Технологии и продукты Microsoft в обеспечении ИБ Лекция 10. Проблема аутентификации. Инфраструктура открытых ключей Цели Изучить предпосылки проблемы аутентификации Рассмотреть основные компоненты инфраструктуры открытых ключей PKI Изучить структуры и принципы работы удостоверяющего центра Рассмотреть технологии работы с отозванными сертификатами 2 Высшая школа экономики - 2009 Процедура входа пользователя в АС Регистрация пользователя в АС Вход пользователя в АС Идентификация пользователя Авторизация пользователя Аутентификация пользователя 3 Высшая школа экономики - 2009 История вопроса Проблема одноключевых систем Распределение секретных ключей по информационному каналу Аутентификация секретного ключа (процедура, позволяющая получателю удостовериться, что секретный ключ принадлежит законному отправителю) Протокол открытого распределения ключей У. Диффи и М. Хеллмана -1976 г. Модификации DH, ECDH, MQV, ECMQV Стандарты IEEE P1363, ANSI X9.42 и ANSI X9.63 4 Высшая школа экономики - 2009 Сегодня Single Sign-On Протоколы аутентификации Внутри АС организации Вне границ защищаемого периметра Пример решения: технология PKI – инфраструктура открытых ключей 5 Высшая школа экономики - 2009 Почему нужна инфраструктура? Необходимо быть уверенным, что полученный ключ – ключ отправителя Открытые ключи должны быть подписаны легитимным органом Легитимный орган отдел кадров министерство коммерческая организация Необходима служба, с помощью которой можно эффективно управлять распределением открытых ключей 6 Высшая школа экономики - 2009 Компоненты Certification Authority (CA) Политики выдачи сертификатов Хранилище сертификатов Registration Authority (RA) Список отозванных сертификатов (CRL) Протокол проверки легитимности сертификата Структура доверия Центров сертификации Иерархия Центров сертификации Кросс-сертификация 7 Высшая школа экономики - 2009 Цифровой сертификат Цифровое удостоверение Стандарт X.509 версия 3 Информация, однозначно идентифицирующая субъекта Его открытый ключ • Допустимые режимы использования Информация, необходимая для проверки сертификата Срок действия сертификата Информация о службе, выдавшей сертификат Цифровая подпись CA 8 Высшая школа экономики - 2009 Microsoft Certificate Services Certification Authority Выдача сертификатов клиентам • Генерация ключей, если нужно Отзыв сертификатов • Публикация Certificate Revocation List (CRL) Хранение истории всех выданных сертификатов Web Enrollment Support Запрос и получение сертификата через Web-интерфейс 9 Высшая школа экономики - 2009 Архитектура CA Protected Store Открытые ключи Личные ключи CSP Сертификаты Запросы PKCS10 Certificate Services Entry Module Exit Module CRL Certificate Templates Policy Module 10 Certificate Database Высшая школа экономики - 2009 Microsoft CA Enterprise CA Интегрирован с Active Directory Выдает сертификаты только объектам, имеющим учетные записи в каталоге Использует шаблоны сертификатов Stand-Alone CA Не зависит от Active Directory Может использоваться в качестве независимого центра сертификации для любых объектов 11 Высшая школа экономики - 2009 Иерархия CA Роли CA Root CA • Корневой центр сертификации • Сертифицирует нижестоящие CA Subordinate CA • Intermediate CA – Сертифицирует CA следующего уровня • Issuing CA – Выдает сертификаты пользователям Certification Path Указывается в сертификате 12 Высшая школа экономики - 2009 Иерархия CA Root CA Sub CA 2 Sub CA 1 Intermediate CA Issuing CA Sub CA 4 Sub CA 3 Issuing CA Root CA Sub CA 2 Sub CA 3 User Issuing CA 13 Certification Path Высшая школа экономики - 2009 CRL Certificate Revocation List Список отозванных сертификатов Подписан Центром сертификации Должен публиковаться и регулярно обновляться каждым CA • Active Directory • Web • Файловая система Сертификат содержит список узлов публикации CRL 14 Высшая школа экономики - 2009 Certificate Trust List Список доверия Аналог механизма кросс-сертификации • Список доверяемых корневых центров Ограничения по режимам сертификата Назначается в групповой политике 15 Высшая школа экономики - 2009 Хранилища сертификатов Физические хранилища Active Directory Реестр операционной системы клиента Файловая система Логические хранилища Personal Trusted Root Certification Authorities Enterprise Trust Intermediate Certification Authorities Active Directory User Object Software Publisher’s Certificate 16 Высшая школа экономики - 2009 Структура хранилищ CryptoAPI User DS Store CA Store My Store Trust Store Root Store Логические хранилища LDAP Default Store Provider Smart Card CSP Smart Card Services 17 Физические хранилища Высшая школа экономики - 2009 Проверка сертификата Тип сертификата Root CA Sub CA 2 Sub CA 3 Сертификат разрешено использовать в данном режиме. User Срок действия Запреты Сертификат действителен в данный момент. Списки CTL не запрещают использование сертификата для данной задачи. Целостность Доверие Сертификат корневого CA присутствует в хранилище Trusted Root Certification Authorities. 18 Цифровая подпись CA, выдавшего сертификат, верна. Легитимность Сертификат не был отозван. Высшая школа экономики - 2009 Инфраструктура открытого ключа Root CA DC приложение с поддержкой PKI 19 Высшая школа экономики - 2009 Функции PKI Аутентификация Однозначная идентификация сущности, основанная на знании личного ключа • Локальная аутентификация • Удаленная аутентификация Обеспечение целостности Гарантия того, что на пути следования от отправителя к адресату данные не были модифицированы Обеспечение конфиденциальности Шифрование данных обеспечивает доступ к ним только тем, кто ими владеет и кому они предназначены 20 Высшая школа экономики - 2009 Secure Channel “Microsoft Unified Security Support Provider” Secure Sockets Layer (SSL) 3.0 Transport Layer Security (TLS) 1.0 При установлении защищенного сеанса участники Договариваются, какие криптографические алгоритмы будут использоваться в рамках сеанса • RSA – при обмене ключами • RC4 – для шифрования данных Взаимно аутентифицируют друг друга с помощью сертификатов 21 Высшая школа экономики - 2009 Смарт-карты Микрочип, интегрированный в пластиковую карточку Сертификат пользователя Личный ключ пользователя Идентификация владельца Персональный идентификационный номер (PIN) Поддержка Smart Cards Gemplus Schlumberger 22 Высшая школа экономики - 2009 Аутентификация Сертификат вместо пароля Надежность аутентификации Kerberos зависит от качества паролей PKINIT Расширение Kerberos для интерактивной аутентификации с помощью Smart Card Соответствие сертификата учетной записи домена SSL/TLS, EAP-TLS Возможна аутентификация пользователей, не имеющих учетных записей в домене 23 Высшая школа экономики - 2009 IPSec Защита данных на уровне сетевых пакетов Прозрачно для приложений Два уровня защиты Обеспечение целостности пакета • Authentication Header (AH) Шифрование данных, передаваемых в пакете • Encapsulating Security Payload (ESP) Сертификаты открытых ключей Один из режимов взаимной аутентификации узлов 24 Высшая школа экономики - 2009 Использованные источники Шаповал А. Использование PKI для создания безопасных сетей // Microsoft, слайды, 2001 Сердюк В.А. Новое в защите от взлома корпоративных систем. Техносфера; 2007. 25 Высшая школа экономики - 2009 Спасибо за внимание!