eToken Network Logon - новый уровень аппаратной безопасности сети
нформация давно перестала быть всего лишь необходимым для производства вспомогательным ресурсом или побочным проявлением различного рода деятельности. Она приобрела реальный вес, который четко определяется реальной прибылью, получаемой при ее использовании, или размерами ущерба, с разной степенью вероятности наносимого владельцу этой информации. Однако создание индустрии переработки информации порождает целый ряд сложных проблем. Одна из таких проблем — надежное обеспечение сохранности и установленного статуса информации, циркулирующей и обрабатываемой в информационно-вычислительных системах и сетях.
Обычно, когда речь заходит о безопасности компании, ее руководство зачастую недооценивает важность информационной безопасности. Основной упор делается на физическую безопасность (пропускной режим, охрана, система видеонаблюдения и т.д.). Однако за последние годы ситуация принципиально изменилась. Для того чтобы выведать тайны компании, достаточно проникнуть в информационную систему или вывести из строя какой-либо узел корпоративной сети — это вызовет огромный ущерб. По статистике большинство компьютерных преступлений связано с внутренними нарушениями, то есть осуществляются сотрудниками компании, работающими или уволенными. Свой сотрудник может реально оценить стоимость той или иной информации и зачастую обладает излишними привилегиями. Однако больших бед стоит ожидать не от уволенных или обиженных рядовых сотрудников, а от тех, кто наделен очень большими полномочиями и имеет доступ к широкому спектру разнообразной информации. Квалификация, знания и опыт таких сотрудников, используемые во вред, могут привести к очень серьезным проблемам.
Во избежание подобных проблем компания Aladdin Knowledge Systems Ltd разработала оригинальное решение для обеспечения информационной безопасности сети Microsoft Windows NT/2000 — eToken Network Logon. Данная разработка по сути представляет собой решение на аппаратном уровне. Один из таких комплектов поступил в нашу тестовую лабораторию, и в течение нескольких дней сотрудники смогли пользоваться данной системой. Уже первый запуск системы позволил утверждать, что жизнь отныне облегчается не только у рядовых пользователей ключей eToken, но самое главное — у системного администратора, который теперь должен будет обращать меньше внимания на запросы забывчивых пользователей относительно пароля для входа в сеть и сбрасывания его на пароль по умолчанию, а также другие просьбы подобного содержания.
Система eToken Network Logon позволяет отказаться от использования паролей при входе в сеть Windows NT/2000, значительно повышает ее защищенность, удобство работы и администрирования.
Пользователям больше нет необходимости запоминать сложные пароли и периодически их менять — достаточно подключить электронный ключ eToken к USB-порту и ввести PIN (Personal Identification Number)-код.
Позитивной особенностью eToken Network Logon является двухфакторная аппаратная аутентификация пользователей при входе в сеть, вместо однофакторной (по паролю), и блокирование компьютера в перерывах между работой при отсоединении ключа eToken, а также то, что пользователям больше не требуется запоминать множество паролей к различным ресурсам сети и приложениям. Достаточно запомнить один-единственный PIN-код к своему ключу eToken. Для входа в сеть или разблокирования компьютера необходимо подключить eToken к USB-порту и ввести PIN-код. В то же время в защищенной памяти ключа eToken хранятся учетные записи доменов, включающие имя пользователя, название домена и пароль, что позволяет осуществлять доступ к данным с любого рабочего места сети.
Двухфакторная аутентификация системы заключается в том, что, прежде чем предоставить доступ к сетевым ресурсам, система должна проверить, что речь идет именно о том пользователе, за которого он себя выдает. Однако ввод пароля не доказывает, что к системе подключился человек, которому этот пароль в действительности принадлежит. Пользовательский пароль может узнать и ввести кто-то другой.
При доступе к сетевым ресурсам необходима строгая (или двухфакторная) аутентификация. При строгой аутентификации должны учитываться два фактора: предмет, который принадлежит пользователю (это может быть смарт-карта, электронный ключ или какое-нибудь иное устройство, имеющее защиту от несанкционированного копирования и использования в случае потери или кражи у владельца (в нашем случае — ключ eToken)), а также информация, которая известна пользователю, — пароль, кодовая фраза или персональный идентификатор — PIN-код.
eToken Network Logon обеспечивает усиленную двухфакторную аутентификацию пользователя при входе в сеть, то есть пользователь должен обладать ключом eToken и знать PIN-код для доступа к защищенной памяти eToken, в которой хранится одна или несколько учетных записей, включающих имя пользователя, название домена и пароль. При этом воспользоваться потерянным или украденным ключом eToken или получить доступ к его памяти без знания PIN-кода невозможно.
Для получения доступа к защищенным данным, хранящимся в памяти eToken, также требуется ввести правильный PIN-код, являющийся аналогом пароля. PIN-код должен содержать минимум 4 символа. Для увеличения стойкости PIN-кода производитель рекомендует иметь пароль минимум из 7 символов, которые включают буквы, цифры и специальные символы.
Стоит отметить, что PIN-код не может быть сброшен или заменен без знания текущего PIN-кода, и если пользователь забыл свой PIN-код к ключу, то использовать eToken в дальнейшем он не сможет. (Отметим, что это утверждение справедливо только для ключей eToken R2, в то время как eToken Pro в случае забывания или утери PIN-кода возможно переформатировать, при этом все его содержимое уничтожается и PIN-код возвращается по умолчанию.)
eToken, в отличие от многих типов смарт-карт, не имеет счетчика неудачных обращений и, соответственно, никогда не блокируется, сколько бы раз ни вводился неправильный PIN-код. В то же время существует модификация ключа eToken Pro, который опционально позволяет реализовать блокировку. Для защиты от подбора PIN-кода методом перебора в eToken при вводе PIN-кода происходит задержка отклика, равная примерно 1 с. PIN-код не хранится в ключе eToken в открытом виде.
К достоинствам eToken относится также сложный пароль длиной до 128 байт, состоящий из набора различных символов, который можно автоматически сгенерировать и записать в eToken. При этом пользователь не будет знать свой пароль и не сможет войти в сеть без ключа eToken. Поскольку пароль хранится в защищенной памяти eToken, то необходимость помнить его и вводить при входе в сеть отпадает. Пароль при этом может быть высокой степени сложности.
Стоит отметить и то, что сохраняется возможность входа в сеть по паролю, без ключа eToken. То есть систему можно настроить так, что у некоторых пользователей останется возможность входить в сеть по собственному паролю (тому же, который записан в памяти eToken).
Безопасность сети зависит от качества паролей пользователей. «Слабый» пароль — серьезная брешь в системе безопасности, позволяющая постороннему получить доступ к корпоративной информации.
eToken Network Logon обеспечит повышение защищенности сети и снижение риска использования «слабых» паролей при входе в сеть, а также удобство работы пользователей. Использование усиленной аутентификации с помощью eToken полностью снимает проблему «слабых» паролей и уменьшает влияние человеческого фактора.
USB-ключ eToken
USB-ключ eToken — это полнофункциональный аналог смарт-карты, выполненный в виде брелока. Он напрямую подключается к компьютеру через порт USB (Universal Serial Bus) и не требует наличия дорогостоящих считывателей или других дополнительных устройств. eToken имеет до 64 Кбайт защищенной энергонезависимой памяти (EEPROM) и может использоваться как портативный контейнер для хранения секретных данных (ключей шифрования, кодов доступа, паролей, учетных записей, сертификатов и пр.). eToken поддерживает работу и интегрируется со всеми основными системами и приложениями, использующими технологию PKI (Public Key Infrastructure). Ключ eToken выполнен в водонепроницаемом полупрозрачном корпусе со световым индикатором работы, имеет стильный дизайн и небольшой размер, его можно носить на связке с ключами.
Для аутентификации пользователей в системе eToken Network Logon может использоваться два типа eToken: R2 и Pro с любым размером памяти.
eToken R2
eToken R2 имеет аппаратно-реализованный алгоритм шифрования DESX с ключом 120 бит. Поставляются ключи eToken R2 с различным объемом памяти: 8, 16, 32 и 64 Кбайт.
Микроконтроллер ключа обеспечивает коммуникационные функции ключа (поддержку протокола USB) и аппаратное шифрование по симметричному алгоритму DESX. При этом ключ шифрования никогда не выходит за пределы контроллера и не доступен для чтения. Протокол обмена по шине USB шифруется по алгоритму DESX с помощью случайно сгенерированных сессионных ключей.
Каждый eToken имеет уникальный серийный номер (32 бит), прошиваемый при изготовлении. Этот номер доступен только для чтения для любых приложений и при любых уровнях доступа к eToken.
Для хранения данных в eToken используется защищенная энергонезависимая перезаписываемая память (EEPROM). Содержимое памяти разрушается при вскрытии герметичного корпуса ключа. Критические данные хранятся в памяти ключа в зашифрованном виде. Шифрование производится по алгоритму DESX.
Ключ eToken обеспечивает два уровня полномочий доступа к памяти: гость и пользователь ключа. Ограниченный гостевой уровень доступа к eToken предоставляется сразу после подключения его к USB-порту, поэтому вводить PIN-код не требуется; при этом полномочия гостя ограничиваются только чтением открытых (несекретных) файлов и каталогов и использованием однофакторных секретных файлов. Пользовательский доступ предоставляется после подключения ключа к порту и ввода с клавиатуры правильного PIN-кода. В полномочия пользователя входят чтение и запись в открытые и личные файлы и каталоги, а также запись и использование однофакторных и двухфакторных файлов и каталогов.
eToken Pro
eToken Pro представляет собой защищенное устройство, предназначенное для выполнения вычислений и работы с асимметричными ключами и безопасного хранения секретных данных. В отличие от R2, eToken Pro имеет дополнительный чип смарт-карты, аппаратно реализующий алгоритмы RSA/1024, DES, TripleDES, SHA-1, MD5, а также встроенный генератор закрытых (Private) ключей, никогда не покидающих чип. В eToken Pro используется чип SLE66C Infineon, обеспечивающий исключительно высокий уровень безопасности, сертифицированный по ITSEC LE4, работающий с операционной системой Siemens CardOS/M4. Файловая система CardOS/M4 поддерживает неограниченную иерархию. В системе имеются два главных компонента: файлы и объекты. Файлы делятся на четыре типа:
- Директории (Directories), которые содержат другие файлы или объекты (отметим, что ограничений на количество файлов не существует, тогда как число объектов ограничено).
- Двоичные файлы (Binary Files) — неструктурированные файлы, содержащие данные.
- Файлы записей (Record Files), содержащие записи фиксированного размера двух типов: линейные (Linear) — заполняются, когда заполнены все записи; циклические (Cyclic) — перезаписывают другие записи.
- TLV-файлы (TLV Files) — служат для установки между парами тэгов.
Все размеры файлов фиксируются в момент создания и не могут быть изменены.
В eToken Pro используется понятие объекта. Существует два главных типа объектов: объекты Basic Security (начального уровня безопасности) и объекты Security Environment (безопасного окружения).
В свою очередь, объекты Basic Security делятся на четыре типа:
- TEST — только те объекты, которые могут изменять статус безопасности дерева Directories.
- AUTH — симметричные и асимметричные ключи, используемые для аутентификации.
- SM — симметричные ключи, используемые для защищенного обмена сообщениями.
- PSO — симметричные и асимметричные ключи, используемые для универсальной криптографии.
И наконец, объекты Security Environment загружаются до начала криптографических действий и составляют текущее защитное окружение (CSE). Такой объект определяет, какие объекты базовой защиты (Basic eToken) будут использоваться для данной криптографической операции. CSE представляет собой временную переменную в памяти RAM, которая должна присутствовать, если, например, надо выполнить команду PSO. После возврата смарт-карты в исходное состояние CSE прекращает существование.
Ключи eToken Pro, так же как eToken R2, поставляются с различным объемом памяти: 16, 32 и 64 Кбайт.
Подводя итог
заключение хочется отметить очевидные преимущества использования eToken, к которым относятся строгая аутентификация, обеспечивающая одно- и двухфакторную аутентификацию с использованием аппаратного ключа и PIN-кода, что намного надежнее, чем использование паролей; высокая защищенность, обеспечивающая хранение секретной информации в защищенной памяти ключа.
PIN-код ключа eToken защищен от подбора, при этом используется аппаратная задержка отклика. eToken, в отличие от смарт-карт, не блокируется. В целях безопасности пользователи могут периодически менять PIN-код для своего ключа eToken. Воспользоваться потерянным или украденным ключом eToken нельзя, поскольку для доступа к его памяти необходимо ввести правильный PIN-код. Каждый ключ eToken можно персонализировать, то есть присвоить ему имя его владельца. Это позволит быстро определить хозяина ключа без знания PIN-кода. Отметим и простоту использования, ведь персонализированный eToken достаточно подключить к порту USB, имеющемуся во всех современных компьютерах, ноутбуках, во многих моделях мониторов, клавиатур, и при необходимости ввести PIN-код. Если USB-порт расположен в труднодоступном месте, можно воспользоваться удлинительным кабелем. Каждый ключ eToken уникален и имеет 32-битный уникальный номер (ID). Один eToken может хранить несколько паролей для входа в разные домены, а также цифровые сертификаты, ключи шифрования и другую информацию, которая может использоваться другими приложениями. Поэтому пользователю нет необходимости иметь несколько ключей. Возможна и одновременная работа с несколькими ключами eToken. И наконец, это компактно и удобно, так как ключ eToken невелик по размеру и его можно носить на связке с ключами. Ключ eToken выпускается в герметичных цветных корпусах и имеет световую индикацию режимов работы.
Редакция выражает благодарность компании «ALADDIN Software Security R.D.» (тел.(095) 231-3113, http://www.aladdin.ru/) за предоставление для изучения eToken Network Logon.
КомпьютерПресс 8'2002