Geekly articles weekly

Biometria com a chave Rostelecom: como o FSB lançou a criptografia russa pela primeira vez em lojas de aplicativos

Neste verão na Rússia, foi lançado o Sistema Biométrico Unificado para verificação juridicamente significativa e ao mesmo tempo simples da identidade do usuário. Sobre como está organizado, escrevemos em um post recente.

Para tornar o sistema conveniente de usar, você precisa de um aplicativo. A criação desta aplicação - “Rostelecom Key” - abriu para nós todo um nível de bônus com novas tarefas, novos desafios. Quais, como você pode imaginar, visam melhorar a segurança dos usuários.



Brevemente sobre o produto principal. Um único sistema biométrico permite o uso de uma combinação de dados biométricos para realizar a identificação remota legalmente significativa de uma pessoa sem sua presença pessoal. Assim, você pode obter um empréstimo bancário mesmo a partir de uma "profundidade de minério siberiano". Com a Internet, é claro.

Como o aplicativo funciona


Um usuário comum começa a trabalhar com o sistema com uma visita ao banco, onde envia dados biométricos para o Sistema Biométrico Unificado e os associa à ESIA . Depois disso, novas oportunidades se abrem para ele. Esquema do aplicativo de aplicação "Key Rostelecom":

  1. O usuário baixa o aplicativo "Key Rostelecom"
  2. O usuário abre o aplicativo do banco de interesse e seleciona o serviço.
  3. O aplicativo do banco envia o usuário ao aplicativo Rostelecom Key instalado, enquanto transmite o identificador da sessão através do canal de comunicação seguro para o banco.
  4. No aplicativo “Rostelecom Key”, o usuário efetua login na ESIA (em outras palavras, nos serviços do Estado) e recebe um token de autorização - ESIA-ID;
  5. No aplicativo "Rostelecom Key" com o ESIA-ID recebido, o usuário está entrando em contato com o Sistema Biométrico Unificado. Se o ESIA-ID estiver registrado lá, o aplicativo coleta biometria - grava um vídeo com o som de uma voz e uma imagem de rosto. Esses dados no canal seguro vão para o Sistema Biométrico Unificado.
  6. O sistema compara os dados obtidos com a amostra existente, determina a probabilidade de coincidência. Se o nível estabelecido pela ordem do Ministério das Comunicações for excedido (99,99%), a probabilidade será transferida para o banco.
  7. O banco recebe uma resposta e, se necessário, solicita informações adicionais sobre o usuário da ESIA via ESIA-ID. Ao mesmo tempo, os dados são transferidos diretamente entre a ESIA e os sistemas bancários.

Como tudo está protegido


A questão principal é, obviamente, a segurança dos dados. Todos os canais de comunicação entre os três sistemas em interação - ESIA, o Sistema Biométrico Unificado e o banco - são protegidos usando gateways TLS usando criptografia russa.

No aplicativo, o usuário pode comparar os parâmetros de certificado no sistema com os parâmetros de certificado publicados no site do Sistema Biométrico Unificado. Assim, você pode ter certeza de que a conexão é realmente com o Sistema Biométrico Unificado. O FSB recomenda uma comparação para descartar ataques intermediários quando todas as solicitações de usuários são interceptadas através do gateway TLS de um invasor.



Além disso, as somas de verificação do aplicativo e o módulo de proteção criptográfica são implementados. Isso acontece automaticamente quando você inicia o aplicativo, bem como manualmente a qualquer momento no menu Configurações e segurança. Se as somas de verificação não corresponderem, o aplicativo será desativado e funcionará offline até que o problema seja resolvido.



Como resultado, os mecanismos de segurança do Rostelecom Key não dependem do sistema operacional - suas próprias ferramentas de criptografia e controle de integridade estão vinculados ao aplicativo. No estágio de verificação, a substituição da biometria de outra pessoa falha - o sistema determinará a falsificação. Porém, devido a violações de segurança no lado do sistema operacional, em princípio, você pode alternar entre o usuário e o aplicativo e interceptar os dados transmitidos para autorização. Infelizmente, isso é possível, especialmente em dispositivos enraizados com cavalos de Tróia. Não podemos assumir responsabilidade pelo ambiente operacional. O aplicativo simplesmente determina a presença da raiz e não inicia se estiver.

Inicialmente, em termos de UX, tudo era muito complicado. O caminho do usuário no Rostelecom Key incluía 20 telas , 13 das quais relacionadas à segurança. Mas, depois de avaliar tudo isso do ponto de vista do UX, reduzimos essa parte para 3-4 telas . Esse progresso exigiu mais de uma discussão em diferentes níveis.

Gravidade da lei


O armazenamento e a transferência de dados biométricos na Rússia são regulados por vários atos:

  • Segurança de dados pessoais biométricos - Portaria do Banco da Rússia nº 4859-U de 9 de julho de 2018
  • Esta instrução refere-se à Ordem do Serviço Federal de Segurança da Rússia nº 378, de 10 de julho de 2014, que estabelece a necessidade de usar a proteção KC1, o que significa que requer o uso de criptografia russa para proteger o canal de comunicação entre o Sistema Biométrico Unificado e o dispositivo do usuário.
  • Ao usar a criptografia russa para certificação de decisões, o fornecimento da PKZ 2005 do FSB da Federação Russa exige que o FSB realize os chamados estudos de caso das soluções que estão sendo criadas.

