Смарт-карты
Смарт-карты, в категорию которых в нашем контексте попадают как карты с формфактором кредитных карт (читаются специальным устройством), так и криптографические жетоны (token) (вставляются в USB-порт), представляют собой существенное, охватывающее множество приложений достижение в области безопасности Созданные так, чтобы владелец всегда имел возможность контролировать их, смарт-карты реализуют фундаментальное правило, гласящее, что безопасность улучшается, когда вместе сводится то, что пользователь имеет (криптографический жетон или ID-файл), с тем, что пользователь знает (пароль). Поддержка этой технологии индустрией и принятие ее рынком достигло той критической массы, когда возможности смарт-карт, возраст которых насчитывает 10 лет, осознаются, а не только узнаются. Внедрение этой технологии организациями, заботящимися о собственной безопасности, несомненно, находится на подъеме.
4.1 Зачем нужны смарт-карты?
При прочих равных условиях чем больше гарантия того, что пользователь (или приложение, т. е. "владелец") "лично" предоставляет то, что есть только у него, тем надежнее аутентификация и выше безопасность системы. Если не использовать смарт-карту, то в случае, если атакующий завладеет копией файла Notes ID, на его пути останется только зашифрованый пароль. Атакующий может взломать пароль методом прямого подбора или используя методы социальной инженерии. Более того, взлом может оказаться незамеченным, ни у кого не возникнет никаких подозрений.
Простое использование смарт-карт позволяет существенно уменьшить эти опасности. Взлом становится гораздо более сложным, поскольку возникает необходимость украсть карту или жетон, а с жетонами владельцы обычно не расстаются (и не сохраняют их на жестком диске компьютера с сетевым доступом, пока у владельца выходной). Более того, если смарт-карта все-таки украдена, она, как правило, блокируется при нескольких неудачных попытках ввести PIN1PIN - Personal identification number - личный идентификационный номер, хотя часто это не только цифры. Примеч. авт. (и деблокируется только администратором, если это вообще возможно). Исчезновение карты быстро обнаруживается, поскольку зависимые от нее системы останавливаются, как только становится необходимым ввести защищенные имя и пароль (например, при следующей попытке входа в систему или при следующем действии, связанном с шифрованием, - попытке аутентификации, дешифровки или простановке электронной подписи). Следовательно, если все существующие копии конкретного Notes ID защищены смарт-картой, взлом будет очень маловероятным, и только если взломан будет сам файл.
В смарт-карту встроен микропроцессорный чип, выполняющий исключительно "аппаратные" операции шифрования и безопасное устройство хранения. "Аппаратные" здесь означает противоположность для "в памяти компьютера-хоста", поскольку к этой памяти обычно каким-нибудь образом может обращаться другой код, выполняемый на данном хосте. В безопасном устройстве хранения содержатся личные ключи и другие криптографические объекты, которые, как правило, смарт-карта не разрешает копировать пользователям или сторонним приложениям (а может быть, и вообще никому). (Другие хранящиеся здесь объекты могут быть названы общими, и смарт-карта может позволить их скопировать).
4.2 Установка смарт-карты
К сожалению, индустрия смарт-карт еще не устоялась: конкурирующие реализации от разных производителей, конкурирующие стандарты, несовместимые и конфликтующие реализации имеющихся стандартов и т. п. К счастью, стандарт RSA PKCS #11, Cryptographic Token Interface Standard, приобрел за последние несколько лет существенное значение, а это означает, что широко признаются и реализуются приложения, охватывающие разных производителей, и все связанные с этим преимущества Lotus Notes признает стандарт PKCS #11 и принимает участие в его развитии.
Хотя количество типов смарт-карт, напрямую протестированных компанией Lotus на совместимость с Notes, ограничено, все-таки работать должна любая смарт-карта с интерфейсом PKCS #11, поддерживающая минимальный набор функций, описанных версией 2.01+ этого стандарта2В частности, в документе данного стандарта "Conformance Profile Specification" описывает ся профиль больших приложений, "Large Applications Profile", и этот документ можно увидеть по адресу http://www.rsasecurity.com/rsalabs/node.asp?id=2_33. Примеч. авт .. Ограниченную функциональность могут обеспечивать смарт-карты с интерфейсом версии 2.0, но мы не рекомендуем использовать такие реализации. В Notes 6.0.1 поддерживаются смарт-карты с интерфейсом PKCS #11 "Protected Authentication Path" (встроенный интерфейс для ввода PIN или его эквивалент, например устройство чтения отпечатка пальцев). Сертификаты X.509, предварительно записанные на смарт-карту и играющие роль в реализации части функций стандарта3В частности, "RSA Asymmetric Client Signing Profile" спецификации "Conformance Profile Specification. Примеч. авт ., можно импортировать в ID-файл пользователя в Notes 6.0.2. Что касается Notes 7, то здесь смарт-карта, с которой связывается Notes, не обязательно должна находиться в первой позиции системы (первом "слоте").
Хотя инсталляция и функционирование смарт-карт усовершенствованы, они по-прежнему остаются сложными. Мы настоятельно рекомендуем, чтобы организации, заинтересованные в использовании смарт-карт, провели двойную оценку, при тестировании спланированной системы и в репрезентативном пилотном проекте, прежде чем приступать к широкомасштабному внедрению. Используйте тот же процесс и при обновлении драйвера смарт-карты.
Поскольку виды реализаций еще не устоялись, мы не описываем здесь таблицу совместимости с Notes. Мы советуем администраторам и архитекторам обращаться сначала к описанию (Release Notes) соответствующей версии Notes, которая используется клиентами. На рис. 4.1 показан пример файла Release Notes и его местоположение.
Чтобы включить смарт-карты в системе, установите драйверы от производителя, включая интерфейс PKCS #11, если он устанавливается дополнительно. Более того, если вы не применяете смарт-карту, уже сконфигурированную для немедленного использования, инсталлируйте все инструменты, необходимые для повседневного применения смарт-карт. Например, для инициализации PIN может понадобиться импорт учетных данных Х.509.
увеличить изображение
Рис. 4.1. Таблица поддержки смарт-карт в базе данных Release Notes клиента Notes
Чтобы зарегистрировать смарт-карту клиентом Notes, в диалоговом окне User Security (Безопасность пользователя) установите связь с картой, выбрав пункт Your Identity (Ваш идентификатор) YourSmartcard (Ваша смарт-карта), как показано на рис. 4.2 [для доступа к окну User Security в клиенте Notes выберите пункт File (Файл) Security (Безопасность) UserSecurity (Безопасность пользователя)]. Для работы смарт-карты необходимо, чтобы смарт-карта была вставлена в разъем рабочей станции, и система должна иметь возможность найти двоичный библиотечный файл, который соответствует интерфейсу PKCS #11 (в Windows это DLL). Как правило, эту библиотеку предоставляет производитель смарт-карты и помещает ее в директорию двоичных файлов системы (в Windows - system32). Указать файл можно при помощи специального диалогового окна, которое открывается в клиенте Notes, когда пользователь переходит к данной панели, или при помощи кнопки Configuration Details (Информация о конфигурации) на этой панели. После указания библиотеки Notes запрашивает у карты идентификационную информацию и информацию о возможностях карты, после чего отображает ее в соответствующих полях (например, как показано в полях, обведенных на рис. 4.2). Если эта операция прошла успешно, значит, взаимодействие между Notes и смарт-картой может продолжаться.
увеличить изображение
Рис. 4.2. Панель конфигурации смарт-карты в диалоговом окне User Security (Безопасность пользователя)