Общие подходы к построению парольных систем

Наиболее распространенные методы аутентификации основаны на применении многоразовых или одноразовых паролей. Из-за своего широ­кого распространения и простоты реализации парольные схемы часто в первую очередь становятся мишенью атак злоумышленников. Эти методы включают следующие разновидности способов аутентификации;

• по хранимой копии пароля или его свёртке (plaintext-equivalent);

• по некоторому проверочному значению (verifier-based);

• без непосредственной передачи информации о пароле проверяющей стороне (zero-knowledge);

• с использованием пароля для получения криптографического ключа (cryptographic).

В первую разновидность способов входят системы аутентификации, предполагающие наличие у обеих сторон копии пароля или его свертки. Для организации таких систем требуется создать и поддерживать базу данных, содержащую пароли или сверки паролей всех пользователей. Их слабой стороной является то, что получение злоумышленником этой базы данных позволяет ему проходить аутентификацию от имени любого поль­зователя.

Способы, составляющие вторую разновидность, обеспечивают более высокую степень безопасности парольной системы, так как проверочные значения, хотя они и зависят от паролей, не могут быть непосредственно использованы злоумышленником для аутентификации.

Наконец, аутентификация без предоставления проверяющей стороне какой бы то ни было информации о пароле обеспечивает наибольшую степень защиты. Этот способ гарантирует безопасность даже в том слу­чае, если нарушена работа проверяющей стороны (например, в програм­му регистрации в системе внедрен "троянский конь"). Пример системы парольной защиты ("доказательство с нулевым разглашением"), постро­енной по данному принципу, будет рассмотрен ниже.

Особым подходом в технологии проверки подлинности являются криптографические протоколы аутентификации. Такие протоколы описы­вают последовательность действий, которую должны совершить стороны для взаимной аутентификации, кроме того, эта действия, как правило, сочетаются с генерацией и распределением криптографических ключей для шифрования последующего информационного обмена. Корректность протоколов аутентификации вытекает из свойств задействованных в них математических и криптографических преобразований и может быть стро­го доказана.

Обычные парольные системы проще и дешевле для реализации, но менее безопасны, чем системы с криптографическими протоколами. По­следние обеспечивают более надежную защиту и дополнительно решают задачу распределения ключей. Однако используемые в них технологии могут быть объектом законодательных ограничений.

Для более детального рассмотрения принципов построения пароль­ных систем сформулируем несколько основных определений.

Идентификатор пользователя - некоторое уникальное количество информации, позволяющее различать индивидуальных пользователей парольной системы (проводить их идентификацию). Часто идентификатор также называют именем пользователя или именем учетной записи поль­зователя.

Пароль пользователя - некоторое секретное количество информации, известное только пользователю и парольной системе, которое может быть запомнено пользователем и предъявлено для прохождения процедуры аутентификации. Одноразовый пароль дает возможность пользователю однократно пройти аутентификацию. Многоразовый пароль может быть использован для проверки подлинности повторно.

Учетная запись пользователя - совокупность его идентификатора и его пароля.

База данных пользователей парольной системы содержит учетные, записи всех пользователей данной парольной системы.

Под парольной системой будем понимать программно-аппаратный комплекс, реализующий системы идентификации и аутентификации пользователей АС на основе одноразовых или многоразовых паролей. Кая правило, такой комплекс функционирует совместно с подсистемами разграничения доступа и регистрации событий.

В отдельных случаях пароль­ная система может выполнять ряд дополнительных функций, в частности генерацию и распределение кратковременных (сеансовых) криптографи­ческих ключей

Основными компонентами парольной системы являются:

• интерфейс пользователя;

• интерфейс администратора;

• модуль сопряжения с другими подсистемами безопасности;

• база данных учетных записей.

Парольная система представляет собой "передний край обороны" всей системы безопасности. Некоторые ее элементы (в частности, реали­зующие интерфейс пользователя) могут быть расположены в местах, от­крытых для доступа потенциальному злоумышленнику. Поэтому пароль­ная система становится одним из первых объектов атаки при вторжении злоумышленника в защищенную систему. Ниже перечислены типы угроз безопасности парольных систем.

1. Разглашение параметров учетной записи через:

• подбор в интерактивном режиме;

• подсматривание;

• преднамеренную передачу пароля его владельцем другому лицу;

• захват базы данных парольной системы (если пароли не хранятся в базе в открытом виде, для их восстановления может потребоваться подбор или дешифрование);

• перехват переданной по сети информации о пароле;

• хранение пароля в доступном месте.

2. Вмешательство в функционирование компонентов парольной сис­темы через:

• внедрение программных закладок;

• обнаружение и использование ошибок, допущенных на стадии разра­ботки;

• выведение из строя парольной системы.

