Сравнение технологий PKI и FIDO для задач аутентификации

В настоящее время многие заказчики выбирают использование строгой аутентификации для своих пользователей при помощи аппаратных токенов и смарт-карт.

В портфеле продуктов Рутокен эту задачу выполняют два класса аутентификаторов — Рутокен ЭЦП и Рутокен MFA. В их основе лежит использование ассиметричной криптографии, но применяются разные схемы аутентификации — PKI и FIDO. Обе технологии обеспечивают конфиденциальность, целостность и доступность аутентификационных данных, а также защиту от фишинговых атак и защиту от атак Man-in-the-Middle.

Но, они имеют существенный ряд технологических различий между собой и возникает вопрос, какие устройства лучше подходят для конкретной задачи?

В данной статье мы сравним технологии между собой по нескольким критериям.

Технология PKI (Public Key Infrastructure, рус. Инфраструктура открытых ключей) — универсальная технология, предназначенная для обеспечения безопасности в любых информационных системах. PKI используется в задачах аутентификации, шифрования данных, электронной подписи.

Схема PKI позволяет проводить взаимную аутентификацию пользователя и сервиса, сервиса с сервисом или устройства с устройством. Она используется в различных технологиях и протоколах на разных уровнях модели OSI (The Open Systems Interconnection model):

  • на канальном уровне при подключении устройства к Wi-Fi точке доступа;
  • на сетевом при построении VPN между территориально распределенными объектами;
  • на транспортном при организации защищенного доступа к веб-ресурсам по протоколу TLS;
  • на сессионном при двухфакторной аутентификации пользователя в операционную систему.

Применительно к пользовательской аутентификации, PKI позволяет проводить одностороннюю и взаимную аутентификацию. Сертификаты могут использоваться не только для взаимной проверки пользователя и ресурса, но и для создания защищенного канала связи, обеспечивая защиту от атак Man-in-the-Middle.

Технология FIDO (Fast Identity Online, рус. Быстрая онлайн-идентификация) предназначена для обеспечения безопасности пользователей при доступе к веб-ресурсам.

Механизмы FIDO работают на уровне приложения (например, браузера или другого прикладного ПО) и полагаются на использование протокола TLS для защиты каналов связи. Ассиметричная криптография применяется для аутентификации пользователя перед ресурсом. Подлинность ресурса подтверждается другими инструментами, такими как:

  • сверка доменного имени, полученного при регистрации ключа и того, что видит пользователь в браузере при аутентификации;
  • наличие доменного имени в белом списке (механизм Enterprise Attestation);
  • счетчик проводимых операций.

Благодаря хранению дополнительных метаданных об учетной записи на конкретном ресурсе, таких как имя и идентификатор учетной записи, идентификатор ресурса и т. д., FIDO может обеспечить беспарольную аутентификацию, в т. ч. позволить отказаться от ввода логина.

Технология PKI активно используется уже более 30 лет. Она хорошо изучена, не имеет критичных недостатков в области безопасности и широко распространена в корпоративных и государственных информационных системах

Первая версия набора стандартов FIDO2 была представлена в апреле 2018г. FIDO2 включает в себя Протокол веб-аутентификации (WebAuthn), разработанный в сотрудничестве с консорциумом W3C (World Wide Web Consortium), и протокол Client to Authentificator Protocol (CTAP). Создатели стандарта стремились привнести безопасность строгой аутентификации, обеспечив, при этом, максимально широкую совместимость с пользовательскими устройствами и убрав сложности администрирования PKI схемы. Спецификации, входящие в стандарт, активно дорабатываются и модернизируются, добавляя новые функциональные возможности, такие как поддержка пальцевой биометрии, расширенных политик PIN-кода и многие другие.

Из-за относительной новизны стандарта многие старые технологии, например, Kerberos, не умеют с ним работать.

Вместе с этим стандарт FIDO подходит для федеративной аутентификации (см. далее Windows Hello for Buisness), что позволяет использовать его в ряде сценариев корпоративной пользовательской аутентификации.

Постепенно растет количество дополнительных сценариев, работающих с технологией FIDO:

  • использовать FIDO-устройства в качестве аутентификатора в различие сервисы с помощью инфраструктурных систем класса Identity and Access Managment; в том числе и с мобильными приложениями соответствующих систем;
  • аутентифицировать пользователя в локальные учетные записи ОС семейства Linux через модуль pam-u2f;
  • шифровать содержимое жестких дисков с помощью LUKS;
  • хранение ключей для SSH;
  • использовать TPM модуль рабочей станции, как средство хранения ключа FIDO для ОС Windows и macOS (FIDO Platform Autenticator).

