Аутентификация с помощью уникальных предметов
Содержание
Введение
1. Общая часть
1.1 Идентификация и аутентификация
1.2 Технологии аутентификации
1.3 Аутентификация по многоразовым паролям
1.4 Протоколы аутентификации для удаленного доступа
1.5 Аутентификация на основе одноразовых паролей
1.6 Аутентификация по предъявлению цифрового сертификата
1.7 Использование смарт-карт и USB-ключей
1.8 Rutoken
1.8.1 Архитектура Rutoken
1.8.2 Аппаратный уровень
1.8.3 Интерфейс низкого уровня
1.8.4 Интерфейс среднего уровня
1.8.5 Интерфейсы высокого уровня
1.8.6 Общие положения
1.9 Назначение Rutoken
2. Практическая часть. Установка и настройка Rutoken
2.1 Управление драйверами Rutoken
2.2 rtAdmin. exe. Утилита администрирования Rutoken
2.3 rtCert. exe. Браузер сертификатов Rutoken
Заключение
Список использованной литературы
Приложения
Сокращения
RADIUS (Remote Authentication in Dial-In User Service)
- для реализации аутентификации, авторизации и сбора сведений об использованных
ресурсах, разработанный для передачи сведений между центральной платформой и
оборудованием [3], [5].
Kerberos (kərbərəs) - позволяющий
передавать данные через незащищённые для безопасной идентификации [3], [5].
LAN Manager - был сетевой
операционной системы (NOS), доступный от нескольких поставщиков и
разработан Microsoft в сотрудничестве с 3Com Corporation [3].
NTLM (NT LAN Manager) - является протоколом сетевой
аутентификации, разработанным фирмой Microsoft для Windows NT [3].
Internet Authentication Service (IAS) - является компонентом
операционных систем Windows Server, который обеспечивает централизованное
управление пользовательскими учетными записями [3].
Active Directory ("Активные
директории", AD) - службы каталогов корпорации Microsoft для операционных систем
семейства Windows NT [3], [5].
APDU (англ. Application Protocol Data Unit) - условное обозначение
кадра с командой карте или ответом карты [3].
X.509 - стандарт, определяющий форматы данных и
процедуры распределения открытых ключей с помощью сертификатов с цифровыми
подписями, которые предоставляются сертификационными органами (CA) [3], [4].
ISO/IEC 7816 - стандарт относится к
смарт-картам (в первую очередь контактным). Описывает форму карты, контактов,
их расположение и назначение; протоколы обмена и некоторые аспекты работы с
данными [3], [4].
электронный ключ аутентификация rutoken
ГОСТ 28147-89 - советский и российский стандарт
симметричного шифрования, введённый в 1990 году, также является стандартом СНГ.
Полное название - "ГОСТ 28147-89 Системы обработки информации. Защита
криптографическая. Алгоритм криптографического преобразования". Блочный
шифроалгоритм. При использовании метода шифрования с гаммированием, может
выполнять функции поточного шифроалгоритма [3], [4].
Инфраструктура открытых ключей (англ. PKI -
Public Key Infrastructure) - набор средств (технических, материальных, людских
и т.д.), распределенных служб и компонентов, в совокупности используемых для
поддержки криптозадач на основе закрытого и открытого ключей [3], [5].
Интерфейс программирования приложений (англ. application programming interface, API) - набор готовых
классов, процедур, функций, структур и констант, предоставляемых приложением
(библиотекой, сервисом) для использования во внешних программных продуктах.
Используется программистами для написания всевозможных приложений [3].
Введение
На информационную безопастность не стоит смотреть сквозь
пальцы. Современный мир, и современные технологии постоянно совершенствуются,
поэтому не стоит пренебригать такими основами любой жизни как бузопасность.
Данная работа будет посвящена изучению уникальных электронных
ключей, которые используются как средства аутентификации пользователей.
Благодаря этим нехитрым приборам мы можем эффективно и экономно подобрать
защиту подходящую как для частного использования, так и для предприятия.
Говоря об электронных ключах, стоит заметить, что сейчас
существует множество моделей и фирм производителей. Каждый в свою очередь
старается как можно лучше комплектовать свой товар. Для того чтобы разобраться
в новинках, а так же в их характеристиках, способностях и функциях, были
поставленны следующие цель и задачи.
Цель: изучить работу Rutoken
Из поставленной цели определяем задачи:
) Анализ характеристик и функциональных возможностей;
2) Установка программного обеспечения, настройка.
