Технологии и продукты Microsoft в обеспечении ИБ Лекция 10. Проблема аутентификации. Инфраструктура открытых ключей
Высшая школа экономики Цели Изучить предпосылки проблемы аутентификации Рассмотреть основные компоненты инфраструктуры открытых ключей PKI Изучить структуры и принципы работы удостоверяющего центра Рассмотреть технологии работы с отозванными сертификатами
Высшая школа экономики Процедура входа пользователя в АС Регистрация пользователя в АС Идентификация пользователя Аутентификация пользователя Авторизация пользователя Вход пользователя в АС
Высшая школа экономики История вопроса Проблема одноключевых систем Распределение секретных ключей по информационному каналу Аутентификация секретного ключа (процедура, позволяющая получателю удостовериться, что секретный ключ принадлежит законному отправителю) Протокол открытого распределения ключей У. Диффи и М. Хеллмана г. Модификации DH, ECDH, MQV, ECMQV Стандарты IEEE P1363, ANSI X9.42 и ANSI X9.63
Высшая школа экономики Сегодня Single Sign-On Протоколы аутентификации Внутри АС организации Вне границ защищаемого периметра Пример решения: технология PKI – инфраструктура открытых ключей
Высшая школа экономики Почему нужна инфраструктура? Необходимо быть уверенным, что полученный ключ – ключ отправителя Открытые ключи должны быть подписаны легитимным органом Легитимный орган отдел кадров министерство коммерческая организация Необходима служба, с помощью которой можно эффективно управлять распределением открытых ключей
Высшая школа экономики Компоненты Certification Authority (CA) Политики выдачи сертификатов Хранилище сертификатов Registration Authority (RA) Список отозванных сертификатов (CRL) Протокол проверки легитимности сертификата Структура доверия Центров сертификации Иерархия Центров сертификации Кросс-сертификация
Высшая школа экономики Цифровой сертификат Цифровое удостоверение Стандарт X.509 версия 3 Информация, однозначно идентифицирующая субъекта Его открытый ключ Допустимые режимы использования Информация, необходимая для проверки сертификата Срок действия сертификата Информация о службе, выдавшей сертификат Цифровая подпись CA
Высшая школа экономики Microsoft Certificate Services Certification Authority Выдача сертификатов клиентам Генерация ключей, если нужно Отзыв сертификатов Публикация Certificate Revocation List (CRL) Хранение истории всех выданных сертификатов Web Enrollment Support Запрос и получение сертификата через Web-интерфейс
Высшая школа экономики Архитектура CA Certificate Services ExitModuleExitModuleEntryModuleEntryModule CertificateTemplatesCertificateTemplates Policy Module Protected Store CSPCSP Личные ключи Открытые ключи Certificate Database Запросы PKCS10 Сертификаты CRL
Высшая школа экономики Microsoft CA Enterprise CA Интегрирован с Active Directory Выдает сертификаты только объектам, имеющим учетные записи в каталоге Использует шаблоны сертификатов Stand-Alone CA Не зависит от Active Directory Может использоваться в качестве независимого центра сертификации для любых объектов
Высшая школа экономики Иерархия CA Роли CA Root CA Корневой центр сертификации Сертифицирует нижестоящие CA Subordinate CA Intermediate CA –Сертифицирует CA следующего уровня Issuing CA –Выдает сертификаты пользователям Certification Path Указывается в сертификате
Высшая школа экономики Иерархия CA Root CASub CA 4Sub CA 1Sub CA 2 Intermediate CAIssuing CA Root CA Sub CA 2 Sub CA 3 User Sub CA 3 Issuing CA Certification Path
Высшая школа экономики CRL Certificate Revocation List Список отозванных сертификатов Подписан Центром сертификации Должен публиковаться и регулярно обновляться каждым CA Active Directory Web Файловая система Сертификат содержит список узлов публикации CRL
Высшая школа экономики Certificate Trust List Список доверия Аналог механизма кросс-сертификации Список доверяемых корневых центров Ограничения по режимам сертификата Назначается в групповой политике
Высшая школа экономики Хранилища сертификатов Физические хранилища Active Directory Реестр операционной системы клиента Файловая система Логические хранилища Personal Trusted Root Certification Authorities Enterprise Trust Intermediate Certification Authorities Active Directory User Object Software Publishers Certificate
Высшая школа экономики Структура хранилищ My Store CryptoAPI User DS Store CA Store Root Store Smart Card CSP Default Store Provider Физические хранилища Логические хранилища Smart Card Services Trust Store LDAP
Высшая школа экономики Проверка сертификата Root CA Sub CA 2 Sub CA 3 User Сертификат разрешено использовать в данном режиме. Тип сертификата Сертификат действителен в данный момент. Срок действия Цифровая подпись CA, выдавшего сертификат, верна. Целостность Сертификат не был отозван. Легитимность Сертификат корневого CA присутствует в хранилище Trusted Root Certification Authorities. Доверие Списки CTL не запрещают использование сертификата для данной задачи. Запреты
Высшая школа экономики Инфраструктура открытого ключа Root CA DC приложение с поддержкой PKI
Высшая школа экономики Функции PKI Аутентификация Однозначная идентификация сущности, основанная на знании личного ключа Локальная аутентификация Удаленная аутентификация Обеспечение целостности Гарантия того, что на пути следования от отправителя к адресату данные не были модифицированы Обеспечение конфиденциальности Шифрование данных обеспечивает доступ к ним только тем, кто ими владеет и кому они предназначены
Высшая школа экономики Secure Channel Microsoft Unified Security Support Provider Secure Sockets Layer (SSL) 3.0 Transport Layer Security (TLS) 1.0 При установлении защищенного сеанса участники Договариваются, какие криптографические алгоритмы будут использоваться в рамках сеанса RSA – при обмене ключами RC4 – для шифрования данных Взаимно аутентифицируют друг друга с помощью сертификатов
Высшая школа экономики Смарт-карты Микрочип, интегрированный в пластиковую карточку Сертификат пользователя Личный ключ пользователя Идентификация владельца Персональный идентификационный номер (PIN) Поддержка Smart Cards Gemplus Schlumberger
Высшая школа экономики Аутентификация Сертификат вместо пароля Надежность аутентификации Kerberos зависит от качества паролей PKINIT Расширение Kerberos для интерактивной аутентификации с помощью Smart Card Соответствие сертификата учетной записи домена SSL/TLS, EAP-TLS Возможна аутентификация пользователей, не имеющих учетных записей в домене
Высшая школа экономики IPSec Защита данных на уровне сетевых пакетов Прозрачно для приложений Два уровня защиты Обеспечение целостности пакета Authentication Header (AH) Шифрование данных, передаваемых в пакете Encapsulating Security Payload (ESP) Сертификаты открытых ключей Один из режимов взаимной аутентификации узлов
Высшая школа экономики Использованные источники Шаповал А. Использование PKI для создания безопасных сетей // Microsoft, слайды, 2001 Сердюк В.А. Новое в защите от взлома корпоративных систем. Техносфера; 2007.
Спасибо за внимание!