Новая технология онлайновой аутентификации, разработанная исследователями лаборатории Bell Labs фирмы Lucent Technologies, наконец-то создает перспективу реализации подлинно однопарольного доступа к различным ресурсам корпоративной информации. Помимо этого она может усилить уровень безопасности аналогичных однопарольных механизмов идентификации, разрабатываемых участниками проекта Liberty Alliance и корпорацией Microsoft.
ПО под названием Factotum (что переводится как “доверенный слуга”) уникально в том отношении, что вся информация, по которой осуществляется авторизация пользователей, хранится в сети и в любое время может использоваться для доступа с помощью ПК или других устройств. Клиентские системы для хранения имен пользователей и паролей при этом не требуются.
По словам разработчиков Bell Labs, Factotum не конкурирует с Microsoft Passport или решениями на базе спецификации Liberty Alliance, это ПО имеет такие функции и качества, которые делают его весьма привлекательной дополняющей технологией.
По словам разработчиков, продукт Factotum, первоначально написанный для ОС Plan 9 самой Bell Labs, легко переносится на другие платформы, в том числе Windows, Solaris, Linux и Unix.
ПО состоит из двух компонентов - Secure Store и собственно Factotum. При первоначальной настройке сервисов пользователь вводит в Secure Store свои различные имена и пароли для часто посещаемых Web-сайтов. Эти данные защищаются по технологии Advanced Encryption Standard и затем сохраняются в сети.
Для извлечения этих данных пользователь вводит пароль в ПО Factotum, действующее на его клиентской системе. Используя разработанный Bell Labs новый протокол под названием Password Authenticated Key Exchange, ПО восстанавливает запрашиваемый ключ из сети.
Ключи, оказавшиеся на пользовательском ПК, сохраняются не на жестком диске, а в оперативной памяти и поэтому удаляются при выключении ПК.
“Что мне здесь показалось интересным и даже уникальным, так это подход к проблеме безопасности, в котором как бы нет корня”, - сказал Дэвид Никол, профессор компьютерных наук Дартмутского колледжа (Хановер, шт. Нью-Гемпшир) и директор по исследованиям и разработкам Дартмутского исследовательского института по технологиям безопасности.
По его словам, в новом подходе пользователь имеет право модифицировать ключи, но кроме него - никто. При этом пользователь делегирует свои права агенту.
Bell Labs в августе предоставила это ПО для свободного копирования через Интернет. Продавать его компания не планирует.
“Самое главное, наша схема не требует больших работ по развертыванию, - говорит Эрик Гросс, директор Bell Labs по исследованиям для вычислительных сетей. - Вы можете ввести ее в действие на уровне отдела, а потом постепенно расширять сферу применения”.
Специалисты по безопасности рассматривают Factotum как первый шаг в разумном направлении.
“Заложенные в ПО концепции очень полезны, - считает Арвинд Кришна, вице-президент по инструментам безопасности группы Tivoli Software компании IBM. - Например, сохранение ключей только в оперативной памяти или использование сильной криптографии. Однако надо переходить на следующий уровень и наполнять Web-сайты пользовательской информацией”.
Участники Liberty Alliance планируют использовать спецификацию Liberty для создания доверительной системы, благодаря которой пользователи смогут заносить свои идентификационные данные на многие Web-сайты без необходимости отдельной авторизации при входе на каждый из них.
Однако официальные лица Liberty от комментариев уклонились. Представитель Liberty Alliance сказал лишь, что важно работать над обеспечением возможностей взаимодействия в области сетевой идентификации и Web-сервисов.
Factotum устраняет пробелы в технологиях доступа
EWEEKLABS: ТЕХНИЧЕСКИЙ АНАЛИЗ
Не представляя особой угрозы для таких уникальных схем идентификации, как Microsoft Passport, новая технология Bell Labs фирмы Lucent Technologies, вероятно, сможет революционизировать методы безопасного доступа и управления системами и приложениями.
Созданный Bell Labs продукт Factotum - существенно более мощная, гибкая и распределенная реализация протокола удаленных подключений SSH (Secure Shell). Однако при этом Factotum далеко выходит за рамки SSH в смысле способа обработки криптокодирования и взаимодействия с системами и приложениями.
Factotum справляется с множеством ключей, большинством алгоритмов криптозащиты и поддерживает несколько методологий аутентификации. Он держит ключи в энергозависимой памяти, которые при инициализации должны извлекаться из защищенного серверного хранилища. В традиционных же методах типа SSH ключи хранятся на самом клиенте, что является менее гибким и потенциально менее безопасным подходом.
Factotum имеет рациональный дизайн и поэтому легко интегрируется практически с любым приложением. Это дает возможность использовать единственный пароль и потенциально исключает нужду в многочисленных механизмах обеспечения безопасности.
Поскольку в Factotum нет механизмов обработки доверительных связей, это ПО не заменит такие системы управления идентификацией, как Passport или решения на основе спецификации Liberty Alliance. Однако продукт можно интегрировать в эти типы систем в качестве компонента.
Bell Labs недавно встроила Factotum в свою ОС Plan 9. Весьма вероятно, что дальнейшее внедрение Factotum начнется с защищенных операционных систем и других платформ с повышенной безопасностью, требующих надежных механизмов доступа.