Технология PKI использует сертификаты как для аутентификации пользователей, так и для аутентификации устройств.

Технология FIDO изначально разрабатывалась именно для аутентификации пользователей. Она в обязательном порядке требует интерактивных действий от пользователя, таких как ввод PIN-кода, нажатие на кнопку или прикладывание пальца для считывания отпечатка.

В основе PKI лежит принцип доверия третьей стороне — Центру регистрации или Удостоверяющему Центру (УЦ). Два и более участников процесса аутентификации должны доверять третьей стороне. Несколько подчиненных УЦ могут доверять корневому, образуя цепочку доверия. Такая иерархическая модель имеет крайне высокую масштабируемость, позволяющую объединить в один контур сотни тысяч устройств и пользователей.

Устройство FIDO использует принцип Challenge-Response на основе открытого-закрытого ключа для взаимодействия с конкретным ресурсом. По сути, это является аналогом самоподписанного сертификата в PKI. Каждый ресурс хранит базу открытых ключей зарегистрированных пользователей.

В технологии FIDO существуют два инструмента проверки пользователя и ресурса для корпоративных заказчиков:

  • Расширение Attestation позволяет проверить, что пользователь использует настоящее физическое устройство, выпущенное конкретным производителем, а не подделку или эмулятор. Для этого используется отдельное удостоверение, подписанное закрытым ключом производителя устройства.
  • Расширение Enterprise Attestation позволяет ограничить на стороне устройства список конкретных ресурсов, на которых будет проверяться удостоверение аттестации. Данный список записывается производителем на устройства по просьбе конкретного заказчика.

Таким образом, FIDO является менее масштабируемым, чем PKI.

Потенциальное решение проблемы масштабирования предлагает один из разработчиков стандарта — корпорация Microsoft, за счет технологии Windows Hello For Business, призванной решить проблему децентрализованной привязки ключей безопасности к разным ресурсам.

Технология Windows Hello For Business построена на основе федеративной аутентификации, привычной для корпоративных заказчиков. Пользователь может пройти аутентификацию в облачном провайдере идентификации (idP) Azure Active Directory, который обеспечит безопасный доступ на другие ресурсы по протоколу OpenID Connect + oAuth 2.0.

В архитектуре решений класса Identity and Access Management сейчас активно распространена концепция федеративной аутентификации. Она позволяет увеличить уровень масштабирования стандарта FIDO2 и при этом упростить администрирование системы.

PKI и FIDO подразумевают разную концепцию управления ключевой информацией.

В PKI администрированием ключевой информацией может заниматься как пользователь, так и администратор системы. В России большинство корпоративных заказчиков ограничивают возможность администрирования ключевой информацией у пользователя.

В FIDO процедура привязки устройств и создания ключей передано пользователю.

Обслуживание PKI требует соблюдения различных процедур, таких как:

  • обеспечение процедуры выдачи сертификатов сотрудникам и устройствам;
  • контролем срока жизни пользовательских и машинных сертификатов и необходимостью своевременного их обновления;
  • доступностью УЦ и способов проверки валидности сертификатов (CRL, OSCP);
  • необходимостью постоянного или временного отзыва сертификата, например, в случае увольнения сотрудника или утери токена;

Базовые сценарии FIDO администраторам обслуживать существенно проще. Процедуры добавления и удаления ключа для пользователя максимально упрощены. Однако, в настоящий момент, систем управления жизненным циклом FIDO-аутентификаторов в мире существенно меньше, чем аналогичным систем для PKI.

Внедрение PKI является многоэтапным. Необходимо:

  • Развернуть один или несколько УЦ;
  • Настроить инструменты работы с отозванными сертификатами;
  • Произвести интеграцию с целевыми системами;
  • Передать ключевую информацию пользователям безопасным способом;
  • Разработать схему миграции с парольной аутентификации на аутентификацию с сертификатами.

Внедрить FIDO достаточно просто. Для этого нужно на стороне ресурса настроить поддержку стандарта WebAuthn, который реализует всего две операции — регистрацию и аутентификацию пользователей. Сделать это можно с помощью готовых библиотек на стороне веб-ресурса или, если требуется доступ в различные сервисы, воспользоваться IAM-системой.

