного перебора паролей - так называемой атаке по словарю . Это метод, с помощью которого можно вскрыть осмысленный пароль. Метод основан на том, что пользователь для более легкого запоминания выбирает существующее в некотором языке (словарное) слово. Если учесть, что в любом языке не более 100.000 слов, очевидно, что полный перебор словарных слов произойдет в течение небольшого промежутка времени.

Сейчас широко распространены программы, подбирающие пароли на основе словарных слов. Теперь только безответственный или ленивый пользователь может остановиться на осмысленном пароле. Напомним, что, кроме проверки по словарю, такие программы «умеют» изменять регистры символов, «знают» знаки препинания, «догадываются», что пользователь может перевернуть слово, склеить два слова с помощью знака препинания или цифры и т.п. преобразования.

Примечательно, что современные развитые средства защиты от несанкционированного доступа, предоставляющие пользователю самостоятельно выбирать пароль для доступа, снабжены модулями, осуществляющими проверку выбранного пароля на принадлежность к такого рода словарям и не допускающими в таком случае пароль к применению.

Программы, осуществляющие атаку по словарю, достаточно быстро работают, так как реализовывают эффективные алгоритмы поиска и сравнения. Например, используют не медленное сравнение строк, а сравнение контрольных сумм и т.п. Многие из них даже не содержат базу слов, а пользуются встроенными в распространенные текстовые редакторы словарями.

_____________________________

* Защиту паролем следует применять в тех случаях, когда либо атака методом перебора будет неэффективной, либо злоумышленнику заведомо не будут доступны достаточно мощные вычислительные средства для осуществления полного перебора (нельзя забывать о возможности использования сетевых технологий).

* Для усиления парольной защиты следует применять любые оригинальные приемы, уменьшающие скорость перебора паролей.

* Немного усилить парольную защиту можно, осуществляя в программе две (зависимые) проверки: и пароля, и результата хеш-функции пароля, при этом на должном уровня «спрятав» защитный механизм, или, как минимум, отказавшись от прямого сравнения. При этом желательно специально выбрать хеш-функцию, дающую большое количество подходящих под хеш-эталон паролей. При такой реализации защитного механизма взломщику необходимо будет атаковать два параметра.

* Еще эффективнее работает защита, если пароль (а лучше функция пароля) служит ключом шифрования некоторой части кода программы. В этом случае взломщику после перебора всех возможных паролей (дающих заданный результат хеширования) придется еще дешифровать код.

Заметим, что в таком варианте защиты, то есть при одновременной проверке нескольких параметров, хеш-функция, дающая требуемый результат для большого количества паролей, значительно усложняет взлом.

___________________________________________________________

Подробнее

1. Примеры атак на механизмы защиты - Крис Касперски «Техника и философия хакерских атак» .

2. Генерирование псевдослучайных последовательностей чисел - Ю.С. Харин, В.И. Берник, Г.В. Матвеев «Математические основы криптологии» , стр. 153-188; В. Жельников «Криптография от папируса до компьютера» , стр. 181-207.

Модель системы защиты

При построении систем защиты от угроз нарушения конфиденциальности информации в автоматизированных системах используется комплексный подход. Схема традиционно выстраиваемой эшелонированной защиты приведена на рис. 1.3.1.

Как видно из приведённой схемы, первичная защита осуществляется за счёт реализуемых организационных мер и механизмов контроля физического доступа к АС. В дальнейшем, на этапе контроля логического доступа, защита осуществляется с использованием различных сервисов сетевой безопасности. Во всех случаях параллельно должен быть развёрнут комплекс инженерно-технических средств защиты информации, перекрывающих возможность утечки по техническим каналам.

Остановимся более подробно на каждой из участвующих в реализации защиты подсистем.

1.3.2 Организационные меры и меры обеспечения физической безопасности

Данные механизмы в общем случае предусматривают :

  • развёртывание системы контроля и разграничения физического доступа к элементам автоматизированной системы.
  • создание службы охраны и физической безопасности.
  • организацию механизмов контроля за перемещением сотрудников и посетителей (с использованием систем видеонаблюдения, проксимити-карт и т.д.);
  • разработку и внедрение регламентов, должностных инструкций и тому подобных регулирующих документов;
  • регламентацию порядка работы с носителями, содержащими конфиденциальную информацию.

Не затрагивая логики функционирования АС, данные меры при корректной и адекватной их реализации являются крайне эффективным механизмом защиты и жизненно необходимы для обеспечения безопасности любой реальной системы.

1.3.3. Идентификация и аутентификация

Напомним, что под идентификацией принято понимать присвоение субъектам доступа уникальных идентификаторов и сравнение таких идентификаторов с перечнем возможных. В свою очередь, аутентификация понимается как проверка принадлежности субъекту доступа предъявленного им идентификатора и подтверждение его подлинности.

Тем самым, задача идентификации – ответить на вопрос «кто это?», а аутентификации - «а он ди это на самом деле?».

Базовая схема идентификации и аутентификации приведена на рис. 1.3.2.

Приведённая схема учитывает возможные ошибки оператора при проведении процедуры аутентификации: если аутентификация не выполнена, но допустимое число попыток не превышено, пользователю предлагается пройти процедуру идентификации и аутентификации еще раз.

Всё множество использующих в настоящее время методов аутентификации можно разделить на 4 большие группы :

  1. Методы, основанные на знании некоторой секретной информации . Классическим примером таких методов является парольная защита , когда в качестве средства аутентификации пользователю предлагается ввести пароль – некоторую последовательность символов. Данные методы аутентификации являются наиболее распространёнными.
  2. Методы, основанные на использовании уникального предмета . В качестве такого предмета могут быть использованы смарт-карта, токен, электронный ключ и т.д.
  3. Методы, основанные на использовании биометрических характеристик человека . На практике чаще всего используются одна или несколько из следующих биометрических характеристик:
    • отпечатки пальцев;
    • рисунок сетчатки или радужной оболочки глаза;
    • тепловой рисунок кисти руки;
    • фотография или тепловой рисунок лица;
    • почерк (роспись);
    • голос.
      Наибольшее распространение получили сканеры отпечатков пальцев и рисунков сетчатки и радужной оболочки глаза.
  4. Методы, основанные на информации, ассоциированной с пользователем . Примером такой информации могут служить координаты пользователя, определяемые при помощи GPS. Данный подход вряд ли может быть использован в качестве единственного механизма аутентификации, однако вполне допустим в качестве одного из нескольких совместно используемых механизмов.

Широко распространена практика совместного использования нескольких из перечисленных выше механизмов – в таких случаях говорят о многофакторной аутентификации .

Особенности парольных систем аутентификации

При всём многообразии существующих механизмов аутентификации, наиболее распространённым из них остаётся парольная защита. Для этого есть несколько причин, из которых мы отметим следующие :

  • Относительная простота реализации . Действительно, реализация механизма парольной защиты обычно не требует привлечения дополнительных аппаратных средств.
  • Традиционность . Механизмы парольной защиты являются привычными для большинства пользователей автоматизированных систем и не вызывают психологического отторжения – в отличие, например, от сканеров рисунка сетчатки глаза.

