w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Алексей Сабанов Заместитель генерального директора Москва, 07 февраля 2012 г. Роль аутентификации при электронном взаимодействии

w w w. a l a d d i n – r d. r u 2 0, $ Идентификация и аутентификация с точки зрения применяемых технологий

w w w. a l a d d i n – r d. r u План презентации Роль аутентификации Международный опыт Угрозы Основные процессы Пожелания 3

w w w. a l a d d i n – r d. r u Роль аутентификации 4 подтверждение подлинности идентификационных данных; взаимная аутентификация «пользователь- информационный ресурс» - защита от фишинга; обеспечение доверия потребителя к информации, предоставляемой в процессе электронных услуг; одна из существенных составляющих при формировании единого пространства доверия электронной подписи; удаленный доступ к сети и информационным ресурсам; трансграничное взаимодействие, например, предоставление электронных услуг гражданам России, находящимся за рубежом.

w w w. a l a d d i n – r d. r u Понимание роли аутентификации 5 Постановление Правительства РФ от 28 ноября 2011 г. N 977 "О федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» а) предоставление государственных и муниципальных услуг, в том числе услуг, предоставляемых государственными и муниципальными учреждениями и другими организациями, в которых размещается государственное задание (заказ) или муниципальное задание (заказ); б) исполнение государственных и муниципальных функций; в) формирование базовых государственных информационных ресурсов, определяемых Правительством Российской Федерации; г) межведомственное электронное взаимодействие; д) иные цели, предусмотренные федеральными законами, актами Президента Российской Федерации и актами Правительства Российской Федерации. … 4. Министерству связи и массовых коммуникаций Российской Федерации: утвердить до 1 апреля 2012 г. положение о единой системе идентификации и аутентификации; обеспечить до 15 апреля 2012 г. ввод в эксплуатацию единой системы идентификации и аутентификации.

w w w. a l a d d i n – r d. r u is a key element for the delivery of any e-services. –European Commission COM(2008) 798 final (28 Nov. 2008) is a critical component of... national and global economic, governmental and social activities [which] rely more and more on the Internet. –OECD, The Role of Digital Identity Management in the Internet Economy, June 2009 is a one of the most important security service of e- commerce and e-government APEC Guidance for E-commerce (December 2005) 6 Важность аутентификации в мире

w w w. a l a d d i n – r d. r u Роль аутентификации за рубежом Declaration on Authentication for Electronic Commerce 7-9 October 1998 CWA Guide of use of Electronic Signature. Jan.2003 OMB Memorandum M E-Authentication Guidance for Federal Agencies December 16, 2003 & OMB Circular A Homeland Security Presidential Directive 12 (HSPD-12) Policy for a Common Identification Standard for Federal Employees and Contractors. August 27, 2004 NIST Special Publication April 2006 (РД по использованию е- аутентификации) OECD Recommendation on Electronic Authentication/2007 FIPS PUB Personal Identity Verification (PIV) of Federal Employees and Contractors. March 2006 FIPS PUB Personal Identity Verification (PIV) of Federal Employees and Contractors. March 2011 ETSI draft SR v0.0.2 Rationalised Framework for Electronic Signature Standardization August 2011 & ETSI TS 1, ,… 7

w w w. a l a d d i n – r d. r u 8

Угрозы Регистрация «маскарад» – имитация конкретного пользователя Отрицание регистрации Токены (аутентификаторы) Программные и физические ключевые носители может быть украдены или дублированы Известное (PIN) может быть раскрыто злоумышленником Обладаемое (отпечаток пальца) может быть скопировано Протоколы аутентификации Подслушивание Имитация (заявителя, проверяющей стороны, доверяющей стороны Перехват сеанса аутентифицированного пользователя (обращение от имени пользователя к доверяющей стороне с целью получения конфиденциальной информации или ввода ложной информации) Обращение от имени доверяющей стороны к проверяющей стороне с целью получения конфиденциальной информации или ввода ложной информации 9

