Bezpečná autentizace jednoduše a efektivně

Blíží se doba, kdy každá osoba bude disponovat vlastní digitální identitou, která bude sloužit pro komunikaci se státní správou, prokazování totožnosti, podepisování dokumentů, objednávání zboží, elektronické volby apod. Těchto identit může být celá řada a mohou nabývat různých podob. Z těch „kvalifikovanějších“ se hovoří o elektronickém občanském průkazu, elektronickém pasu, již dnes se používají kvalifikované certifikáty pro elektronický podpis. Výhody zaručené digitální identity jsou zřejmé: pohodlná komunikace z domova/firmy, nepopiratelnost a autenticita podepsaného dokumentu, jednodušší ověření podpisu/identity, možnost přidání biometrických prvků.

 

Ať se na bezpečnost používání digitálních identit díváme z jakéhokoli úhlu, vždy dojdeme k závěru, že klíčovým procesem je autentizace (ověření proklamované identity subjektu). Po úspěšné autentizaci je subjekt autorizován – oprávněn k využívání prostředků daného systému. Tím, že uživatele autorizujeme, mu udělíme určitá jasně definovaná práva a také určitou míru zodpovědnosti. Přiřazení uživatelských práv je činnost, které by měl architekt systému věnovat obzvláštní pozornost.

Nejjednodušším způsobem autentizace je jméno a heslo. Pokud si uživatel napíše hesla na monitor nebo klávesnici, nemusí si ani nic pamatovat. Pokud si je uživatel bude pamatovat, nebudou to zase hesla správně složitá. S jednoduchými hesly si běžný hacker poradí, ať už metodou pokus-omyl, sociálním inženýrstvím nebo hrubou silou.

Další možnost je využít něčeho, co nejenom známe, ale i vlastníme: čipovou kartu nebo USB token. Autentizace do různých aplikací a systémů probíhá na základě zasunutí karty do čtečky nebo pohodlněji tokenu do USB a prokázání znalosti PINu nebo PassPhrase. Při snaze o zneužití cizí identity nestačí pouze vypozorovat heslo, je nutné mít také token. Ztráta tokenu není tragédií, pokud nedošlo také k vyzrazení PINu. Navíc je tu možnost použití tokenů s podporou biometriky.

Bezpečnost a využití USB token
Blíže bych se zaměřil na autentizační a šifrovací USB tokeny, které mají oproti čipovým kartám výhodu - není potřeba čtečka, pouze volný USB port.
Co USB tokeny umí, si ukážeme na nejrozšířenějších tokenech iKey 4000, výrobce SafeNet Inc. Tento hardware velikosti malé flashky je primárně uvažován jako bezpečné úložiště certifikátů. Dají se na něj uložit také hesla, ID a další objekty svázané např. s Vaší aplikací. Bezpečnost spočívá hlavně v tom, že privátní klíč vygenerovaný na tokenu nemůže být vyexportován. To samé platí o uložených symetrických klíčích a heslech. Všechny objekty uložené na tokenu jsou šifrované. Model iKey 4000 je certifikován americkým úřadem NIST podle FIPS 140-2 level 3, což znamená, že tokeny byly precizně otestovány z hlediska kryptografické a informační bezpečnosti. Certifikát zároveň zaručuje vysokou fyzickou bezpečnost (při porušení krytu se obsah paměti vymaže).
Na USB token můžeme tedy bezpečně uložit privátní data (iKey 4000 – 64kByte). Zabudovaný kryptografický koprocesor se dá použít také k vlastnímu generování klíčů a urychlování kryptooperací. Při implementaci se využívá aplikační programové rozhraní MS CAPI nebo standard PKCS#11.
Základní výhoda USB tokenů je v tom, že máte svá hesla a certifikáty vždy u sebe a jsou bezpečně uložená. Slouží jako externí digitální identita jednotlivce. Systém může být nastaven i tak, že se uživatel přihlásí tokenem pouze se znalostí PINu, přičemž vlastní heslo do aplikace (OS) nezná. To může být libovolně složité a je uloženo bezpečně na tokenu.
Pro přihlášení do Windows nebo k terminálovým službám lze využít certifikáty. Interní nebo externí certifikační autorita vydá certifikáty, které mohou mít uživatelé na svých tokenech. Ve správě Windows lze vynutit přihlašování pouze pomocí karty Smart Card, čímž se eliminují slabiny autentizace heslem.
Dokumenty se dají za pomoci tokenu nejen podepsat, ale i šifrovat. Vzhledem k hardwarové podpoře nejrozšířenějších algoritmů k tomu dochází uvnitř tokenu. Velkou výhodou je i rozsáhlé SDK s příklady a popisem API funkcí, které dávají vývojářům prakticky volnou ruku při zabezpečení systému.
Ještě vyšší stupeň bezpečnosti než tokeny nabízejí zařízení HSM (High Security Module). Ta jsou primárně využívána k uložení kryptografických klíčů nejvyšší důležitosti (certifikační autority, webové servery využívající SSL, platební transakce, databázové servery). Druhým účelem HSM je akcelerace kryptografických operací a jejich přesunutí z aplikačních a databázových serverů, kde zabírají drahocenný výkon.

 

Plánování zabezpečení přístupu ve firmě
Vzhledem k výše uvedeným možnostem autentizace a autentizačních prostředků lze uvažovat několik variant a kombinací, jak zajistit bezpečnou autentizaci k firemním zdrojům a vytvořit funkční správu identit zaměstnanců. Jednotlivé varianty se liší podle velikosti podniku a nároků na zabezpečení.

 

1.      Mini firma (1-2 zaměstnanci) bez větších nároků na zabezpečení

Popis: Počítače s účetnictvím, jednoduchá administrativa

Doporučení: Počítače zabezpečené jménem+heslem do OS, důraz na fyzickou bezpečnost počítače, software na šifrování disku – prevence proti krádeži dat

 

2.      Malá firma (do 10 zaměstnanců)

Popis: Server s firemními daty, počítače zaměstnanců v síti, mobilní stanice, VPN, administrátor „na poloviční úvazek“

Doporučení: firemní PKI, přístupy do PC certifikáty na USB tokenech, VPN přes certifikáty, šifrování souborů/disků, fyzická bezpečnost počítačů/laptopů

 

3.      Střední firma (do 100 zaměstnanců)

Popis: Server s firemními daty, počítače zaměstnanců v rozlehlejší síti, mobilní stanice, VPN, administrátor (síť a bezpečnost), chráněné vstupy do objektu, pobočky

Doporučení: firemní PKI, přístupy do PC certifikáty na USB tokenech/čipových kartách, VPN - certifikáty, šifrování souborů na serveru, šifrování disků na mobilních stanicích, pravidelné zálohování dat na více místech, fyzická bezpečnost - napojení na ochranku, policii, docházkový systém

 

4.      Velká firma (nad 100 zaměstnanců)

Popis: Servery s firemními daty, rozlehlá síť s pobočkami, mobilní stanice, VPN, IT oddělení, chráněné vstupy do objektu

Doporučení: PKI renomovaného výrobce, přístupy do PC certifikáty na USB tokenech/čip. kartách, čip. karty+bezkontaktní část pro přístup do kanceláří/budovy, VPN-certifikáty, šifrování disků centrálně řízené, použití HSM modulů pro uchovávání šifrovacích klíčů, šifrované linky mezi pobočkami, centrální management přístupu (Card Management a docházkový systém), zálohovací servery, lidské zdroje pro administraci, fyzická bezpečnost - napojení na ochranku, policii

 

zajistit autentizaci k firemním systémům a datům

Správa identit zaměstnanců, přístupových práv: Windows Server 2003 (2008) s doménou a službou Active Directory

Certifikační autorita: Windows Server 2003 (2008)

Tokeny pro uložení certifikátů a dalších objektů: iKey 4000 (každý zaměstnanec)

Certifikáty: SmardCard Logon, SmartCard User. Generování přímo do tokenu/karty.

Uživatelský OS: Windows XP, Vista, Windows 7

Přihlašování do Windows, na file server, do VPN: Token s certifikátem

Šifrování disku/souborů – mobilní stanice: ProtectDrive (SafeNet Inc.) – logon certifikátem na tokenu

Recovery: Recovery konzole pro obnovu hesel a klíčů je součástí programu ProtectDrive. Ostatní nástroje součástí W2003 server a Active Directory.

Z příkladu je vidět, že náklady na vybudování relativně bezpečného systému autentizace v menší firmě nemusí být enormní. Je ale potřeba důkladně naplánovat přiřazení uživatelských práv a hlavně najít vhodného správce systému.