В то же время для парольных систем защиты характерен парадокс, затрудняющий их эффективную реализацию: стойкие пароли мало пригодны для использования человеком. Действительно, стойкость пароля возникает по мере его усложнения; но чем сложнее пароль, тем труднее его запомнить, и у пользователя появляется искушение записать неудобный пароль, что создаёт дополнительные каналы для его дискредитации.

Остановимся более подробно на основных угрозах безопасности парольных систем . В общем случае пароль может быть получен злоумышленником одним из трёх основных способов:

  1. За счёт использования слабостей человеческого фактора . Методы получения паролей здесь могут быть самыми разными: подглядывание, подслушивание, шантаж, угрозы, наконец, использование чужих учётных записей с разрешения их законных владельцев.
  2. Путём подбора . При этом используются следующие методы:
    • Полный перебор . Данный метод позволяет подобрать любой пароль вне зависимости от его сложности, однако для стойкого пароля время, необходимое для данной атаки, должно значительно превышать допустимые временные ресурсы злоумышленника.
    • Подбор по словарю . Значительная часть используемых на практике паролей представляет собой осмысленные слова или выражения. Существуют словари наиболее распространённых паролей, которые во многих случаях позволяют обойтись без полного перебора.
    • Подбор с использованием сведений о пользователе. Данный интеллектуальный метод подбора паролей основывается на том факте, что если политика безопасности системы предусматривает самостоятельное назначение паролей пользователями, то в подавляющем большинстве случаев в качестве пароля будет выбрана некая персональная информация, связанная с пользователем АС. И хотя в качестве такой информации может быть выбрано что угодно, от дня рождения тёщи и до прозвища любимой собачки, наличие информации о пользователе позволяет проверить наиболее распространённые варианты (дни рождения, имена детей и т.д.).
  3. За счёт использования недостатков реализации парольных систем. К таким недостаткам реализации относятся эксплуатируемые уязвимости сетевых сервисов, реализующих те или иные компоненты парольной системы защиты, или же недекларированные возможности соответствующего программного или аппаратного обеспечения.

При построении системы парольной защиты необходимо учитывать специфику АС и руководствоваться результатами проведённого анализа рисков. В то же время можно привести следующие практические рекомендации:

  • Установление минимальной длины пароля . Очевидно, что регламентация минимально допустимой длины пароля затрудняет для злоумышленника реализацию подбора пароля путём полного перебора.
  • Увеличение мощности алфавита паролей . За счёт увеличения мощности (которое достигается, например, путём обязательного использования спецсимволов) также можно усложнить полный перебор.
  • Проверка и отбраковка паролей по словарю . Данный механизм позволяет затруднить подбор паролей по словарю за счёт отбраковки заведомо легко подбираемых паролей.
  • Установка максимального срока действия пароля . Срок действия пароля ограничивает промежуток времени, который злоумышленник может затратить на подбор пароля. Тем самым, сокращение срока действия пароля уменьшает вероятность его успешного подбора.
  • Установка минимального срока действия пароля . Данный механизм предотвращает попытки пользователя незамедлительно сменить новый пароль на предыдущий.
  • Отбраковка по журналу истории паролей . Механизм предотвращает повторное использование паролей – возможно, ранее скомпрометированных.
  • Ограничение числа попыток ввода пароля . Соответствующий механизм затрудняет интерактивный подбор паролей.
  • Принудительная смена пароля при первом входе пользователя в систему . В случае, если первичную генерацию паролей для всех пользователь осуществляет администратор, пользователю может быть предложено сменить первоначальный пароль при первом же входе в систему – в этом случае новый пароль не будет известен администратору.
  • Задержка при вводе неправильного пароля . Механизм препятствует интерактивному подбору паролей.
  • Запрет на выбор пароля пользователем и автоматическая генерация пароля . Данный механизм позволяет гарантировать стойкость сгенерированных паролей – однако не стоит забывать, что в этом случае у пользователей неминуемо возникнут проблемы с запоминанием паролей.

Оценка стойкости парольных систем

Оценим элементарные взаимосвязи между основными параметрами парольных систем . Введём следующие обозначения:

  • A – мощность алфавита паролей;
  • L – длина пароля;
  • S=A L – мощность пространства паролей;
  • V – скорость подбора паролей;
  • T – срок действия пароля;
  • P – вероятность подбора пароля в течение его срока действия.

Очевидно, что справедливо следующее соотношение:

Обычно скорость подбора паролей V и срок действия пароля T можно считать известными. В этом случае, задав допустимое значение вероятности P подбора пароля в течение его срока действия, можно определить требуемую мощность пространства паролей S.

Заметим, что уменьшение скорости подбора паролей V уменьшает вероятность подбора пароля. Из этого, в частности, следует, что если подбор паролей осуществляется путём вычисления хэш-функции и сравнение результата с заданным значением, то большую стойкость парольной системы обеспечит применение медленной хэш-функции.

Методы хранения паролей

В общем случае возможны три механизма хранения паролей в АС :

  1. В открытом виде . Безусловно, данный вариант не является оптимальным, поскольку автоматически создаёт множество каналов утечки парольной информации. Реальная необходимость хранения паролей в открытом виде встречается крайне редко, и обычно подобное решение является следствием некомпетентности разработчика.
  2. В виде хэш-значения . Данный механизм удобен для проверки паролей, поскольку хэш-значения однозначно связаны с паролем, но при этом сами не представляют интереса для злоумышленника.
  3. В зашифрованном виде . Пароли могут быть зашифрованы с использованием некоторого криптографического алгоритма, при этом ключ шифрования может храниться:
    • на одном из постоянных элементов системы;
    • на некотором носителе (электронный ключ, смарт-карта и т.п.), предъявляемом при инициализации системы;
    • ключ может генерироваться из некоторых других параметров безопасности АС – например, из пароля администратора при инициализации системы.

Передача паролей по сети

Наиболее распространены следующие варианты реализации:

  1. Передача паролей в открытом виде . Подход крайне уязвим, поскольку пароли могут быть перехвачены в каналах связи. Несмотря на это, множество используемых на практике сетевых протоколов (например, FTP) предполагают передачу паролей в открытом виде.
  2. Передача паролей в виде хэш-значений иногда встречается на практике, однако обычно не имеет смысла – хэши паролей могут быть перехвачены и повторно переданы злоумышленником по каналу связи.
  3. Передача паролей в зашифрованном виде в большинстве является наиболее разумным и оправданным вариантом.

1.3.4. Разграничение доступа

Под разграничением доступа принято понимать установление полномочий субъектов для полследующего контроля санкционированного использования ресурсов, доступных в системе. Принято выделять два основных метода разграничения доступа : дискреционное и мандатное.

Дискреционным называется разграничение доступа между поименованными субъектами и поименованными объектами. На практике дискреционное разграничение доступа может быть реализовано, например, с использованием матрицы доступа (рис. 1.3.4).

Как видно из рисунка, матрица доступа определяет права доступа для каждого пользователя по отношению к каждому ресурсу.

Очевидно, что вместо матрицы доступа можно использовать списки полномочий: например, каждому пользователю может быть сопоставлен список доступных ему ресурсов с соответствующими правами, или же каждому ресурсу может быть сопоставлен список пользователей с указанием их прав на доступ к данному ресурсу.

Мандатное разграничение доступа обычно реализуется как разграничение доступа по уровням секретности. Полномочия каждого пользователя задаются в соответствии с максимальным уровнем секретности, к которому он допущен. При этом все ресурсы АС должны быть классифицированы по уровням секретности.

Принципиальное различие между дискреционным и мандатным разграничением доступа состоит в следующем: если в случае дискреционного разграничения доступа права на доступ к ресурсу для пользователей определяет его владелец, то в случае мандатного разграничения доступа уровни секретности задаются извне, и владелец ресурса не может оказать на них влияния. Сам термин «мандатное» является неудачным переводом слова mandatory – «обязательный». Тем самым, мандатное разграничение доступа следует понимать как принудительное.

1.3.5. Криптографические методы обеспечения конфиденциальности информации

В целях обеспечения конфиденциальности информации используются следующие криптографические примитивы :


Симметричные и асимметричные криптосистемы, а также различные их комбинации используются в АС прежде всего для шифрования данных на различных носителях и для шифрования трафика.

1.3.6. Методы защиты внешнего периметра

Подсистема защиты внешнего периметра автоматизированной системы обычно включает в себя два основных механизма: средства межсетевого экранирования и средства обнаружения вторжений. Решая родственные задачи, эти механизмы часто реализуются в рамках одного продукта и функционируют в качестве единого целого. В то же время каждый из механизмов является самодостаточным и заслуживает отдельного рассмотрения.

Межсетевое экранирование

Межсетевой экран (МЭ) выполняет функции разграничения информационных потоков на границе защищаемой автоматизированной системы. Это позволяет:

  • повысить безопасность объектов внутренней среды за счёт игнорирования неавторизованных запросов из внешней среды;
  • контролировать информационные потоки во внешнюю среду;
  • обеспечить регистрацию процессов информационного обмена.

Контроль информационных потоков производится посредством фильтрации информации , т.е. анализа её по совокупности критериев и принятия решения о распространении в АС или из АС.

В зависимости от принципов функционирования, выделяют несколько классов межсетевых экранов . Основным классификационным признаком является уровень модели ISO/OSI, на котором функционирует МЭ.


Большинство используемых в настоящее время межсетевых экранов относятся к категории экспертных. Наиболее известные и распространённые МЭ – CISCO PIX и CheckPoint FireWall-1.

Системы обнаружения вторжений

Обнаружение вторжений представляет собой процесс выявления несанкционированного доступа (или попыток несанкционированного доступа) к ресурсам автоматизированной системы. Система обнаружения вторжений (Intrusion Detection System, IDS) в общем случае представляет собой программно-аппаратный комплекс, решающий данную задачу.

Общая структура IDS приведена на рис. 1.3.6.2:

Алгоритм функционирования системы IDS приведён на рис. 1.3.6.3:

Как видно из рисунков, функционирование систем IDS во многом аналогично межсетевым экранам: сенсоры получают сетевой трафик, а ядро путём сравнения полученного трафика с записями имеющейся базы сигнатур атак пытается выявить следы попыток несанкционированного доступа. Модуль ответного реагирования представляет собой опциональный компонент, который может быть использован для оперативного блокирования угрозы: например, может быть сформировано правило для межсетевого экрана, блокирующее источник нападения.

Существуют две основных категории систем IDS :

  1. IDS уровня сети .
    В таких системах сенсор функционирует на выделенном для этих целей хосте в защищаемом сегменте сети. Обычно сетевой адаптер данного хоста функционирует в режиме прослушивания (promiscuous mode), что позволяет анализировать весь проходящий в сегменте сетевой трафик.
  2. IDS уровня хоста .
    В случае, если сенсор функционирует на уровне хоста, для анализа может быть использована следующая информация:
    • записи стандартных средств протоколирования операционной системы;
    • информация об используемых ресурсах;
    • профили ожидаемого поведения пользователей.

Каждый из типов IDS имеет свои достоинства и недостатки. IDS уровня сети не снижают общую производительность системы, однако IDS уровня хоста более эффективно выявляют атаки и позволяют анализировать активность, связанную с отдельным хостом. На практике целесообразно использовать системы, совмещающие оба описанных подхода.

Существуют разработки, направленные на использование в системах IDS методов искусственного интеллекта. Стоит отметить, что в настоящее время коммерческие продукты не содержат таких механизмов.

1.3.7. Протоколирование и аудит

Подсистема протоколирования и аудита является обязательным компонентом любой АС. Протоколирование , или регистрация , представляет собой механизм подотчётности системы обеспечения информационной безопасности, фиксирующий все события, относящиеся к вопросам безопасности. В свою очередь, аудит – это анализ протоколируемой информации с целью оперативного выявления и предотвращения нарушений режима информационной безопасности.

Системы обнаружения вторжений уровня хоста можно рассматривать как системы активного аудита.

Назначение механизма регистрации и аудита:

  • обеспечение подотчётности пользователей и администраторов;
  • обеспечение возможности реконструкции последовательности событий (что бывает необходимо, например, при расследовании инцидентов, связанных с информационной безопасностью);
  • обнаружение попыток нарушения информационной безопасности;
  • предоставление информации для выявления и анализа технических проблем, не связанных с безопасностью.

Протоколируемые данные помещаются в регистрационный журнал , который представляет собой хронологически упорядоченную совокупность записей результатов деятельности субъектов АС, достаточную для восстановления, просмотра и анализа последовательности действий с целью контроля конечного результата.

Типовая запись регистрационного журнала выглядит следующим образом (рис. 1.3.7.1).

Поскольку системные журналы являются основным источником информации для последующего аудита и выявления нарушений безопасности, вопросу защиты системных журналов от несанкционированной модификации должно уделяться самое пристальное внимание. Система протоколирования должна быть спроектирована таким образом, чтобы ни один пользователь (включая администраторов!) не мог произвольным образом модифицировать записи системных журналов.

Не менее важен вопрос о порядке хранения системных журналов. Поскольку файлы журналов хранятся на том или ином носителе, неизбежно возникает проблема переполнения максимально допустимого объёма системного журнала. При этом реакция системы может быть различной, например:

  • система может быть заблокирована вплоть до решения проблемы с доступным дисковым пространством;
  • могут быть автоматически удалены самые старые записи системных журналов;
  • система может продолжить функционирование, временно приостановив протоколирование информации.

Безусловно, последний вариант в большинстве случаев является неприемлемым, и порядок хранения системных журналов должен быть чётко регламентирован в политике безопасности организации.

Для идентификации и аутентификации пользо­вателей в подавляющем большинстве операционных систем используются имя и пароль. Для идентификации пользователь должен ввести свое имя, а для аутентификации ввести пароль - текстовую строку, известную только ему. Имя пользователя, как правило, назначается ему администратором системы.

Процедура идентификации и аутентификации с использованием имени и пароля предельно проста. Пользователь вводит с клавиатуры имя и пароль, операционная система ищет в списке пользователей запись, относящуюся к этому пользователю, и сравнивает пароль, хранящийся в списке пользователей, с паролем, введенным пользователем. Если за­пись, относящаяся к входящему в систему пользователю, присутствует в списке пользователей и содержащийся в этой записи пароль совпадает с введенным, считается, что идентификация и аутентификация прошли ус­пешно и начинается авторизация пользователя. В противном случае поль­зователь получает отказ в доступе и не может работать с операционной системой до тех пор, пока он не будет успешно идентифицирован и аутентифицирован. Если идентификация и аутентификация пользователя происходят в процессе входа пользователя на удаленный сервер, имя и па­роль пользователя пересылаются по сети (как правило, в зашифрованном виде).

Для обеспечения надежной защиты операционной системы пароль каждого пользователя должен быть известен только этому пользователю и никому другому, в том числе и администраторам системы. На первый взгляд то, что администратор знает пароль некоторого пользователя, не отражается негативно на безопасности системы, поскольку администра­тор, войдя в систему от имени обычного пользователя, получает права, меньшие, чем те, которые он получит, зайдя в систему от своего имени. Однако, входя в систему от имени другого пользователя, администратор получает возможность обходить систему аудита, а также совершать дей­ствия, компрометирующие этого пользователя, что недопустимо в защи­щенной системе.

Из вышеизложенного следует, что пароли пользователей не должны храниться в операционной системе в открытом виде. Поскольку админист­ратор системы для выполнения своих обязанностей должен иметь доступ к списку пользователей (это необходимо, например, для регистрации новых пользователей), то, если пароли хранятся там открыто, администратор получает к ним доступ. Тем самым администратор получает возможность входить в систему от имени любого зарегистрированного пользователя.

Обычно для шифрования паролей в списке пользователей исполь­зуют одну из известных криптографически стойких хеш-функций - легко­вычислимую функцию f, для которой функция f1 (возможно, неоднознач­ная) не может быть вычислена за приемлемое время. В списке пользова­телей хранится не сам пароль, а образ пароля, являющийся результатом применения к паролю хеш-функции. Однонаправленность хеш-функции не позволяет восстановить пароль по образу пароля, но позволяет, вычислив хеш-функцию, получить образ введенного пользователем пароля и таким образом проверить правильность введенного пароля. В простейшем слу­чае в качестве хеш-функции используется результат шифрования некото­рой константы на пароле.



Хеш-функция, используемая при генерации образов паролей, обя­зательно должна быть криптографически стойкой. Дело в том, что обеспе­чить хранение образов паролей в тайне от всех пользователей системы практически невозможно. Администратор операционной системы, исполь­зуя свои привилегии, легко может прочитать образы паролей из файла или базы данных, в которой они хранятся. При сетевой аутентификации поль­зователя на сервере образ пароля передается по открытым каналам связи и может быть перехвачен любым сетевым монитором. Если злоумышлен­ник, зная значение хеш-функции (образ пароля пользователя), может за приемлемое время подобрать аргумент функции, соответствующий этому значению (пароль пользователя или эквивалентный ему пароль), ни о ка­кой защите информации в операционной системе не может быть и речи. Это не означает, что образы паролей должны быть общедоступны. Хране­ние образов паролей в файле или базе данных, к которой имеют доступ только системные процессы, создает дополнительный эшелон защиты.

В процедуре генерации образа пароля обязательно должен участ­вовать маркант – число или строка, генерируемая случайным образом и хранящаяся в открытом виде вместе с образом пароля. Это необходимо для того, чтобы одинаковым паролям соответствовали разные образы. В противном случае злоумышленник может осуществить ряд атак на опера­ционную систему, наиболее опасная из которых заключается в следую­щем.

Злоумышленник берет какой-либо электронный словарь и для каж­дого слова из этого словаря генерирует в точности такую же хеш-функцию, которая используется при генерации образа пароля. Слова и соответст­вующие им хеш-функции сохраняются в базе данных. Перехватив образ пароля некоторого пользователя, злоумышленник ищет в этой базе дан­ных слово, соответствующее перехваченному образу пароля. Это и есть искомый пароль (или пароль, эквивалентный искомому). Вероятность ус­пешного получения пароля по образу может быть сделана сколь угодно высокой -для этого нужно всего лишь иметь достаточно большой словарь. При этом для пополнения словаря злоумышленнику совсем не обязатель­но иметь доступ к атакуемой операционной системе. Более того, зло­умышленник может хранить словарь вне атакуемой системы, например на своем домашнем компьютере. Эта атака может быть реализована только в том случае, когда одинаковым паролям соответствуют одинаковые образы паролей. Если при генерации образа пароля используется маркант, дан­ная атака нереализуема.

Если пользователь, входящий в систему, неправильно ввел свое имя или пароль, операционная система должна выдать ему сообщение об ошибке, не указывая, какая именно информация некорректна. В противном случае подбор пароля существенно упрощается.

Если для аутентификации пользователей используются пароли, су­ществуют две основные угрозы для подсистемы аутентификации операци­онной системы - кража пароля и подбор пароля.

Для обеспечения надежной защиты от кражи паролей подсистема защиты операционной системы должна удовлетворять следующим требо­ваниям:

Пароль, вводимый пользователем, не отображается на экране компьютера;

Ввод пароля из командной строки недопустим.

Кроме того, пользователи операционной системы должны быть проинструктированы о:

Необходимости хранения пароля в тайне от других пользователей, включая администраторов операционной системы;

Необходимости немедленной смены пароля после его компрометации;

Необходимости регулярной смены пароля;

Недопустимости записи пароля на бумагу или в файл.

Что же касается подбора паролей, прежде чем перейти к описанию средств защиты от этой угрозы, следует более подробно рассмотреть ме­тоды подбора паролей.

3.2.1. Методы подбора паролей

Существуют следующие методы подбора паролей пользователей.

1. Тотальный перебор. В этом случае злоумышленник последова­тельно опробует все возможные варианты пароля. Если пароль длиннее четырех - шести символов, данный метод абсолютно неэффективен.

2. Тотальный перебор, оптимизированный по статистике встре­чаемости символов. Разные символы встречаются в паролях пользовате­лей с разной вероятностью. Например, вероятность того, что в пароле пользователя встретится буква "а", гораздо выше вероятности того, что в пароле присутствует символ "А". Согласно различным исследованиям ста­тистика встречаемости символов в алфавите паролей близка к статистике встречаемости символов в естественном языке.

При практическом применении данного метода злоумышленник вна­чале опробует пароли, состоящие из наиболее часто встречающихся сим­волов, за счет чего время перебора существенно сокращается. Иногда при подборе паролей используется не только статистика встречаемости сим­волов, но и статистика встречаемости биграмм и триграмм - комбинаций двух и трех последовательных символов соответственно.

Для подбора паролей по данному методу в разное время было на­писано множество программ. Одни из них поочередно подают на вход под­системы аутентификации операционной системы различные варианты па­роля, другие опробуют варианты пароля путем генерации хеш-функции и ее последующего сравнения с известным образом пароля. В первом слу­чае скорость подбора пароля определяется производительностью опера­ционной системы. Во втором случае среднее время подбора пароля из 6 -8 символов, не включающего ни цифр, ни знаков препинания, варьируется от нескольких десятков секунд до нескольких часов в зависимости от вы­числительной мощности компьютера и эффективности реализации алго­ритма генерации хеш-функции в программе, подбирающей пароли.

