PIV
PIV (от англ. Personal Identity Verification — персональная верификация личности) — это стандарт идентификации, используемый в США для выдачи смарт-карт сотрудникам федеральных ведомств и подрядчиков. В более широком смысле термин PIV применяется к аппаратно-программным комплексам аутентификации, основанным на криптографических ключах, хранящихся на защищённых носителях (смарт-картах, USB-токенах). В Российской Федерации аналогом PIV в государственном секторе является система на базе электронных подписей и универсальных электронных карт (УЭК), однако сам стандарт PIV в РФ официально не внедрён и не признан на уровне государственных информационных систем.
История и происхождение
Стандарт PIV был разработан Национальным институтом стандартов и технологий США (NIST) в ответ на требования Федерального закона США о кибербезопасности (FISMA) и Директивы Президента США HSPD-12 (2004 год). Директива предписывала создать единую систему идентификации для всех федеральных служащих и подрядчиков, работающих с правительственными информационными системами. Первая версия стандарта — FIPS 201 (Federal Information Processing Standard Publication 201) — была опубликована в 2005 году. Впоследствии стандарт неоднократно обновлялся: версия FIPS 201-2 вышла в 2013 году, FIPS 201-3 — в 2022 году. В России аналогичные задачи решались в рамках Федерального закона № 63-ФЗ «Об электронной подписи» (2011 год) и концепции УЭК, однако единого федерального стандарта, аналогичного PIV, не существует.
Устройство и компоненты
PIV-карта представляет собой смарт-карту с микропроцессором, соответствующим требованиям стандарта ISO/IEC 7816. Основные компоненты:
Аппаратная часть
- Микропроцессор с криптографическим сопроцессором (поддержка алгоритмов RSA, ECC, AES).
- Защищённая память (EEPROM/Flash) для хранения закрытых ключей и сертификатов. Объём памяти — от 64 КБ до 144 КБ.
- Интерфейсы: контактный (ISO 7816) и бесконтактный (ISO 14443, NFC). Бесконтактный интерфейс используется для быстрой аутентификации на турникетах и в системах доступа.
- Физическая защита: корпус карты устойчив к взлому, чип защищён от считывания через side-channel атаки.
Программное обеспечение
- Операционная система смарт-карты (Java Card или MULTOS), поддерживающая стандартные команды PIV (SELECT, GET DATA, GENERAL AUTHENTICATE).
- Криптографические модули: поддержка алгоритмов RSA (1024–4096 бит) и ECC (P-256, P-384), хеш-функций SHA-1, SHA-256, SHA-384.
- Сертификаты X.509: на карте хранятся несколько сертификатов:
- Сертификат аутентификации (PIV Authentication Certificate) — для входа в системы.
- Сертификат электронной подписи (Digital Signature Certificate) — для подписания документов.
- Сертификат шифрования (Key Management Certificate) — для обмена ключами.
- Сертификат карты (Card Authentication Certificate) — для верификации самой карты.
Применение
В государственном секторе США
PIV-карты используются для:
- Доступа к информационным системам: аутентификация при входе в операционные системы (Windows, Linux), веб-приложения (через HTTPS с клиентскими сертификатами), VPN-соединения.
- Физического доступа: открывание дверей, турникетов, шлюзов с помощью бесконтактного интерфейса (стандарт PIV-I для инфраструктуры).
- Электронной подписи: подписание документов, электронных писем, транзакций в государственных информационных системах.
- Шифрования данных: защита электронной переписки и файлов.
В коммерческом секторе
Стандарт PIV применяется в организациях, работающих с конфиденциальными данными (оборонная промышленность, финансовый сектор, критическая инфраструктура). В России коммерческие аналоги PIV — токены и смарт-карты с сертификатами ГОСТ (например, Рутокен, JaCarta) — используются в системах электронного документооборота и банковских приложениях, но не соответствуют стандарту PIV.
