УДК 004.056.5
ПРОГРАММНО-АППАРАТНАЯ СИСТЕМА АУТЕНТИФИКАЦИИ
В ЛОКАЛЬНЫХ СИСТЕМАХ
*
Е. А. Акулов , Н. Ю. Паротькин
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газеты «Красноярский рабочий», 31
*E-mail: evgeny.akulov@gmail.com
Разработан макет аппаратного хранилища автоматизированного ввода многоразовых паролей. Это исследование может быть применено для решения проблемы безопасного хранения паролей на внешнем носителе. Описываются принципы и алгоритмы работы устройства.
Ключевые слова: токен, аппаратное хранилище паролей, двухфакторная аутентификация, криптоконтейнер, микроконтроллер.
THE HARDWARE-SOFTWARE AUTHENTICATION SYSTEM
IN LOCAL SYSTEMS
E. A. Akulov*, N. Y. Parotkin
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarskii rabochii prospekt, Krasnoyarsk, 660037, Russian Federation E-mail: evgeny.akulov@gmail.com
The model of automated hardware storage was developed, enter reusable passwords. This study can be applied to solve the problem.secure password storage on external storage.
Keywords: token, two-factor authentication, hardware storage of passwords, cryptocontainer, microcontroller.
Введение. Специалисты компании Microsoft заявили, что 99,9% владельцев информации, подвергающихся риску взлома учётных записей, не использует многофакторную аутентификацию.
На конференции по кибербезопасности RSA инженеры Microsoft рассказали, что в среднем каждый месяц риску взлома подвергается до 0,5% учётных записей. В январе 2020 таких записей было около 1,2 млн.
В Microsoft добавили, что в большинстве случаев взлом учётных записей происходит с использованием довольно простых инструментов. Так, в январе 2020 года 40% взломов пришлось на аккаунты с простыми паролями, которые были вычислены методом подбора.
Ещё 40% записей были скомпрометированы методом повтора паролей. При этом типе атак злоумышленники используют ранее утекшие пароли пользователей из других сервисов для взлома учётных записей Microsoft. В компании отметили, что одинаковые пароли в различных сервисах использует до 60% людей.
Эксперты подчеркнули, что самым эффективным способом защиты учётной записи от взлома является использование многофакторной авторизации, при которой используется не только пароль, но и какой-либо другой метод аутентификации (SMS-сообщение, биометрические данные и т.д.). [1]
Актуальные проблемы авиации и космонавтики - 2020. Том 2
Описание устройства. Предлагаемое решение основывается на платформе микроконтроллер семейства STM32, общая блок-схема работы устройства представлена на рисунке. STM32 - это платформа, в основе которой лежат микроконтроллеры STMicroelectronics на базе ARM процессора, различные модули и периферия, а также программные решения (IDE) для работы с аппаратным обеспечением.
Общая блок-схема работы устройства
Основные преимущества:
- Низкая стоимость;
- Удобство использования;
- Большой выбор сред разработки;
- Чипы взаимозаменяемы - если не хватает ресурсов одного микроконтроллера, его можно заменить на более мощной, не меняя самой схемы и платы;
- Высокая производительность;
- Удобная отладка микроконтроллера.
Предыдущее решение основывалось на микроконтроллере Arduino Pro Micro. Для шифрования паролей в БД аутентификации на токене, применяется алгоритм симметричного шифрования AES-256 Передача пароля на конечное устройство производится через канал USB, в зашифрованном виде. Так как технические возможности микроконтроллере Arduino Pro Micro были ограниченны, поэтому от этого микроконтроллера пришлось отказаться, и было принято решение перейти к микроконтроллеру семейства STM32. Сравнивая два микроконтроллера имеем что, по техническим характеристикам Arduino уступает STM32. Тактовая частота микроконтроллеров Arduino ниже - 16 МГц против 72 МГц STM32. Количество выводов GPIO у STM32 больше. Объем памяти у STM32 также выше. Нельзя не отметить pin-to-pin совместимость STM32 - для замены одного изделия на другое не нужно менять плату. Общая стоимость всех деталей устройства составит 385 руб.
После перехода на новый микроконтроллер добавилось несколько новых модулей, с помощью которых были реализован следующие режимы работы:
- режим работы «OTP». Он заключается в следующем, аутентификация в сервисе/приложении происходит с помощью одноразового пароля. Устройство содержит уникальный секретный ключ, который будет использован для шифрования некоторых данных, используемых для генерации пароля. Тот же самый ключ содержится и на сервере аутентификации. Сервер шифрует их же и сравнивает результат с тем, что получает от клиента. При совпадении значений считается, что процесс аутентификации прошел успешно.
В данном устройстве используется синхронный режим, и синхронизация происходит по времени. Сервер аутентификации и OTP-устройство генерируют пароль, базируясь на показании внутренних часов.
- режим работы «GSM». Он заключается в следующем, при попытке аутентификации на зарегистрированный номер телефона придет CMC с одноразовым паролем для входа в систему. Роль телефона, на который приходит смс с одноразовым паролем, выполняет микроконтроллер с GSM модулем, который принимает смс сообщение с одноразовым паролем и отображает его на экране устройства. Данный режим может использоваться в различных банковских приложениях.
Среди конкурентов были рассмотрены решения: Рутокен OTP, заменивший Рутокен Web [2], и eToken NG-OTP [3]. Данные решения по реализуемому функционалу приближены к предлагаемому решению. Сравнение решений представлено в таблице.
Сравнение существующих решений
Решение eToken NG-OTP Рутокен OTP Предлагаемое решение
Используемый алгоритм шифрования Нет данных ГОСТ 28147-89 AES (256-бит)
Режимы аутентификация Двухфакторная с использование OTP Двухфакторная с использование OTP Двухфакторная с использование OTP или Push-кода
Поддерживаемые ОС Windows, OS X, Linux Windows, OS X, Linux Windows, Linux
Цена 1650 руб. 1300 руб. 950 руб.
Выводы. В ходе работы разработано устройство - парольный аутентификатор осуществляющий безопасное хранение и передачу пароля по открытому каналу. Оно позволяет осуществлять безопасную аутентификацию в различных сервисах и приложениях, используя различные методы многофакторной аутентификации. Преимуществами предлагаемого решения являются:
- применимость в большом количестве сервисов и приложений, за счет использования OTP-аутентификации, обычной двухфакторной аутентификации, а также дополнительного фактора как PUSH-код.
- более низкая стоимость по сравнению с аналогами.
Библиографические ссылки
1. Информационное агентство REGNUM [Электронный ресурс]. URL: https://regnum.ru/ news/it/2878702.html (дата обращения: 10.04.2020).
2. Сайт компании Рутокен [Электронный ресурс]. - URL: rutoken.ru/products/all/rutoken-otp/ (дата обращения (29.04.2020).
3. Сайт компании Алладин софт [Электронный ресурс]. - URL: https://www.aladdin-rd.ru/catalog/etoken (дата обращения (29.04.2020).
4. SP 800-63 «Digital Identity Guidelines» [Электронный ресурс]. - URL: https://pages.nist. gov/800-63-3/ (дата обращения (29.04.2020).
5. Давлетханов М. Концепция одноразовых паролей в системе аутентификации // BYTE/Россия. № 7-8. С. 95.
© Акулов Е. А., Паротькин Н. Ю., 2020