Обзор международных стандартов по идентификации субъектов и объектов

Авторы:
В.Б. Голованов, заместитель научного директора НПФ «Кристалл»; gvb@crystall.sura.ru;
А.Г. Сабанов, доцент МГТУ им. Н.Э. Баумана, заместитель генерального директора ЗАО «Аладдин Р.Д.», к.т.н.; asabanov@mail.ru.

Интенсивная информатизация всех слоев и сфер жизнедеятельности общества актуализирует вопросы управления доступом пользователей растущего числа информационных систем (ИС). Эти вопросы невозможно решить без надежных средств и механизмов идентификации участников дистанционного взаимодействия. Не менее актуальны становятся проблемы доверия, основой которого при удаленном электронном взаимодействии (УЭВ) является корректность выполнения идентификации и аутентификации (ИА) участников УЭВ. Технологии, процессы и протоколы ИА нашли отражение во многих национальных и международных стандартах. Причем со временем отдельные корпоративные и отраслевые стандарты постепенно превращаются в международные. Под международным стандартом понимается стандарт, принятый международной организацией по стандартизации и доступный широкому кругу пользователей.

Международными организациями по стандартизации являются: ИСО (Международная организация по стандартизации, ISO, the International Organization for Standardization), МЭК (Международная электротехническая комиссия, IEC, the International Electrotechnical Commission) и МСЭ (Международный союз электросвязи; International Telecommunication Union, ITU). Они формируют специализированную систему всемирной стандартизации [1].

К международным стандартам относятся стандарты ИСО (ISO), МЭК (IEC) и ИСО/МЭК, которые являются совместными публикациями ИСО и МЭК, а также стандарты Международного союза электросвязи (ITU). Согласно [1], в международной системе стандартизации наряду со стандартами применяются руководства ИСО (ISO Guide) и ИСО/МЭК (ISO/IEC Guide), технические отчеты ИСО (ISO/TR), международные стандартизованные профили ИСО/МЭК МСП (ISO/IEC ISP), оценки технологических направлений ИСО/ОТН (ISO/TTA), рекомендации ИСО/Р (ISO/R), технические условия ИСО/ТУ (ISO/TS), общедоступные технические условия ИСО/ОТУ (ISO/PAS), отраслевые технические соглашения ИСО/ОТС (ISO/ITA).

Предметом данного обзора являются стандарты 27 подкомитета (ПК27) 1-го Совместного технического комитета (СТК 1) «Информационные технологии» ИСО/МЭК, а также стандарты МСЭ-Т серии Х (X series) «Data networks, open system communications and security». Задачи ИА в современном «бесконтактном» мире занимают значимую область в системе разработанных стандартов (рис. 1).

Рисунок 1. Области стандартизации идентификации и аутентификации в работах ПК27 СТК 1 ИСО/МЭК [2]

Работы в рамках проектов ПК27 СТК 1 ИСО/МЭК [2] по соответствующим документам осуществляются в тесной кооперации со многими организациями, включая МСЭ и его подразделения:

• ITU Development Sector (ITU-D);
• ITU-T Joint Coordination Activity on Cloud Computing (ITU-T JCA-Cloud);
• ITU-T Study Group 13 (ITU-T SG 13);
• ITU-T Study Group 17 (ITU-T SG 17) и др.

Круг вопросов, который мог бы войти в данный обзор международных стандартов по ИА субъектов и объектов, чрезвычайно велик, поэтому ограничимся краткой исторической справкой, анализом терминологии, стандартизации алгоритмов и стандартизации процессов, технологий управления, обеспечения доверия к применяемым механизмам.

Краткая историческая справка

Появлению первых стандартов по ИА предшествовала долгая работа по разработке и стандартизации методов и моделей взаимодействия открытых ИС [3]. Задача управления доступом и проблема предотвращения несанкционированного доступа (НСД) привели к планированию ряда исследований, логическим итогом которых явились стандарты ИСО серий 9594, 9798, 9805, состоящие из многих частей, и рекомендации ITU-T [4] серий X.800-X.849 (безопасность), X.500-X.599 (активный LDAP-совместимый расширяемый каталог учетных записей) и X.270-X.279 (протоколы идентификации).