1. Общая
часть
В обычной жизни мы узнаем друг друга в лицо. Если знакомы.
Если не знакомы - по паспорту или аналогичному документу с фотографией.
"Опознать" же человека, сидящего за компьютером по ту сторону Сети,
несколько сложнее - это требует достаточно специфичных методов.
Прежде чем проверять истинность пользователя, его нужно
идентифицировать, то есть из многих пользователей, зарегистрированных в
системе, выбрать по некоему уникальному идентификатору одного. Его-то система и
будет проверять. Идентификатор - это имя, под которым зарегистрирован пользователь
в проверяющей его компьютерной системе.
Другими словами, идентификация пользователя - это получение
от него ответа на вопрос: "Кто ты?" Скажем, Вася. А аутентификация -
это требование: "А теперь докажи, что ты именно Вася" и последующая
проверка доказательств. То есть проверка, действительно ли пользователь
является тем, за кого он себя выдает.
Аутентификация пользователей обычно выполняется неким
программным модулем, находящимся непосредственно на компьютере, на который
пользователь пытается получить прямой или удаленный доступ. Всю работу данного
модуля можно условно разделить на два этапа.
Предварительный, на котором модуль формирует "эталонный
образец", например, запрашивает пароль пользователя (это именно тогда
пароль запрашивается дважды, чтобы исключить ошибку его ввода) - по нему
пользователь будет опознаваться впоследствии. Пароль может и назначаться
пользователю - так бывает, например, в различных системах доступа в Интернет.
Обычно модуль аутентификации хранит эталонные образцы в таблице соответствий
"пользователь - эталон".
И завершающий этап, когда пользователь проходит
аутентификацию и у него запрашивается аутентификационная информация, которая
сравнивается с эталоном. На основании этого сравнения он считается опознанным
или нет.
На самом деле в реальных системах эталонный пароль может
храниться в таблице в зашифрованном виде и вместо пароля сохраняется его хэш.
Это не позволит злоумышленнику, получившему доступ к хранилищу эталонов,
ознакомиться с паролями всех пользователей системы.
В более сложных случаях (прежде всего при удаленной
аутентификации) предъявляемая пользователем аутентификационная информация и ее
эталонный образец могут дополнять друг друга, участвуя в каких-либо
криптографических преобразованиях. Для этого используются различные протоколы
сетевой аутентификации.
Информация, по которой опознается пользователь, бывает трех
видов:
- Пользователь знает нечто уникальное и
демонстрирует компьютеру это знание. Такой информацией может быть, например,
пароль.
- Пользователь имеет предмет с уникальным
содержимым или с уникальными характеристиками.
- Аутентификационная информация является
неотъемлемой частью пользователя. По этому принципу строятся системы
биометрической аутентификации, использующие в качестве информации, например,
отпечаток пальца.
Об актуальности той или иной проблемы можно судить по разным
признакам. Например, по числу докладов на конференциях и специализированных
семинарах или публикаций по данной тематике. Однако в качестве более надежного
способа может рассматриваться и другой подход, основанный на статистике
реальных финансовых потерь от неверного решения данной проблемы. К сожалению,
наши российские предприятия до сих пор не научились рассчитывать финансовый
ущерб от различных атак. А если и научились, то тщательно скрывают такие
данные.
1.1
Идентификация и аутентификация
Среди широко применяемых в последние 3-5 лет терминов
описания процесса идентификации/аутентификации введено понятие индивидуальных
характеристик, доказывающих подлинность субъектов или факторов. К факторам
идентификации/аутентификации относят:
- владение скрытой для посторонних
информацией (запоминаемая либо хранящаяся конфиденциальная информация).
Примерами могут служить пароль, персональный идентификационный код (PIN),
секретные ключи и т.п.;
- обладание материальным носителем
информации (карта с магнитной полосой, электронные ключи классов touch memory и
eToken, смарт-карта, дискета и т.д.);
- биометрические характеристики субъекта
(отпечатки пальцев, голос, геометрия лица, особенности сетчатки и радужной
оболочки глаз и т.п.).
В зависимости от используемых в технологиях идентификации и
аутентификации факторов различают однофакторную или двухфакторную
аутентификацию. Понятие трехфакторной аутентификации в последнее время
используется достаточно редко ввиду призрачности ее промышленного применения
при современном состоянии технических средств. Рассмотрим наиболее развитые
методы идентификации и аутентификации с точки зрения применяемых в них
технологий [6].
1.2
Технологии аутентификации
Для того чтобы понять, что такое аутентификация, обратимся к
простому примеру: ваш сотовый телефон. Телефон - это устройство, куда для
начала работы вы вкладываете свою SIM-карту. Когда вы включаете телефон, на
дисплее появляется надпись: "Введите PIN-код". После правильного
ввода PIN-кода (как правило, это четыре легко запоминаемые цифры) и
кратковременной задержки телефон начинает работать. Налицо так называемая
двухфакторная аутентификация. Вам надо иметь персональный носитель (SIM-карту)
и знать личный PIN-код. Они связаны между собой. Причем эта связь закладывается
администратором оператора сотовой связи при предпродажной подготовке контрактов
с определенным тарифом и самих SIM-карт. Сам телефонный аппарат по аналогии с
корпоративными информационными системами играет роль компьютера. Аналогом
SIM-карты может являться микропроцессорная смарт-карта или устройство eToken, к
которому привязан личный PIN-код. Только в отличие от сотового телефона PIN-код
для доступа к информационной системе предприятия содержит, как правило, не
менее 5 - 7 символов различных регистров (не только цифр). Да и алгоритмы
аутентификации и шифрования там намного сложнее, чем традиционные А3 (алгоритм
аутентификации), А8 (алгоритм генерации криптоключа), A5/2 (собственно алгоритм
шифрования оцифрованной речи для обеспечения конфиденциальности переговоров),
используемые в сотовой связи. Рассмотрим основные методы аутентификации по
принципу нарастающей сложности. Начнем с самого простого и общеизвестного
метода - аутентификация по паролю [6].
1.3
Аутентификация по многоразовым паролям
Учетные записи пользователей современных операционных систем
включают в себя службу аутентификации, которая может хранить простейший
идентификатор (login) и пароль (password) пользователя в своей базе данных. При
попытке логического входа в сеть пользователь набирает свой пароль, который
поступает в службу аутентификации. По итогам сравнения пары login/password с
эталонным значением из базы данных учетных записей пользователь может успешно
пройти процедуру простейшей аутентификации и авторизоваться в информационной
системе. В зависимости от степени защищенности в рамках эволюционного развития
операционных систем Windows компанией Microsoft использовались протоколы LAN
Manager (LM), NT LAN Manager (NTLM), NT LAN Manager версии 2 (NTLM v2) и
Kerberos, наиболее распространенный и защищенный на сегодня протокол
аутентификации в локальных сетях [1], [3], [6].
1.4 Протоколы
аутентификации для удаленного доступа
Поддержка протокола RADIUS реализована на многих современных
платформах, что позволяет использовать его в межплатформенных решениях.
В качестве примера сервера и посредника RADIUS можно привести
реализованную в Windows Server 2003 службу проверки подлинности в Интернете
(Internet Authentication Service, IAS), которая позиционируется как механизм
централизованной аутентификации и авторизации пользователей, использующих
различные способы подключений к сети. Служба IAS интегрирована с другими
сетевыми службами Windows Server 2003, такими как служба маршрутизации и удалённого
доступа и служба каталога Active Directory [3].
- использование механизма временных меток на
основе системы единого времени;
- применение общего пароля для легального
пользователя и проверяющего списка случайных паролей и надежного механизма их
синхронизации;
- использование общего пароля для
пользователя и проверяющего генератора псевдослучайных чисел с одним и тем же
начальным значением;
- применение фиксированного числа случайных
(псевдослучайных) последовательностей, скопированных на носители в виде
скретч-карт.
Наиболее распространены аппаратные реализации одноразовых
паролей называют ОТР-токенами. Они имеют небольшой размер и выпускаются в виде
различных форм-факторах:
- карманного калькулятора;
- брелока;
- смарт-карты;
- устройства, комбинированного с USB-ключом.
В качестве примера решений OTP можно привести линейку RSA
SecurID, ActivCard Token, комбинированный USB-ключ Aladdin eToken NG-OTP. В
частности, одной из распространенных аппаратных реализаций одноразовых паролей
является технология SecurID, предлагаемая компанией RSA Security. Она основана
на специальных калькуляторах - токенах, которые каждую минуту генерируют новый
код. В токен встроена батарейка, заряда которой хватает на 3 - 5 лет, после
чего токен нужно менять. Аутентификация с помощью SecurID интегрирована в сотни
приложений, а недавно при поддержке Microsoft она была встроена в операционную
систему Windows. Впрочем, имеются реализации "в железе" и другие
алгоритмы генерации одноразовых паролей. Например, можно генерировать пароль по
событию - нажатию клавиши на устройстве. Такое решение предлагает компания
Secure Computing в виде продукта Safeword. Аппаратную реализацию технологии
"запрос-ответ" продает корпорация CryptoCard. Имеются даже
универсальные аппаратные реализации, которые позволяют перепрограммировать
токены. В частности, решения, выпускаемые компанией VASCO, допускают реализацию
нескольких десятков алгоритмов аутентификации с помощью одноразовых паролей. В
целом технология ОТР основана на использовании двухфакторных схем
аутентификации и может быть классифицирована как усиленная технология
аутентификации [3].
1.6
Аутентификация по предъявлению цифрового сертификата
Механизмы аутентификации на основе сертификатов обычно
используют протокол с запросом и ответом. Согласно этому протоколу сервер
аутентификации направляет пользователю последовательность символов, называемую
запросом, а программное обеспечение клиентского компьютера для генерирования
ответа вырабатывает с помощью закрытого ключа пользователя цифровую подпись под
запросом от сервера аутентификации. Общий процесс подтверждения подлинности
пользователя состоит из следующих стадий:
) получение открытого ключа CA (одноразовый процесс);
2) получение по некоторому незащищенному каналу от этого
пользователя его сертификата открытого ключа (включающее получение
идентификатора пользователя, проверку даты и времени относительно срока
действия, указанного в сертификате, на основе локальных доверенных часов,
проверку действительности открытого ключа СА, проверку подписи под сертификатом
пользователя с помощью открытого ключа СА, проверку сертификата на предмет
отзыва);
) если все проверки успешны, открытый ключ в
сертификате считается подлинным открытым ключом заявленного пользователя;
) проверка на наличие у пользователя закрытого ключа,
соответствующего данному сертификату, с помощью алгоритма запрос-ответ.
В качестве примера алгоритмов, работающих по такой схеме,
можно назвать протокол SSL. Аутентификация с открытым ключом используется как
защищенный механизм аутентификации в таких протоколах как SSL, а также может
использоваться как один из методов аутентификации в рамках рассмотренных
протоколов Kerberos и RADIUS [3].
1.7
Использование смарт-карт и USB-ключей
Несмотря на то что криптография с открытым ключом согласно
спецификации Х.509 может обеспечивать строгую аутентификацию пользователя, сам
по себе незащищенный закрытый ключ подобен паспорту без фотографии. Закрытый
ключ, хранящийся на жестком диске компьютера владельца, уязвим по отношению к
прямым и сетевым атакам. Достаточно подготовленный злоумышленник может похитить
персональный ключ пользователя и с помощью этого ключа представляться этим
пользователем. Защита ключа с помощью пароля помогает, но недостаточно
эффективно - пароли уязвимы по отношению ко многим атакам. Несомненно,
требуется более безопасное хранилище.
Аутентификацию на основе смарт-карт и USB-ключей сложнее
всего обойти, так как используется уникальный физический объект, которым должен
обладать человек, чтобы войти в систему. В отличие от паролей владелец быстро
узнает о краже и может сразу принять необходимые меры для предотвращения ее
негативных последствий. Кроме того, реализуется двухфакторная аутентификация.
Микропроцессорные смарт-карты и USB-ключи могут повысить надежность служб PKI:
смарт-карта может использоваться для безопасного хранения закрытых ключей
пользователя, а также для безопасного выполнения криптографических преобразований.
Безусловно, данные устройства аутентификации не обеспечивают абсолютную
безопасность, но надежность их защиты намного превосходит возможности обычного
настольного компьютера.
Для хранения и использования закрытого ключа разработчики
используют различные подходы. Наиболее простой из них - использование
устройства аутентификации в качестве защищенного носителя аутентификационной
информации: при необходимости карта экспортирует закрытый ключ, и
криптографические операции осуществляются на рабочей станции. Этот подход
является не самым совершенным с точки зрения безопасности, зато относительно
легко реализуемым и предъявляющим невысокие требования к устройству
аутентификации.
В качестве примеров подобного рода устройств аутентификации
можно привести eToken R2 производства компании Aladdin, iKey 1000 от Rainbow, Rutoken от компании
"Актив".
Два следующих подхода, на которые хочется обратить внимание,
более безопасны, поскольку предполагают выполнение устройством аутентификации
криптографические операций. При первом пользователь генерирует ключи на рабочей
станции и сохраняет их в памяти устройства. При втором пользователь генерирует
ключи при помощи устройства. В обоих случаях после того как закрытый ключ
сохранен, его нельзя извлечь из устройства и получить любым другим способом.
Генерация ключевой пары вне устройства. В этом случае
пользователь может сделать резервную копию закрытого ключа. Если устройство
выйдет из строя, будет потеряно, повреждено или уничтожено, пользователь сможет
сохранить тот же закрытый ключ в памяти нового устройства. Это необходимо, если
пользователю требуется расшифровать какие-либо данные, сообщения и так далее,
зашифрованные с помощью соответствующего открытого ключа. Однако при этом
закрытый ключ пользователя подвергается риску быть похищенным, т.е.
скомпрометированным.
Генерация ключевой пары с помощью устройства. В этом случае закрытый
ключ не появляется в открытом виде, и нет риска, что злоумышленник украдет его
резервную копию. Единственный способ использования закрытого ключа - это
обладание устройством аутентификации. Являясь наиболее безопасным, это решение
выдвигает высокие требования к возможностям самого устройства: оно должно
обладать функциональностью генерации ключей и осуществления криптографических
преобразований. Это решение также предполагает, что закрытый ключ не может быть
восстановлен в случае выхода устройства из строя и т.п. [3].
1.8 Rutoken
Электронный идентификатор Rutoken - это компактное устройство
в виде USB-брелока, которое служит для авторизации пользователя в сети или на
локальном компьютере, защиты электронной переписки, безопасного удаленного
доступа к информационным ресурсам, а также надежного хранения персональных
данных.с успехом заменяет любые парольные системы защиты, ведь теперь не нужно
запоминать множество логинов и сложных паролей, все они надежно хранятся в
памяти токена. Все что должен сделать пользователь - подключить токен к
USB-порту и набрать PIN-код. Таким образом, осуществляется двухфакторная
аутентификация, когда доступ к информации можно получить, только обладая
уникальным предметом (токеном) и зная некоторую уникальную комбинацию символов
(PIN-код).выступает удачной альтернативой другим аппаратным носителям ключевой
информации: смарт-картам, i-button, не говоря уже о дискетах. Действительно,
Rutoken - это аналог смарт-карты, но для работы с ним не требуется
дополнительное оборудование (считыватель), данные надежно хранятся в
энергонезависимой памяти токена объемом до 128 Кб, прочный корпус Rutoken
устойчив к внешним воздействиям. Основу Rutoken составляет микроконтроллер,
который выполняет криптографическое преобразование данных, и память, в которой
хранятся данные пользователя (пароли, сертификаты, ключи шифрования и т.д.).
Электронные идентификаторы обычно используются в комплексе с
соответствующими программно-аппаратными средствами.rutoken поддерживает
основные промышленные стандарты (см. технические характеристики), что позволяет
без труда использовать токены в уже существующих системах безопасности
информации.разработан компаниями "Актив" и "Анкад" с учетом
современных требований к устройствам защиты информации. Главным отличием
Rutoken от зарубежных аналогов является аппаратно реализованный российский
стандарт шифрования - ГОСТ 28147-89, [1].
1.8.1
Архитектура Rutoken
Архитектура Rutoken была разработана в соответствии с
требованиями индустриального стандарта PC/SC. В ней можно выделить четыре
уровня:
) Аппаратный уровень
2) Интерфейс низкого уровня
) Интерфейс среднего уровня
) Интерфейсы высокого уровня
1.8.2
Аппаратный уровень
Самый нижний уровень представлен двумя физическими
устройствами: непосредственно токеном; хост-контроллером USB.
Взаимодействие между токеном и хост-контроллером
осуществляется по протоколу USB Control Transfer Protocol, который использует
Vendor Specific Requests (VSR).
Основным аппаратным элементом Rutoken является защищенный
микроконтроллер, реализующий функции интерфейса USB, поддержку файловой системы
и команд по ISO 7816, выполняющий криптографические преобразования по ГОСТ
28147-89, а также другие функции.
1.8.3
Интерфейс низкого уровня
Над аппаратным уровнем находится интерфейс, обеспечивающий
представление Rutoken интерфейсам более высокого уровня в качестве смарт-карты,
вставленной в ридер. Интерфейс образуется взаимодействием между USB-драйвером
Rutoken, Rutoken IFD Handler, Microsoft Resource Manager и Microsoft SmartCard
API. Взаимодействие этого интерфейса с интерфейсом аппаратного уровня
происходит путем передачи однозначно определенных команд с использованием
Transport Protocol Data Units (TPDU) по протоколу T=0.
1.8.4
Интерфейс среднего уровня
Этот интерфейс располагается над Microsoft SmartCard API -
низкоуровневым интерфейсом прикладного программирования и состоит из библиотеки
ядра Rutoken (rtAPI). Интерфейс оперирует понятием APDU (Application Protocol
Data Unit), преобразуя их в TPDU T=0 для передачи интерфейсу низкого уровня.
1.8.5
Интерфейсы высокого уровня
Самый высокий уровень сформирован из реализаций различных
стандартов и API (Microsoft Crypto API, ICC Service Provider), которые могут
взаимодействовать с интерфейсами низкого и среднего уровней и могут оперировать
или не оперировать понятием "смарт-карта". Сообщение с интерфейсами
более низких уровней происходит путем вызовов однозначно определенных
интерфейсных функций и их трансформацией в APDU на среднем уровне [1].
1.8.6 Общие
положения
1) Электронный идентификатор Rutoken - это компактное
устройство в виде USB-брелока.
2) Rutoken используется для хранения и предъявления
персональной информации: паролей, ключей шифрования, сертификатов, лицензий,
удостоверений и других данных.
) Для работы электронных идентификаторов, сервисных
утилит, а также любых решений на основе Rutoken, необходимы предварительно
установленные драйверы. Новые версии драйверов Rutoken всегда доступны для загрузки
на сайте [1].
) В поставляемых токенах записаны PIN-коды по
умолчанию, и не содержится никакой значимой для пользователя информации.
Обязательно измените стандартные PIN-коды токена на уникальные!
1.9
Назначение Rutoken
В комплексе с соответствующими программно-аппаратными
средствами Rutoken может использоваться для решения следующих задач:
Аутентификация
- Замена парольной защиты при доступе к БД,
Web-серверам, VPN-сетям и security-ориентированным приложениям на
программно-аппаратную аутентификацию.
- Шифрование соединений при доступе к
почтовым серверам, серверам баз данных, Web-серверам, файл-серверам,
аутентификация при удалённом администрировании и т.п.
Защита данных
- Защита электронной почты (ЭЦП,
шифрование).
- Защита доступа к компьютеру (авторизация
пользователя при входе в операционную систему).
Корпоративное использование
1) Использование в прикладных программах и системах
электронной торговли для хранения служебной информации, персональной информации
пользователей, паролей, ключей шифрования, цифровых сертификатов и любой другой
конфиденциальной информации.
2) Rutoken может выступать как единое идентификационное
устройство для доступа пользователя к разным элементам корпоративной системы и
обеспечивать, например, необходимое разграничение доступа, автоматическую
цифровую подпись создаваемых документов, аутентификацию при доступе к
компьютерам и приложениям системы.
) Двухфакторная аутентификация:
- для доступа к общим данным достаточно
просто наличия Rutoken;
- для доступа к закрытым данным, кроме того,
нужно ввести корректный PIN-код.
Сертифицированная продукция
Наличие сертификатов на продукцию Rutoken обеспечивает
широкому спектру государственных заказчиков возможность успешного прохождения
аттестации рабочих мест сотрудников, которые по роду своей деятельности имеют
доступ к информации ограниченного характера [1].
Сертифицированные идентификаторы и программное обеспечение
Rutoken будут также интересны тем коммерческим компаниям, чья политика в
области информационной безопасности выбрана в соответствии с отраслевыми и
национальными стандартам (Приложение 1).
2.
Практическая часть. Установка и настройка Rutoken
2.1
Управление драйверами Rutoken
1) Важно! Необходимо отсоединить идентификаторы Rutoken от usb-портов
компьютера.
2) Запустите программу установки драйверов Rutoken и
следуйте ее указаним в соотвествии с Рисунком 1, 2, 3.
Рисунок 1 - Установка Программного обеспечения
Рисунок 2 - Выбор компонентов для установки
Рисунок 3 - Установка драйверов
3) После перезагрузки подсоедините идентификатор к
USB-порту. В системной области панели задач появятся сообщения следующего вида,
свидетельствующие об успешной установке Rutoken.
4) После подключения на идентификаторе загорается
светодиод, это признак того, что Rutoken корректно распознан операционной
системой и готов к работе.
2.2 rtAdmin.
exe. Утилита администрирования Rutoken
Утилита администрирования предназначена, в первую очередь,
для использования администраторами систем безопасности или, иначе говоря,
офицерами безопасности.