Некоторые из перечисленных типов угроз связаны с наличием так называемого человеческого фактора, проявляющегося в том, что пользо­ватель может:

• выбрать пароль, который легко запомнить и также легко подобрать;

• записать пароль, который сложно запомнить, и положить запись в дос­тупном месте;

• ввести пароль так, что его смогут увидеть посторонние;

• передать пароль другому лицу намеренно или под влиянием заблуж_: дения.

В дополнение к выше сказанному необходимо отметить существова­ние "парадокса человеческого фактора". Заключается он в том, что поль­зователь нередко стремится выступать скорее противником парольной системы, как, впрочем, и любой системы безопасности, функционирова­ние которой влияет на его рабочие условия, нежели союзником системы защиты, тем самым ослабляя ее. Защита от указанных угроз основывает­ся на ряде перечисленных ниже организационно-технических мер и меро­приятий.

Выбор паролей

В большинстве систем пользователи имеют возможность самостоя­тельно выбирать пароли или получают их от системных администраторов. При этом для уменьшения деструктивного влияния описанного выше че­ловеческого фактора необходимо реализовать ряд требований к выбору и использованию паролей (табл.1).

 

Таблица 1

 

Требование к выбору пароля	Получаемый эффект
Установление мини­мальной длины пароля	Усложняет задачу злоумышленника при попытке под­смотреть пароль или подобрать пароль методом "тотального опробования"
Использование в па­роле различных групп символов	Усложняет задачу злоумышленника при попытке по­добрать пароль методом "тотального опробования"
Проверка и отбраковка пароля по словарю	Усложняет задачу злоумышленника при попытке по­добрать пароль по словарю
Установление макси­мального срока дейст­вия пароля	Усложняет задачу злоумышленника по подбору паро­лей методом тотального опробования, в том числе без непосредственного обращения к системе защиты (режим off-line)
Установление мини­мального срока деист-вия пароля	Препятствует попыткам пользователя заменить па­роль на старый после его смены по предыдущему требованию
Ведение журнала ис­тории паролей	Обеспечивает дополнительную степень защиты по предыдущему требованию
Применение эвристи­ческого алгоритма, бра­кующего пароли на ос­новании данных жур­нала истории	Усложняет задачу злоумышленника при попытке по­добрать пароль по словарю или с использованием эвристического алгоритма
Ограничение числа по­пыток ввода пароля	Препятствует интерактивному подбору паролей зло­умышленником,
Поддержка режима принудительной смены пароля пользователя	Обеспечивает эффективность требования, ограничи­вающего максимальный срок действия пароля
Использование заде­ржки при вводе непра­вильного пароля	Препятствует интерактивному подбору паролей зло­умышленником
Запрет на выбор паро­ля самим пользовате­лем и автоматическая генерация паролей	Исключает возможность подобрать пароль по слова­рю. Если алгоритм генерации паролей не известен злоумышленнику, последний может подбирать пароли только методом "тотального опробования"
Принудительная смена пароля при первой ре­гистрации пользовате­ля в системе	Защищает от неправомерных действий системного администратора, имеющего доступ к паролю в момент создания учетной записи

 

Параметры для количественной оценки стойкости парольных систем приведены в табл.2.

Таблица 2

 

Параметр	Способ определения
Мощность алфавита паролей А	Могут варьироваться для обеспечения задан­ного значения S(S=AL)
Длина пароля L
Мощность пространства паро­лей S	Вычисляется на основе заданных значений Р, Т и ли V
Скорость подбора паролей V: • Для интерактивного режи­ма определяется как ско­рость обработки одной по­пытки регистрации прове­ряющей стороной; • Для режима off-line (на основе свертки пароля) определяется кап скорость вычисления значения све­ртки для одного пробного пароля	• Может быть искусственно увеличена для защиты от данной угрозы. • Задается используемым алгоритмом вы­числения свертки. Алгоритм, имеющий медленные реализации, повышает стой­кость по отношению к данной угрозе
Срои действия пароля (задает промежуток времени, по исте­чении которого пароль должен быть обязательно сменен) Т	Определяется исходя из заданной вероятно­сти Р, или полагается заданным для дальней­шего определения S
Вероятность подбора пароля в течение его срока действия (подбор продолжается непре­рывно в течение всего срока действия пароля) Р	Выбирается заранее для дальнейшего опре­деления S или Г

 

В качестве иллюстрации рассмотрим задачу определения минимальной мощ­ности пространства паролей (зависящей от параметров А и L) в соответствии с заданной вероятностью подбора пароля в течение его срока действия.

Задано P=10^-6. Необходимо найти минимальную длину пароля, которая обеспечит его стойкость в течение одной недели непрерывных попыток подобрать пароль. Пусть скорость интерактивного подбора паролей V=10 паролей/мин. Тогда в течение недели можно перебрать

10^.60^.24^.7 = 100800 паролей.

Далее, учитывая, что параметры S, V. Т и Р связаны соотношением Р

P=V ^.T/S, получаем

S=100.800/10^-6=1,008-10¹¹≈10¹¹.

Полученному значению S соответствуют пары: A=26, L=8 и A=36, L=6

 

Хранение паролей

Другим важным аспектом стойкости парольной системы, является способ хранения паролей в базе данных учетных записей. Возможны сле­дующие варианты хранения паролей:

• в открытом виде;

• в виде свёрток (хеширование);

• зашифрованными на некотором ключе.

Наибольший интерес представляют второй и третий способы, которые имеют ряд особенностей.

Хеширование не обеспечивает защиту от подбора паролей по словарю в случае получения базы данных злоумышленником. При выборе алгоритма хеширования, который будет использован для вычисле сверток паролей, необходимо гарантировать несовпадение эначений сверток, полученных на основе различных паролей пользователей. Кроме того, следует предусмотреть механизм, обеспечивающий уникальность сверток в том случае, если два пользователя выбирают одинаковые па­роли. Для этого при вычислении каждой свертки обычно используют неко­торое количество "случайной" информации, например, выдаваемой генератором псевдослучайных чисел.

При шифровании паролей особое значение имеет способ генерации и хранения ключа шифрования базы данных учетных записей. Перечис­лим некоторые возможные варианты:

• ключ генерируется программно и хранится в системе, обеспечивая возможность ее автоматической перезагрузки;

• ключ генерируется программно и хранится на внешнем носителе, с которого считывается при каждом запуске;

• ключ генерируется на основе выбранного администратором пароля, который вводится в систему при каждом запуске.

Во втором случае необходимо обеспечить невозможность автоматического перезапуска системы, даже если она обнаруживает носитель с ключом. Для этого можно потребовать от администратора подтверждать продолжение процедуры загрузки, например, нажатием клавиши на клавиатуре.

Наиболее безопасное хранение паролей обеспечивается при их хешировании и последующем шифровании полученных сверток, т.е. при комбинации второго и третьего способов.

Введение перечисленных выше количественных характеристик парольной системы (см.табл.2.2) позволяет рассмотреть вопрос о связи стойкости парольной системы с криптографической стойкостью шифров в двух аспектах: при хранении паролей в базе данных и при их передаче по сети. В первом случае стойкость парольной системы определяется её способностью противостоять атаке злоумышленника, завладевшего базой данных учетных записей и пытающегося восстановить пароли, и зависит от скорости "максимально быстрой" реализации используемого алгоритма хеширования. Во втором случае стойкость парольной системы зависит от криптографических свойств алгоритма шифрования или хеширования паролей. Если потенциальный злоумышленник имеет возможность перехватывать передаваемые по сети преобразованные значения паролей, при выборе алгоритма необходимо обеспечить невозможность (с заданной вероятностью) восстановить пароль при наличии достаточного количества перехваченной информации.

Проиллюстрируем приведенные рассуждения на конкретном примере. Для шифрования паролей в системах UNIX до середины 1970-х годов использовался алгоритм, эмулирующий шифратор M-209 американской армии времён второй мировой войны. Это был надёжный алгоритм, но он

имел очень быструю для тех лет реализацию. На компьютере PDP-11/70 можно было зашифровать 800 паролей в секунду, и словарь из 250000 слов мог быть проверен менее чем за 5 минут.

С конца 70-х для этих целей стал применяться алгоритм шифрова­ния DES. Пароль использовался для генерации ключа, на котором шиф­ровалась некоторая постоянная для всех паролей величина (как правило, строка, состоящая из одних нулей). Для предотвращения одинаковых свёрток от одинаковых паролей в качестве дополнительного параметра на вход алгоритма вычисления свертки подавалось значение, вырабатывае­мое генератором псевдослучайных чисел. Реализации алгоритма DES работали значительно медленнее. На компьютере mVAX-II (более быст­ром, чем PDP-11/70) можно было сделать в среднем 3,6 операций шиф­рования в секунду. Проверка словаря из 250000 слов длилась бы 19 часов, а проверка паролей для 50 пользователей - 40 дней. В послед­нее время в некоторых UNIX-системах используется алгоритм MD5, ещё более медленный по сравнению с DES.

Однако современные реализации криптографических алгоритмов по­зволяют производить сотни тысяч итераций алгоритма в секунду. Учиты­вая, что пользователи нередко выбирают недостаточно стойкие пароли, можно сделать вывод, что получение базы данных учетных записей или перехват переданного по сети значения свертки пароля представляют серьёзную угрозу безопасности парольной системы.

Передача пароля по сети

В большинстве случаев аутентификация происходит в распределён­ных системах и связана с передачей no-сети информации о параметрах учетных записей пользователей. Если передаваемая по сети в процессе аутентификации информация не защищена надлежащим образом, возни­кает угроза ее перехвата злоумышленником и использования для нару­шения защиты парольной системы. Известно, что многие компьютерные системы позволяют переключать сетевой адаптер в режим прослушива­ния адресованного другим получателям сетевого трафика в сети, осно­ванной на широковещательной передаче пакетов данных.

Напомним основные виды защиты сетевого трафика:

• физическая защита сети;

• оконечное шифрование;

• шифрование пакетов.

Распространены следующие способы передачи по сети паролей:

• в открытом виде;

• зашифрованными;

• в виде свёрток;

• без непосредственной передачи информации о пароле ("доказатель­ство с ну-левым разглашением").

Первый способ применяется и сегодня во многих популярных прило­жениях (например, TELNET, FTP и других). В защищенной системе его можно применять только в сочетании со средствами защиты сетевого трафика.

При передаче паролей в зашифрованном виде или в виде сверток по сети с открытым физическим доступом возможна реализация следующих Уфоз безопасности парольной системы:

• перехват и повторное использование информации;

• перехват и восстановление паролей;

• модификация передаваемой информации с целью введения в заблуж­дение проверяющей стороны;

• имитация злоумышленником действий проверяющей стороны для вве­дения в заблуждение пользователя.

Схемы аутентификации "с нулевым знанием" или "с нулевым разгла­шением", впервые появились в середине 80-х - начале 90-х годов. Их ос­новная идея, заключается в том, чтобы обеспечить возможность одному из пары субъектов, доказать истинность некоторого утверждения второму, при этом не сообщая ему никакой информации о содержании самого утверждения. Например, первый субъект ("доказывающий") может убедить второго ("проверяющего"), что знает определенный пароль, в действительности не передавая тому никакой информации о самом пароле. Эта идея и отражена в термине "доказательство с нулевым разглашением". Применительно к парольной защите это означает, что если на месте про­веряющего субъекта оказывается злоумышленник, он не получает ника­кой информации о доказываемом утверждении и, в частности, о пароле.

Общая схема процедуры аутентификации с нулевым разглашением состоит из последовательности, информационных обменов (итераций) между двумя участниками процедуры, по завершению которой проверяющий с заданной вероятностью делает правильный вывод об истинности проверяемого утверждения. С увеличением числа итераций возрастает вероятность правильного, распознавания истинности (или ложности) утверждения.

Классическим примером неформального описания системы аутентификации с нулевым разглашением служит так называемая пещера Али-Бабы. Пещера имеет один вход (рис. 1). путь от которого разветвляется

A

Рис. 1. Пример системы аутентификации с нулевым разглашением (пещера Али-Бабы).

в глубине пещеры на два коридора, сходящихся затем в одной точке, где установлена дверь с замком. Каждый, кто имеет ключ от замка, может переходить из одного коридора в другой в любом направлении. Одна ите­рация алгоритма состоит из последовательности шагов:

1. Проверяющий становится в точку А.

2. Доказывающий проходит в пещеру и добирается до двери (оказы­вается в точке С или D). Проверяющий не видит, в какой из двух коридо­ров тот свернул.

3. Проверяющий приходит в точку В и' в соответствии со своим выбо­ром просит доказывающего выйти из определенного коридора.

4. Доказывающий, если нужно, открывает дверь ключом и выходит из названного проверяющим коридора.

Итерация.повторяется столько раз, сколько требуется для распозна­вания истинности утверждения "доказывающий владеет ключом от двери" с заданной вероятностью. После i-й итерации вероятность того, что про­веряющий попросит доказывающего выйти из того же коридора, в кото­рый вошел доказывающий, равна (1/2)ⁱ.

Еще одним способом повышения стойкости парольных систем, свя­занной с передачей паролей по сети, является применение одноразовых (one-time) паролей. Общий подход к применению одноразовых паролей основан на последовательном использовании хеш-функции для вычисле­ния очередного одноразового пароля на основе предыдущего. В начале пользователь получает упорядоченный список одноразовых паролей, по­следний из которых также сохраняется в системе аутентификации. При каждой регистрации пользователь вводит очередной пароль, а система вычисляет его свертку и сравнивает с хранимым у себя эталоном. В слу­чае совпадения пользователь успешно проходит аутентификацию, а вве­денный им пароль сохраняется для использования в качестве эталона при следующей регистрации. Защита от сетевого перехвата в такой схеме основана на свойстве необратимости хеш-функции. Наиболее известные практические реализации схем с одноразовыми паролями - это про­граммный пакет S/KEY и разработанная на его основе система OPIE.