Историческая параллель появления стандартов и соответствующих рекомендаций МСЭ прослеживается от появления первого стандарта ИСО серии 9594 до сего времени. При этом количество и качество стандартов ИСО по ИА за последние годы непрерывно растет. Из 66 размещенных на официальном сайте http://www.iso.org стандартов, в которых содержится слово «аутентификация», выделим только «основные», полностью посвященные ИА для доступа к ИС. Так, в 1993 г. вышли в свет рекомендации МСЭ [5], вслед за которыми в 1995 г. на ту же тему появился стандарт ИСО/МЭК [6], затем -- драфты документов по управлению доступом [7] (они так и остались «черновиками»). Немалое влияние на развитие международных стандартов по ИА оказал национальный стандарт США [8], вслед за которым была опубликована вторая редакция стандарта [9]. Всего один год потребовался на появление перевода (до сих пор нуждающегося в небольших правках по терминам) этого стандарта на русский язык [10]. В [6, 8--10] рекомендованы два способа аутентификации: по паролям и с применением сертификатов Х.509, изданных для управления доступом.

На следующем этапе развития стандартизации идентификации в документах [11] были расписаны участники процессов ИА, их роли и основные процессы аутентификации. Это позволило с помощью методов анализа рисков оценить уровни достоверности идентификации и выйти на современное понимание необходимости введения уровней доверия к аутентификации [12−18]. Заметим, что переводы стандартов на русский язык в части ИА носят отрывочный и бессистемный характер. Например, аналоги [12−18] пока так и не появились в России. Возможно, это стало одной из причин отставания правовой и нормативной баз по регулированию процессов идентификации и аутентификации [19].

Терминология международных стандартов по ИА субъектов и объектов

Проработанность терминологии зачастую предопределяет успех реализации многих начинаний. Качество терминологии может оказать как положительный, так и отрицательный эффект при внедрении тех или иных стандартизированных решений. Именно поэтому и на международном, и на национальном уровне принято руководствоваться соответствующими документами, учитывающими международные рекомендации Для России это Р 50−603−1—89 Рекомендации. Разработка стандартов на термины и определения и РМГ 19—96 Межгосударственная система стандартизации. Рекомендации по основным принципам и методам стандартизации терминологии и др. Они базируются на фундаментальных, разработанных под эгидой Комитета технической терминологии АН СССР руководствах [20--22].

В то же время в рамках работ по международной стандартизации зачастую изначально затруднительно «провести» единую терминологию в содержании ряда взаимосвязанных стандартов, имеющих общую область применения, где ответственность за разработку каждого из них может быть возложена на различные команды разработчиков и редакторов из различных стран мира.

Анализ текстов показывает, что терминологию международных стандартов по ИА субъектов и объектов (называемых в стандартах entity -- сущность) нельзя охарактеризовать как идеальную, но она достаточно сбалансирована с точки зрения контекста и определения понятий, что видно на примере терминов «идентификация» (identification) [13, 14], «идентификационные данные» (identification data) [9, 15, 16] и «идентификатор» (identifier) [23], [18] и [13].

Различия в формулировках приведенных определений термина «идентификатор» не столь «катастрофичны» с практической точки зрения, как это могло бы показаться, так как на практике очевидна их «сходимость» с содержательной точки зрения. Не столь очевидна «сходимость» определений термина «идентичность». Причина в более сильном влиянии прикладного контекста. Из четырех примеров определения термина «идентичность» (identity) [24, 23, 25, 18] первый имеет отношение к оценке безопасности продуктов ИТ, а три последующих -- к установлению требований к процессам защиты персональных данных и управлению идентификационной информацией.

Сделаем предварительные выводы:

• контекст использования идентификационной информации может оказывать влияние на определение соответствующих понятий, хотя по канонам науки о терминологии это не рекомендуется;
• национальный контекст и контекст применения в РФ зависят от целей применения технологии, что должно найти отражение в системе соответствующих понятий (терминов и определений), максимально приближенных к действиям и сущностям реального мира.

Это позволит найти компромисс и сходимость практики с нормами регулирования и процессами разбора спорных и конфликтных ситуаций, в том числе с участием следственных и судебных органов. Для целей разбора спорных и конфликтных ситуаций применительно к области идентификации имеет отношение ряд соответствующих терминов, закрепленных международными стандартами. Их определения отражают как учет вклада той или иной причастной стороны, так и суть задач идентификации в современном мире, базирующемся на дистанционном взаимодействии.

