ОСОБЕННОСТИ ПРИМЕНЕНИЯ КРИПТОГРАФИЧЕСКИХ СРЕДСТВ В ИНФОРМАЦИОННЫХ СИСТЕМАХ С МАНДАТНОЙ ПОЛИТИКОЙ УПРАВЛЕНИЯ ДОСТУПОМ.

Г. А. Черней, д. э . н. Национальный банк Молдовы

1. Формулировка проблемы

В информационных системах, особенно правительственных, в которых хранится и обраба-тывается критичная информация, политика безопасности основывается на мандатной (или мно-гоуровневой) политике безопасности (МПБ) [1]. Многоуровневая политика безопасности приня-та всеми развитыми государствами мира. В повседневном, секретном делопроизводстве у нас в стране принята эта же политика. В конце 70-х годов, когда были разработаны первые модели многоуровневого управления доступом в информационных системах, разработчики систем за-щиты информации пришли к выводу, что для больших, сложных систем именно подобного рода модели больше подходят для применения на практике.

2. Модель Белл-ЛаПадула (МБ-Л).

Основой многоуровневой политики является решетка ценностей. Пусть между двумя про-извольными объектами X и Y имеется информационный поток от Х к Y, где X -источник, Y - получатель информации. Если c(Y)>c(X), то это означает, что Y -более ценный объект, чем X.

Политика MLS считает информационный поток от Х к Y разрешенным тогда и только то-гда, когда c(Y)>c(X), т.е. Y секретнее чем X.

Таким образом, МПБ имеет дело с множеством информационных потоков в системе и де-лит их на разрешенные и неразрешенные очень простым условием. Однако эта простота касает-ся информационных потоков, которых в системе огромное количество. Поэтому приведенное выше определение неконструктивно.

В современных системах защиты МПБ реализуется через мандатный контроль Мандатный контроль еще называют обязательным, так как его проходит каждое обращение субъекта к объ-екту, если субъект и объект находятся под защитой системы безопасности. Организуется ман-датный контроль следующим образом.

Цель МПБ в сохранении секретности информации. Вопросы целостности при помощи этой политики не решаются или решаются как побочный результат защиты секретности. Вместе с тем, они могут быть противоречивы.

Модель Бел-ЛаПадула - это одна из первых моделей политики безопасности - и впоследст-вии наиболее часто используемой. Она была разработана для обоснования безопасности систем, использующих многоуровневую политику безопасности. Она построена для обоснования безо-пасности систем, использующих политику MLS. Материалы, в которых опубликована модель в 1976г., до сих пор недоступны, и поэтому в качестве самого близкого к оригиналу источника была принята работа J. McLean, опубликованная в 1987 году.

Когда процесс записывает информацию в файл, класс доступа которого меньше, чем класс доступа процесса, имеет место так называемый процесс записи вниз. Ограничение, направлен-ное на исключение нисходящей записи получило в модели Белл-ЛаПадула название свойства ограничения.

Модель Б-Л имеет два основных свойства:

  • свойство простой безопасности (ss-свойство): субъект может только читать объект, ес-ли класс доступа субъекта доминирует под классом доступа объекта. Другими словами, субъект может читать "вниз", но не может читать "вверх";

  • свойство ограничения (*-свойство): субъект может только записать в объект, если класс доступа субъекта доминируется классом доступа объекта. Субъект может запи-сывать "вверх", но не может записать "вниз".

Таким образом, при записи информационный поток опять не может быть направлен вниз. Исключение возможно только для доверенных субъектов, которым разрешено строить инфор-мационный поток вниз. При этом доверенность субъекта означает безопасность такого потока вниз (поэтому эти потоки считаются разрешенными). Сказанное выше означает, что безопасное состояние модели Белл-ЛаПадула поддерживает многоуровневую политику.

Таким образом, можно обобщая политику Б-Л можно отметить, что процесс не может ни читать объект с высшим классом доступа (свойство простой безопасности), ни записать объект с низшим классом доступа (свойство ограничения).

