CC BY
45Е.К. Чаркина, Б.М. Захир
ТРЕБОВАНИЯ К БЕЗОПАСНОСТИ АУТЕНТИФИКАЦИИ И ЭЛЕКТРОННОЙ ПОДПИСИ В ОБЛАКАХ
В статье рассматриваются вопросы безопасности осуществления доступа к облачным информационным ресурсам, такие как: существующие риски доступа к удаленным системам, методы исследования рисков аутентификации, возможные меры защиты, осуществляемые посредством электронной цифровой подписи. По итогам анализа определены требования к работе с открытым ключом подписи, приведен пример использования криптографических методов защиты информации в контексте электронной подписи.
Ключевые слова: удаленный доступ, идентификация, аутентификация, облачные вычисления, аутентификация, электронная подпись, открытый ключ, закрытый ключ, информационная безопасность, риски безопасности, исследование рисков, требования к безопасности.
Введение. В настоящее время происходит переход документооборота из бумажного в электронный, более того был пройден значимый рубеж: электронный и бумажный оборот сравнялись. Однако в существующем нормативно-правовом поле есть проблема, связанная с электронным взаимодействием. В законах и нормативных актах вопросы юридической силы и юридической значимости применительно к электронной документации пока не имеют согласованной трактовки и однозначного толкования.
Становиться актуальным проведение комплексной работы по систематизации законодательства, устранению административных барьеров и ограничений действующего законодательства. При строительстве «электронного государства», информационного гражданского общества необходимо принять специальные законы и стандарты, а также разработать и принять изменения и дополнения по устранению административных барьеров и ограничений по применению электронных документов и электронного документооборота по всей структуре органов государственной власти, судебной и нотариальной системе.
Учитывая, постановление Правительства РФ от 28 ноября 2011 г. № 977 в эксплуатацию поэтапно вводится Единая система идентификации и аутентификации (ЕСИА). При этом выходит на первый план создание требований по организации безопасного доступа к этому сервису, который в настоящее время участвует в реализации Федерального закона № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг». В результате формирования этих требований будет определена структура национальной универсальной платформы защищённого доступа к различным ресурсам с учетом перехода на удалённые сервисы.
Облачные вычисления. Пользователю предоставляется возможность эксплуатировать информационные ресурсы различных аппаратных платформ, доступ к которым осуществляется удаленно. Для реализации этой сетевой возможности используется парадигма пула физических или виртуальных ресурсов, называемая облачными вычислениями.
Согласно ГОСТ ISO/IEC 17788-2016 модель удаленного доступа составлена из ключевых характеристик, ролей и действий облачных вычислений, типов возможностей облака и категорий служб облачных вычислений, моделей развертывания облачных вычислений и сквозных аспектов облачных вычислений. Они имеют ряд преимуществ, таких как: •высокая стандартизация и автоматизация всех ГТ-процессов; •измеримость ГТ-ресурсов;
•экономия на лицензиях, обслуживания, техническом персонале •доступ из любого места; •доступ с любого устройства.
Однако у пользователей при использовании облачных вычислений могут возникнуть следующие
риски:
•риск потери управления, который может привести к невозможности соблюдения требований обеспечения конфиденциальности, доступности и целостности данных;
•привязка к поставщику облачных услуг, что может повлечь финансовые потери вследствие повышения стоимости услуг или попытки перейти к другому провайдеру;
© Е.К. Чаркина, Б.М. Захир, 2022.
•неполный перечень всех условий и уровней обслуживания (SLA) вследствие отсутствия опыта или навязывания текста провайдером, что может отразиться, например, в виде неполного предоставления оплаченных услуг.
•неразвитая законодательная и подзаконная нормативная база; •нарушение требований законодательства при переходе к облачным вычислениям; •возможность появления конфликтов по поводу вопросов об ответственности сторон, о владельце данных, обрабатываемых в облаке, а также по поводу оперативного учета, восстановления после аварий и взломов.
•гарантии подлинности сайта (атаки типа «фишинг»), подмена сайта (должен обеспечить провайдер);
•атаки типа «человек посередине»;
•способы определения и гарантии подлинности пользователя при доступе к облаку и сервисам; •возможность потери пользователями контроля над приложениями и службами; •действия злоумышленников из числа привилегированных пользователей провайдера; •неполное удаление данных в облачной инфраструктуре при уходе клиента или согласованном стирании данных;
•отсутствие стандартов для облачных вычислений; • ошибки изоляции между ресурсами в облачной архитектуре и, как следствие, возможности утечки данных;
•потенциальная опасность нарушения доступности, конфиденциальности и целостности данных при их передаче, хранении и обработке в облаке;
•публичное разглашение данных (доступ неограниченного круга лиц); •выемка данных или носителей из дата-центра провайдера (органы, сотрудники). Видно, что более половины перечисленных рисков в той или иной степени связаны с вопросами аутентификации.