Некоторые из них имеют отношение к «подтверждению идентичности» (identity proofing) и «аутентификации» (authentication) как процесса, неразрывно связанного с задачами идентификации [18] и [26]. Из приведенных терминов вытекают потребность и контекст «доверия» (assurance). Теме «доверия» и «доверия информационной безопасности» во всех ее функциях посвящен технический отчет ПК27 СТК 1 ИСО/МЭК, включающий несколько частей: ISO/IEC TR 15 443. Им занимались специалисты, имеющие непосредственное отношение к стандартам оценки безопасности продуктов ИТ: ISO/IEC 15 408/ ISO/IEC 18 045, а его назначение — обеспечить методологическую поддержку в вопросе доверия и гарантий безопасности современных ИТ. Технический отчет ISO/IEC TR 15 443−1 [27], в котором определена терминология «доверия», гармонизирован в системе документов «ГОСТ Р» в виде [28], где даны следующие определения терминов:

• доверие (assurance): выполнение действий или процедур для обеспечения уверенности в том, что оцениваемый объект соответствует своим целям безопасности; основание для уверенности в том, что сущность отвечает своим целям безопасности [24];
• подход к обеспечению доверия (assurance approach): группирование методов обеспечения доверия в соответствии с исследуемым аспектом;
• стадия обеспечения доверия (assurance stage): стадия жизненного цикла оцениваемого объекта, на которой используется заданный метод обеспечения доверия. При обеспечении общего доверия к оцениваемому объекту учитываются результаты реализации методов обеспечения доверия, применяемых на всех стадиях его жизненного цикла;
• свидетельство доверия (assurance evidence): документированные результаты, представленные данными, полученными при анализе доверия к оцениваемому объекту, включая отчеты (обоснования) в поддержку утверждения о доверии;
• уверенность (confidence): убежденность в том, что оцениваемый объект будет функционировать в соответствии с заданным или установленным порядком (т.е. корректно, надежно, эффективно, в соответствии с политикой безопасности).

Приведенные термины отражают субъективную сущность понятия «доверие» к безопасности. Она основывается на уверенности, подкрепленной объективными свидетельствами (доказательствами), т. е. чем больше свидетельств доверия в безопасности, тем выше уверенность, и наоборот. При этом в жизни каждое из свидетельств, как правило, требует ресурсов. Затрата ресурсов «в непроизводственной сфере» (безопасности) должна быть оправдана. Поэтому в каждом случае необходимо выявить оптимальную комбинацию свидетельств доверия и соответствующих оценочных методов, позволяющих определить «уровень доверия» безопасности (так называемый level of assurance).

Алгоритмы идентификации и аутентификации в международных стандартах

Вопросам стандартизации алгоритмов и протоколов уделялось значительное внимание с самого начала работ по международной стандартизации в сфере обеспечения безопасности ИТ. Акценты, по понятным причинам, делались на алгоритмы криптографических преобразований, но их практическая реализация затрагивала алгоритмы идентификации и аутентификации.

На рис. 2 приведен фрагмент из официальной презентации ПК27 СТК 1 ИСО/МЭК [2], иллюстрирующий содержание двух международных стандартов, имеющих непосредственное отношение к рассматриваемой тематике: «Аутентификация сущности» и «Аутентификация сущности с соблюдением анонимности».

Рисунок 2. Международные стандарты алгоритмов взаимной и многофакторной аутентификации субъектов и объектов в ИКТ

Различные части стандарта «Аутентификация сущности» рассматривают использование тех или иных криптографических алгоритмов, обеспечивающих различный уровень строгости аутентификации. Стандарт «Аутентификация сущности с соблюдением анонимности» предлагает иные решения для задач аутентификации, позволяющие соблюсти анонимность идентификационных данных сущности. Подобные решения все более востребованы в современных технологиях повседневной жизни, например, при использовании реальных электронных денежных средств, т. е. средств, имеющих свой центр эмиссии электронной стоимости; востребованы механизмы, основывающие на «слепой подписи» («blind signature», см. рис. 2, наименование части 3 ISO/IEC 20 009). Центр эмиссии с использованием «слепой подписи» контролирует движение и обращение (создание/погашение) электронных денежных средств.