Утилита администрирования позволяет выполнять следующие
операции:
- Получать информацию о подключенных
токенах;
- Разблокировать PIN-код Пользователя;
- Изменять символьное имя токена;
- Инициализировать память токена.
Для того чтобы начать работу с утилитой администрирования,
нужно запустить приложение rtAdmin. exe.
Перед запуском rtAdmin. exe убедитесь в том, что в системе
установлен драйвер Rutoken.
Если токен не подключен, подсоедините его к свободному
USB-порту. При успешном запуске утилиты появится ее главное окно (Рисунок 4).
Рисунок 4 - Консоль утилиты администрирования
Главное окно содержит элементы управления основными
функциями. Неактивные элементы будут недоступны до выполнения операции Login и
ввода PIN-кода Администратора или Пользователя.
1) Получение информации о токене.
Эта операция доступна в том случае, когда к текущему ридеру
подключен токен. Для ее выполнения также не требуется ввод PIN-кода, поскольку
выдается открытая (не секретная) информация и для ее получения достаточно прав
доступа Гость.
Для получения информации о токене нужно нажать на кнопку [Свойства]
в главном окне утилиты. На экране появится информационное окно, в котором
отображается следующая информация на Рисунке 5 и Приложении В.
Рисунок 5 - Сведения о токене
2) Операции Login и Logout
Для выполнения операций разблокирования токена, изменения
PIN-кода и инициализации памяти нужно иметь права доступа Администратора.
После предъявления прав доступа Пользователя становятся
доступны только функции изменения PIN-кода Пользователя и символьного имени
токена.
Для установки текущих прав доступа выполняется операция
Login.
После нажатия в главном окне утилиты на кнопку [Login] на
экране отображается диалога для ввода PIN-кода (Рисунок 6).
Рисунок 6 - Авторизация
После ввода PIN-кода главное окно утилиты будет иметь
следующий вид, представленный на Рисунке 7.
Рисунок 7 - Разграничение прав доступа
.3 rtCert.
exe. Браузер сертификатов Rutoken
1) Аутентификация Пользователя
Аутентификация Пользователя необходима для выполнения
следующих операций:
- Импорт сертификата из файла в память
токена
- Экспорт сертификата из памяти токена в
PFX-файл
- Назначение и отмена контейнера по
умолчанию
- Удаление контейнера с сертификатами из
памяти токена
Для выполнения аутентификации нужно выбрать пункт меню
Действия|Login. При этом появляется диалог следующего вида, в котором нужно
ввести PIN-код и нажать [OK].
) Добавление сертификата в хранилище
сертификатов
Эта операция позволяет зарегистрировать выбранный сертификат
в Личном хранилище сертификатов (Рисунок 8) данного компьютера. Для выполнения
операции достаточно прав доступа Гостя.
Рисунок 8 - Консоль управления сертификатами
Для выполнения операции надо отметить нужный
незарегистрированный сертификат и выбрать пункт меню Действия|Добавить
сертификат в хранилище сертификатов. При этом выбранный сертификат будет
занесен в память компьютера и зарегистрирован в Личном хранилище.
Зарегистрированный сертификат можно использовать в
соответствующем ПО, даже если токен отсоединен от компьютера.
По завершении операции сертификат в списке помечается как
зарегистрированный.
3) Удаление сертификата из хранилища
сертификатов
Эта операция позволяет удалить выбранный сертификат из
Личного хранилища сертификатов данного компьютера. При этом из памяти токена
сертификат не удаляется. Для выполнения операции достаточно прав доступа Гостя.
В списке сертификатов в левом фрейме сертификаты,
зарегистрированные в Личном хранилище, помечены соответствующей пиктограммой.
Для того чтобы удалить выбранный зарегистрированный сертификат, надо выбрать
пункт меню Действия|Удалить сертификат из хранилища сертификатов.
Выбранный сертификат будет удален из Личного хранилища
данного компьютера, однако останется в памяти токена.
Другие действия с сертификатами которые мы можем выполнить
это Импортировать сертификаты из файлов на компьютерами, в расширениях. CER и. PFX, экспортировать,
задавать контейнер по умолчанию, отменять умолчание, а также удалять
контейнеры.
Заключение
Проделанная работа помогла более успешно ориентироваться на
рынке торговли услугами и товарами безопасности информации. Именно благодаря
курсовой работе, был проведен подробный анализ успешно функционируемого на
российском рынке продукт Rutoken, аналогия иностранного продукта eToken. Взглянув подробно на
возможности, установив и успешно настроив программу, можно опираться на
собственные знания о продукте, что безусловно пригодятся в будущем как простому
обывателю не забывающему о мерах безопасности, так и системному администратору.
Продукты постоянно обновляются, а на рынке появляются более
новые, следуя пути развития, и главное, что необходимо каждому - не забывать, в
каком мире живем, и главным нашим врагом являемся мы сами.
Список
использованной литературы
1) Б.А.
Фороузан Основы Информационных технологий. Криптография и безопасность сетей.
Москва, Интернет-Университет Информационных Технологий, ЭКОМ, 2010.
2) В.А.
Галатенко, Основы Информационных технологий. Основы Информационной
безопасности. Москва, Интернет-Университет Информационных технологий, Открытые
системы, 2006.
) Аутентификация.
Теория и практика обеспечения безопасного доступа к информационных ресурсам,
Москва, ЗАО "Аладдин Р. Д.", "Горячая линия - Телеком",
2009.
Список использованных
электронных ресурсов
1) #"607093.files/image009.gif">
Сертификат
на ПАК Рутокен №2584 ФСТЭК РФ Программно-аппаратный комплекс Рутокен является средством защиты
информации от НСД и соответствует требованиям руководящего документа
"Защита от несанкционированного доступа к информации. Часть 1.
Программное обеспечение средств защиты информации. Классификация по уровню
контроля отсутствия недекларированных возможностей" (Гостехкомиссия
России, 1999г.) - по 4 уровню контроля.
|
|
|
Сертификат
на СПО Рутокен №1461 ФСТЭК РФ Системное программное обеспечение Рутокен не содержит
программных закладок и недекларированных возможностей. Классификация по
уровню контроля отсутствия недекларированных возможностей (Гостехкомиссия
России, 1999г.) - по 3 уровню контроля. Согласно сертификату электронные
идентификаторы Рутокен можно использовать при работе с информацией имеющей
гриф "С" и в системах обрабатывающих конфиденциальную информацию.
|
|
|
Сертификат
на ПО Рутокен №1395 ФСТЭК РФ Программное обеспечение для электронных идентификаторов Рутокен
соответствует требованиям руководящего документа "Защита от
несанкционированного доступа к информации. Часть 1. Программное обеспечение
средств защиты информации. Классификация по уровню контроля отсутствия
недекларированных возможностей" (Гостехкомиссия России, 1999г.) - по 3
уровню контроля.
|
|
|
Сертификат
на СКЗИ Рутокен №СФ/124-1455 ФСБ РФ Аппаратно-программное средство криптографической защиты информации
(СКЗИ) Рутокен соответствует требованиям ГОСТ 28147-89 и требованиям ФСБ
России к СКЗИ класса КС2 и может использоваться для шифрования и имитозащиты
информации, не содержащей сведений, составляющих государственную тайну.
|
|
Сертификаты
на Рутокен ЭЦП
|
|
|
Сертификат
на ПАК Рутокен ЭЦП №2592 ФСТЭК РФ Программно-аппаратный комплекс Рутокен ЭЦП является средством
защиты информации от НСД и соответствует требованиям руководящего документа
"Защита от несанкционированного доступа к информации. Часть 1.
Программное обеспечение средств защиты информации. Классификация по уровню
контроля отсутствия недекларированных возможностей" (Гостехкомиссия
России, 1999) - по 4 уровню контроля.
|
|
|
Сертификат
на СКЗИ Рутокен ЭЦП №СФ/124-1674 ФСБ РФ Рутокен ЭЦП соответствует требованиям ГОСТ 28147-89, ГОСТ
Р 34.11-94, ГОСТ Р 34.10-2001, требованиям ФСБ России к СКЗИ класса КС2 и
может использоваться для генерации и управления ключевой информацией,
шифрования, хеширования и электронной цифровой подписи.
|
Приложение Б.
Информация о токене
|
Имя
|
Символьное имя
токена
|
|
Тип
|
Тип токена и
общий объем памяти в кБ
|
|
ID
|
ID токена в
виде шестнадцатеричного числа
|
|
Версия
|
Версия Rutoken
|
|
Протокол
|
|
Микропрограмма
|
Номер
микропрограммы, прошитой в токен
|
|
Заказ
|
Номер заказа
|
|
Свободная
память
|
Доступная
память токена в байтах
|