3. Тотальный перебор, оптимизированный с помощью словарей. В большинстве случаев пароли пользователей представляют собой слова английского или русского языка. Поскольку пользователю гораздо легче запомнить осмысленное слово, чем бессмысленную последовательность символов, пользователи предпочитают применять в качестве паролей ос­мысленные слова. При этом количество возможных вариантов пароля рез­ко сокращается. Действительно, английский язык содержит всего около 100 000 слов (не считая научных, технических, медицинских и других тер­минов), что в 6,5 раз меньше количества всех комбинаций из четырех анг­лийских букв.

При использовании данного метода подбора паролей злоумышлен­ник вначале опробует в качестве паролей все слова из словаря, содержа­щего наиболее вероятные пароли. Такой словарь злоумышленник может составить сам, а может взять, например, в Internet, где имеется огромное количество подобных словарей, адаптированных для различных стран ми­ра. Если подбираемый пароль отсутствует в словаре, злоумышленник оп­робует всевозможные комбинации слов из словаря, слова из словаря с добавленными к началу и/или к концу одной или несколькими буквами, цифрами и знаками препинания и т.д.

Обычно данный метод используется в комбинации с предыдущим.

4. Подбор пароля с использованием знаний о пользователе . Выше уже говорилось, что пользователи стараются использовать легко запоминаемые пароли. Многие пользователи, чтобы не забыть пароль, выбирают в качестве пароля свое имя, фамилию, дату рождения, номер телефона, номер автомобиля и т.д. В этом случае, если злоумышленник хорошо зна­ет пользователя, ему, как правило, достаточно провести всего 10-20 оп­робований.

5. Подбор образа пароля. Если подсистема аутентификации опера­ционной системы устроена так, что образ пароля существенно короче са­мого пароля, злоумышленник может подбирать не пароль, а его образ. Однако в этом случае злоумышленник, подобрав образ пароля, должен получить сам пароль, соответствующий подобранному образу, а это воз­можно только в том случае, если хеш-функция, применяемая в системе, не обладает достаточной стойкостью.

3.2.2. Защита от компрометации паролей

Мы будем говорить, что произошла компрометация пароля, если пароль пользователя стал из­вестен некоторому другому пользователю. Компрометация может проис­ходить в результате либо неосторожности пользователя, либо кражи или подбора пароля злоумышленником. Существует целый ряд методов, по­зволяющих несколько уменьшить угрозу компрометации паролей пользо­вателей, некоторые из которых мы сейчас рассмотрим.

1. Ограничение срока действия пароля. При применении данного метода каждый пользователь операционной системы обязан менять па­роль через определенные интервалы времени. Максимальный срок дейст­вия пароля целесообразно ограничить 30-60 днями. Менее сильные ог­раничения не дают желаемого эффекта, а при использовании более силь­ных ограничений резко повышается вероятность того, что пользователь забудет свой пароль. После того как срок действия пароля истек, пользо­ватель должен сменить свой пароль в течение некоторого времени (обыч­но 1-2 дня) после первого входа в систему по истечении этого срока. Ес­ли пользователь не сменил пароль за отведенное время, операционная система запрещает ему входить в систему до тех пор, пока это явно не разрешит администратор системы.

Срок действия пароля должен ограничиваться не только сверху, но и снизу. В противном случае пользователь, сменив пароль, может немед­ленно вернуться к старому паролю, сменив пароль еще раз.

Также целесообразно проверять при каждой смене пароля уникаль­ность нового пароля. Для этого операционная система должна хранить не только образ текущего пароля пользователя, но и образы последних 5-10 паролей, им применявшихся.

2. Ограничения на содержание пароля. Данный метод заключается в том, что пользователь может выбрать себе в качестве пароля не произ­вольную строку символов, а только строку, удовлетворяющую определенным условиям. Обычно используются следующие условия:

– длина пароля не должна быть меньше некоторого количества си­мволов; в литературе по компьютерной безопасности и в документации по операционным системам обычно рекомендуется запрещать исполь­зование паролей короче 6-8 символов, но с учетом быстрого прогресса вычислительной техники, в настоящее время целесообразно ограничивать длину паролей уже 10-14 символами;

– в пароль должно входить по крайней мере 5-7 различных символов;

– в пароль должны входить как строчные, так и заглавные буквы;

– пароль пользователя не должен совпадать с его именем;

– пароль не должен присутствовать в списке "плохих" паролей, хранимом в системе.

Как правило, администраторы операционной системы, могут варьи­ровать эти ограничения как в пределах всей операционной системы, так и для отдельных пользователей. Например, если некоторое имя пользова­теля используется для гостевого входа, устанавливать ограничения на ис­пользуемый пароль нецелесообразно.

При выборе ограничений на пароли следует учитывать, что, если ограничения на пароли слишком сильны, пользователям будет трудно за­поминать свои пароли.

3. Блокировка терминала. При использовании данного метода, ес­ли пользователь несколько раз подряд ошибся при вводе имени и пароля, терминал, с которого пользователь входит в систему, блокируется, и поль­зователь не может продолжать дальнейшие попытки входа в систему. Па­раметрами данного метода являются:

– максимально допустимое количество неудачных попыток входа в си­стему с одного терминала;

– интервал времени, после которого счетчик неудачных попыток входа обнуляется;

– длительность блокировки терминала (может быть сделана неограниченной в этом случае блокировка терминала может быть снята только администратором системы).

4. Блокировка пользователя. Этот метод отличается от предыду­щего только тем, что блокируется не терминал, с которого пользователь входит в систему, а учетная запись пользователя.

5. Генерация паролей операционной системой. В этом случае пользователи не могут самостоятельно придумывать себе пароли - это за них делает операционная система. Когда пользователю нужно сменить пароль, он вводит соответствующую команду и получает новый пароль от операционной системы. Если предложенный вариант пароля пользователя не устраивает, он может потребовать у операционной системы другой ва­риант. Основным преимуществом данного метода является то, что опера­ционная система генерирует пароли случайным образом, и подобрать та­кие пароли практически невозможно. С другой стороны, такие пароли обычно трудны для запоминания, что вынуждает пользователей записы­вать их на бумаге. Если это не является угрозой безопасности системы (например, если пользователь входит в систему только через Internet со своего домашнего компьютера), данная модель аутентификации близка к идеальной. В противном случае применять ее нецелесообразно.

6. Пароль и отзыв. При использовании этой схемы аутентификации при входе пользователя в систему операционная система выдает ему слу­чайное число или строку, на которую пользователь должен дать правиль­ный отзыв. Фактически паролем являются параметры алгоритма преобра­зования запроса операционной системы в корректный ответ пользователя. Эти параметры выбираются операционной системой случайным образом для каждого пользователя, что фактически сводит данную схему аутенти­фикации к предыдущей.

7. Разовый пароль. В этом случае пароль пользователя автомати­чески меняется после каждого успешного входа в систему. Эта схема ау­тентификации надежно защищает от подбора паролей, поскольку, даже если злоумышленник и подобрал некоторый пароль, он сможет им вос­пользоваться только один раз. Кроме того, пользователь, пароль которого скомпрометирован, не сможет войти в систему в следующий раз, так как он будет пытаться вводить предыдущий пароль, уже использованный зло­умышленником. Недостатком этой схемы является то, что запомнить мно­жество постоянно меняющихся паролей практически невозможно. Кроме того, пользователи часто "сбиваются со счета", пытаясь при входе в сис­тему вводить пароль, который уже устарел или еще не начал действовать. Из-за этих и некоторых других недостатков на практике данная схема прак­тически не применяется.

Некоторые из перечисленных методов могут применяться в сово­купности.

Одной из распространенных схем аутентификации является простая аутентификация, которая основана на применении тра­диционных многоразовых паролей с одновременным согласова­нием средств его использования и обработки. Аутентификация на основе многоразовых паролей - простой и наглядный при­мер использования разделяемой информации. Пока в большин­стве защищенных виртуальных сетей VPN доступ клиента к серверу разрешается по паролю. Однако все чаще применяются более эффективные средства аутентификации, например программные и аппаратные системы аутенти­фикации на основе одноразовых паролей, смарт-карт, PIN-ко­дов и цифровых сертификатов.

Базовый принцип «единого входа» предполагает достаточ­ность одноразового прохождения пользователем процедуры аутентификации для доступа ко всем сетевым ресурсам. Поэтому в современных операционных системах предусматривается цен­трализованная служба аутентификации, которая выполняется одним из серверов сети и использует для своей работы базу дан­ных (БД). В этой БД хранятся учетные данные о пользователях сети, включающие идентификаторы и пароли пользователей, а также другую информацию.

Процедура простой аутентификации пользователя в сети: пользователь при по­пытке логического входа в сеть набирает свои идентификатор и пароль. Эти данные поступают для обработки на сервер аутенти­фикации. В БД, хранящейся на сервере аутентификации, по идентификатору пользователя находится соответствующая за­пись. Из нее извлекается пароль и сравнивается с тем паролем, который ввел пользователь. Если они совпали, то аутентифика­ция прошла успешно - пользователь получает легальный статус и получает те права и ресурсы сети, которые определены для его статуса системой авторизации.

В схеме простой аутентификации (рис.1) передача пароля и идентификатора пользователя может производиться следую­щими способами:

· в незашифрованном виде; например, согласно протоколу парольной аутентификации PAP пароли передаются по линии связи в открытой незащищенной форме;



· в защищенном виде; все передаваемые данные (идентифи­катор и пароль пользователя, случайное число и метки вре­мени) защищены посредством шифрования или однона­правленной функции.

Рисунок 1. Простая аутентификация с использованием пароля

Чтобы защитить пароль, его нужно зашифровать перед пересылкой по незащи­щенному каналу. Для этого в схему включены средства шифро­вания Е К и расшифровывания D K , управляемые разделяемым секретным ключом К. Проверка подлинности пользователя ос­нована на сравнении присланного пользователем пароля Р А и исходного значения Р" А, хранящегося на сервере аутентифика­ции. Если значения Р А и Р" А совпадают, то пароль Р А считается подлинным, а пользователь А - законным.

Наиболее распространенным способом является хра­нение паролей пользователей в открытом виде в системных фай­лах, причем на эти файлы устанавливаются атрибуты защиты от чтения и записи (например, при помощи описания соответст­вующих привилегий в списках контроля доступа ОС). Система сопоставляет введенный пользователем пароль с хранящейся в файле паролей записью. При этом способе не используются криптографические механизмы, такие как шифрование или од­нонаправленные функции. Недостаток: возможность получения злоумышленником в систе­ме привилегий администратора, включая права доступа к сис­темным файлам, и в частности, к файлу паролей.

Пароли пользователей должны храниться в ОС в открытом виде.

С точки зрения безопасности предпочтительным являет метод передачи и хранения паролей с использованием односторонних функций. Обычно для шифрования паролей в списке пользователей используют одну из известных криптографически стойких хэш-функций. В списке пользователей хранится не сам пароль, а образ пароля, являющийся результатом применения к паролю хэш-функции.

Однонаправленность хэш-функции не позволяет восстано­вить пароль по образу пароля, но позволяет, вычислив хэш-функцию, получить образ введенного пользователем пароля и та­ким образом проверить правильность введенного пароля. В про­стейшем случае в качестве хэш-функции используется результат шифрования некоторой константы на пароле.

Например, односторонняя функция h (∙) может быть опреде­лена следующим образом:

h(P∙) = E p (ID),

где Р - пароль пользователя; ID - идентификатор пользовате­ля; Е Р - процедура шифрования, выполняемая с использовани­ем пароля Р в качестве ключа.

Рисунок 2. использование односторонней функции для проверки пароля.

Такие функции удобны, если длина пароля и ключа одина­ковы. В этом случае проверка подлинности пользователя А с по­мощью пароля Р A состоит из пересылки серверу аутентификации отображения h(P A) и сравнения его с предварительно вычислен­ным и хранимым в БД сервера аутентификации эквивален­том h"(P A) (рис. 2). Если отображения h(P A) и h"(P A) равны, то считается, что пользователь успешно прошел аутентификацию.

Для того чтобы предотвратить такую атаку, функцию h(P) можно определить иначе, например в виде:

h(P) = Е P K (ID),

где К и ID - соответственно ключ и идентификатор отправителя. Различают две формы представления объектов, аутентифицирующих пользователя:

· внешний аутентифицирующий объект, не принадлежащий системе;

· внутренний объект, принадлежащий системе, в который переносится информация из внешнего объекта.

Системы простой аутентификации на основе многоразовых паролей имеют пониженную стойкость, поскольку выбор аутентифицирующей информации происходит из относительно не­большого числа слов.

Схемы аутентификации, основанные на традиционных мно­горазовых паролях, не обладают достаточной безопасностью. Более надежными являются процедуры аутентифи­кации на основе одноразовых паролей.

Суть схемы одноразовых паролей - использование различ­ных паролей при каждом новом запросе на предоставление дос­тупа. Одноразовый динамический пароль действителен только для одного входа в систему, и затем его действие истекает. Динамический меха­низм задания пароля - один из лучших способов защиты про­цесса аутентификации от угроз извне. Обычно системы аутенти­фикации с одноразовыми паролями используются для проверки удаленных пользователей.

Генерация одноразовых паролей может осуществляться ап­паратным или программным способом. Некоторые аппаратные средства доступа на основе одноразовых паролей реализуются в виде миниатюрных устройств со встроенным микропроцессо­ром, внешне похожих на платежные пластиковые карточки. Та­кие карты, обычно называемые ключами, могут иметь клавиату­ру и небольшое дисплейное окно.

Схема аутентификации с использованием временной син­хронизации базируется на алгоритме генерации случайных чисел через определенный интервал времени. Этот интервал устанавливается и может быть изменен администратором сети. Схема аутентификации использует два параметра:

· секретный ключ, представляющий собой уникальное 64-битное число, назначаемое каждому пользователю и храня­щееся в БД аутентификационного сервера и в аппаратном ключе пользователя;

· значение текущего времени.