Аутентификация. При использовании «облака» как субъект доступа, так и объект доступа проходит проверку подлинности. Этот процесс контролируется строгой аутентификацией с применением исключительно метода многофакторной взаимной аутентификации и использованием криптографических протоколов.
Такой подход позволяет существенно снизить риски несанкционированного доступа к конфиденциальной информации при переходе к облачным вычислениям. Исследование рисков аутентификации складывается из:
•анализа требований информационной безопасности к системам идентификации и аутентификации;
•анализа процессов аутентификации;
•классификации технологии и средств аутентификации;
•анализа нормативной базы.
Благодаря, проведенному анализу рисков можно:
•произвести обоснование уровней доверия к результатам идентификации и аутентификации; •спроектировать модели и методы анализа безопасности и надежности; •уточнить границы уровней доверия; •произвести оценку рисков аутентификации.
Продукты анализа и оценки рисков в совокупности с описанными уровнями доверия к результатам идентификации и аутентификации, моделями и методами анализа безопасности и надежности позволяют: •определить требования безопасности и надежности выполнения аутентификации •составить рекомендации изменения нормативной базы и рекомендации для построения системы идентификации и аутентификации государственных информационных систем. Задачами аутентификации являются:
•подтверждение предъявленного идентификатора в целях предоставления доступа к информационному ресурсу или сети;
•идентификация владельца электронной подписи и обеспечение неотказуемости при применении электронной подписи;
•установление доверительных отношений при удаленном электронном взаимодействии. Данные задачи применимы к строгой аутентификации, так как в ней применяется многофакторная взаимная аутентификация с организацией двухстороннего, между субъектом доступа и объектом доступа, или многостороннего (при использовании третьей доверенной стороны) обмена аутентификационной информацией. В процессе строгой аутентификации используются криптографические протоколы аутентификации.
Электронная подпись. Криптографическая система обеспечивает безопасность информации криптографическими методами в части конфиденциальности, целостности, аутентификации, невозможности отказа и не отслеживаемости. В качестве подсистем может включать системы шифрования, системы идентификации, системы имитозащиты, системы подписи цифровой и др., а также систему ключевую, обеспечивающую работу остальных систем.
Электронная цифровая подпись предназначена для аутентификации лица, подписавшего электронное сообщение. Кроме того, использование электронной подписи позволяет обеспечить следующие меры защиты сообщения при передаче в системе:
•осуществление контроля целостности передаваемого подписанного сообщения; •доказательное подтверждение авторства лица, подписавшего сообщение; •защита сообщения от возможной подделки.
Согласно статье 10 Федерального закона № 63-ФЗ «Об электронной подписи» участники электронного взаимодействия обязаны обеспечивать конфиденциальность ключей электронной подписи. На примере применения усиленной квалифицированной электронной подписи, зачастую используемой не только для подписи, но и как механизм аутентификации при доступе к информационной системе.
Для установления личности обладателя электронной подписи, проверки наличия полномочий на право подписи и фиксации неотказуемости выполнения процедуры подписи электронного документа владельцем электронной подписи. Используется в системах электронного документооборота для придания юридической силы электронному документу, имеет ряд особенностей. В частности, как правило, применение электронной подписи встраивается в систему электронного документооборота и вызывается его средствами. При этом аутентификация используется при доступе пользователя к системе электронного документооборота. Из целей (подтверждение личности обладателя подписи и неотказуемость) следует дополнительное требование - доказательство принадлежности ключа подписи конкретному владельцу. Эта задача решается с помощью применения как строгой аутентификации, так и дополнительного фактора идентификации владельца ключевого носителя по его биометрическим характеристикам.
Для проверки электронной подписи используются средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом № 63 -ФЗ.
Требования. В одной из последних редакций Федерального закона № 63-ФЗ удостоверяющим центрам было дано право после прохождения соответствующей процедуры аккредитации осуществлять хранение ключа электронной подписи, ключ проверки которой содержится в квалифицированном сертификате, с обеспечением его защиты от компрометации и (или) несанкционированного использования, в том числе создание при помощи указанного ключа подписи по поручению владельца квалифицированного сертификата. При этом соответствующие механизмы работы с хранимым ключом подписи должны удовлетворять требованиям по:
•хранению ключей квалифицированной электронной подписи и автоматическому созданию такой подписи с их использованием по поручению соответствующих владельцев квалифицированных сертификатов;
•аутентификации владельцев квалифицированных сертификатов, по поручению которых аккредитованный удостоверяющий центр создает и проверяет квалифицированную электронную подпись;
•защите информации, передаваемой по каналу взаимодействия между владельцем квалифицированного сертификата и аккредитованным удостоверяющим центром, осуществляющим создание и проверку квалифицированной электронной подписи по поручению такого владельца;
•доказательству невозможности отказа владельца квалифицированного сертификата от поручения на создание квалифицированной электронной подписи.
