Устройства аутентификации на базе смарт-карт и/или USB-токенов
Поддержка такого рода средств встроена штатно в Microsoft Active Directory Windows 2000, Windows Server 2003 и 2008.
Аутентификация на базе смарт-карт и USB-токенов (фактически, USB-токен - это смарт-карта, совмещенная в одном корпусе со считывателем, подключаемым к разъему USB) основывается на проверке сертификатов открытого ключа. Ключевая пара генерируется смарт-картой, соответствующий закрытый ключ хранится в смарт-карте, возможны такие настройки, при которых закрытый ключ не может быть экспортирован. Сертификат открытого ключа также хранится в смарт-карте, но наряду с этим возможно централизованное хранение сертификатов в каталоге (это может быть Microsoft Active Directory или другая служба каталога, поддерживающая LDAP). Все сопутствующие криптографические вычисления производятся процессором смарт-карты.
ОС через считыватель передает в смарт-карту запрос, этот запрос зашифровывается на секретном ключе и передается ОС, ответ расшифровывается на открытом ключе и сравнивается с исходным запросом, в результате сравнения принимается решение -считать аутентификацию успешной или нет.
Данная схема может быть усложнена сопутствующими дополнительными техническими мерами, если необходимо осуществлять аутентификацию по сети (см., например, описание протоколов аутентификации Kerberos - RFC 1510, ЕАР TLS - RFC 2716), но в основе всегда лежит проверка того, что проходящий аутентификацию субъект обладает секретным ключом, соответствующим проверяемому сертификату открытого ключа, фактически - обладает данной смарт-картой, выступающей в роли хранилища этого ключа.
Для реализации схем аутентификации с использованием смарт-карт требуется наличие в достаточном количестве самих смарт-карт и подходящих считывателей (либо USB-токенов), а также сопутствующего ПО (драйверов) на компьютерах, где планируется проводить аутентификацию с использованием смарт-карт. Кроме того, требуется развернуть в АС организации инфраструктуру открытых ключей, в рамках которой будут выпускаться сертификаты для смарт-карт. И, наконец, требуется, чтобы все компоненты этой системы, где используется криптография, были сертифицированы ФСБ России.
Последнее требование резко сужает возможный выбор таких средств.
В качестве программных средств, реализующих инфраструктуру открытых ключей можно использовать Крипто-Про УЦ (производства компании Крипто-Про, Москва, www.cryptopro.ru), Notary Pro (производства компании Сигнал-КОМ, Москва, www. signal-com.ru), либо любое другое ПО для удостоверяющего центра, в которое можно встроить в качестве кр1штопровайдера сертифицированные ФСБ России криптопровайдеры Crypto-CSP (Крипто-Про) или Крипто-Ком (Сигнал-Ком). Существует опыт встраивания российских криптопровайдеров в RSA Keon, Baltimore Unicert и др.
Смарт-карты и токены с поддержкой криптографии ГОСТ выпускает компания Аладдин (www.aladdin.ru), кроме того, достойны внимания токены RuToken производства компании АНКАД и изделия «ШИПКА» от ОКБ САПР (в них совмещена функциональность смарт-карты и съемного диска, содержимое которого зашифровано на аппаратном уровне).
Дата добавления: 2018-03-01; просмотров: 1985;