Para passar na certificação, é necessário fornecer ao FSB informações completas sobre quais mecanismos de proteção são usados ​​no aplicativo, o que é assinado por quais funções e também os códigos-fonte não apenas do aplicativo em si, mas também de outros pontos de interação. Este procedimento não é regulamentado a tempo e resulta em enormes custos financeiros. Qualquer alteração no código do aplicativo bancário requer uma repetição do procedimento, o que é impossível com as liberações uma vez por trimestre e, mais ainda, uma vez por mês. Em geral, imagine quantas aplicações bancárias existem na Rússia. Parece um beco sem saída.

Mas encontramos uma saída para esse impasse. Ao trabalhar com o Rostelecom Key, os aplicativos bancários não interagem com a biometria, mas apenas recebem o identificador da sessão do usuário. Assim, os pedidos bancários não se enquadram no escopo da Diretiva Banco da Rússia.

Outro problema foi a contabilidade de instância obrigatória de aplicativos usando criptografia russa. Esse problema também foi resolvido - mediante autenticação bem-sucedida, o identificador do dispositivo e o ID do usuário ESIA são transmitidos ao sistema, o que permite ao servidor de registro identificar completamente o usuário e o dispositivo.

A primeira criptografia russa no Google Play e na App Store


Essa aventura não terminou aí. Do ponto de vista do FSB, o Google Play e a AppStore não são fontes confiáveis, e os aplicativos Rostelecom Key não podem ser distribuídos usando-os. Se você carregar o módulo SKZI (ferramenta de proteção de informações criptográficas) “Rostelecom Key” no aplicativo Rostelecom habitual de uma fonte confiável, os armazenamentos de aplicativos estarão contra ele. Porque esses esquemas são padrão para a distribuição de trojans ou spyware. E se o Google Play fosse nos encontrar, a AppStore recusaria categoricamente.

Teoricamente, existe outra abordagem - instalar o aplicativo a partir do servidor da Rostelecom. Mas então chegamos ao paradoxo: para instalar uma solução segura, os usuários precisam reduzir a segurança do ambiente, permitindo a instalação de aplicativos de qualquer fonte.

Passamos mais de uma semana discutindo com os órgãos reguladores como resolver o problema. E, no final, conseguimos concordar, obter permissão para distribuir através do Google Play e dos aplicativos da App Store com criptografia russa incorporada ao processo de trabalho.



Da análise fatorial à análise comportamental


Embora isso não se refira diretamente ao aplicativo Rostelecom Key, queremos falar um pouco mais sobre como os dados são verificados no Sistema Biométrico Unificado.

Cada fator biométrico individualmente - voz, rosto - pode ser falsificado. Portanto, adotamos uma abordagem "comportamental" mais complexa e confiável - analisamos os fatores juntos. Os usuários primeiro sorriem, depois viram a cabeça e finalmente pronunciam uma senha. Uma sequência relativamente complexa de ações que podem variar de acordo com o sistema. Quanto mais suspeitas ela tiver, mais complicado será o algoritmo. Um nível adicional de proteção é a necessidade de inserir um nome de usuário e senha para serviços públicos.

Ao analisar amostras biométricas, diferentes processadores biométricos com algoritmos fundamentalmente diferentes para gerar e verificar modelos de verificação são usados ​​simultaneamente. Se pelo menos um deles suspeitar de uma substituição, consideramos isso uma tentativa de hackear e enviar os dados para análise. Portanto, conhecer em detalhes os algoritmos de um ou mesmo de um par de processadores não será suficiente. No momento, infelizmente, isso pode levar a erros de verificação. Por exemplo, se uma pessoa mudou de voz, há pouca luz ou muito barulho ao seu redor. No entanto, é melhor estar seguro de qualquer maneira: quando surgir a menor suspeita de fraude, informamos o banco sobre isso.



Paralelamente, aplicamos abordagens de segurança bastante padrão - por exemplo, uma restrição no número de tentativas de login. Se o usuário sempre entrava no aplicativo a partir de Moscou e, de repente, uma solicitação vinha primeiro do Bangladesh e depois de Hong Kong. Tudo isso é uma ocasião para considerar o perfil comprometido.

Em princípio, o sistema permite identificar esquemas de fraude mais complexos, com a participação de funcionários do banco que coletaram dados biométricos. Se tais situações forem detectadas, bloqueamos o infrator por todos os bancos e outras organizações que usam o sistema. Em casos difíceis, você pode bloquear todas as biometrias coletadas pelo banco.

Quem está seguindo quem?


De acordo com as leis da Federação Russa, os dados biométricos (como qualquer outra informação do usuário) são transmitidos às autoridades investigadoras somente mediante solicitação oficial e por decisão judicial. Regras padrão se aplicam aqui.

Por padrão, o acesso ao Sistema Biométrico Unificado está disponível apenas para seu operador - Rostelecom. Os bancos e quaisquer outras organizações com as quais o usuário coopera não são fornecidos com dados biométricos - as organizações recebem apenas uma avaliação dos resultados da comparação, a probabilidade de a pessoa que está acessando seus aplicativos móveis corresponder à pessoa registrada no Sistema Biométrico Unificado.

Nem todos os bancos ainda estão integrados ao Rostelecom Key. Um sistema de autenticação biométrica não pode ser simplesmente implementado em vez de uma aparência pessoal. Refazer os processos nas costas dos bancos, levando em consideração os cheques de pontuação, não é uma tarefa trivial. É necessário organizar o processo para que o cliente possa escolher os serviços dos bancos de interesse antes mesmo de verificar a identidade.

Se você estiver interessado na funcionalidade do aplicativo, poderá avaliá-lo usando o modo de demonstração. O Rostelecom Key já está disponível no Google Play e em breve aparecerá na App Store.

Source: https://habr.com/ru/post/pt431138/

More articles:


All Articles