Каталог статей
Поиск по базе статей  
Статья на тему Компьютеры » Безопасность » Виртуальная безопасность

 

Виртуальная безопасность

 

 

Чем дальше, тем больше развитие информационных технологий делает крайне актуальными вопросы безопасности в сетях Internet/Intranet. Если не так давно эти темы волновали, по большей части, лишь корпоративных пользователей, то в последние годы в связи с массовым развитием сетей они начинают интересовать и пользователей индивидуальных (по крайней мере, в тот момент, когда те решают совершить оплату через Интернет с помощью банковской карточки).

Если раньше угрозой номер один считались компьютерные вирусы, и именно им было посвящено подавляющее большинство статей в средствах массовой информации, то теперь на первый план выходят безопасное хранение данных и их передача по Сети, защищенные финансовые транcакции и конфиденциальность электронно-цифровой подписи (ЭЦП). Кроме того, наряду с этой основной проблемой, как правило, встают и две другие, принципиально влияющие на выбор того или иного решения, - это соотношение цена/качество (связанное с соответствием затрат на поддержание именно того уровня безопасности, который необходим компании или частному лицу) и мобильность, позволяющая пользователю или корпорации легко защитить все компьютеры (в том числе портативные), которые используются в работе.

ПАРОЛЬ И ЛОГИН

Простейшие методы аутентификации, основанные на введении учетной записи (логина) и пароля, всем хорошо знакомы и не нуждаются в отдельном представлении.

загрузка...

 

 

Очевидны и их недостатки: помимо того что пользователь вынужден запоминать множество паролей для входа в различные программы или системы, использование пароля давно уже не считается достаточной гарантией безопасности: пароль не сложно подсмотреть, подобрать или расшифровать, если он кодируется стандартными средствами операционной системы.

ИНФРАСТРУКТУРА ОТКРЫТЫХ КЛЮЧЕЙ

Следующим шагом в обеспечении защиты информации стало использование различных средств и способов шифрования. Широко распространено использование Инфраструктуры Открытых Ключей (Public Key Infrastructure - PKI). Системы, основанные на PKI, генерируют два отдельных ключа шифрования, несходных, но связанных между собой: открытый (который называется также публичным) ключ, предоставляемый всем, от кого пользователь собирается получать зашифрованные данные, и закрытый (личный) ключ, который имеется только у его держателя. С помощью закрытого ключа можно создать цифровую сигнатуру, подтверждающую личность отправителя и целостность сообщения, а любой обладающий открытым ключом способен ее проверить. Но при этом если открытый ключ становится известен злоумышленникам, он оказывается бесполезен, поскольку с его помощью можно провести лишь шифровку сообщения, а дешифровка невозможна без личного ключа. Во многих случаях удобным также оказывается использование цифровых сертификатов, выполняющих роль своеобразного виртуального паспорта: это специальные закодированные файлы, содержащие определенные сведения о пользователе (включая его имя и открытый ключ). В этом случае открытый ключ хранится у выпустившей сертификат организации (Certification Authority - CA), которая и занимается его проверкой.

Однако хранение ключей шифрования на жестких дисках компьютеров становится дополнительным фактором риска, поскольку подвергает их опасности копирования с дальнейшими попытками подбора парольной фразы и получения несанкционированного доступа к ключам. Таким образом, хотя PKI и обеспечивает не только аутентификацию, но и защиту информации, ее использование лишь на программном уровне вызывает немало опасений.

БИОМЕТРИЯ

Виртуальная безопасностьИменно это и заставило искать выход на стыке программных и аппаратных средств. Для тех организаций, перед которыми не стоит задача кодирования информации, ряд производителей предлагает обратиться к такому проверенному временем способу решения задачи, как биометрия, когда идентификатор пользователя всегда находится при нем и нет необходимости держать в памяти логины и пароли. Варианты использования биометрии весьма разнообразны: аутентификация, в зависимости от системы, производится по геометрии руки и лица, радужной оболочке и сетчатке глаза, клавиатурному почерку и подписи. Активно ведутся разработки и в области голосовой аутентификации. Так, скажем, VeriVoice Security Lock компании VeriVoice позволяет один раз зарегистрировав в течение трех минут определенную серию фраз, произносимых пользователем, в дальнейшем за несколько секунд производить аутентификацию при помощи подсоединенного к персональному компьютеру микрофона или через телефонную линию. Если раньше основной проблемой аналогичных систем была точность распознавания, то в настоящее время главным препятствием для их внедрения служат ситуации, когда голос пользователя меняется по независящим от него причинам (например, при простуде).

