w w w. a l a d d i n – r d. r u Вопросы идентификации и аутентификации при электронном взаимодействии Алексей Сабанов, к.т.н., Зам.ген. директора «Аладдин Р.Д.» 31 января 2014г. 1

w w w. a l a d d i n – r d. r u Юридическая значимость эл. документа 2 Аналогия с бланком бумажного документа Реквизиты ведомства г.Москва16-00 ДиректорИванов И.И. Правовой статус МестоВремя Полномочие ЭЦП Правомочие Нотариальное заверение Апостиль Квитанция об оплате 789 УПЛАЧЕНО пошлина 1 руб. Постановление Правительства от для бумажных документов в ФОИВ (24 реквизита)

w w w. a l a d d i n – r d. r u Взгляд юриста: минимальный набор реквизитов 3

w w w. a l a d d i n – r d. r u is a key element for the delivery of any e-services. –European Commission COM(2008) 798 final (28 Nov. 2008) is a critical component of... national and global economic, governmental and social activities [which] rely more and more on the Internet. –OECD, The Role of Digital Identity Management in the Internet Economy (June 2009) is a one of the most important security service of e- commerce and e-government APEC Guidance for E-commerce (December 2005) 4 Важность аутентификации в мире

w w w. a l a d d i n – r d. r u Определения идентификации 5 Идентификатор доступаУникальный признак субъекта или объекта доступа Руководящий документ «Защита от НСД к информации. Термины и определения», Утверждено решением председателя Гостехкомиссии России от г. Идентификация Действия по присвоению субъектам и объектам доступа идентификаторов и (или) по сравнению предъявляемого идентификатора с перечнем присвоенных идентификаторов Рекомендации по стандартизации Р Информационные технологии. Основные термины и определения в области технической защиты информации Рекомендации по стандартизации Р Техническая защита информации. Основные термины и определения Идентификация Присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов Руководящий документ «Защита от НСД к информации. Термины и определения», Утверждено решением председателя Гостехкомиссии России от г.; «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», ФСТЭК России, 15 февраля 2008 г. Идентификация участников информационного взаимодействия Сравнение идентификатора, вводимого участником информационного взаимодействия в любую из информационных систем, указанных в пункте 4 Требований (ПП-977), с идентификатором этого участника, содержащимся в соответствующем базовом государственном информационном ресурсе, определяемом Правительством Российской Федерации Постановление Правительства РФ от г. 977 "О федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно- технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" Идентификация сведений об участниках информационного взаимодействия Сравнения, в том числе с использованием квалифицированных сертификатов ключей проверки электронных подписей, идентификатора участника информационного взаимодействия или идентификатора его информационной системы, вводимых в единой системе, со сведениями о данном участнике или о его информационной системе, содержащимися в соответствующем базовом информационном ресурсе Постановление Правительства РФ от г. 584 «Правила использования федеральной государственной информационной системы "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме"»

w w w. a l a d d i n – r d. r u Определения аутентификации 6 Аутентификация (подлинности субъекта доступа) Действия по проверке подлинности субъекта доступа в информационной системе Рекомендации по стандартизации Р Техническая защита информации. Основные термины и определения Аутентификация отправителя данных Подтверждение того, что отправитель полученных данных соответствует заявленному «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», ФСТЭК России, 15 февраля 2008 г. Аутентификация участников информационного взаимодействия (в ЕСИА) Проверка принадлежности участнику информационного взаимодействия введенного им идентификатора, а также подтверждение подлинности идентификатора Постановление Правительства РФ от г. 977 "О федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно- технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" Аутентификация сведений об участниках информационного взаимодействия (сведений об их информационных системах) Проверка, в том числе с использованием квалифицированных сертификатов ключей проверки электронных подписей, принадлежности участнику информационного взаимодействия или его информационной системе введенного им идентификатора, а также подтверждения подлинности идентификатора Постановление Правительства РФ от г. 584 «Правила использования федеральной государственной информационной системы "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие ИС, используемых для предоставления гос. и муниципальных услуг в электронной форме"»

w w w. a l a d d i n – r d. r u Определения Идентификация – это сравнение идентификатора, вводимого участником информационного взаимодействия в любую из информационных систем, указанных в пункте 4 Требований (ПП-977от г.), с идентификатором этого участника, содержащимся в соответствующем базовом государственном информационном ресурсе, определяемом Правительством Российской Федерации Аутентификация – это процессы подтверждения подлинности предъявленных заявителем идентификаторов (идентификатора) и проверка принадлежности аутентификатора (секрета, который знают обе стороны взаимодействия или о существовании которого знают обе стороны взаимодействия)

w w w. a l a d d i n – r d. r u Проблемы нормативной базы Вопросам идентификации и аутентификации не уделено должного внимания, при этом имеется серьезное отставание от развитых стран запада; Необходимость разработки нормативной базы не только в части идентификации и аутентификации, но и других сервисов безопасности, обеспечивающих юридическую силу электронным документам. При разработке регулирующих документов необходимо учитывать мировой опыт: требуется нормативное введение уровней достоверности аутентификации в зависимости от результатов оценки рисков для тех или иных государственных систем; необходимо учитывать основные технологии ИА, используемые в государственных информационных системах. 8

w w w. a l a d d i n – r d. r u Системы идентификации 9 типы систем идентификации виды идентификаторов универсальный (У), корп.(К), личный(Л)УУУКККЛ анонимный(Х) или персональный (П)УХУП КХ КПЛП доступ одноразовый (О) или многораз(М)УХМУПОУПМКХОКХМКПМЛПМ аналог(пример) в реальном (физическом) миреденьги запись в ЗАГСепаспорт билет в кино абонем ент бум.про пуск биом етр. виртуальный (электронный) пример аноноим ный пользова тель интернет а генерато р ОТР реестр ИНН,СН ИЛС электро нный билет пополн яемая карта смарт- карта в виде пропуск а биом етр. на карте или серве ре

w w w. a l a d d i n – r d. r u Идентификация и аутентификация (ИА) Процессный подход: Регистрация; Хранение; Предъявление идентификаторов; Предъявление аутентификатора; Протокол обмена; Валидация; Принятие решения; Передача управления в блок авторизации. 10

w w w. a l a d d i n – r d. r u Процедуры ИА. Пример: регистрация Субъект (аппликант) обращается в ЦР с целью стать пользователем ИС. Заявитель предъявляет в ЦР свои Credentials (ЭУ или бумажные действующие удостоверения личности, содержащие присвоенные ему идентификаторы). ЦР проверяет предъявленные бумажные или ЭУ на предмет совпадения принадлежности предъявленных документов данному субъекту и их действительности (валидация). На основании выполненной проверки ЦР создает учетную запись для данного субъекта в базе данных ЦР для доступа к информационным ресурсам (ресурсу). На основе записи для субъекта ЦР издает/регистрирует секрет (аутентификатор), ассоциированный с конкретным субъектом. Процедура делегирования прав доступа (фактически делегирование доверия к изданным аутентификатору и ЭУ) другой (или другим) ИС на основе доверительных отношений. При переходе к облачным вычислениям эта процедура становится весьма актуальной. Последней процедурой регистрации является выдача изданных ЦР-ом аутентификатора и ЭУ на руки субъекту. 11

w w w. a l a d d i n – r d. r u Упрощенная схема аутентификации 12

w w w. a l a d d i n – r d. r u Схема обмена информацией из ITU Rec.Х

w w w. a l a d d i n – r d. r u 14 0, $ Классификация средств идентификации и аутентификации с точки зрения применяемых технологий

w w w. a l a d d i n – r d. r u Классификация аутентификации по видам и целям 15

w w w. a l a d d i n – r d. r u Классификация механизмов аутентификации 16

w w w. a l a d d i n – r d. r u Пример отличий. Подпись 17

w w w. a l a d d i n – r d. r u Сервис электронной подписи целостность подписанной информации, аутентификация источника данных, неотрекаемость того, кто подписал эту информацию..

w w w. a l a d d i n – r d. r u Виды электронной подписи Простая ЭП. Согласно 63-ФЗ «простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт создания электронной подписи определённым лицом». Усиленная ЭП. ЭП однозначно связана с лицом, подписавшим данные; можно подтвердить подлинность лица, подписавшего данные; ЭП создана средствами, которые находятся под контролем подписанта; ЭП связана с данными, которым она соответствует. Квалифицированная ЭП. Ключ проверки электронной подписи указан в квалифицированном сертификате; для создания и проверки ЭП используются сертифицированные средства подписи.

w w w. a l a d d i n – r d. r u Использование нескольких видов ЭП Принцип Кирхгофа: квалифицированная электронная подпись + простая электронная подпись = простая электронная подпись 20

w w w. a l a d d i n – r d. r u Три вида секрета, три типа аутентификации 21 Учетная запись пользователя Секрет (аутентификатор) Тип аутентификац ии логинпарольпростая Логин или поля Х.509 одноразовый пароль (технология ОТР) или Закрытый ключ усиленная заданные поля Х.509, сформированного аккр. удостоверяющим центром для доступа пользователя закрытый ключ (в терминах 1-ФЗ) строгая

w w w. a l a d d i n – r d. r u Рекомендованные типы аутентификации 22 виды ЭП Типы аутентификации простаяусиленнаястрогая простая+-- усиленная++- строгая+++

w w w. a l a d d i n – r d. r u Три уровня надежности ИА в РФ Низкий уровень надежности процессов ИА. Основной аутентификатор – пароль. Средний уровень надежности. Основной аутентификатор: –ОТР; –цифровой сертификат Х.509 доступа, выданный неаккредитованным удостоверяющим центром. Высокий уровень надежности аутентификации. Сертификат доступа от аккредитованного УЦ. Требования к аутентификатору: –Хранение контейнеров ключевого материала в защищенном PIN-кодом от копирования чипе; –Применение SSCD (Secure Signature Creation Device); –SSCD c повышенными требованиями: EAL4+ 23

w w w. a l a d d i n – r d. r u Качественные интегральные показатели 24

w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Спасибо за внимание! 25