Сводная таблица сравнения технологий PKI и FIDO

Сервис, система, протокол и т. д. Рутокен ЭЦП
технология PKI		 Рутокен MFA
технология FIDO
Доменная аутентификация (Active Directory, SambaDC, FreeIPA и т. д. )

PKI является одним из двух доступных методов аутентификации для Kerberos наравне с паролем, обеспечивая при этом более высокий уровень защищенности.

FIDO не поддерживается нативно для доменной аутентификации.

Необходимо использовать систему класса Identity and Access Management с поддержкой стандарта FIDO.
Поддержка IAM-системами

Рутокен ЭЦП поддерживается IAM-системы для большинства сценариев.

Рутокен MFA поддерживается IAM-системами для аутентификации в ресурсы по современным протоколам федеративной аутентификации (Open ID Connect +oAuth, SAML).
Подключение к Wi-FI точке доступа

Поддерживается (EAP-TLS)

Не поддерживается
Подключение через VPN-клиент

Поддерживается хранение ключей на USB-токене\смарт-карте

Не поддерживается
VDI и системы виртуализации

Доступ виртуальной машины к токену\смарт-карте требует поддержки работы с CCID-устройствами. Большинство современных гипервизоров работают с CCID-устройствами.

Возможность аутентификации в интерфейс системы виртуализации по смарт-карте распространен в зарубежных решениях (Citrix, Microsoft, VMWare), но только начинает развиваться в российских решениях.

Рутокен MFA представляет собой USB-HID устройство. Все современные гипервизоры работают с USB-HID устройствами.

Возможность аутентификации в интерфейс системы виртуализации есть в ряде зарубежных решений (Citrix Microsoft) и отечественных при использовании IAM-систем (Termidesk, Скала-Р).
Удаленный доступ по SSH

Поддерживается.

Аутентификация по SSH использует схему, где закрытый ключ хранится на токене\смарт-карте, а открытый ключ — на сервере.

Поддерживается.

Аутентификация по SSH использует схему, где закрытый ключ хранится на токене\смарт-карте, а открытый ключ — на сервере.
Удаленный доступ по RDP (Remote Desktop Protocol)

Поддерживается для входа в учетные записи.

Рутокен ЭЦП прокидывается на удаленный рабочий стол.

Поддерживается только в гибридном облаке Azure Active Directory.

Рутокен MFA прокидывается на удаленный рабочий стол.
Системы класса PAM (Privileged Access Management)

Поддерживается для защиты входа администраторов через web-интерфейс. Требуется использовать специальный плагин.

Поддерживается для защиты входа администраторов через web-интерфейс.
Веб-ресурсы

Поддерживается.

Требуется использование специального плагина для браузера.

Поддерживается нативно, если ресурс имеет поддержку WebAuthn.
Windows Hello для входа локальную учетную запись Windows

Не поддерживается

Не поддерживается
Windows Hello for Business для входа в доменные сервисы

Поддерживается

Поддерживается
  • Сценарий является рекомендуемым у большинства производителей.

Выводы

Обе технологии PKI и FIDO применяются для задач пользовательской аутентификации, имеют свои преимущества и недостатки. Выбирать используемые устройства необходимо исходя из конкретных сценариев применения многофакторной аутентификации, сложности обслуживания и внедрения. Какую бы технологию вы не выбрали, Компания «Актив» готова предложить своим заказчикам наиболее совершенные аппаратные аутентификаторы на российском рынке.

Продукты
Все продукты
Сертифицированная продукция
Заказные разработки
Проекты
Крупные внедрения
Заказная продукция
Решения
Интеграция с продуктами ИБ
Интеграция с СПО
Технологии
Базовые технологии
Сферы применения
Совместимость
Модификации токенов
Партнеры
АНКАД
Технологические партнеры
Бизнес-партнеры
Удостоверяющие центры
Дистрибьюторы
Поддержка
Вопрос-ответ
Центр загрузки
Документация
База знаний
Форум
Разработчику
Комплект разработчика
Технологическая рассылка
Технологическое парнерство
Портал документации
Заказ
Цены и заказ
Демо-комплект
Брендирование
Условия поставки
Где купить
О компании
Пресс-центр
Руководство
Лицензии
Контакты
Для повышения удобства работы и хранения данных веб-сайт rutoken.ru использует файлы COOKIE. Продолжая работу с веб-сайтом, Вы даете свое согласие на работу с этими файлами.