Управление доступом в модели Белл-ЛаПодула происходит с использованием матрицы управления доступом или меток безопасности во взаимосвязи с правилами простой безопасно-сти и свойства ограничения.

В дополнение к имеющимся режимам доступа чтения и записи модель включает режимы добавления, исполнения и управления - причем последний определяет, может ли субъект пере-давать другим субъектам права доступа, которыми он обладает по отношению к объекту. Управление при помощи меток безопасности усиливает ограничение предоставляемого доступа на основе сравнения атрибутов класса доступа субъектов и объектов.

В модели Белл-ЛаПадула определено около двадцати функций, выполняемых при моди-фикации компонентов матрицы доступа, при запросе и получении доступа к объекту, создании и удалении объектов: при этом для каждой функции доказывается сохранение ею, в соответст-вии с определением, безопасного состояния.

3. Анализ возможности применения многоуровневой модели безопасности в современных системах, основанных на криптографии

Таким образом, видим, что многоуровневая политика безопасности Б-Л направлена на ра-боту с маркерами безопасности.

Прорыв в области криптографии и множество криптографических решений, появившихся на рынке обусловили их внедрение в целях обеспечения безопасности информации на всех эта-пах ее жизненного цикла. Обычно для обеспечения конфиденциальности применяют шифрова-ние, для обеспечения целостности и невозможности отказа от действий – цифровую подпись. Для дискретных наборов данных, эти решения пользуются успехом. В случае, когда необходимо применение шифрования в сложной функционально-технологической системе возникают про-блемы, которые либо решаются с трудом, или вообще не решаются (в таком случае используют организационные методы, которые, как известно не настолько эффективны как технико-технологические).

Для систем с дискретной политикой доступа существуют проблемы разрешения и отмены прав доступа. Для файловой системы применяется отраслевой стандарт PKCS#7 [2], который позволяет реализовать контроль доступа по списку к конкретному объекту, но это только час-тично снимают проблему отмены прав.

Для многоуровневых систем управления доступом почти нереализуемо, а где это сделано, то ключи хранятся в доверительной компьютерной базе и на этих ключах информация шифру-ется, а аутентичность пользователя определяется на основе предъявленного пароля.

В классических моделях управления доступом отсутствует возможность обеспечения не-прерывности состояния аутентификации, т.е. при заданном пространстве предположений нельзя однозначно доказать, что субъект аутентифицирован во времени. Проецирование аутентифика-ционных признаков на множество признаков авторизации осуществляется через множество де-скрипторов безопасности, которые отражают состояние субъектов безопасности.

Применение механизмов шифрования информации представляется невозможным из-за не-обходимости реализации множественного доступа к зашифрованной информации, иначе каж-дый пользователь системы должен обладать ключом доступа к зашифрованной информации. Это достаточно опасно ввиду того, что вероятность компрометации ключа растет экспоненци-ально при увеличении количества пользователей, держателей ключа шифрования. Также суще-ствует проблема изменения ключа шифрования и синхронизации обновления старых ключей новыми.

В классических моделях мандатного управления доступом процесс проецирования прав на защищаемые субъекты осуществляется логически, на основе вывода (да/нет) об аутентичности субъекта. Это место является именно тем "узким" местом, которое разработчики информацион-ных систем и пытаются локализовать и устранить. В этих целях делается множество допущений и вводится понятие "доверительной компьютерной базы" (ДКБ) [3], цель которой - гарантиро-вать защищенность вычислений заданного пространства. Практика последних лет доказывает отсутствие гарантий в части обеспечения безопасности ДКБ. Это обусловлено, с одной стороны достаточно пространной доверительной моделью (что в свою очередь требует наличие множе-ства допущений в этой области), а с другой - отсутствием аутентичности процессов взаимодей-ствующих с ДКБ.

Возвращаясь к проблемам обеспечения конфиденциальности и целостности данных, с од-ной стороны и аутентичности субъектов, следует отметить, что необходимы комплексные ис-следования в области обеспечения непрерывности аутентичности субъектов в частности, и реа-лизации МПД с соответствующими правилами управления доступом.