Более распространенным является контроль доступа к системе по отпечаткам пальцев. Специальные мыши и клавиатуры (см. Chip №5 2001) считывают отпечатки пальцев пользователя и передают информацию установленному на компьютере программному обеспечению. В настоящее время рынок предлагает большое разнообразие подобных устройств как от известных производителей периферии (у Cherry это полумеханическая клавиатура G81-12002 LDVRB, к которой прикладывается программное обеспечение BioLogon компании Identics Inc. или клавиатура KeyTronic со сканером отпечатков пальцев и устройством считывания Smartcard, речь о которых пойдет далее), так и от компаний, профессионально занимающихся проблемами биометрии (например, SecuGen Corporation, входящая во всемирный альянс биометрических систем безопасности BioSEC Alliance).

Виртуальная безопасность

Сильной стороной подобных предложений является их интеграция с распространенными операционными системами. Та же SecuGen Corporation сделала ставку на Novell, заключив в конце прошлого года соглашение, по которому ее технология будет интегрирована в Novell"s Modular Authentication Service (NMAS), поддерживающий Windows NT 2000, NetWare, Linux и Solaris.

Внешне решение выглядит достаточно красиво, однако содержит в себе немалое количество подводных камней. Прежде всего, пользователь оказывается привязан к мышкам и клавиатурам конкретных производителей, которые далеко не всегда устраивают его по качеству, дизайну и удобству в работе. Кроме того, не секрет, что именно эти устройства первыми выходят из строя и нуждаются в замене намного чаще, чем компоненты внутри системного блока или другая компьютерная периферия. На этот случай компании поставляют отдельные сканеры с подключением к USB, PS/2 и параллельному порту, однако тогда на рабочем столе появляется дополнительное устройство, под которое необходимо выделить место.

С другой стороны, данный метод аутентификации вызывает понятную настороженность у людей, которые не хотят, чтобы их отпечатки пальцев хранились у компании. Вдобавок, как показывает практика, возможно использование ложных отпечатков на негативах; экраны и поверхности таких устройств требуют частой очистки и при интенсивной эксплуатации могут породить немалые проблемы.

Кроме того, такие решения нельзя назвать дешевыми. Хотя мышки с распознаванием отпечатков пальцев можно приобрести у отечественных компаний по цене, колеблющейся от $70 до $130, к ним необходимо еще и соответствующее программное обеспечение. Клавиатуры и сканеры обходятся еще дороже.

И, наконец, едва ли не главный минус биометрии - она выполняет лишь задачи аутентификации пользователя, однако очевидно, что она не может освободить от всех остальных проблем - от конфиденциальности ЭЦП до применения различных методов шифрования в сетях. Таким образом, переходя на биометрию, компания решает лишь одну задачу (и, добавим, не самым дешевым способом) и нередко оказывается вынуждена устанавливать дополнительные системы безопасности.

