Повышение безопасности систем электронной подписи путем интеграции с RFID-системами

Системы электронной цифровой подписи (ЭЦП; электронной подписи, ЭП) находят широкое применение, в том числе в платежных системах. Для формирования подтвержденных ЭП необходимы надежные механизмы защиты, позволяющие предотвратить утечку секретных ключей, их несанкционированное использование и пр. Для усиления комплексной защиты компьютера и снижения угрозы формирования ЭП поддельных документов предлагается использовать технологию радиочастотной идентификации (RFID-технологию), способную объединить функции контроля физического доступа в помещение, контроля и управления доступом к ресурсам компьютера и формирования ЭП. Эта комбинация позволяет значительно снизить угрозы безопасности системы, поскольку даже простейшие RFID-метки вносят дополнительный уровень защиты, а метки с криптографическими возможностями при соответствующей модификации процесса расчета ЭП помогают предотвратить формирование ЭП неавторизованным пользователем. Дальнейшее развитие предлагаемой схемы – постоянный контроль присутствия аутентифицированного пользователя при использовании им компьютера с ограниченным доступом посредством периодического опроса его RFID-метки считывателем, интегрированным в систему контроля доступа к ресурсам компьютера.

Авторы:
А.А. Ларчиков, руководитель проектов ООО Фирма «АНКАД»; integration@ancud.ru
С.П. Панасенко, заместитель генерального директора ООО Фирма «АНКАД» по науке и системной интеграции, к.т.н.; integration@ancud.ru
В.К. Сырчин, главный специалист ООО Фирма «АНКАД», д.т.н.; integration@ancud.ru
П.А. Тимофеев, главный специалист ООО Фирма «АНКАД», к.т.н.; integration@ancud.ru

Использование ЭП для платежных систем требует обеспечения надежной защиты ключей электронной подписи и самих компьютеров, задействованных в этом процессе, поскольку утечка критических данных приводит к ежегодным потерям финансовых организаций, измеряемым десятками и сотнями миллионов долларов [1]. Основная угроза — это утечка секретного ключа ЭП. С целью ее устранения для хранения ключей и подписания документов используются криптографические носители, в качестве которых обычно выступают смарт-карты или USB-токены: они позволяют использовать секретный ключ без возможности доступа к нему со стороны компьютера.

Другой угрозой, не менее опасной, является возможность подписания ложного документа, когда носитель секретного ключа подключен к компьютеру. Такая угроза может быть нейтрализована посредством использования систем контроля и разграничения доступа (СКРД), обычно состоящих из нескольких интегрированных подсистем, каждая из которых решает конкретную задачу обеспечения безопасности и обладает централизованными возможностями управления и контроля.

Одновременно с программными и аппаратными способами утечки необходимо учитывать социальные и поведенческие аспекты пользователей систем ЭП. Их некорректное поведение должно рассматриваться как серьезная угроза для систем ЭП [2−3]. Мы полагаем, что такая угроза может быть значительно снижена за счет использования технологии радиочастотной идентификации (РЧИ; Radio Frequency IDentification, RFID).

Начнем с обзора типового варианта использования системы ЭП и способов технического обеспечения ее безопасности.

Безопасность типового варианта системы электронной подписи

Рассмотрим пример использования ЭП в отделе, который отвечает за подпись платежей — бухгалтерии. Как правило, бухгалтерия небольшой компании располагается в одном кабинете, где стоят несколько персональных компьютеров (ПК) с установленным программным обеспечением (ПО) для подписи платежей и отправки их в банк по сети. Обычно эти ПК оборудованы еще и СКРД. Из большого количества функций системы выделим те, которые для рассматриваемого случая требуют особого внимания:

  • контроль и разграничение доступа к ПК;
  • мониторинг запущенных на компьютере процессов;
  • регистрация в электронном журнале действий пользователя, включая информацию о подписываемых документах.

Первый набор функций позволяет реализовать ограничения пользователям по доступу к ПК и его информационным ресурсам, а также контроль за их действиями. Обычно компьютеры подключены к внешним сетям через межсетевой экран, однако иногда наблюдаются прямые подключения без каких-либо механизмов сетевой защиты. В этом случае одной из возможных угроз являются атаки из внешних сетей по внедрению на атакуемый компьютер вредоносного ПО. Чтобы отразить эту угрозу, необходимо четко определить набор процессов, которые разрешается запускать на данном компьютере, и любые другие процессы считать потенциальной угрозой, запретив их исполнение. С этой целью организуется контроль запуска процессов. Попытки выполнения запрещенных процессов, аналогично другим критичным для безопасности операциям на компьютере, должны регистрироваться, например в электронном журнале СКРД, для дальнейшего рассмотрения и анализа.

Как отмечено выше, для формирования ЭП могут использоваться криптографические смарт-карты или USB-токены, основными особенностями которых являются:

  • возможность генерации секретных ключей ЭП внутри устройств;
  • возможность рассчитывать ЭП без передачи секретных ключей в оперативную память ПК или через нее.