Работа электронной подписи связана с использованием криптографических алгоритмов, также их использование необходимо строгой аутентификацией. Она представляет из собой только многофакторную обоюдную аутентификацию, которая должна обеспечивать как субъекту, так и объекту доступа уверенность в том, что другой участник процесса аутентификации является тем, за кого себя выдает.
Примером можно назвать совместное использование при аутентификации закрытого ключа и соответствующего ему электронного удостоверения, содержащего открытый ключ. Электронное удостоверение может формироваться доверенной третьей стороной. Закрытый ключ и соответствующее ему электронное удостоверение, содержащее открытый ключ, хранятся с применением устройства аутентификации, находящегося во владении пользователя. При этом пользователь знает пароль, позволяющий использовать данную аутентификационную информацию.
Строгая взаимная аутентификация остается единственным безопасным способом предоставления доступа к приложениям, размещенным в публичных облаках.
Заключение. Исходя из факта отсутствия зафиксированных и чётко установленных правовых и нормативных актов, в настоящий момент требования безопасности к аутентификации и ЭП не являются цельной правовой базой, что, в свою очередь, порождает дискуссии, связанные со сферой применения данных технологий и требованиями к их реализации. Таким образом необходима разработка стандартов, описывающих технологии защищенного удаленного доступа, и создание нормативно-правой базы, описывающей требования информационной безопасности.
На основе проведенного анализа получилось сформировать комплексную точку зрения по требованиям безопасности в облаке, которая представляет собой обязательное учитывание следующих фактов:
•необходимо использование двухфакторной аутентификации, обеспечивающей дополнительный уровень безопасности, что особенно критично в данной области
•необходимо использование криптографических протоколов, обеспечивающих защищенный канал связи между облаком и клиентом.
Библиографический список:
I.Об электронной подписи: федер. закон № 63-Ф3: принят Гос. Думой 25.03.2011 : одобр. Советом Федерации 30.03.2011 [Электронный ресурс]: Электронный фонд правовой и нормативно-технической документации - Электрон. дан. (17 млн документов). - М., [2011]. - Режим доступа: http://docs.cntd.ru/document/902271495, свободный. - Загл. с экрана
2.Об организации предоставления государственных и муниципальных услуг: федер. закон № 210-ФЗ: принят Гос. Думой 07.07.2010: одобр. Советом Федерации 14.07.2010 [Электронный ресурс]: Электронный фонд правовой и нормативно-технической документации - Электрон. дан. (17 млн документов). - М.,[2010]. - Режим доступа: http://docs.cntd.ru/document/902228011, свободный. - Загл. с экрана.
3.Приказ ФСБ России от 27 декабря 2011 г. № 976 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра» [Электронный ресурс]. - Режим доступа: https://docs.cntd.ru/document/902324512?section=text, свободный.
4.ГОСТ Р 58833-2020 Защита информации. Идентификация и аутентификация. Общие положения. [Электронный ресурс]. - Режим доступа: https://docs.cntd.ru/document/1200172576?section=text, свободный.
5.ГОСТ ISO / IEC 17788-2016 Информационные технологии (ИТ). Облачные вычисления. Общие положения и терминология. [Электронный ресурс]. - Режим доступа: https://docs.cntd.ru/document/1200141425?section=text, свободный.
6.Словарь криптографических терминов /Под ред. Б.А. Погорелова и В.Н. Сачкова. -М.: МЦНМО, 2006. -94с.
7.Сабанов А.Г. Методология формирования иерархии доверия к результатам идентификации и аутентификации субъектов доступа: специальность 05.13.19 «Методы и системы защиты информации, информационная безопасность»: диссертация на соискание ученой степени доктора технических наук / Федеральное государственное бюджетное образовательное учреждение высшего образования «Томский государственный университет систем управления и радиоэлектроники» Томск: 2020. 357 с.
8.Сабанов А.Г. Об аутентификации при организации доступа к облачным сервисам в информационных системах общего пользования / А.Г. Сабанов // Вопросы защиты информации. - 2012. - № 4. - С. 50-58.
9.Эмирова З.М. Облачные вычисления / З.М Эмирова // Вестник магистратуры. - 2012. - №9-10(12-13). - С.
32-34
10.Сабанов А.Г. Особенности аутентификации при доступе к облачным сервисам / А.Г. Сабанов // Вестник Нижегородского университета им. Н.И. Лобачевского. - 2013. - №2(1). - С. 45-51.
II.Смирнов П.В. Обеспечение безопасности систем дистанционного формирования электронной подписи в условиях слабодоверенного окружения/ П.В. Смирнов, С.В. Смышляев // International Journal of Open Information Technologies. - 2020. - №12. - С. 77-83.
ЧАРКИНА ЕЛЕНА КОНСТАНТИНОВНА - студент, Московский государственный университет им. Н. Э. Баумана, Россия.
ЗАХИР БОРИС МАКСИМОВИЧ - студент, Московский государственный университет им. Н. Э. Баумана, Россия.