СМАРТКАРТЫ

Виртуальная безопасностьБолее универсальным нам представляется другой вариант - использование смарткарт (интеллектуальных карт), которые на настоящий момент предлагает целый ряд производителей (Schlumberger, GemPlus, Bull, Siemens, Solaic, Orga). Их основное удобство заключается в портативности и широком спектре функций, позволяющем компании, выбрав данную технологию, постепенно достраивать необходимые компоненты защиты в зависимости от текущих потребностей. При этом не придется испытывать тех сложностей, которые, скажем, возникают при простом использовании систем, основанных на PKI. Смарткарты обеспечивают двухфакторную аутентификацию при доступе к защищенным ресурсам и выступают в качестве хранилищ любой секретной информации - от закрытых ключей (например, для использования в системах аутентификации для LAN, WAN и VPN) до цифровых сертификатов, - делая ее мобильной и не подвергая угрозе копирования, как это может происходить с данными, расположенными на жестком диске. Соответственно, их можно использовать для шифрования данных и переписки, защиты программного обеспечения (в частности, от внесения программных "закладок" и "логических бомб"), идентификации поступающих в сеть или на сайты Internet/Intranet запросов, дополнения почтового сообщения или трансакции цифровой подписью. В качестве примера можно привести выпускаемую компанией Orga линейку смарткарт Micardo - Standard, Public и Dual - с памятью EEPROM от 4 до 32 Кбайт, от 32 до 64 Кбайт ROM и криптоконтроллером (в зависимости от модели). Orga также поставляет специальный MICARDO Software Development Kit, обеспечивающий разработчиков инструментами для интегрирования технологии в различное программное обеспечение.

Однако переход на смарткарты невозможен без приобретения специальных считывающих устройств и оснащения ими всех компьютеров, на которых ведется работа с защищенными данными. Хотя на отечественном рынке дешевые считывающие устройства можно найти за $40, имеет смысл заплатить больше, но приобрести качественное устройство известного производителя, способное работать с различными типами смарткарт (с памятью, защищенной памятью, микропроцессорных, криптографических), с несколькими картами одновременно, предоставляющее возможность дистанционного перепрограммирования и загрузки новых версий микрокода с использованием перезаписываемой EEPROM-памяти. Подобный вариант обойдется компании дороже $100, а клавиатуры со встроенными сматркарт-ридерами обычно попадают в ценовой диапазон свыше $150.

Виртуальная безопасность

Тем не менее целый ряд западных компаний предлагает решения на основе смарткарт в качестве стандартных, поставляя считывающие устройства с новыми моделями компьютеров. Так, Smart Credit Card Internet Keyboard прилагается к настольным компьютерам марки Presario 5000 и позиционируется, в первую очередь, как продукт для обеспечения безопасных платежей по банковским картам в рамках электронной коммерции (отметим, что в России в настоящее время только начинают реализовываться проекты перехода на чиповые пластиковые карты международных платежных систем).

В то же время технология смарткарт также обладает, на наш взгляд, двумя главными недостатками. Во-первых, она относительно дорога в использовании, что выливается в немалые суммы при оснащении считывающими устройствами всех компьютеров корпорации. В ситуациях, когда этого не избежать (например, при необходимости считывать данные с пластиковых карт), идея представляется оправданной, однако если обеспечение безопасности корпоративных данных является единственной задачей, имеет смысл обратиться к иным решениям.

Во-вторых, хотя решения на основе карт PCMCIA существуют, они не слишком обрадуют пользователей мобильных компьютеров как по цене, так и по удобству в работе.

eToken

Виртуальная безопасностьВ настоящее время существует достойная альтернатива смарткартам - более удобная технология электронных ключей, выполненных в виде брелка и по размеру сопоставимых с ключами от дома. Конкретные параметры устройства зависят от модели ключа; например, eToken R2 компании Aladdin имеет до 64 Кбайт энергонезависимой памяти и встроенный криптопроцессор, реализующий алгоритм симметричного шифрования DES-X со 120-битным ключом.

При этом у пользователя или корпорации имеется в распоряжении широкий выбор программного обеспечения, и большое количество решений, основанных на использовании паролей, цифровых сертификатов, ЭЦП, шифровании данных, успешно работают с электронными ключами. Тот же eToken поддерживает работу в архитектуре Microsoft CryptoKey с помощью интерфейса MS Crypto API через CSP (Crypto Service Provider) и X.509 для работы с цифровыми сертификатами. Если для интернет-бизнеса компании необходимо использование Digital Signature Trust (DST) и цифровых сертификатов TrustID, их несложно загрузить в eToken через Internet Explorer или Netscape. Для обеспечения безопасности электронной почты с помощью RSA-KEON, поддерживающего PKI, сертификаты и ключи для шифрования и подписи сообщений также хранятся в eToken и используются в Microsoft Outlook, Outlook Express и Netscape Messenger.

Таким образом, электронные ключи подойдут не только для тех, кто использует специализированное программное обеспечение. Например, в Windows 2000 и Windows XP их поддержка уже встроена изначально. Одно из решений Aladdin обеспечивает защищенный вход в сеть с помощью расширения PKINIT протокола Kerberos версии 5. Оно позволяет использовать сертификат открытого ключа вместо пароля в процессе начальной аутентификации. Так как при аутентификации между центром сертификации и eToken происходит обмен данными, не являющимися секретными и не представляющими ценности для злоумышленников, этот процесс абсолютно защищен.

Электронные ключи оказались тем более удобны, что для их подключения не требуется никаких дополнительных специальных устройств: ключ напрямую вставляется в порт USB, которым оснащены едва ли не все компьютеры, выпускаемые в последние годы. Поддерживается и возможность "горячего подключения" (hot plug), что позволяет подсоединить и отсоединить ключ без выключения системы.

Однако не существует универсальных решений: если у вас старый компьютер без порта USB, то вы все же столкнетесь с проблемой при использовании устройств от Aladdin.

В ЗАКЛЮЧЕНИЕ

Подводя итоги, следует сказать, что на сегодняшний день основными конкурирующими решениями являются разработки на основе смарткарт и электронных ключей. Но до тех пор, пока не произойдет существенное снижение стоимости данных устройств и они не превратятся в столь же стандартное устройство для персональных компьютеров, как, скажем, CD-приводы или дисководы, трудностей нам не избежать.


Виртуальная безопасность

У нас была возможность протестировать брелок российского производителя Aladdin. Принцип работы устройства очень прост: микросхема памяти брелка является энергонезависимой, и в нее можно записать до 30 тыс. байт абсолютно любой информации, в том числе защищенной паролем. Само устройство поставляется с SDK, благодаря чему любой программист может сам написать программу, которая будет шифровать/дешифровать с помощью брелка и работать с памятью устройства.

Максимум памяти, который может быть "на борту" брелка, составляет всего лишь 64 Кбайт, однако для хранения паролей и шифров этого более чем достаточно. Более простая версия брелка, eToken R2, имеет аппаратно реализованный алгоритм шифрования DESX с ключом 120 бит. Вторая версия, eToken PRO, дополнительно снабжена чипом смарткарты, который аппаратно реализует алгоритмы шифрования RSA/1024, 3DES (TripleDES), SHA-1, MD5 и генератор личных (Private) ключей, никогда не покидающих чип.

Внутреннее устройство

Несмотря на все достоинства, самым интересным моментом оказалась внутренняя файловая система брелка. Система Siemens CardOS/M4 позволяет создавать структуры любой степени вложенности и практически не отличается от привычного FAT. Работать с ней можно с помощью специальной программы, которая мало чем отличается от проводника Windows.

Защита

Для защиты файлов и директорий можно использовать пароли, которые запоминаются в брелке, причем не в явном виде в какой-либо скрытой области памяти, а в виде 16-байтного хэша, полученного в результате DESX-преобразования. С этим связано еще одно, правда, для меня лично очень спорное, достоинство. Если пользователь забыл пароль, то брелок можно просто выкинуть - без пароля никакой пользы от него нет, разве что радует глаз.

eToken R2 не обладает механизмом блокировки неудачных обращений и, соответственно, никогда не блокируется, сколько бы раз не вводился неправильный PIN-код. Однако чтобы жизнь медом не казалась и обычный перебор модифицированным John the Ripper или аналогичной программой был невозможен, после каждого неверного ввода PIN-кода установлена задержка в 1 секунду.

Вывод

Виртуальная безопасностьВ целом устройство можно оценить на твердую "пятерку". Почти все недостатки являются следствием функционального применения устройства: "кривые" имена файлов и директорий скорее позволяют надежнее скрыть информацию, а неудобный доступ к USB-разъему все же остается на совести конструкторов корпусов и материнских плат. Стоит только отметить, что устройство при работе не слишком-то спешит: файл размером в 5000 байт сохранялся 3 секунды, но это особенности программируемой энергонезависимой памяти, и даже на запись "под завязку" потребуется не более 20 секунд.

загрузка...

 

 

Наверх


Постоянная ссылка на статью "Виртуальная безопасность":


Рассказать другу

Оценка: 4.0 (голосов: 16)

Ваша оценка:

Ваш комментарий

Имя:
Сообщение:
Защитный код: включите графику
 
 



Поиск по базе статей:





Темы статей






Новые статьи

Противовирусные препараты: за и против Добро пожаловать в Армению. Знакомство с Арменией Крыша из сэндвич панелей для индивидуального строительства Возможно ли отменить договор купли-продажи квартиры, если он был уже подписан Как выбрать блеск для губ Чего боятся мужчины Как побороть страх перед неизвестностью Газон на участке своими руками Как правильно стирать шторы Как просто бросить курить

Вместе с этой статьей обычно читают:

Honda ASV-3: безопасному автомобилю водитель не нужен

Компания Honda представила автомобиль, гордо названный самым безопасным в мире. Неизвестно, можно ли сделать самым безопасным в мира автомобиль, созданный на базе Accord (разницу в массе с полноразмерными внедорожниками никто не отменял), но самым «активно-безопасным» ASV-3 назвать вполне можно. Дело в том, что японцы не просто нашпиговали серийный автомобиль разнообразными системами безопасности, но и синхронизировали их работу.

» Японские автомобили - 2375 - читать


Ford Mondeo: Дитя виртуального мира

В тесте участвуют автомобили: Ford Mondeo НАРИСУЕМ – БУДЕМ ЖИТЬ Благодаря стараниям стилистов во главе с Крисом Бердом «Мондео» третьего поколения не стал «серой мышкой». Силуэт утвердили без привычного пластилинового макета.

» Немецкие автомобили - 2781 - читать


Подушкам безопасности исполнилось 20 лет

Сегодня Mercedes празднует 20-летие с момента появления надувных подушек безопасности. Работы над созданием первых аэр-бегов начались 35 лет назад – в 1966 году, хотя идея о «воздушной прокладке» появилась у инженеров Mercedes в 1950 году. Всего на создание первой подушки безопасности было потрачено около 13 миллионов долларов и 15 лет напряженной работы, пока в 1981 году Mercedes-Benz не представил на автосалоне в Женеве первый автомобиль S-класса с надувной подушкой безоп ...

» Немецкие автомобили - 2402 - читать


В Америке названы самые безопасные автомобили 2007 года

Американский институт безопасности дорожного движения опубликовал рейтинг самых безопасных автомобилей 2007 модельного года, составленный по результатам серии краш-тестов последних новинок автомобильного мира. В «чертовой дюжине» лидеров не оказалось ни одного американского автомобиля, а все лидерские позиции заняли европейские, корейские и японские автомобили. Это вызвано тем, что американские автопроизводители в отличие от заокеанских конкурентов не стремятся оснащать сво ...

» Немецкие автомобили - 2706 - читать


Безопасность - дело женское

На днях, а точнее 2 марта этого года, мне довелось (впервые в жизни!) побывать на зимнем этапе тест-драйва. Особо приятно было узнать, что основной девиз этого действа – «Безопасность женщин на дорогах», да и сама организация мероприятия оставила массу положительных впечатлений: несмотря на то, что все участницы заезда находились на открытом воздухе (а было по меньшей мере –7!), всех вкусно кормили, проводили массу конкурсов, раздавали подарки вперемежку с шашлыком, заставля ...

» Разное - 2229 - читать



Статья на тему Компьютеры » Безопасность » Виртуальная безопасность

Все статьи | Разделы | Поиск | Добавить статью | Контакты

© Art.Thelib.Ru, 2006-2024, при копировании материалов, прямая индексируемая ссылка на сайт обязательна.

Энциклопедия Art.Thelib.Ru