Криптографические смарт-карты и USB-токены, как правило, имеют высокую степень защиты: как минимум, согласно 4-му или 5-му оценочному уровню надежности (Evaluation Assurance Level, EAL) [4]). Кроме того, они могут оснащаться сопроцессорами для ускорения расчета ЭП. Полагаем, что уровень безопасности такой системы ЭП может быть повышен, если в дополнение к криптографическим носителям использовать RFID-метки: это позволит существенно снизить вероятность их несанкционированного использования.

Применение RFID-технологии для повышения безопасности системы электронной подписи

Рассмотрим два варианта использования RFID-меток в системах ЭП:

  • система с простейшими RFID-метками, содержащими только серийный номер;
  • система с интеллектуальными RFID-метками.

Система с простейшими RFID-метками. Использование криптографического носителя для ЭП в комбинации с простейшими метками позволяет предотвратить несанкционированное использование носителя, когда отсутствует его авторизированный пользователь. Предлагается объединить систему контроля физического доступа (которая ограничивает доступ людей в комнаты отдела и использует RFID-метки) с системой ЭП следующим образом:

  • авторизованный пользователь имеет носитель с RFID-меткой (карточку или бейджик), который используется им в системе физического контроля доступа для открывания дверей в обоих направлениях. Его предлагается задействовать в алгоритме формирования ЭП;
  • получая запрос на подписание документа, система формирования ЭП пытается связаться с RFID-меткой авторизированного пользователя и проверяет ее наличие и серийный номер;
  • система позволяет подписать документ только в том случае, если RFID-метка с требуемым серийным номером корректно отвечает RFID-считывателю компьютера.

Таким образом, покидая комнату, сотрудник всегда должен иметь при себе RFID-метку. В случае ее отсутствия он не сможет воспользоваться криптографическим носителем для ЭП, даже если оставил его в компьютере для проведения процедуры аутентификации.

При этом в СКРД можно реализовать несколько дополнительных функций:

  • система контроля и разграничения доступа и управления компьютером закрывает операционную систему после получения информации от системы контроля физического доступа о том, что пользователь покинул помещение;
  • и наоборот, система контроля физического доступа открывает дверь с помощью RFID-метки пользователя только после того, как пользователь вышел из своей учетной записи в операционной системе компьютера (рис. 1).

0001[1]

Рисунок 1. Пример интегрированной системы контроля доступа

Кроме того, RFID-считыватель компьютера периодически может считывать RFID-метку пользователя и закрыть доступ к компьютеру, если метка перестала отвечать. Описанное взаимодействие системы контроля физического доступа в помещение и системы контроля доступа и управления компьютера является одним из возможных примеров развития многоуровневых систем безопасности. Некоторые другие подходы описаны в [5].

Система с интеллектуальными RFID-метками. Интеллектуальные RFID-метки могут быть использованы в случае, если система физического контроля доступа в помещение не установлена или отсутствует возможность ее подключения к системе ЭП и системе контроля доступа и управления ПК.

Способы применения RFID-меток различны: когда система ЭП получает запрос на подпись документа, она инициирует строгую взаимную аутентификацию между криптографическим носителем (с секретным ключом) и RFID-меткой (подробнее см. ниже). Успешный результат взаимной аутентификации — полученная авторизация на использование секретного ключа для подписания документа. Таким образом, интеллектуальная RFID-метка является дополнительным фактором аутентификации, необходимым для получения разрешения на использование криптографического носителя для подписания документа.

Для устройства с ограниченными вычислительными ресурсами, каковым является интеллектуальная RFID-метка, специально разрабатываются алгоритмы облегченной криптографии. Конкретный протокол для выполнения взаимной аутентификации между криптографическим носителем и RFID-меткой не критичен для предлагаемой системы. Главное требование такого протокола — криптографическая стойкость. Примером удобной схемы аутентификации служит схема взаимной аутентификации для карт с интегральными схемами, рекомендованная ICAO [6].

Заметим, что ПК является транспортом между двумя криптографическими устройствами во время их взаимной аутентификации. Его задача не выходит за рамки передачи инструкций протокола и информации, возвращаемой субъектами аутентификации. Кроме того, этот вариант использования RFID достаточно гибок и не сводится к использованию упомянутых комбинаций взаимодействия системы физического контроля доступа, системы электронной подписи и системы контроля доступа и управления ПК, как в предыдущем варианте с простейшими метками.

Усиленная процедура расчета электронной подписи. Включение интеллектуальных RFID-меток в систему ЭП способствует повышению ее безопасности, если использовать усиленную процедуру расчета ЭП. Классическая процедура расчета (подразумевающая использование криптографических носителей для хранения ключей и расчета подписи) состоит из двух шагов:

  • система ЭП требует от пользователя вставить носитель в считыватель, а также может быть запрошена дополнительная информация (например, пин-код);
  • носитель рассчитывает ЭП документа согласно инструкциям от системы ЭП (ЭП обеспечивается хэшем или другим содержимым документа, в зависимости от возможностей криптографического носителя и особенностей используемого ПО).

В предлагаемой процедуре расчета ЭП к классической процедуре добавлены два дополнительных шага (рис. 2):

  • чтение пользовательской RFID-метки;
  • выполнение взаимной аутентификации между пользовательским криптографическим носителем и RFID-меткой.

Эти шаги позволяют предотвратить несанкционированное использование носителя при попытке сформировать ЭП на подложный документ неавторизованным пользователем.

0001[1]

Рисунок 2. Классическая и усиленная процедуры расчета ЭП

Потенциальные проблемы и дальнейшая эволюция системы

Во время разработки предлагаемой системы ЭП необходимо унифицировать следующие типы коммуникационных устройств: смарт-карты или USB-носители; RFID-метки; RFID-считыватели; компоненты системы физического контроля доступа в помещение (электромеханические и магнитные замки, турникеты, барьеры).

Для повышения эффективности СКРД используются активные устройства контроля доступа с особыми свойствами, такими как маскирование защищенных объектов путем поглощения излучений, их отражения или дифракции. В качестве основы системы физического контроля доступа можно рассмотреть систему с токенами или ВЧ- и НЧ-картами со считывателями бесконтактных смарт-карт для коммуникаций на небольших расстояниях. Для считывания на достаточно больших расстояниях применяются системы на УВЧ-картах второго поколения (Gen2). При этом используются частоты нижней части диапазона, чтобы обеспечить и адекватное расстояние считывания, и снижение вредного влияния частот на потребителей и окружающую среду.

Важным параметром RFID-систем является размер области надежного считывания меток. На этот параметр могут влиять различные факторы:

число RFID-меток в области покрытия считывателя, т. е. максимальное число пользователей с «правильными» метками, которые одновременно присутствуют в зоне, теоретически может быть большим (однако для условия, когда на ПК в данный момент работает единственный пользователь, наличие нескольких пользователей в зоне считывателя можно считать маловероятным);

активность движения RFID-меток в области покрытия считывателя (ее можно считать достаточно низкой, потому что большую часть рабочего времени пользователи, как правило, работают за ПК, не перемещаясь через границу зоны);

ориентация RFID-метки и направление ее движения через зону покрытия (в нашем случае определять их нет необходимости, поскольку для рассматриваемой задачи важно только присутствие или, наоборот, отсутствие RFID-метки в контролируемой области);

наличие нескольких контролируемых зон со сложной структурой, когда возможно перекрытие зон и паразитный обмен RFID-меток со считывателями соседних зон (этот фактор, называемый коллизией, может стать дополнительной проблемой для предлагаемой системы, поэтому по возможности этого следует избегать).

Впрочем, в настоящее время проблемы коллизии решены благодаря так называемым антиколлизионным RFID-системам, использующим специальные функции и методы идентификации [7−9].

Дальнейшая эволюция предлагаемой схемы — это постоянное наблюдение за присутствием аутентифицированного пользователя с ограниченным доступом за компьютером посредством периодического контроля его RFID-метки. В этом случае важной проблемой станет выбор RFID-меток с надежной (близкой к 100%) регистрацией их считывателями в пределах контролируемой зоны. В зависимости от настройки системы безопасности отсутствие метки пользователя не позволит, например, выполнить его аутентификацию или может привести к выключению компьютерной системы. В такой системе необходимо обеспечить комфортную работу пользователя на контролируемом ПК, а область считывания должна быть достаточно большой, чтобы общаться с RFID-меткой пользователя, не причиняя ему дискомфорт.

Заключение. Применение RFID-технологии в схемах электронной подписи способствует повышению защищенности процедуры подписи электронных документов. Интегрированные с криптографическими носителями интеллектуальные RFID-метки, поддерживающие возможность строгой взаимной аутентификации, обеспечивают эффективную защиту от несанкционированного доступа к секретным ключам подписи, использование которых становится возможным только после проведения успешной взаимной аутентификации между криптографическим носителем и RFID-меткой.

ЛИТЕРАТУРА

  1. Утечки корпоративной информации и конфиденциальных данных за 2012 год // Information Security // Информационная безопасность. — 2013. — № 3.
  2. Арбитражная практика: неправильная регламентация использования ЭЦП в организации и ее последствия. — URL: rusrim.blogpost.ru.
  3. Использование ЭЦП уволившегося сотрудника. — URL: forum.gov-zakupki.ru.
  4. Common Criteria for Information Technology Security Evaluation. Part 3: Security assurance components. Version 3.1, revision 4. September 2012. — URL: commoncriteriaportal.org.
  5. СчастныйД., КонявскаяС. Идентификация и доступ // Information Security / Информационная безопасность. — 2013. — № 5.
  6. International Civil Aviation Organization. Doc 9303: Machine Readable Travel Documents. Part 3: Machine Readable Official Travel Documents. Volume 2: Specifications for Electronically Enabled MRtds with Biometric Identification Capability. Third Edition. — 2008. — URL: icao.int.
  7. Method and apparatus for anti-collision tag in radio frequency identification (RFID) system. US patent 8 798 540, August 5, 2014.
  8. Method for searching a plurality of RFID tags and apparatus. US patent 8 786 408, July 22, 2014.
  9. RFID interrogator having collision type identification function and control method thereof. US patent 8 779 900, July 15, 2014.
Рубрики и ключевые слова

© 2023 Журнал «Электросвязь»