в начало  предыдущее  закрыть  следущее  в конец
141090, Московская область, г. Королев мкр.Юбилейный, ул. Ленинская, д.4, пом.7
Телефон: +7(495) 589-99-53, e-mail: support@lissi.ru

Понедельник, 27 Апреля 2015 г.
Аутентификации в ОС семейства «Linux» с использованием смарт-карт или USB-токенов на базе российской криптографии

Для аутентификации в ОС семейства «Linux» используется PAM-модули (pluggable authentication modules - подключаемые модули аутентификации).

В настоящее время все более широкое распространение получают программно-аппаратные и аппаратные (например, mToken GOST, MS-key K, eToken ГОСТ, ESMART Token ГОСТ и др.) средства криптографической защиты информации (СКЗИ) на базе смарт-карт и USB-токенов с поддержкой российской криптографии (ГОСТ Р 34.11-94/ГОСТ Р 34.11-2012, ГОСТ Р 34.10-2001/ГОСТ Р 34.10-2012, ГОСТ 28147-89). Все это делает возможным осуществить двухфакторную аутентификацию пользователей по личным сертификатам пользователей, хранящихся на смарт-картах или USB-токенах (далее просто носитель). Наличие личного сертификата предполагает хранение на носителе не только сертификата, но и ключевой пары (закрытого ключа).

Для этих целей, специалистами ООО «ЛИССИ-Софт» разработан PAM-модуль pam_p11_gost . Аутентификация происходит следующим образом:

  • на носителе выполняется поиск личного сертификата пользователя;
  • через PAM производится запрос PIN-кода к токену;
  • если аутентификация на токене прошла успешно, то производится подпись случайных данных с помощью закрытого ключа с носителя. Сама подпись выполняется на СКЗИ;
  • полученная электронная подпись проверяется с помощью публичного ключа (ключа проверки электронной подписи) из сертификата пользователя.

Если проверка подписи прошла успешно, то модуль говорит наружу, что все хорошо.

Модуль pam_p11_gost поддерживает работу ключевых пар ГОСТ Р34.10-2001, а также ГОСТ Р 34.10-2012 с длиной открытого ключа как 512, так и 1024 бита, генерируемых на программно-аппаратных и аппаратных СКЗИ, поддерживающих интерфейс PKCS11 с учетом требований и рекомендаций технического комитета по стандартизации «Криптографическая защита информации» (ТК 26).

Для того, чтобы аутентификация проходила с использованием смарт-карт и/или USB-токенов необходимо установить модуль pam_p11_gost в в /lib/security/, а сертификат пользователя в формате PEM добавить в файл доверенных сертификатов ~/.eid/authorized_certificates.

Все приложения, требующие аутентификации, должны иметь одноименный файл в каталоге /etc/pam.d, в котором должны быть указаны модули, с помощью которых производится аутентификация и прочие действия.

Рассмотрим применение модуля pam_p11_gost на примере аутентификации в консольном приложении login и графическом приложении kdm.

Для примера, посмотрим на афайл конфигурации для приложения login в ОС Mageia-4.1:

#%PAM-1.0

auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so

#Подключен модуль pam_p11_gost с библиотекой libls_rtpkcs11ecp.so

auth required pam_p11_gost.so /usr/local/lib/libls_rtpkcs11ecp.so

#Родная аутентификация отключена - закомментирована

#auth include system-auth

account required pam_nologin.so

...

Все что потребовалось от нас это закомментировать строку с родной аутентификаций и добавить строку модулем pam_p11_gost. В качестве параметра для данного модуля указывается путь к библиотеки PKCS11 для данного носителя. В нашем примере мы используем программно-аппаратный токен LS_RTPKCS11ECP с поддержкой ГОСТ Р34.11-94/ГОСТ Р 34.11-2012, ГОСТ Р34.10-2001/ГОСТ Р 34.10-2012, ГОСТ 28147-89, в котором в качестве носителя может использоваться токен ruToken Lite.

Теперь после ввода Login пользователю будет предложено ввести Pin-код (Password) для токена/смарт-карты :

VOrlov login:a513

Password for token ruToken Lite:

-bash-4.2$

Аналогично правится файл и для графического приложения kdm:

#%PAM-1.0

auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so

#Подключен модуль pam_p11_gost с библиотекой librtpkcs11ecp.so

auth required pam_p11_gost.so /usr/local/lib/librtpkcs11ecp.so

#Родная аутентификация отключена - закомментирована

#auth include system-auth

account required pam_nologin.so

...

В данном примере мы используем аппаратный токен ruToken ECP, с поддержкой ГОСТ Р34.11-94, ГОСТ Р34.10-2001 и ГОСТ 28147-89.

Перед вводом Login не забудьте вставить токен/смарт-карту в USB-разъем/карт-ридер.

PAM-модуль pam_p11_gost разработан на базе проекта LCSSL и ПБЗИ СКЗИ «ЛИРССЛ».

Специалисты ООО «ЛИССИ-Софт» готовы разработать PAM-модули аутентификации по требованиям заказчика.



Вернуться в архив новостей
Метки: pam_p11_gost.
© 2011-2017. ООО «ЛИССИ-Софт». Все права на материалы, находящиеся на сайте, охраняются в соответствии с законодательством РФ. При любом использовании материалов сайта, ссылка на источник обязательна.
Торговые марки, логотипы и марки услуг, размещенные на данном сайте, являются собственностью ООО «ЛИССИ-Софт».
Телефон: +7(495) 589-99-53, e-mail: support@lissi.ru