На сегодняшний день в информационных системах с МПД шифрование возможно только на уровне системных сервисов, на ключе системы или при передаче для обеспечения конфиден-циальности сообщений на сеансовых или долговременных ключах (во всяком случае, не видится пока что никаких других решений).

Проблемами, которые необходимо решить при внедрении криптографии в системах, осно-ванных на МПД, являются следующие аспекты:

  1. В системе возможно применение одного ключа для каждого уровня секретности. Но пользователей может быть достаточно много. В этих условиях необходимо пере-дать ключ шифрования всем пользователям.

  2. Отмена прав доступа. В случае если у пользователя отбираются права доступа к ин-формационным ресурсам, необходимо изменить ключ шифрования, что часто - нере-ально, во-первых, потому, что пользователей достаточно много и необходимо решить проблему передачи ключей, а во-вторых, что еще важнее - необходимо расшифровать всю информацию на старом ключе и зашифровать на новом. В этих условиях необхо-димо найти эффективное решение, устраняющее данную проблему.

  3. Также необходимо решить проблему восстановления ключей, которая, в условиях всеобщего применения криптографических средств, принимает особую важность для владельцев информационных систем. Необходимость восстанавливать ключи шифро-вания обусловлена многими причинами. К ним можно отнести: увольнение сотрудни-ка, потеря ключа шифрования, разрушение носителя ключей и т.п.

  4. В соответствии с правилами МПД должны быть предусмотрены возможности управ-ления правами доступа пользователей к зашифрованным информационным ресур-сам.

На основе вышеизложенных фактов и выводов пришло понимание необходимости пере-осмысления как политики безопасности и основ архитектуры систем защиты информации, так и подхода к интеграции криптографических средств с традиционными методами управления дос-тупом в информационных системах.

4. Описание Модели

В результате проведенных исследований, была разработана модель интеграции крипто-графических механизмов в информационных системах, основанных на МПД. Предлагаемая мо-дель аутентификации и управления доступом основывается на применение методов:

  • многоуровневого управления доступом;

  • инфраструктуры с открытыми ключами;

  • технологий восстановления ключей.

4.1. Многоуровневые модели управления доступом

Выше уже были уже достаточно подробно рассмотрены необходимость и предпосылки использования многоуровневых политик управления доступом, которые основываются на поли-тиках управления доступом реального мира.

4.2. Инфраструктура с открытыми ключами

Инфраструктуры с открытыми ключами становятся на сегодняшний день самыми распро-страненными моделями управления безопасностью информационных систем. Здесь имеются и управление ключами шифрования и цифровой подписи, присутствуют уже отработанные стан-дартные протоколы как аутентификации, так и безопасности и т.п. Механизмы обеспечения безопасности, основанные на ИОК интегрированы практически с большинством сетевых реше-ний удаленного доступа к данным. Ввиду этого целесообразно использовать уже имеющиеся средства и развивать только отсутствующие элементы.

4.3. Технологии восстановления ключей

Сочетание "восстановления ключей", часто ассоциируется с технологиями Clipper или TSERERA. Действительно, идею использования технологий восстановления ключей мы переня-ли именно от названных технологий, и следует отметить, что это решение, цель которой - полу-чении доступа к зашифрованной информации, рассматривается нами наоборот - применение в целях разделения доступа.

Рассмотрим коротко технологию восстановления ключей и одну из моделей, лежащих в их основе.

На сегодняшний день существует несколько схем, позволяющих восстановить утерянные ключи. По суди дела, проблема восстановления ключей сводится к следующему: разработать схему управления секретными ключами, которые ответили следующим условиям:

  1. в системе n участников;

  2. любые m<=n участников могут собраться вместе для того, чтобы получить достовер-ный ключ для расшифрования информации;

  3. ни в коем случае, если вместе собралось m–1 участников, они не смогут получить достоверный ключ и не смогут прочесть конфиденциальную информацию.

Обозначим такую схему через: S(n,m), где n – общее количество участников, m – мини-мальное количество участников, которые должны собраться вместе для того, чтобы получить достоверный ключ и прочесть конфиденциальную информацию.

Рис. 1. Схема процесса распределения секретного ключа ме-жду двумя участниками S(2x2).

Представленная на рис. 1 схема – это схема распределения секретных ключей двум дер-жателям и, чтобы они только вместе смогли восстановить искомый ключ, т.е. у нас схема S(2,2).

Соответственно, схема имеет три этапа:

1-й этап. Это этап генерации искомого ключа и формирования «частей» ключей.

На данном этапе дилер D имеет секретный ключ S, который он хочет передать двум уча-стникам, но таким образом, чтобы они, только собравшись вместе, смогли его прочесть. Цель данного этапа состоит в разделении секретного ключа таким образом, чтобы обе части зависели друг от друга и в то же время, имея одну часть нельзя было вычислить другие.

2-й этап. На данном этапе части ключей раздаются участникам, и они их безопасно хра-нят.

3-й этап. Фаза реконструкции, или совмещения частей и восстановления искомого ключа.

На данном этапе держатели ключей собираются вместе, совмещают свои ключи, и полу-чают искомый ключ для расшифровки сообщений.

Мы рассмотрели именно схему два на две не случайно, хотя она может быть любой раз-мерности. Причина выбора схемы 2х2 в том, что именно такая схема используется в проекте Clipper. Не будем здесь вдаваться в подробности необходимости Clipper и т.п., т.к. это уже дру-гая тема, а рассмотрим подробнее, как эта технология работает.

Каждый ключ чипа Clipper (K и очевидно длиной в 64 бита) делится на две части (К1 и К2) таким образом, что K1 xor K2 = K. Это как раз соответствует требованиям схемы распределе-ния частей ключа размерностью 2х2. Каждая по отдельности агентство не сможет получить ис-комый ключ и только собравшись вместе они смогут это сделать. Следует заметить, что разде-ление ключа на части не должно уменьшить криптостойкость искомого ключа. Это означает, что ни одному из участников не должны быть известны даже часть исходного ключа, иначе возможна атака прямым перебором на оставшуюся часть ключа.

Каким образом можно разделить ключ на части, таким образом, чтобы, выдавая секрет не выдавать его? Одним из вариантов может быть следующим: пусть ключ К лежит в диапазоне (0;Р-1), где Р - большое простое число. Для разделения ключа К на части, следует выбрать слу-чайным образом первую часть К1, так, что К1 лежит в интервале (0; Р-1). К2 вычисляется сле-дующим образом: К2 = К - К1 mod P.

Для восстановления К вычисляется: К= K1 + K2 mod P.

На практике могут быть использованы и другие методы, но мы остановились именно на этом ввиду того, что в современных системах защиты, основанных на применении цифровой подписи используется математика больших чисел в полях Галуа. Это означает, что с тем же ус-пехом можно применить эти механизмы и в целях управления частями ключей, когда это необ-ходимо.

Могут разработаны схемы восстановления ключей различной размерности, но для пред-лагаемой модели достаточно размерности 2х2.

На сегодняшний день применяется несколько, отличающихся от представленной здесь схемы, но как уже отмечалось, практический характер описанной выше в использовании стан-дартных, имеющихся в современных криптографических библиотеках процедурах работы с большими простыми числами.

4.4. Мандатный контроль доступа и шифрование

В качестве управляющего звена, в модели вводится понятие органа авторизации, цель ко-торого - управление авторизацией пользователей. В качестве основы для доверительной модели принимается, что центр авторизации имеет высший приоритет и обладает всеми правами на ав-торизацию пользователей и заслуживает полного доверия. Центр авторизации является органом, в котором хранятся в защищенном виде пароли доступа к данным, находящихся на серверах системы.

Описание модели.

В системе используется только один ключ шифрования для информации определенного уровня секретности. Это означает, что сервер использует по одному ключу для шифрования каждого уровня секретности, т.е., если в системе существует 4 уровня доступа, то используется 4 ключа - по одному для каждого уровня. При этом, на сервере ключи как таковые не хранятся, а формируются в момент обращения к данным. На рис. 2 представлена концептуальная схема протокола.

Предполагается, что предварительно участники системы становятся клиентами инфра-структуры с открытыми ключами и получают сертификаты публичных ключей (на рисунке эти связи выделены прерывистой линией).

Рис.2. Концептуальная схема криптографического протокола безопасности реализации мандатной политики доступа

  1. На первом этапе пользователь обращается к центру авторизации, аутентифицируется, осуществляет передачу (на основе открытого распределения ключей Диффи-Хеллмана) ключа шифрования, который он будет использовать для доступа к зашифрованным данным.

После аутентификации и получения сеансового ключа, центр авторизации принимает в ка-честве базового ключ, полученный при открытом распределении (К1), и генерирует вторые час-ти ключей для каждого уровня доступа к которому пользователь имеет доступ (К11, К12, К13 и т.п.) на основе операций над К и К1.

Далее центр авторизации формирует на основе таблицы уровней доступа и сгенерирован-ных ключей билет авторизации, в котором указываются все необходимые атрибуты безопасно-сти. Структура билета авторизации следующая:

,

где:

ATID - уникальный номер билета авторизации, который позволяет его идентифицировать

UDN - идентификатор пользователя, уникальный

Ts - время формирования билета авторизации

Te - срок жизни билета авторизации

CL - уровень допуска пользователя

- набор соответствующих подключей, производных от К и К1 для ка-ждого уровня доступа, зашифрованных на публичном ключе шифро-вания сервера

2. Вторым шагом пользователь обращается к серверу с секретной информацией, аутенти-фицируется и передает ему сеансовый ключ, используя для передачи следующий метод

,

После этого пользователь на переданном ключе шифрует все дальнейшие сообщения.

3. После этого, сервер обращается к центру для получения билета авторизации в котором указаны все необходимые данные для определения уровня доступа и вторые части ключей, получает билет авторизации.

4. На этом шаге центр возвращает билет авторизации и список отмененных билетов и подтверждение, что конкретный билет действителен.

5. Сервер формирует искомые ключи для доступа к зашифрованной информации и про-должает сеанс связи в защищенном режиме.

6. Нормальный обмен данными.

Для управления правами доступа пользователей, центр авторизации выпускает списки от-мененных билетов (или стоп-лист билетов), которые имеют следующую структуру:

,

где Т - это метка времени включения билета в ATRL;

R - код причины по которой билет отменен.

Таким образом, есть возможность реализовать мандатную политику безопасности, шифро-вать информацию, и при этом администратор безопасности системы имеет возможность управ-лять доступом в любой момент времени.

Расширение модели Б-Л

На практике очень часто необходимо управлять доступом не только горизонтально, но и вертикально (т.е., когда информация разделяется на эшелонах - например, по направлениям дея-тельности). В таком случае, модель легко может быть расширена с учетом подобного рода тре-бований. В таком случае, пользователь, для реализации сеанса будет использовать один ключ, в билетах авторизации будут зашифрованы соответствующие половины ключей для доступа к информации, соответствующей уровню доступа пользователя, соответствующих эшелонов.

Отличие модели от широко известной системы Kerberos.

Легко заметить, что предложенная модель, в некоторой степени, похожа на модель систе-мы Керберос, которая также предполагает наличие сервера авторизации, билеты авторизации и т.п.

Хотелось бы отметить отличия, которые, в конечном итоге определяют и функциональ-ность систем, построенных на их основе.

Керберос является распределенной моделью аутентификации участников аутентифициро-ванного обмена данными и распределения сеансовых ключей.

Целью предложенной модели - реализация управления доступом к шифрованной, конфи-денциальной информации с обеспечением аутентичности пользователей на основе применения криптографических аутентификаторов, без компрометации ключей шифрования информации. Главное достоинство модели - обеспечение сквозной аутентичности субъектов и возможность гибкого управления ключами шифрования системы.

Реализацию предложенной модели многоуровневого управления доступом можно приме-нить в государственных информационных системах, где доступ

Достоинства модели.

  1. облегчается управление правами доступа в соответствии с правилами МПД.

  2. ключ шифрования находится в открытом виде только в памяти сервера при реализации криптографических функций.

  3. Аутентичность пользователей проверяется не на основе логических выводов, а приме-нением криптографических функций, сила которых только в надежности хранения ключей.

Недостатки модели:

  1. В данном варианте решения при наличии большого количества серверов необходимо иметь по билету авторизации для каждого (хотя, практически эти ключи могут быть помещены в один билет).

  2. Сложность организационно-технологической архитектуры системы, но которая в принципе сопоставима со сложностью инфраструктуры с открытыми ключами.

  3. Не разработана до конца модель управления искомыми ключами шифрования инфор-мации на сервере (генерация новых ключей, перешифрование хранимых данным и др. моменты).

Применяемость. Предложенная модель может применяться в любых информационных системах, как коммерческих, так и государственных, подверженных повышенному риску и функционирование которых основывается на МПД.

5. Выводы и направления дальнейших исследований

Предложенная в работе модель, как легко заметить является пока что на стадии концепту-альной разработки. На сегодняшний день ведутся работы в направлении формализованного до-казательства его надежности с применением таких общепризнанных методологий, как логисти-ки BAN [5]. Также предполагается применение языка CAPSL (от Common Authentication Proto-col Specification Language), предложенного J. Millen [6], и который, в последнее время, все чаще, используется для доказательства надежности протоколов.

Известно, что область исследований, связанных с применением криптографических прото-колов, является достаточно сложной и растянутой во времени. Это связано не только с тем, что протокол не лишен недостатков, а еще с тем, что любое решение в этой области должно пройти проверку временем (достаточно вспомнить печально известный протокол Нидхэма - Шредера, ошибка в котором была найдена спустя почти 10 лет после его разработки). Поэтому мы осозна-ем, что только активное обсуждение и постоянные поиски возможных ошибок могут помочь в разработки действительно эффективного и надежного протокола безопасности.

К дальнейшим направлениям исследований автор видит следующее:

  1. Разработать детальную спецификацию протокола, в т.ч. форматов сообщений и струк-тур с целью обеспечения открытого интерфейса для взаимодействующих приложений.

  2. Применить логистику BAN для доказательства состоятельности протокола

  3. Детализировать и определить протоколы взаимодействия (протоколы аутентификации, обмена сообщениями и т.п.)

  4. Исследование возможности применения модели в распределенных средах обработки данных.

  5. Исследование возможности применения данной модели применительно к другим мо-делям многоуровневого управления доступом

По результатам исследований будет сделан специальный научный отчет, в котором де-тально будут доложены результаты. Примерные сроки окончания данных исследований - 1 квартал 2000 года.

Литература

1. Bell D.E., L.J. LaPadula. 1976. Secure computer systems: unified exposition and multics inter-pretation. Report MTR-2997 Rev. 1. AD A023 588. Bedford, Mass.: The Mitre Corporation.

2. PKCS #7: Cryptographic Message Syntax Standard. An RSA Laboratories Technical Note Version 1.5. Revised November 1, 1993.

3. Schokley W., Schell R. 1987. TCB subsets for incremental evaluation. AIAA/ASIS/IEEE third aerospace computer security conference: Applying Technology to Systems, 131-139. W.D.C.: Amenrican Institute of Aeronautics and Astronautics.

4. Kleinman P., Bernsteing L. Secret Sharing Schemes. Lecture Notes. 1995. 35 p.

5. Burrows M., Abadi M., Needham R., A Logic of Authentication, ACM Transactions on Com-puter Systems, 8(1), (1990) 18-36.

6. Millen J., CAPSL - Common Authentication Protocol Specification Language, (1997), http://www.mitre.org/research/capsl.