Существует несколько возможных схем и режимов совместного использования различных алгоритмов при распределенной обработке сообщений, требующих наличия защитных механизмов, в том числе через назначение и использование идентификаторов различных алгоритмов. Данные идентификаторы включаются в заголовки сообщений и передаются вместе с сообщением, к которому был применен тот или иной алгоритм. Например, для целей абстрактного технологического процесса абсолютно безразлично, на основе какого алгоритма были сформированы четыре дополнительных байта кода аутентификации сообщения, а для среды и системы приема/передачи и обработки сообщений это важно.

В качестве меток и признаков в теле сообщений и команд, в соответствии с которыми используются те или иные программные (аппаратные) модули и примитивы безопасности, потенциально могут выступать уже применяемые индексные и классификационные признаки алгоритмов. Если брать алгоритмы и протоколы криптографических преобразований, реализуемых в том числе для целей ИА и нашедших отражение в международных стандартах, соответствующие сведения представлены в специализированных справочниках. Например, для алгоритмов международных стандартов они присутствуют в документе «SC 27/WG 2 Standing Document 2 ‑ WG 2 OID list».

Международная система идентификаторов объектов OIDs («Object Identifiers») обеспечивает универсальную схему идентификации постоянных объектов, основывающуюся на иерархической структуре. Поддержанная и рекомендованная как ISO/IEC, так и МСЭ-Т, она встречается во многих интернет-протоколах. Использование OID для стандартов алгоритмов ПК 27 СТК 1 ИСО/МЭК позволяет:

• для различных продуктов, реализующих один из стандартов, обеспечить уверенность в том, что в телекоммуникационных протоколах (межсетевого взаимодействия) не будет двусмысленности в определении, какой алгоритм необходимо использовать, и наоборот;
• для любых протоколов, связанных с безопасностью, обеспечивается однозначная идентификация алгоритма (OID может присутствовать в строке данных заголовков).

OID реализуются различными способами. Например, идентификатором объекта механизма однофакторной аутентификации по ISO/IEC 9798−2 является: iso (1) standard (0) e-auth-mechanisms (9798) part2(2) mechanisms (1) 1}, который может быть записан так:

а) последовательность целых чисел, «1.0.9798.2.1.1» (в нотации через точку), или

б) при использовании в веб-сервисах как универсальное имя ресурса (Universal Resource Name ‑ URN) «urn:asn1:1.0.9798.2.1.1»; или

в) с использованием международного идентификатора ресурса (Internationalized Resource Identifier ‑ IRI) «oid:/ISO/Standard/9798/2/1/1».

Рис. 3 служит иллюстрацией иерархической организации содержания глобального реестра идентификаторов объектов алгоритмов в OIDs на примере фрагмента, имеющего отношение к алгоритмам, определенным во второй части международного стандарт ISO/IEC 9798 в его третьей редакции от 2008 г.

Рисунок 3. Алгоритмы многофакторной аутентификации, включенные в ISO/IEC 9798‑ 2 и их идентификаторы

В настоящее время готовится документ «Cryptographic Message Syntax», предназначенный для поддержки применения электронной подписи, шифрования на симметричных и асимметричных ключах с учетом спецификаций рекомендаций серии X.500 (ISO/IEC 9594). Также планируется обеспечить поддержку ASN.1 для кодирования соответствующих протокольных блоков данных сообщений.

Заключение. В данный обзор из-за ограничений по объему вошли, к сожалению, далеко не все стандарты, касающиеся идентификации. Статьи об ИА можно обнаружить в стандартах по анализу рисков, аудиту, обеспечению защиты от НСД и т. д. Их рассмотрение — предмет отдельной книги. Тем не менее изложенный выше материал позволяет сделать некоторые основные выводы.

Далеко не все стандарты по ИА переведены на русский язык — по причине, видимо, непонимания сути процессов аутентификации многими специалистами, в том числе пишущими законы и нормативные акты.

В отдельных стандартах нельзя не заметить не очень высокое качество перевода. С языковой точки зрения перевод выполнен правильно, а с технической безграмотно. На Западе стандарты регулярно обновляют. В РФ официальное издание [10] до сих пор не «освежено», хотя не совсем технически грамотный перевод (беда практически всех стандартов) так и остался без изменений. Предлагается запланировать работу по исправлению смысла, а заодно и «причесыванию» терминов в действующих российских стандартах.