w w w. a l a d d i n – r d. r u Прочие угрозы Случайные и/или намеренные ошибки при издании Credentials, связывании, делегировании прав, создании учетных записей Злонамеренное ПО, направленное на компрометацию токенов (аутентификаторов) Вторжение в системы пользователей, CSP или проверяющих сторон с целью получения цифровых удостоверений или токенов Угрозы компрометации токенов со стороны инсайдеров Социальный инжиниринг с целью раскрытия пользователем PINа, подглядывание Атаки, при которых обманутый заявитель использует небезопасный протокол, думая, что использует безопасный, либо сам преодолевает средства защиты (например, принимая сертификаты серверов, не прошедших проверку ) Явный отказ пользователей, сознательно скомпрометировавших свои токены 10

w w w. a l a d d i n – r d. r u Атаки на протоколы аутентификации Пассивное прослушивание Активные атаки –Угадывание пароля или PIN-кода – Воспроизведение Внесение изменений в канал аутентификации – перехват сеанса аутентифицированного пользователя –Имитация проверяющей стороны –«Человек посередине» 11

w w w. a l a d d i n – r d. r u Уровни строгости аутентификации Административно-бюджетное управление для федеральных ведомств и NIST разработали уровни минимальных технических требований к: токенам (аутентификаторам); Процессам подтверждения подлинности, регистрации, изданию и передаче цифровых удостоверений, связыванию Механизмам удаленной аутентификации (комбинация из цифровых удостоверений, токенов и протоколов аутентификации) Механизмам подтверждения, используемой для передачи результатов удаленной аутентификации другим сторонам) 12

w w w. a l a d d i n – r d. r u Первый уровень аутентификации Нет требований к подтверждению подлинности, но механизм аутентификации предоставляет некоторую долю уверенности в том, что заявитель, обращающийся к транзакции или данным тот, за кого себя выдаёт. На этом уровне можно использовать собственные методы и все методы, предназначенные для уровней 2, 3 или 4. Аутентификация признаётся успешной, если заявитель предоставляет по протоколу безопасной аутентификации доказательство владения аутентификатором. На уровне 1 пароли или секреты не передаются по сети в открытом виде. Но этот уровень не требует применения криптографических методов защиты. Во многих случаях злоумышленник, имеющий доступ к каналу связи, имеет возможность восстановить пароль, используя атаку со словарём. Уровень 1 позволяет проверяющей стороне иметь доступ к аутентификационным секретам длительного хранения. Подтверждения подлинности заявителей, выпускаемые в результате их успешной аутентификацией, аутентифицируются криптографически либо получаются напрямую от доверенной стороны по безопасному протоколу аутентификации. 13

w w w. a l a d d i n – r d. r u Второй уровень аутентификации Предполагает использование однофакторной аутентификации в удалённой сети. На уровне 2 вводятся требования к подтверждению подлинности. На уровне 2 могут использоваться собственные методы и все методы, предназначенные для уровней 3 и 4, а также пароли и PIN-коды. Аутентификация признаётся успешной, если заявитель предоставляет по протоколу безопасной аутентификации доказательство владения аутентификатором. Осуществляется противодействие атакам подслушивания, воспроизведения и онлайн-угадывания. При использовании аутентификационных секретов длительного хранения таковые не доверяются никакой из сторон, за исключением заявителя, а проверяющие стороны подчиняются поставщику службы цифровых удостоверений (Credentials Service Provider, CSP); однако CSP может предоставлять независимым проверяющим сторонам сеансовые (временные) общие секреты. Обязательно должны использоваться разрешённые криптографические методы. Подтверждения подлинности заявителей, выпускаемые в результате их успешной аутентификацией, аутентифицируются криптографически (разрешёнными методами ) либо получаются напрямую от доверенной стороны по безопасному протоколу аутентификации. 14

w w w. a l a d d i n – r d. r u Третий уровень аутентификации Предоставляет многофакторную аутентификацию в удалённой сети. Процедуры подтверждения подлинности требуют проверки идентифицирующих материалов и информации. Аутентификация основана на доказательстве владения ключом или одноразовым паролем по криптографическому протоколу, требуется наличие механизмов обеспечения строгости криптографии, защищающие первичные аутентификаторы (секретный ключ, закрытый ключ или одноразовый пароль) от компрометации методами прослушивания, воспроизведения, онлайн-угадывания, имитации проверяющей стороны и «человек посередине». Требуется наличие не менее двух факторов аутентификации. Могут использоваться три вида токенов «программные» криптографические аутентификаторы, «аппаратные» криптографические аутентификаторы и аппаратные генераторы одноразовых паролей. Для аутентификации требуется, чтобы заявитель по безопасному протоколу аутентификации доказал владение аутентификатором, разблокировав его с помощью пароля, либо используя пароль в безопасном протоколе аутентификации, в результате чего аутентификация оказывается двухфакторной. При использовании аутентификационных секретов длительного хранения таковые не доверяются никакой из сторон, за исключением заявителя. 15

w w w. a l a d d i n – r d. r u Четвертый уровень аутентификации предназначен для обеспечения самой строгой аутентификации на основе доказательства владения ключом по криптографическому протоколу. Уровень 4 аналогичен уровню 3, за исключением того, что на нём допускается использование только «аппаратных» криптографических аутентификаторов, усилены требования FIPS к оценке криптографических модулей, и требуется, чтобы в дальнейшем подлинность передаваемых конфиденциальных данных подтверждалась с использованием ключа, привязанного к процессу аутентификации. Аутентификатор должен быть аппаратным криптографическим модулем, имеющим сертификат соответствия FIPS уровня 2 или выше с обеспечением физической безопасности на уровне не ниже FIPS уровня 3. Требуется строгая криптографическая аутентификация всех сторон и при всякой передаче конфиденциальных между сторонами. Аутентификация требует подтверждения заявителем владения аутентификатором по безопасному протоколу аутентификации. Должны предотвращаться атаки прослушивания, воспроизведения, онлайн-угадывания, имитации проверяющей стороны и «человек посередине». При использовании аутентификационных секретов длительного хранения таковые не доверяются никакой из сторон, за исключением заявителя. Для всех операций должны использоваться стойкие одобренные криптографические методы. 16

w w w. a l a d d i n – r d. r u Основные процессы Регистрация Собственно аутентификация Управление цифровыми удостоверениями (Credentials) Управление аутентификаторами (смарт-карты, USB- ключи) Аудит 17

w w w. a l a d d i n – r d. r u Регистрация (центр регистрации и CSP) Проверка идентификационных атрибутов личности –В США предъявляют не менее 2 валидных документа Создание учетной записи в БД Выпуск аутентификационных атрибутов (Credentials и токен) Связывание Делегирование прав Определение политик доступа Выдача токена (смарт-карта, USB-ключ) и Credentials (закрытые ключи и сертификаты Х.509, ключи шифрования, VPN,…) 18

w w w. a l a d d i n – r d. r u Пример Credentials из FIPS PUB Ключевая пара (открытый и закрытый ключи) и цифровой сертификат аутентификации Ключевая пара (открытый и закрытый ключи) и цифр. сертификат электронной подписи Ключевая пара (открытый и закрытый ключи) и цифровой сертификат для управления ключами Асимметричные или симметричные ключи аутентификации смарт-карты для СКУД Ключи для системы управления жизненным циклом смарт-карт 19

w w w. a l a d d i n – r d. r u Схема организации PIV федер. служб США 20

w w w. a l a d d i n – r d. r u FIPS PUB 201-1: стандарт смарт-карты 21

w w w. a l a d d i n – r d. r u Наши предложения Ввести 3 уровня к аутентификации Связать их с требованиям к использованию трех видов электронной подписи Исследовать вопросы надежности процессов автоматической идентификации и аутентификации Обратить внимание на противодействие угрозам при выполнении всех основных процессов (регистрация, автоматическая идентификация, выпуск и передача цифровых удостоверений, связывание, управление) Привлекать к разработке требований к уровням аутентификации и архитектуре Единой системы аутентификации специализированные ассоциации (АЗИ) и специалистов Необходимо создать нормативной базу и инфраструктуру 22

w w w. a l a d d i n – r d. r u Сферы обращения ЭЦП Бизнес 23 Государство Общество (Граждане) Общество (Граждане) простаяусиленная квалифицированная

w w w. a l a d d i n – r d. r u Уровни аутентификации Low: однофакторная аутентификация (логин/пароль передаются по 2 каналам, например, on-line и по e- mail); Medium: двухфакторная аутентификация без требования строгости. Примеры: устройства класса токен + Challenge-response протоколы, сертификаты. Процедуры регистрации и выдачи электронного удостоверения – по 2 каналам; High: двухфакторная аутентификация с очень строгой процедурой регистрации (требование явки и предъявления валидных идентификаторов). Выдача электронного удостоверения по 2-канальной процедуре, PKI-сертификаты в смарт-карте или USB- токене. 24

w w w. a l a d d i n – r d. r u Уровни безопасности аутентификации 25

w w w. a l a d d i n – r d. r u 63 – ФЗ «Об электронной подписи» ЭП = аутентификация источника + контроль целостности сообщения Простая ЭП = аутентификация источника + без контроля целостности сообщения 26

w w w. a l a d d i n – r d. r u Проблемы нормативной базы Уровень гарантий безопасности для средств аутентификации? 1. Низкий: однофакторная аутентификация. Логин и пароль пользователя доставляются ему по двум различным каналам (например, on-line и по почте). NIST Special Publication Version Electronic Authentication Guideline OECD RECOMMENDATION ON ELECTRONIC AUTHENTICATION AND OECD GUIDANCE FOR ELECTRONIC AUTHENTICATION Не попадает в системы сертификации ФСТЭК или ФСБ 27

w w w. a l a d d i n – r d. r u Средний уровень: Определенные потери Средний уровень: двухфакторная аутентификация предусматривающая проверку идентифицирующих материалов, а также факта владения ключом или одноразовым паролем с помощью криптографического протокола. Допускается хранение ключа или выработка одноразового пароля в программном модуле. IPSEC, SSL/TLS сертифицированые ФСБ по классу КС1 и выше 28

w w w. a l a d d i n – r d. r u Высокий уровень: Значительные потери Высокий уровень: двухфакторная аутентификация с очень надежной процедурой регистрации (Личное присутствие, предоставление документов), предусматривающая проверку идентифицирующих материалов, а также факта владения ключом с помощью криптографического протокола. Допускается хранение ключа или выработка одноразового пароля только в аппаратном модуле. (Смарт-карта, защищенный USB-токен). IPSEC, SSL/TLS сертифицированые ФСБ по классу КС2 и выше 29

w w w. a l a d d i n – r d. r u Несколько разных ЭП... Принцип Кирхгофа Простая ЭП + квалифицированная ЭП = простая ЭП 30

w w w. a l a d d i n – r d. r u Три ключевые Роли Субъект –Личность, подлинность которой устанавливается –использует эл. удостоверение для организации online транзакций Центр Доверия –Отвечает за проверку субъекта и издание эл. удостоверений –Отвечает за проверку эл. удостоверений для доверяющей стороны Доверяющая сторона –Использует эл. удостоверение для проверки подлинности субъекта –Relies on identity assertion to authorize access / approve transaction / accept signature / etc. 31

w w w. a l a d d i n – r d. r u Традиционный двусторонний подход 32 Центр доверия & Доверяющая сторона Субъект клиент сотрудникОрганизация Логин и пароль Note: Удостоверение может использоваться при взаимодействии ТОЛЬКО с той доверяющей стороной, которая его издала Не универсальные удостоверения

w w w. a l a d d i n – r d. r u Интегрированное управление аутентификацией (три стороны) 33 Центр доверия Доверя ющая сторон а Субъект State DMV Продавец Доверяю щая сторона Гос. учереждение Банк Доверие Цифровое удостоверение может использоваться при взаимодействии с различными доверяющими сторонами Универсальные удостоверения (единое пространство доверия) УЭК

w w w. a l a d d i n – r d. r u Об инфраструктуре аутентификации в ЕПД 34 Центр доверия relying parties Субъекты Законодатели (Источник доверия) Регулятор (Определяет правила) Аккреди- тация Аудит

w w w. a l a d d i n – r d. r u Идентификация и аутентификация 35 участники информационного взаимодействия идентификация аутентификация государственные органы дастрогая органы местного самоуправления дастрогая организациидада/нет в зависимости от запроса граждане да/нет в зависимости от запроса

w w w. a l a d d i n – r d. r u Аутентификация и виды подписи 36 виды подписиаутентификация простаяда усиленная (неквалифицированный сертификат) строгая усиленная (квалифицированный сертификат) строгая двухфакторная

w w w. a l a d d i n – r d. r u 37 Спасибо за внимание! Вопросы ?