w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Алексей Сабанов, к.т.н., Заместитель генерального директора 7 июня 2013 г. Анализ зарубежной нормативной базы по идентификации и аутентификации. Проблемы нормативной базы в РФ.

w w w. a l a d d i n – r d. r u is a key element for the delivery of any e-services. –European Commission COM(2008) 798 final (28 Nov. 2008) is a critical component of... national and global economic, governmental and social activities [which] rely more and more on the Internet. –OECD, The Role of Digital Identity Management in the Internet Economy, June 2009 is a one of the most important security service of e- commerce and e-government APEC Guidance for E-commerce (December 2005) 2 Важность аутентификации в мире

w w w. a l a d d i n – r d. r u Первоисточники Б.Шнайер. Прикладная криптография. – М.: Издательствоо ТРИУМФ, 2003 – 816 с. FIPS 196, "Entity authentication using public key cryptography," Federal Information Processing Standards Publication 196, U.S. Department of Commerce/N.I.S.T., National Technical Information Service, Springfield, Virginia, (Аутентификация субъекта на основе криптографии открытых ключей). ISO/IEC : 1997, Information technology– Security techniques- Entity authentication- Part 1: General. (Аутентификация субъекта. Часть 1). ISO/IEC : 1997, Information technology – Security techniques - Entity authentication - Part 3: Mechanisms using digital signature techniques. (Аутентификация субъекта. Часть 3. Механизмы, использующие технологии цифровой подписи). RFC R. Zuccherato (Entrust Technology), M.Nystrom (RSA Security). ISO/IEC Authentication SASL Mechanism. August NIST SP Технические модели, лежащие в основе безопасности информационных технологий. Дек

w w w. a l a d d i n – r d. r u Нормативная база Declaration on Authentication for Electronic Commerce 7-9 October 1998 CWA Guide of use of Electronic Signature. Jan.2003 OMB Memorandum M E-Authentication Guidance for Federal Agencies December 16, 2003 & OMB Circular A Homeland Security Presidential Directive 12 (HSPD-12) Policy for a Common Identification Standard for Federal Employees and Contractors. August 27, 2004 ISO/IEC , ITU-T Rec/x.811 Теоретические основы аутентификации NIST Special Publication April 2006 (РД по использованию е- аутентификации) OECD Recommendation on Electronic Authentication/2007 FIPS PUB Personal Identity Verification (PIV) of Federal Employees and Contractors. March 2006, FIPS PUB March 2011 ETSI draft SR v0.0.2 Rationalised Framework for Electronic Signature Standardization August 2011 & ETSI TS 1, ,… 4

w w w. a l a d d i n – r d. r u Работа над источниками 5 год название коротко суть 1997 FIPS 196, "Entity authentication using public key cryptography," Federal Information Processing Standards Publication 196, U.S. Department of Commerce/N.I.S.T., National Technical Information Service, Springfield, Virginia, (Аутентификация субъекта на основе криптографии открытых ключей). стандарт рекомендован к применению во всех фидеральных ведомствах для несекретной информации. Может применяться во всех коммерческих организациях. Аутентификация на основе криптографии с открытыми ключами может применяться во всех приложениях, когда стороны аутентификации не имеют сведений о существовании друг друга. Протоколы аутентификации (односторонний и двухсторонний), описанные в данном стандарте, можно использовать с другими системами на основе PKI ISO/IEC : 1997, Information technology – Security techniques - Entity authentication - Part 1: General. (Аутентификация субъекта. Часть 1. Общие подходы) даны определения и определены общие подходы к идентификации и аутентификации 1997 ISO/IEC : 1997, Information technology – Security techniques - Entity authentication - Part 3: Mechanisms using digital signature techniques. (Аутентификация субъекта. Часть 3. Механизмы, использующие технологии цифровой подписи) определены пять различных протоколов для односторонней и двусторонней аутентификации с использованием криптографических алгоритмов с открытым ключом 1998 Министерская декларация об аутентификации для электронной коммерции. ODCE. Оттава 1998 учитывая необходимость обеспечения конфиденциальности данных пользователей в электронной коммерции признается необходимость развития аутентификации. При этом должно быть отсутствие дискриминационных подходов к механизмам и средствам эл.аутентификации, принятых в других странах. Правительства призываются быть промоутерами e-commerce и эл.аутентификации RFC R. Zuccherato (Entrust Technology), M.Nystrom (RSA Security). ISO/IEC Authentication SASL Mechanism. Aug (Механизм аутентификации SASL по ИСО/МЭК ) определяется механизм аутентификации SASL (Simple Authentication and Security Layer, простой уровень аутентификации и безопасности), основанный на стандартах аутентификации субъекта ИСО/МЭК и FIPS PUB 196. односторонняя и взаимная(ЭЦП) 2001 NIST SP Технические модели, лежащие в основе безопасности информационных технологий. Дек.2001 системное исследование компьютерной безопасности. Основано на рассмотрении сервисов безопасности (К-конфиденц., Ц- целостность, Д- доступн., надежность, возможность учета действий пользователей, гарантии. Показано, что гарантии выполнения основных задач ИБ (КДЦ) зависят от реализации задач К, Ц, учета.картинки.

w w w. a l a d d i n – r d. r u Технологии и их внедрение 6

Диалектика развития стандартов 7 Технология Рекомендации Требования Стандарты

w w w. a l a d d i n – r d. r u Классификация аутентификации 8

w w w. a l a d d i n – r d. r u Наиболее заметные разработчики NIST – требования, стандарты, в том числе FIPS (Federal Information Processing Standards, Федеральные Стандарты Обработки Информации); ISO/IEC – международные стандарты; CEN (European Committee for Standardization) – требования, стандарты; OECD (Organization for Economic Co-operation and Development) – рекомендации; APEC (Asia-Pacific Economic Cooperation) – рекомендации; ETSI (European Telecommunications Standards Institute) – регламенты. 9

w w w. a l a d d i n – r d. r u 10

w w w. a l a d d i n – r d. r u 11 0, $ Идентификация и аутентификация с точки зрения применяемых технологий

w w w. a l a d d i n – r d. r u Три вида секрета, три уровня ААА 12 Учетная запись пользователя Секрет (аутентификатор) Тип аутентификации логинпарольпростая логин одноразовый пароль (технология ОТР) усиленная заданные поля сертификата Х.509, сформированного удостоверяющим центром для доступа пользователя закрытый ключ (в терминах 1-ФЗ) строгая

w w w. a l a d d i n – r d. r u Уровни доверия аутентификации Административно-бюджетное управление для фидеральных ведомств и NIST разработали уровни минимальных технических требований к: токенам (аутентификаторам); Процессам подтверждения подлинности, регистрации, изданию и передаче цифровых удостоверений, связыванию Механизмам удаленной аутентификации (комбинация из цифровых удостоверений, токенов и протоколов аутентификации) Механизмам подтверждения, используемой для передачи результатов удаленной аутентификации другим сторонам) 13

w w w. a l a d d i n – r d. r u Пример Credentials из FIPS PUB Ключевая пара (открытый и закрытый ключи) и цифровой сертификат аутентификации Ключевая пара (открытый и закрытый ключи) и цифр. сертификат электронной подписи. Подпись возможна только с использованием ПИН-кода (волеизъявление) Ключевая пара (открытый и закрытый ключи) и цифровой сертификат для управления ключами Ключи для системы управления жизненным циклом смарт-карт с использованием контактного чипа Возможность импортирования на чип смарт-карты сертификатов X.509 для PKI - валидации 14

w w w. a l a d d i n – r d. r u Схема организации PIV фидер. служб США 15

w w w. a l a d d i n – r d. r u FIPS PUB 201-1: стандарт смарт-карты 16

w w w. a l a d d i n – r d. r u Архитектура PKI-инфраструктуры США 17

w w w. a l a d d i n – r d. r u 18 Применение средств ААА должно быть приведено в соответствие с потребностями и уровнем риска Физические лица – как минимум, пара «логин/пароль» Организации (бизнес) - OTP + Защищенные ключевые носители Государственные органы – строгая аутентификация, секрет должны генерировать устройства класса SSCD ODCE: Уровни последствий ошибок ААА низкий средний высокий

w w w. a l a d d i n – r d. r u Краткий общий анализ Великобритания. Стандарты CEN. Австралия. Копирование подхода США. Ничего нового. АРЕС. Рекомендации правительствам. Декларация «правильных» американских подходов, интероперабельности, отсутствие дискреционных методов к национальным подходам. Европа. РЕРРОL, ОEСD - рекомендации по применению аутентификации в связке с электронной подписью. Ничего нового. Мягкий подход, три уровня доверия. 19

w w w. a l a d d i n – r d. r u Анализ зарубежного опыта показывает, что исторически первыми требования к аутентификации разработаны в США. Канада, Австралия и ряд других стран повторяют и лишь локализуют американские требования, которые являются наиболее проработанными. На основе представленного анализа можно сделать вывод о том, что российская нормативная база существенно отстает не только от баз развитых стран, но по ряду положений, и от стран-ближайших соседей. Следовательно, необходимо интенсивно поработать, чтобы сократить отставание. Самой большой проблемой существующей и планируемой к опубликованию российской нормативной базы является полная независимость от технологий. Выводы 20

w w w. a l a d d i n – r d. r u Проблемы нормативной базы в РФ Отсутствие Заказчика по разработке рекомендаций, требований и стандартов по аутентификации; Нестыковка в разделении функций между основными регуляторами; Отсутствие нормативной базы по техническим требованиям к уровням доверия аутентификации; Неполное понимание понятия Единого пространства доверия не только к электронной подписи, но и к основным сервисам безопасности, обеспечивающим юридическую силу электронному документу. 21

w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Спасибо за внимание! 22