Классификация и варианты
PIV и PIV-I
- PIV (Personal Identity Verification) — стандарт для федеральных служащих США. Требует строгой проверки личности при выдаче (лично, с предъявлением паспорта).
- PIV-I (PIV-Interoperable) — облегчённая версия для подрядчиков и внешних партнёров. Допускает удалённую верификацию (через удостоверяющие центры). Сертификаты PIV-I имеют особый расширенный ключ (EKU) для ограничения доступа.
PIV и CAC
CAC (Common Access Card) — вариант PIV, используемый Министерством обороны США. Отличается дополнительными сертификатами (например, для доступа к системам военной связи) и более строгими требованиями к физической защите. В России аналог CAC — карты для доступа к государственной тайне (система «КриптоПро» с токенами ГОСТ).
Преимущества и недостатки
Преимущества
- Высокая безопасность: закрытые ключи никогда не покидают карту, что исключает их кражу через вредоносное ПО.
- Многофакторная аутентификация: карта (фактор владения) + PIN-код (фактор знания) + биометрия (опционально, фактор наличия).
- Интероперабельность: единый стандарт для всех федеральных ведомств США, поддержка в ОС Windows, Linux, macOS.
- Долговечность: срок службы карты — 3–5 лет, возможность обновления сертификатов без замены носителя.
Недостатки
- Стоимость внедрения: требуется инфраструктура (считыватели, удостоверяющие центры, PKI).
- Зависимость от физического носителя: утеря карты блокирует доступ до перевыпуска.
- Уязвимости реализации: в 2020-х годах выявлены атаки на side-channel (например, атака на алгоритм RSA через анализ времени вычислений), что потребовало обновления прошивок.
- Несовместимость с российскими стандартами: PIV использует алгоритмы RSA/ECC, тогда как в РФ обязательны ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012. Прямое применение PIV в российских госсистемах невозможно без криптографических шлюзов.
Критика и ограничения
Основная критика стандарта PIV связана с его централизованностью: удостоверяющий центр правительства США (Federal PKI) является единой точкой отказа. В случае компрометации корневого сертификата все PIV-карты могут быть скомпрометированы. Кроме того, PIV не предусматривает механизмов анонимности — каждый вход в систему фиксируется с привязкой к личности. В России стандарт PIV не применяется из-за требований законодательства об импортозамещении в сфере информационной безопасности (Федеральный закон № 149-ФЗ, указы Президента РФ о переходе на отечественное ПО). Вместо PIV в российских госорганах используются токены с поддержкой ГОСТ (например, Рутокен ЭЦП 2.0) и инфраструктура на базе Национального удостоверяющего центра (НУЦ Минцифры).
Интересные факты
- Первая массовая выдача PIV-карт в США началась в 2006 году в Министерстве внутренней безопасности (DHS). К 2010 году было выдано более 5 миллионов карт.
- В 2019 году NIST опубликовал рекомендации по использованию PIV-карт для аутентификации в облачных сервисах (SP 800-157).
- В России в 2010–2015 годах существовала программа внедрения универсальной электронной карты (УЭК), которая концептуально была близка к PIV, но была свёрнута из-за низкой популярности и проблем с финансированием.
- Стандарт PIV поддерживается в операционной системе Windows начиная с версии Vista (2007 год) через механизм Smart Card Logon.
Источники
- NIST FIPS 201-3: Personal Identity Verification (PIV) of Federal Employees and Contractors, 2022.
- NIST SP 800-73-4: Interfaces for Personal Identity Verification, 2016.
- Федеральный закон «Об электронной подписи» от 06.04.2011 № 63-ФЗ.
- Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ.
- Указ Президента РФ от 01.12.2016 № 642 «О Стратегии научно-технологического развития Российской Федерации» (в части импортозамещения в ИТ).
- Документация на токены Рутокен (компания «Актив»), JaCarta (компания «Аладдин Р.Д.»).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →