Protección informática: sistemas de identificación y autenticación electrónica.
Protección informática : sistemas electrónicos de identificación y autenticación
V. Shramko,
Candidato de Ciencias Técnicas, correo electrónico vnshramko@infosec.ru .
PCWeek/RE No. 12, 2004
Fuente: Informzashita
En el mercado global de seguridad de la información, las herramientas AAA o 3A (autenticación, autorización, administración), diseñadas para brindar protección contra el acceso no autorizado a los recursos de información, mantienen una posición estable. Esta tendencia se refleja en revisiones analíticas y pronósticos de las principales empresas consultoras. Por ejemplo, según Infonetics Research (infonetics), el sector 3A alcanzará los 9.500 millones de dólares en 2005, lo que representará el 67% de todo el mercado de seguridad de la información.
Un lugar importante en el área 3A lo ocupan los sistemas de identificación y autenticación de hardware y software (SIA), o dispositivos para ingresar características de identificación (el término corresponde a GOST R 51241-98), diseñados para brindar protección contra el acceso no autorizado a las computadoras. Cuando se utiliza SIA, el acceso del usuario a la computadora se otorga solo después de completar exitosamente el procedimiento de identificación y autenticación. La identificación consiste en reconocer a un usuario por una característica de identificación inherente a él o que le ha sido asignada. La verificación de la identidad del usuario presentado por él se realiza durante el proceso de autenticación.
El SIA incluye identificadores de hardware, dispositivos de entrada/salida (lectores, dispositivos de contacto, adaptadores, conectores de placa base, etc.) y el software correspondiente. Los identificadores están diseñados para almacenar características de identificación únicas. Además, pueden almacenar y procesar datos confidenciales. Los dispositivos de E/S y el software intercambian datos entre el identificador y la computadora protegida.
En nuestra revisión “Herramientas de control de acceso de hardware y software” (ver PC Week/RE, No. 9/2003, p. 25), se llevó a cabo la clasificación de los sistemas automáticos de información, los principios de su Se consideraron su funcionamiento y se discutieron los productos de empresas líderes en desarrollo.
Este artículo se centra en la clase de SIA electrónicos. Esta elección se basa en el hecho de que hoy en día en el mercado ruso de seguridad informática estos sistemas son los más atractivos debido a su alta eficiencia y precio razonable.
Clasificación de los sistemas de identificación y autenticación electrónica
En los sistemas de información electrónicos automatizados, las características de identificación se presentan en forma de un código digital almacenado en la memoria del identificador. Según el método de intercambio de datos entre el identificador y el dispositivo de entrada/salida, los SIA electrónicos se dividen (ver Fig. 1) en con contacto y sin contacto. La lectura de contacto implica el contacto directo del identificador con el dispositivo de entrada/salida. El método de intercambio sin contacto (remoto) no requiere una ubicación clara del identificador y del dispositivo de entrada/salida. La lectura o escritura de datos se produce cuando el identificador se acerca a una cierta distancia del dispositivo de E/S.
Figura 1: clasificación de información electrónica y sistemas de información
La información electrónica moderna y los sistemas de información se desarrollan sobre la base de los siguientes identificadores (ver Fig. 2):
- tarjetas inteligentes (tarjeta inteligente — tarjeta inteligente);
- identificadores por radiofrecuencia o RFID (identificación por radiofrecuencia);
- Identificadores de iButton (botón de información: “tableta” de información);
- Llaves USB o tokens USB (token — marca de identificación, marcador).
Figura 2: Identificadores
En la mesa. 1 enumera los principales proveedores mundiales de información electrónica y sistemas de información. Por supuesto, esta lista está lejos de ser completa.
Tabla 1: Empresas líderes: desarrolladoras de información electrónica y sistemas de información
Los SIA basados en tarjetas inteligentes e identificadores de radiofrecuencia se pueden clasificar en la generación anterior según el momento de su creación, iButton en la generación media y llaves USB en la generación más joven.
El primer paso en la creación de tarjetas de identificación se dio en Alemania en 1968, cuando Jürgen Deslof y Helmut Grotrupp lograron colocar un circuito integrado en una pieza de plástico. En 1974, el francés Roland Moreno patentó la idea de integrar un microcircuito en una tarjeta de plástico. Pero no fue hasta finales de la década de 1980 que los avances en la microelectrónica hicieron posible hacer realidad esta idea.
La historia del desarrollo de SIA basado en los productos iButton (ibutton.com) comenzó en 1991 con la creación por parte de Dallas Semiconductor Corporation de los primeros identificadores de memoria táctil (este es su nombre inicial). Dallas Semiconductor es actualmente una subsidiaria de Maxim Integrated Products (maxim-ic). El resultado de sus actividades conjuntas es el lanzamiento de más de 20 modelos de identificadores iButton. Para proteger las computadoras del acceso no autorizado, se utilizan principalmente los identificadores DS 1963S, DS 1991, DS 1992L — DS 1996L, que se diferencian en estructura interna, funcionalidad y precio.
Los sistemas de identificación y autenticación basados en llaves USB aparecieron a finales de los años 90. Como sucesoras de las tecnologías de tarjetas inteligentes y dongles utilizadas para proteger el software, las llaves USB rápidamente ganaron popularidad. Según el informe de IDC (Identity Management in a Virtual World, C. J. Kolodgy, junio de 2003), en 2004, en comparación con 2003, se espera que las ventas de tokens USB aumenten un 161%.
En Rusia, además de los productos de empresas extranjeras, los productos nacionales están ampliamente representados. Nuestros desarrolladores son tradicionalmente fuertes en el campo de la identificación por radiofrecuencia. Las posiciones de liderazgo en la creación de sistemas RFID en el mercado ruso de seguridad informática las ocupan Angstrem OJSC (angstrem) y la empresa Parsec (parsec-tm).
En 1998, gracias a los esfuerzos conjuntos de las empresas Angstrem, Software Systems and Technologies y el Centro Científico y Técnico Atlas (stcnet), con la participación directa de FAPSI, se produjo la primera tarjeta inteligente rusa RIC, en la que se implementó un algoritmo criptográfico nacional en de acuerdo con GOST 28147-89. Esta tarjeta de microprocesador está diseñada para cumplir con los estándares internacionales ISO 7816 y es compatible con las pautas EMV.
El deseo de implementar el algoritmo GOST 28147-89 a nivel de hardware en memorias USB llevó a la aparición de los productos ruToken (rutoken) y eToken RIC (aladdin.ru) en el mercado ruso. El sistema de identificación y autenticación basado en ruToken es un desarrollo conjunto de las empresas Aktiv y ANKAD (ancud.ru), y el IIA basado en eToken RIC es desarrollado por Aladdin Software Security R.D.
Hoy en día existen muchas propuestas para proteger las computadoras del acceso no autorizado mediante SIA electrónico. Todo lo que queda es elegir el correcto.
Parámetros clave de los sistemas de identificación y autenticación
Es recomendable seleccionar SIA comparando las características más importantes de los productos. Como tales se proponen las siguientes características (ver Fig. 3):
- estructura del identificador;
- estructura y composición del dispositivo de entrada/salida;
- fiabilidad del producto;
- integración con cerraduras electrónicas (EL) y sistemas de seguridad de la información (IPS);
- coste del producto.
Figura 3: factores que influyen en la elección de SIA
Esta lista no es exhaustiva. Pero, en nuestra opinión, un análisis de las características propuestas es suficiente para optar por una u otra SIA.
En términos de coste, los más preferidos en el mercado ruso son los SIA basados en llaves USB e iButtons, que no contienen lectores caros.
Los precios aproximados de SIA se dan en la tabla. 2 y dependen del tipo de productos, el tamaño del lote comprado, la empresa vendedora y otros factores. Pero incluso estos valores permiten realizar un análisis comparativo del coste de los componentes de hardware de SIA.
Tabla 2: Precios aproximados de SIA
Identificadores
Los identificadores de contacto se dividen en identificadores de iButton, tarjetas inteligentes y llaves USB.
El identificador iButton es un microcircuito (chip) integrado en una caja de acero sellada y alimentado por una batería de litio en miniatura. La base del chip (Fig. 4) es un multiplexor y una memoria. Además, algunos tipos de identificadores contienen componentes adicionales. Por ejemplo, el identificador DS1963S tiene un microcontrolador diseñado para calcular un código de autenticación de mensaje de 160 bits de acuerdo con el estándar SHA-1 y generar claves de acceso a páginas de memoria, y un reloj en tiempo real está integrado en el cuerpo del identificador DS1994L.
Arroz. 4. Estructura del iButton
La memoria del identificador del iButton consta de los siguientes componentes:
- memoria ROM de sólo lectura;
- RAM NV no volátil (NV);
- superoperativo (memoria scratchpad — SM), o memoria scratchpad.
En la tabla. La Figura 3 presenta las principales características de la memoria de los identificadores iButton utilizados para proteger las computadoras del acceso no autorizado.
Tabla 3: Identificadores de iButton
La ROM almacena un código de 64 bits que consta de un número de serie único (identificador) de 48 bits, un código de tipo identificador de ocho bits y una suma de comprobación de ocho bits. La memoria RAM NV se puede utilizar para almacenar información tanto pública como confidencial (claves criptográficas, contraseñas de acceso y otros datos). La memoria SM es una memoria intermedia y realiza funciones de bloc de notas.
Las tarjetas inteligentes de contacto suelen dividirse en tarjetas de procesador y tarjetas de memoria. Suelen emitirse en forma de tarjetas de plástico.
En el mercado de la seguridad aparecieron por primera vez las tarjetas con memoria abierta, luego las tarjetas con memoria protegida y finalmente las tarjetas inteligentes con procesador. Las interfaces físicas, eléctricas, mecánicas y de software de las tarjetas inteligentes están definidas por el estándar central ISO 7816 (partes 1-10).
La base de la estructura interna de una tarjeta inteligente con procesador moderno es un chip, que incluye un procesador (o varios procesadores), RAM, ROM y una memoria PROM programable no volátil de solo lectura (Fig. 5 ).
Figura 5— Estructura de una tarjeta inteligente de procesador de contacto
La RAM se utiliza para almacenar temporalmente datos, como los resultados de los cálculos realizados por el procesador. La capacidad de la memoria es de varios kilobytes.
La memoria de solo lectura (ROM) (generalmente enmascarada) almacena instrucciones ejecutadas por el procesador y otros datos inmutables. La información en la ROM se escribe durante el proceso de producción de la tarjeta. La capacidad de la memoria puede ser de decenas de kilobytes.
Hay dos tipos de memoria PROM utilizadas en tarjetas inteligentes: EPROM programable una vez y la EEPROM programable repetidamente, más común. Almacena datos de usuario que se pueden leer, escribir y modificar, y datos confidenciales (como claves criptográficas) a los que no pueden acceder los programas de aplicación. La capacidad de la memoria es de decenas y cientos de kilobytes.
La unidad central de procesamiento de la tarjeta inteligente (generalmente un procesador RISC) proporciona una variedad de procedimientos de procesamiento de datos, control de acceso a la memoria y control del progreso computacional.
A un procesador especializado se le confía la implementación de diversos procedimientos necesarios para aumentar la seguridad de la información y los sistemas de información, incluyendo:
- generación de claves criptográficas;
- implementación de algoritmos criptográficos (GOST 28147-89, DES, 3DES, RSA, SHA-1);
- realizar operaciones con firma digital electrónica (generación y verificación);
- Realizar operaciones de PIN.
Las llaves USB están diseñadas para funcionar con el puerto USB de una computadora. Estructuralmente, están hechos en forma de llaveros, a los que se pueden colocar fácilmente un manojo de llaves. Los llaveros están disponibles en estuches de colores y tienen indicadores luminosos de funcionamiento. Cada ID tiene un número de serie único de 32/64 bits que se actualiza en el momento de la fabricación.
Como se señaló anteriormente, las memorias USB son las sucesoras de las tarjetas inteligentes de contacto. Por tanto, las estructuras de las memorias USB y las tarjetas inteligentes son casi idénticas. Las capacidades de dispositivos de almacenamiento similares también se corresponden entre sí. Las llaves USB pueden incluir:
- procesador: control y procesamiento de datos;
- procesador criptográfico: implementación de algoritmos GOST 28147-89, DES, 3DES, RSA, DSA, MD5, SHA-1 y otras transformaciones criptográficas;
- Controlador USB: proporciona una interfaz con el puerto USB de una computadora;
- Memoria RAM: almacenamiento de datos modificables;
- memoria EEPROM protegida: almacenamiento de claves de cifrado, contraseñas, certificados y otros datos importantes;
- Memoria ROM de solo lectura: almacenamiento de comandos, constantes.
Los identificadores sin contacto se dividen en identificadores de proximidad (del inglés proximidad — proximidad, vecindario) y tarjetas inteligentes. Estructuralmente, se fabrican en forma de tarjetas de plástico, llaveros, fichas, discos, etiquetas, etc. Los componentes principales de los identificadores son un chip y una antena. Cada ID tiene un número de serie único de 32/64 bits. en la mesa La Figura 4 presenta las principales características de los identificadores sin contacto.
Tabla 4: Identificadores sin contacto
Los identificadores de proximidad funcionan a 125 kHz. El chip incluye un chip de memoria (o un chip con lógica «dura») con bloques auxiliares: un módulo de programación, un modulador, una unidad de control y otros módulos. La capacidad de la memoria oscila entre 8 y 256 bytes. Proximity utiliza principalmente EPROM programable una sola vez, pero también está disponible EEPROM regrabable. La memoria contiene un número de identificación único, un código de dispositivo e información de servicio (bits de paridad, bits de inicio y fin de la transmisión del código, etc.).
Normalmente, los identificadores de proximidad son pasivos y no contienen una fuente de energía química: una batería de litio. En este caso, el microcircuito funciona mediante un campo electromagnético emitido por el lector. El lector lee los datos a una velocidad de 4 kbit/s a una distancia de hasta 1 m.
Los sistemas de identificación y autenticación basados en Proximity no están protegidos criptográficamente (a excepción de los sistemas personalizados).
Las tarjetas inteligentes sin contacto funcionan a una frecuencia de 13,56 MHz y se dividen en dos clases, que se basan en los estándares internacionales ISO/IEC 14443 e ISO/IEC 15693.
El estándar ISO/IEC 14443 se desarrolló a partir de 1994 a 2001 Incluye las versiones A y B, que se diferencian en los métodos de modulación de la señal de radio transmitida y admite el intercambio de datos (lectura/escritura) a una velocidad de 106 kbit/s (puede aumentarse a 212, 424 y 848 kbit/s). , la distancia de lectura es de hasta 10 ver
Para implementar funciones de cifrado y autenticación en los identificadores estándar ISO/IEC 14443, se pueden utilizar tres tipos de chips: un microcircuito con lógica «dura» MIFARE, un procesador y un procesador criptográfico. La tecnología MIFARE es un desarrollo de Philips Electronics y es una extensión de ISO/IEC 14443 (versión A).
El estándar ISO/IEC 15693 está diseñado para aumentar el alcance de uso de un identificador sin contacto a 1 m. A esta distancia, el intercambio de datos se produce a una velocidad de 26,6 kbit/s.
Dispositivo de entrada/salida
La elección del SIA puede depender de la estructura y composición del dispositivo de entrada/salida que garantiza el intercambio de datos entre el identificador y el ordenador protegido.
El intercambio de datos se realiza más fácilmente en SIA basándose en llaves USB. En estos sistemas, no existe un dispositivo de E/S de hardware: el identificador se conecta al puerto USB de una estación de trabajo, computadora portátil, teclado o monitor directamente o mediante un cable de extensión.
En el SIA basado en iButton, la información se intercambia con la computadora de acuerdo con el protocolo de interfaz de un solo cable 1-Wire a través de puertos serie, paralelo y USB, así como una placa de expansión adicional. Los datos se escriben y leen desde el identificador tocando el cuerpo del iButton con el dispositivo de contacto integrado en el adaptador del puerto correspondiente, o con el dispositivo de contacto con un cable de extensión conectado al adaptador. El número garantizado de contactos de iButton es de varios millones de conexiones.
La interfaz 1-Wire proporciona intercambio de datos en modo semidúplex a velocidades de 16 y 142 kbit/s (opción de intercambio acelerado). La interacción de los dispositivos a través de una interfaz de un solo cable se organiza según el principio «maestro-esclavo». En este caso, el dispositivo de contacto es siempre el maestro y uno o más identificadores de iButton son esclavos.
SIA basado en tarjetas inteligentes (con y sin contacto) e identificadores RFID incluye costosos dispositivos de lectura (lectores, lectores) que se conectan a puertos USB, serie y paralelo, una tarjeta de expansión de computadora adicional y una tarjeta PC de una computadora portátil. En relación a la caja del ordenador, los lectores pueden ser externos o internos. Los lectores se alimentan de varias fuentes: fuente de alimentación de computadora, fuente de alimentación externa o baterías estándar.
Fiabilidad
Cuando se habla de la confiabilidad de los sistemas de información automatizados, generalmente se considera el eslabón más importante y al mismo tiempo más débil del sistema: el identificador. A su vez, la confiabilidad de los identificadores está asociada al grado de protección contra influencias mecánicas, temperatura, campos electromagnéticos externos, ambientes agresivos, polvo, humedad, así como ataques destinados a abrir chips que almacenan datos secretos.
Los desarrolladores de los identificadores iButton se aseguran de que las características de sus productos se mantengan bajo un impacto mecánico de 500 g, una caída desde una altura de 1,5 m sobre un suelo de hormigón, un rango de temperatura de funcionamiento de -40 a 70 °C y la exposición a campos electromagnéticos. y la atmósfera. Esto se ve facilitado por la carcasa de acero sellada del identificador, que mantiene la fuerza de un millón de contactos con el dispositivo de E/S. La memoria de algunos identificadores (DS1991, DS1963S) está protegida del acceso. El identificador iButton tiene una vida útil de 10 años.
Las desventajas del SIA basado en iButton incluyen la falta de herramientas criptográficas integradas en los identificadores que implementen el cifrado de datos cuando se almacenan y transmiten a una computadora. Por lo tanto, iButton se suele utilizar junto con otros sistemas que tienen funciones de cifrado.
Por supuesto, en términos de confiabilidad mecánica, los RFID, las tarjetas inteligentes y las llaves USB son inferiores al iButton. Es difícil que el plástico pueda competir con el acero. El fallo de la tarjeta debido a daños mecánicos no es un evento tan raro. Un estudio de diez años de 22 millones de tarjetas realizado durante la implementación del proyecto francés GIE Carte Bancaire mostró que la probabilidad de que fallen por diversas razones (que también incluyen daños mecánicos) es de 0,022.
El cuello de botella de las llaves USB es el recurso de sus conectores USB. Los desarrolladores de estos identificadores incluso incluyen este indicador en las especificaciones técnicas de los productos. Por ejemplo, para los identificadores de la familia eToken (ealaddin), el número garantizado de conexiones es al menos 5000 veces.
La ventaja de las RFID, las tarjetas inteligentes y las llaves USB es que incluyen una memoria no volátil segura y un procesador criptográfico, que aumentan el nivel de protección del dispositivo. Sin embargo, el bando atacante no se queda dormido y idea varias formas de revelar información secreta.
Se han publicado muchos artículos que describen varios ataques a chips de identificación. Estos estudios son de naturaleza tanto teórica como práctica. Los métodos de ataque teóricos incluyen, en particular, ataques Bellcore, análisis de distorsión diferencial DFA (Análisis diferencial de fallos) y fuente de alimentación DPA (Análisis diferencial de potencia). Los métodos prácticos incluyen fallas técnicas y ataques físicos destinados a desempaquetar el chip y extraer la información necesaria.
Los desarrolladores de procesadores criptográficos se esfuerzan, siempre que sea posible, por responder adecuadamente a los ataques utilizando una variedad de mecanismos de protección externos e internos. Los mecanismos de protección externos incluyen la instalación de sensores (sensores capacitivos u ópticos), recubrir el chip con una capa de metal, adhesivos especiales, etc., los mecanismos de protección internos incluyen cifrado de bus, sincronización aleatoria, cálculos repetidos y generación de ruido.
Integración con cerraduras electrónicas y sistemas de seguridad de la información
Un criterio importante para elegir SIA es su uso en otros medios 3A: cerraduras electrónicas (ver PC Week/RE, No. 9/2003, p. 25) y sistemas para proteger contra el acceso no autorizado a recursos de información informática. En el mercado ruso de seguridad informática existen los siguientes productos certificados que utilizan SIA electrónico:
cerraduras electrónicas:
- complejo de software y hardware «Sobol-PCI», desarrollado por Research and Empresa de producción «Informzashita» » (infosec.ru);
- módulo de hardware de descarga confiable “Accord-AMDZ”—desarrollado por OKB SAPR (okbsapr.ru);
- Módulo hardware-software de arranque confiable “KRYPTON-Lock/PCI” — desarrollado por ANKAD;
— sistemas de protección contra el acceso no autorizado a recursos de información informática:
- Sistema de información de seguridad de la familia Secret Net, desarrollado por la empresa de investigación y producción “Informzashita”;
- SZ «Guardian NT» (versión 2.0)- desarrollado por el Instituto de Investigación sobre Problemas de Gestión, Informatización y Modelado de la Academia de Ciencias Militares;
- SZI de la familia «Accord» — desarrollado por OKB CAD;
- Sistema de protección de seguridad de la familia Dallas Lock, desarrollado por la empresa Confident (confident.ru).
en la mesa La Figura 5 proporciona información sobre la implementación de señales de información electrónica de varios tipos en los productos anteriores.
Tabla 5—Integración de SIA con la seguridad electrónica y la seguridad de la información
La tabla muestra que SIA basado en iButton es el más popular entre los desarrolladores.
Conclusión
Proteger las computadoras del acceso no autorizado por parte de atacantes es una parte integral de un enfoque integrado para organizar la seguridad de la información corporativa. En Rusia existen muchas propuestas en este ámbito, entre las que ocupan un lugar importante los sistemas de identificación y autenticación electrónica comentados en el artículo. La decisión sobre la necesidad y elección de uno u otro sistema (basado en iButton, tarjetas inteligentes, identificadores de radiofrecuencia o llaves USB) queda en manos del director de la empresa. El autor espera que esta publicación brinde toda la ayuda posible en este asunto.
Добавить комментарий