Заключительная часть статьи «Процессы, технологии, управление, доверие к идентификации и аутентификации субъектов и объектов» будет представлена в следующих номерах.

ЛИТЕРАТУРА

1. ГОСТ 1.1−2002 Межгосударственная система стандартизации. Термины и определения. http://docs.cntd.ru/document/gost-1−1-2002.
2. http://www.jtc1sc27.din.de/sbe/slides, ISO/IEC JTC 1/SC 27 corporate slides (version 15/April 2014)/
3. ITU-T Recommendation X.200 (1994) Эталонная модель см. также ISO/IEC 7498−1:1994, Information technology — Open Systems Interconnection — Basic Reference Model: The Basic Model.
4. ITU-T Recommendation X.741. Series X: Data Networks and Open System (02/2000) int›rec/dologin.asp?lang…id=T…X.741…type=items
5. ITU-T Recommendation X.509 (1993): Information technology — Open Systems Interconnection — The Directory: Public-key and attribute certificate frameworks. www.itu.int/rec/t-rec-x.509
6. ISO/IEC 9594−8:1995, Information technology — Open Systems Interconnection — The Directory: Authentication framework.
7. ITU-T Recommendation X.812, см. также ISO/IEC 10 181−3…, Information technology — Open Systems Interconnection — Security frameworks for open systems: Access control framework.[ в виде драфта].
8. FIPS 196, «Entity authentication using public key cryptography» Federal Information Processing Standards Publication 196, U.S. Department of Commerce/N.I.S.T., National Technical Information Service, Springfield, Virginia, 1997. csrc.nist.gov/publications/fips/fips196/fips196.pdf.
9. ISO/IEC 9798−3: 1997, Information technology — Security techniques — Entity authentication — Part 3: Mechanisms using digital signature techniques. http://webstore.iec.ch/preview/info_isoiec9798−3%7Bed0%7Den.pdf
10. ГОСТ Р ИСО/МЭК 9594−8-98 Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации.
11. ISO/IEC 10 181−½, ITU-T Rec/x.810 &811. «Information technology — Open Systems Interconnection — Security frameworks for open systems — Part 2: Authentication framework» 2004. www.itu.int/rec/T-REC/en
12. ISO/IEC 9594−8:2008 Information technology — Open Systems Interconnection — The Directory: Public-key and attribute certificate frameworks. http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=53 372
13. ISO/IEC 24 760−1:2011(E) Information technology. Security techniques. A framework for identity management. Part 1: Terminology and concepts.
14. ISO/IEC 27 037:2012(E) Information technology. Security techniques. Guidelines for the identification, collection, acquisition and preservation of digital evidence.
15. ISO/IEC 14 888−1:2009(E) Information technology. Security techniques. Digital signatures with appendix. Part 1: General.
16. ISO/IEC 29 150:2011(E) Information technology. Security techniques. Signcryption.
17. ISO/IEC 9798−5:2009(E) Information technology. Security techniques. Entity authentication. Part 5: Mechanisms using zero knowledge techniques.
18. ISO/IEC 29 115: 2013, Information technology — Security techniques — Entity authentication assurance framework. http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=45 138
19. Сабанов А.Г. Обзор иностранной нормативной базы по идентификации и аутентификации // Инсайд. Защита информации. — 2013. — № 4(52). — С.82−88.
20. Лотте Д.С. Основы построения научно-технической терминологии. Вопросы теории и методики. — М.: Изд-во Академии наук СССР, 1961.
21. Как работать над терминологией. Основы и методы. — М.: Наука, 1968.
22. Краткое методическое пособие по разработке и упорядочению научно-технической терминологии. — М.: Наука", 1979.
23. ISO/IEC 24 745:2011(E) Information technology. Security techniques. Biometric information protection.
24. ISO/IEC 15 408−1:2009(E) Information technology. Security techniques. Evaluation criteria for IT security. Part 1: Introduction and general model.
25. ISO/IEC 29 100:2011(E) Information technology. Security techniques. Privacy framework.
26. ISO/IEC 18 028−4:2005(E) Information technology. Security techniques. Network security. Part 4: Securing remote access.
27. ISO/IEC TR 15 443−1:2005/2012(E) Information technology. Security techniques. Security assurance framework. Part 1: Introduction and concepts.
28. ГОСТ Р 54 581 2011/ISO/IEC/TR15443 1:2005 Информационные технологии. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы.