Budování digitální pevnosti

Nebudu vyjmenovávat, co všechno uživatele obtěžuje a co může způsobovat potenciální nebezpečí. Nepotřebného i škodlivého balastu najde ve vašem PC každý antispyware dost. Slušný spam a web firewall ve spojení s antivirem a antispywarem vás celkem spolehlivě těchto nepříjemností zbaví. Závažnějším problémem je odcizení a zneužití soukromých dat nebo kolaps systému.

Částečně může pomoci důsledná fyzická ochrana pracoviště a zajištění přístupu pouze oprávněným pracovníkům. Takové omezení výrazně sníží dostupnost pracoviště a není ve většině firem ani domácností obvyklé. Řešením je přístup k jednotlivým službám, programům a databázím jen po řádné autentizaci. Bezpečná autentizace omezí přístup k aplikacím a službám pouze pro oprávněné uživatele. Zůstává zde pouze riziko selhání lidského faktoru. Správce bezpečnosti IT ve firmě musí rozumně přidělit uživatelská práva a jednotlivé bezpečnostní prostředky.

Slovo rozumně bych dvakrát podtrhl. V domácnosti, kde maximum soukromých dat tvoří fotografie z dovolené, nemá valný smysl nasazovat online šifrování disku se zákazem přenosných nešifrovaných médií apod.

 

 

Autentizace je z definice proces ověření proklamované identity subjektu. Pokud je osoba autentizována, může proběhnout její autorizace – oprávnění k využívání prostředků daného systému. S autentizací se setkáváme při různých příležitostech – přihlášení do operačního systému, k e-mailové schránce, do firemních databází a účetních programů, do privátní sítě, k serveru/terminálu, pre-boot autentizace apod.

Klasický způsob autentizace je jméno a heslo. Zde je několik výhod, ale spíše nevýhod: Jedná se o jednoduchý systém ověření. Pokud si uživatel napíše hesla na monitor nebo klávesnici, nemusí si ani nic pamatovat. Pokud si je uživatel bude pamatovat, nebudou to zase hesla správně složitá. S jednoduchými hesly si běžný hacker poradí, ať už metodou pokus-omyl, sociálním inženýrstvím nebo hrubou silou.

Další možnost je využít něčeho, co nejenom známe, ale i vlastníme. To znamená čipová karta nebo USB token. S tímto hardwarem jde provádět autentizaci do všech uvedených systémů. Autentizace probíhá na základě zasunutí karty do čtečky nebo pohodlněji tokenu do USB a prokázání znalosti PINu nebo PassPhrase. Nestačí pouze vypozorovat heslo, je nutné mít také token. Ztráta tokenu není tragédií, pokud nedošlo také k vyzrazení PINu. Navíc je tu možnost použití tokenů s podporou biometriky.

Mezi relevantní způsoby autentizace patří i použití Single-Sign-On (SSO). Po zadání jednoho hesla/PINu získá uživatel přístup do všech definovaných aplikací. SSO může být ve formě softwarového „správce hesel“. Zde je bezpečnostní riziko dané dostupností privátních dat na disku. Varianta SSO implementovaná v tokenu je nejen elegantnější, ale hlavně bezpečnější. K privátním datům se nikdo nedostane a pouhým zadáním PINu se přihlásíte k jakékoli webové či firemní aplikaci.

 

 

Blíže bych se zaměřil na autentizační a šifrovací USB tokeny, které mají oproti čipovým kartám výhodu - není potřeba čtečka, pouze volný USB port.

Co USB tokeny umí, si ukážeme na nejrozšířenějších tokenech iKey, výrobce SafeNet Inc. Tento hardware velikosti malé flashky je primárně uvažován jako bezpečné úložiště certifikátů. Bezpečnost spočívá hlavně v tom, že privátní klíč vygenerovaný na tokenu nemůže být vyexportován. To samé platí o uložených klíčích pro symetrickou kryptografii a heslech. Všechny objekty uložené na tokenu jsou šifrované. Model iKey 4000 je certifikován americkým úřadem NIST podle FIPS 140-2 level 3, což zaručuje bezpochyby vysokou úroveň bezpečnosti.

 

 

Na USB token můžeme tedy bezpečně uložit privátní data (iKey 4000 – 64kByte). Zabudovaný kryptografický koprocesor se dá použít také k vlastnímu generování klíčů a urychlování kryptooperací. Při implementaci se využívá aplikační programové rozhraní MS CAPI nebo standard PKCS#11.

Základní výhoda USB tokenů je v tom, že máte svá hesla a certifikáty vždy u sebe a jsou bezpečně uložená. Slouží jako externí digitální identita jednotlivce. Oprávněná osoba používající token+PIN se přihlašuje k aplikaci bez znalosti vlastního hesla. To může být libovolně složité a je uloženo pouze na tokenu.

Pro přihlášení do Windows nebo k terminálovým službám lze využít certifikáty. Interní nebo externí certifikační autorita vydá certifikáty, které mohou mít uživatelé na svých tokenech. Ve správě Windows lze vynutit přihlašování pouze pomocí karty Smart Card, čímž se eliminují slabiny autentizace heslem.

Při použití PKI (infrastruktura založená na certifikátech) se nabízejí možnosti přístupu tokenem také do systémů typu e-Government. Ať už jde o terminál CzechPoint provozovaný Českou poštou a Ministerstvem vnitra, kde jsou tokeny iKey nasazeny, nebo o soukromé podání elektronického daňového přiznání.

Dokumenty se dají za pomoci tokenu nejen podepsat, ale i šifrovat. Vzhledem k hardwarové podpoře nejrozšířenějších algoritmů k tomu dochází uvnitř tokenu. Velkou výhodou je i rozsáhlé SDK s příklady a popisem API funkcí, které dávají vývojářům prakticky volnou ruku při zabezpečení systému.

 

 

Velmi silným nástrojem je spojení autentizace tokenem a šifrování pevného disku. Program ProtectDrive (výrobce SafeNet Inc.) nejprve zašifruje disk (partition). Při každém startu počítače proběhne pre-boot autentizace tokenem, při níž se rozšifrují systémové soubory a proběhne přihlášení do Windows. Všechny soubory uložené na disku jsou online šifrovány a dešifrovány bezpečně uloženým klíčem. Data z disku nejde bez předchozí autentizace exportovat. Tento systém brání téměř dokonale zneužití dat. Externí paměťová média lze vynuceně používat pouze s šifrováním nebo zcela zakázat. Tím se zamezí nežádoucímu exportu firemních dat nebo importu nebezpečných souborů do firemní sítě. Při ztrátě notebooku s citlivými daty není šance data z disku dostat v nezašifrované podobě.

 

 

Autentizace je velmi podstatný bezpečnostní prvek, proto by se jí měla věnovat náležitá pozornost. Při nasazení kvalitních nástrojů a rozumné implementaci lze významně zvýšit bezpečnost systému a zabránit nechtěné ztrátě a zneužití dat. Vzhledem k evropské i národní legislativě budou na autentizaci a její zabezpečení kladeny stále větší požadavky.