Недостаток: генерируемое аппаратным ключом случайное число является достоверным паролем в тече­ние небольшого конечного промежутка времени. Поэтому воз­можна кратковременная ситуация, когда можно перехватить PIN-код и случайное число, чтобы использовать их для доступа в сеть.

Одним из наиболее распространенных протоколов аутентифи­кации на основе одноразовых паролей является стандартизован­ный в Интернете протокол S/Key (RFC 1760). Этот протокол реа­лизован во многих системах, требующих проверки подлинности удаленных пользователей.

Наиболее распространенным методом аутентификации является ввод секрет­ного числа, которое обычно называют PIN-кодом. Обычно PIN-код представляет собой четырехразрядное число, каждая цифра ко­торого может принимать значение от 0 до 9.

PIN-код вводится с помощью клавиатуры терминала или компьютера и затем отправляется на смарт-карту. Смарт-карта сравнивает полученное значение PIN-кода с эталонным значением, хранимым в карте, и отправляет результат сравнения на терминал.

При идентификации клиента по значению PIN-кода и предъявленной карте используются два основных способа проверки PIN-кода:

1. Неалгоритмический не требует применения специальных алгоритмов. Проверка PIN-кода осуществляется путем непосредственного сравнения введенного клиентом PIN-кода со значениями, хранимыми в БД. Обычно БД со значениями PIN-кодов клиентов шифруется методом прозрач­ного шифрования, чтобы повысить ее защищенность, не усложняя процесса сравнения.

2. Алгоритмический заключается в том, что введенный клиентом PIN-код преобразуют по определенному алгоритму с использованием секретного ключа и затем сравнивают со значением PIN-кода, хранящимся в определен­ной форме на карте. Достоинства:

· отсутствие копии PIN-кода на главном компьютере исклю­чает его раскрытие обслуживающим персоналом;

· отсутствие передачи PIN-кода между банкоматом или кас­сиром-автоматом и главным компьютером банка исключа­ет его перехват злоумышленником или навязывание ре­зультатов сравнения;

· упрощение работы по созданию программного обеспече­ния системы, так как уже нет необходимости действий в реальном масштабе времени.

Строгая аутентификация

Идея строгой аутентификации: проверяемая сторона доказывает свою подлинность проверяю­щей стороне, демонстрируя знание некоторого секрета. Доказательство знания секрета осуществляется с помо­щью последовательности запросов и ответов с использованием криптографических методов и средств.

Доказывающая сторона демонстрирует только знание секрета, но сам секрет в ходе аутентификационного обмена не раскрывается. Это обеспечивает­ся посредством ответов доказывающей стороны на различные запросы проверяющей стороны. При этом результирующий за­прос зависит только от пользовательского секрета и начального запроса, который обычно представляет произвольно выбранное в начале протокола большое число.

В большинстве случаев строгая аутентификация заключается в том, что каждый пользователь аутентифицируется по признаку владения своим секретным ключом. Иначе говоря, пользователь имеет возможность определить, владеет ли его партнер по связи надлежащим секретным ключом и может ли он использовать этот ключ для подтверждения того, что он действительно являет­ся подлинным партнером по информационному обмену.

· односторонняя аутентификация , предусматривает обмен ин­формацией только в одном направлении;

· двусторонняя аутентификация содержит дополнительный ответ проверяющей стороны доказывающей стороне, который должен убедить ее, что связь устанавливается именно с той стороной, которой были предназна­чены аутентификационные данные;

· трехсторонняя аутентификация содержит дополнительную передачу данных от доказывающей стороны проверяющей. Этот подход позволяет отказаться от использования меток времени при проведении аутентификации.

Одноразо­вые параметры иногда называют также nonces - это величина, используемая для одной и той же цели не более одного раза. Среди используемых на сегодняшний день одноразовых пара­метров следует выделить: случайные числа, метки времени и но­мера последовательностей.

Они позволяют избежать повтора пере­дачи, подмены стороны аутентификационного обмена и атаки с выбором открытого текста. С их помощью можно обеспечить уникальность, однозначность и временные гарантии передаваемых сообщений. Различные типы одноразовых параметров могут употребляться как отдельно, так и дополнять друг друга. Следует отметить, что одноразовые параметры широко используются и в других вариантах криптографических протоколов. В зависимости от используемых криптографических алгорит­мом протоколы строгой аутентификации делятся на протоколы, основанные:

· на симметричных алгоритмах шифрования;

· однонаправленных ключевых хэш-функциях;

· асимметричных алгоритмах шифрования;

· алгоритмах электронной цифровой подписи.

Для работы протоколов аутентификации, построенных на основе симметричных алгоритмов, необходимо, чтобы прове­ряющий и доказывающий с самого начала имели один и тот же секретный ключ. Для закрытых систем с небольшим количест­вом пользователей каждая пара пользователей может заранее разделить его между собой. В больших распределенных систе­мах, применяющих технологию симметричного шифрования, часто используются протоколы аутентификации с участием до­меренного сервера, с которым каждая сторона разделяет знание ключа. Такой сервер распределяет сеансовые ключи для каждой пары пользователей всякий раз, когда один из них запрашивает аутентификацию другого.

Рассмотрим следующие варианты аутентификации:

· односторонняя аутентификация с использованием меток времени;

· односторонняя аутентификация с использованием случайных чисел;

· двусторонняя аутентификация.

В каждом из этих случаев пользователь доказывает свою подлинность, демонстрируя знание секретного ключа, так как производит расшифровывание запросов с помощью этого секретного ключа.

При использовании в процессе аутентификации симметрич­ного шифрования необходимо также реализовать механизмы обеспечения целостности передаваемых данных на основе общепринятых способов.

Введем следующие обозначения:

r А А;

r В - случайное число, сгенерированное участником В;

t A - метка времени, сгенерированная участником А;

Е К - симметричное шифрование на ключе К (ключ К должен быть предварительно распределен между A и В).

1. Односторонняя аутентификация, основанная на метках времени:

- (1)

После получения и расшифровывания данного сообщения участник В убеждается в том, что метка времени t A действительна и идентификатор В, указанный в сообщении, совпадает с его собственным. Предотвращение повторной передачи данного со­общения основывается на том, что без знания ключа невозмож­но изменить метку времени t A и идентификатор В.

2. Односторонняя аутентификация, основанная на использо­вании случайных чисел:

- (2)

Участник В отправляет участнику А случайное число r B . Уча­стник А шифрует сообщение, состоящее из полученного числа А и идентификатора В, и отправляет зашифрованное сообщение участнику В. Участник В расшифровывает полученное сообще­ние и сравнивает случайное число, содержащееся в сообщении, в тем, которое Он послал участнику А. Дополнительно он прове­рнет имя, указанное в сообщении.

3. Двусторонняя аутентификация, использующая случайные рачения:

- (3)

При получении сообщения (2) участник В выполняет те же проверки, что и в предыдущем протоколе, и дополнительно рас­шифровывает случайное число r А для включения его в сообще­ние (3) для участника А. Сообщение (3), полученное участни­ком А, позволяет ему убедиться на основе проверки значений r А и r В, что он имеет дело именно с участником В.

Широко известными представителями протоколов, обеспе­чивающих аутентификацию пользователей с привлечением в процессе аутентификации третьей стороны, являются протокол распределения секретных ключей Нидхэма и Шредера и прото­кол Kerberos.

Протоколы, представленные выше, могут быть модифициро­ваны путем замены симметричного шифрования на шифрование с помощью односторонней ключевой хэш-функции. Это бывает необходимо, если алгоритмы блочного шифрования не­доступны или не отвечают предъявляемым требованиям (напри­мер, в случае экспортных ограничений).

Своеобразие шифрования с помощью односторонней хэш-функции заключается в том, что оно по существу является одно­сторонним, т. е. не сопровождается обратным преобразовани­ем - расшифровыванием на приемной стороне. Обе стороны (отправитель и получатель) используют одну и ту же процедуру одностороннего шифрования.

Односторонняя хэш-функция h K (∙)с параметром-ключом К, примененная к шифруемым данным М, дает в результате хэш-значение т (дайджест), состоящее из фиксированного не­большого числа байт (рис. 3).

Рисунок 3. Применение для аутентификации односторонней хэш-функции с параметром-ключом

Дайджест т = h K (M) передается получателю вместе с исходным сообщением М. Получатель сооб­щения, зная, какая односторонняя хэш-функция была применена для получения дайджеста, заново вычисляет ее, используя рас­шифрованное сообщение М. Если значения полученного дайдже­ста т и вычисленного дайджеста т" совпадают, значит содержи­мое сообщения Мне было подвергнуто никаким изменениям.

Знание дайджеста не дает возможности восстановить исход­ное сообщение, но позволяет проверить целостность данных. Дайджест можно рассматривать как своего рода контрольную сумму для исходного сообщения. Контрольную сумму используют как средство проверки целост­ности передаваемых сообщений по ненадежным линиям связи.

При вычислении дайджеста применяются секретные ключи. В случае, если для получения дайджеста используется односторонняя хэш-функция с параметром-ключом К, который известен только отправителю и получателю, любая модификация исходного сообщения будет немедленно обнаружена.

Рисунок 4.

На рис. 4 показан другой вариант использования односто­ронней хэш-функции для проверки целостности данных. В этом случае односторонняя хэш-функция h (∙) не имеет парамет­ра-ключа, но применяется не просто к сообщению М, а к сооб­щению, дополненному секретным ключом К, т. е. отправитель вычисляет дайджест т = h(M, К). Получатель, извлекая исходное сообщение М, также дополняет его тем же известным ему секрет­ным ключом К, после чего применяет к полученным данным од­ностороннюю хэш-функцию h (∙). Результат вычислений - дай­джест т" - сравнивается с полученным по сети дайджестом т.

При использовании односторонних функций шифрования в рассмотренные выше протоколы необходимо внести следующие изменения:

· функция симметричного шифрования Е к заменяется функ­цией h K ;

· проверяющий вместо установления факта совпадения по­лей в расшифрованных сообщениях с предполагаемыми значениями вычисляет значение однонаправленной функ­ции и сравнивает его с полученным от другого участника обмена информацией;

· для обеспечения независимого вычисления значения однона­правленной функции получателем сообщения в протоколе 1 метка времени t A должна передаваться дополнительно в от­крытом виде, а в сообщении (2) протокола 3 случайное число r A должно передаваться дополнительно в открытом виде.

Модифицированный вариант протокола 3 с учетом сформу­лированных изменений имеет следующую структуру:

Заметим, что в сообщение (3) протокола включено поле A . Результирующий протокол обеспечивает взаимную аутентификацию и известен как протокол SKID 3.

В протоколах строгой аутентификации могут быть использованы асимметричные алгоритмы с открытыми ключами. В этом случае доказывающий может продемонстрировать знание секретного ключа одним из следующих способов:

· расшифровать запрос, зашифрованный на открытом ключ

· поставить свою цифровую подпись на запросе.

Выбранная система с открытым ключом должна быть устойчивой к атакам с выборкой шифрованного текста даже в том случае, если наруши­тель пытается получить критичную информацию, выдавая себя за проверяющего и действуя от его имени.

В качестве примера протокола, построенного на использова­нии асимметричного алгоритма шифрования, можно привести следующий протокол аутентификации:

Участник В выбирает случайным образом r и вычисляет зна­чение х = h(r) (значение х демонстрирует знание r без раскрытия самого значения r ), далее он вычисляет значение е = Р А (r,В). Под Р А подразумевается алгоритм асимметричного шифрования (например, RSA), а под h (∙) - хэш-функция. Участник В от­правляет сообщение (1) участнику А. Участник А расшифровывает е = Р А (r, В) и получает значения r 1 и B 1 , а также вычисляет x 1 = h (r 1 ). После этого производится ряд сравнений, доказываю­щих, что х = х 1 , и что полученный идентификатор B t действительно указывает на участника В. В случае успешного проведе­нии сравнения участник А посылает г. Получив его, участник В проверяет, то ли это значение, которое он отправил в сообще­нии (1).

В качестве другого примера приведем модифицированный протокол Нидхэма и Шредера, основанный на асимметричном шифровании (достаточно подробно он описан в разделе, посвя­щенном распределению ключевой информации, поскольку ос­новной вариант протокола используется для аутентификационного обмена ключевой информации).

Рассматривая вариант протокола Нидхэма и Шредера, ис­пользуемый только для аутентификации, будем подразумевать под Р В алгоритм шифрования открытым ключом участника В. Протокол имеет следующую структуру:

- (1)

- (2)

Для описания этой схемы аутентификации введем следую­щие обозначения:

t A , r A и r В - временная метка и случайные числа соответст­венно;

S A - подпись, сгенерированная участником А;

S B - подпись, сгенерированная участником В;

cert A А;

cert B - сертификат открытого ключа участника В.

Если участники имеют аутентичные открытые ключи, полу­ченные друг от друга, то можно не пользоваться сертификатами, в противном случае они служат для подтверждения подлинности открытых ключей.

В качестве примеров приведем следующие протоколы аутентификации.

1. Односторонняя аутентификация с применением меток вре­мени:

После принятия данного сообщения участник В проверяет правильность метки времени t A , полученный идентификатор В и, используя открытый ключ из сертификата cert А , корректность цифровой подписи S A (t A , В).

2. Односторонняя аутентификация с использованием случай­ных чисел:

Участник В, получив сообщение от участника А, убеждается, что именно он является адресатом сообщения; используя открытый ключ участника А, взятый из сертификата cert А , проверяет корректность подписи S A (r A , r B , В) под числом r А, полученным в открытом виде, числом r В, которое было отослано в сообще­нии (1), и его идентификатором В. Подписанное случайное чис­ло r А используется для предотвращения атак с выборкой откры­того текста.

3. Двусторонняя аутентификация с использованием случайных чисел:

В данном протоколе обработка сообщений (1) и (2) выпол­няется так же, как и в предыдущем протоколе, а сообщение (3) обрабатывается аналогично сообщению (2).