Понятие идентифиуации и аутентификации

1) получение открытого ключа CA (одноразовый процесс);

2) получение по некоторому незащищенному  каналу от этого пользователя  его сертификата открытого ключа (включающее получение идентификатора  пользователя, проверку даты и  времени относительно срока действия, указанного в сертификате, на основе локальных доверенных часов, проверку действительности открытого ключа СА, проверку подписи под сертификатом пользователя с помощью открытого ключа СА, проверку сертификата на предмет отзыва);

3) если все проверки успешны, открытый ключ в сертификате считается подлинным открытым ключом заявленного пользователя;

4) проверка на наличие у пользователя  закрытого ключа, соответствующего  данному сертификату, с помощью  алгоритма запрос-ответ.

В качестве примера алгоритмов, работающих по такой схеме, можно назвать протокол SSL. Аутентификация с открытым ключом используется как защищенный механизм аутентификации в таких протоколах как SSL, а также может использоваться как один из методов аутентификации в рамках рассмотренных протоколов Kerberos и RADIUS [3].

 

 

 

 

 

5. Использование смарт-карт и USB-ключей

 

Несмотря на то что криптография с открытым ключом согласно спецификации Х.509 может обеспечивать строгую аутентификацию пользователя, сам по себе незащищенный закрытый ключ подобен паспорту без фотографии. Закрытый ключ, хранящийся на жестком диске компьютера владельца, уязвим по отношению к прямым и сетевым атакам. Достаточно подготовленный злоумышленник может похитить персональный ключ пользователя и с помощью этого ключа представляться этим пользователем. Защита ключа с помощью пароля помогает, но недостаточно эффективно - пароли уязвимы по отношению ко многим атакам. Несомненно, требуется более безопасное хранилище.

Аутентификацию на основе смарт-карт и USB-ключей сложнее всего обойти, так как используется уникальный физический объект, которым должен обладать человек, чтобы войти в систему. В отличие от паролей владелец быстро узнает о краже и может сразу принять необходимые меры для предотвращения ее негативных последствий. Кроме того, реализуется двухфакторная аутентификация. Микропроцессорные смарт-карты и USB-ключи могут повысить надежность служб PKI: смарт-карта может использоваться для безопасного хранения закрытых ключей пользователя, а также для безопасного выполнения криптографических преобразований. Безусловно, данные устройства аутентификации не обеспечивают абсолютную безопасность, но надежность их защиты намного превосходит возможности обычного настольного компьютера.

Для хранения и использования закрытого ключа разработчики используют различные подходы. Наиболее простой из них - использование устройства аутентификации в качестве защищенного носителя аутентификационной информации: при необходимости карта экспортирует закрытый ключ, и криптографические операции осуществляются на рабочей станции. Этот подход является не самым совершенным с точки зрения безопасности, зато относительно легко реализуемым и предъявляющим невысокие требования к устройству аутентификации.

В качестве примеров подобного рода устройств аутентификации можно привести eToken R2 производства компании Aladdin, iKey 1000 от Rainbow, Rutoken от компании "Актив".

Два следующих подхода, на которые хочется обратить внимание, более безопасны, поскольку предполагают выполнение устройством аутентификации криптографические операций. При первом пользователь генерирует ключи на рабочей станции и сохраняет их в памяти устройства. При втором пользователь генерирует ключи при помощи устройства. В обоих случаях после того как закрытый ключ сохранен, его нельзя извлечь из устройства и получить любым другим способом.

Генерация ключевой пары вне устройства. В этом случае пользователь может сделать резервную копию закрытого ключа. Если устройство выйдет из строя, будет потеряно, повреждено или уничтожено, пользователь сможет сохранить тот же закрытый ключ в памяти нового устройства. Это необходимо, если пользователю требуется расшифровать какие-либо данные, сообщения и так далее, зашифрованные с помощью соответствующего открытого ключа. Однако при этом закрытый ключ пользователя подвергается риску быть похищенным, т.е. скомпрометированным.

Генерация ключевой пары с помощью устройства. В этом случае закрытый ключ не появляется в открытом виде, и нет риска, что злоумышленник украдет его резервную копию. Единственный способ использования закрытого ключа - это обладание устройством аутентификации. Являясь наиболее безопасным, это решение выдвигает высокие требования к возможностям самого устройства: оно должно обладать функциональностью генерации ключей и осуществления криптографических преобразований. Это решение также предполагает, что закрытый ключ не может быть восстановлен в случае выхода устройства из строя и т.п. [3].

 

 

 

2.6.  Rutoken

 

Электронный идентификатор Rutoken - это компактное устройство в виде USB-брелока, которое служит для авторизации пользователя в сети или на локальном компьютере, защиты электронной переписки, безопасного удаленного доступа к информационным ресурсам, а также надежного хранения персональных данных.

Rutoken с успехом заменяет любые  парольные системы защиты, ведь  теперь не нужно запоминать  множество логинов и сложных  паролей, все они надежно хранятся  в памяти токена. Все что должен  сделать пользователь - подключить токен к USB-порту и набрать PIN-код. Таким образом, осуществляется двухфакторная аутентификация, когда доступ к информации можно получить, только обладая уникальным предметом (токеном) и зная некоторую уникальную комбинацию символов (PIN-код).

Rutoken выступает удачной альтернативой  другим аппаратным носителям  ключевой информации: смарт-картам, i-button, не говоря уже о дискетах. Действительно, Rutoken - это аналог  смарт-карты, но для работы с  ним не требуется дополнительное  оборудование (считыватель), данные надежно хранятся в энергонезависимой памяти токена объемом до 128 Кб, прочный корпус Rutoken устойчив к внешним воздействиям. Основу Rutoken составляет микроконтроллер, который выполняет криптографическое преобразование данных, и память, в которой хранятся данные пользователя (пароли, сертификаты, ключи шифрования и т.д.).

Электронные идентификаторы обычно используются в комплексе с соответствующими программно-аппаратными средствами.rutoken поддерживает основные промышленные стандарты (см. технические характеристики), что позволяет без труда использовать токены в уже существующих системах безопасности информации.

Rutoken разработан компаниями "Актив" и "Анкад" с учетом современных  требований к устройствам защиты  информации. Главным отличием Rutoken от зарубежных аналогов является аппаратно реализованный российский стандарт шифрования - ГОСТ 28147-89

3. Биометрическая идентификация

 

 

Главная цель биометрической идентификации заключается в создании такой системы регистрации, которая крайне редко отказывала бы в доступе легитимным пользователям и в то же время полностью исключала несанкционированный вход в компьютерные хранилища информации. По сравнению с паролями и карточками такая система обеспечивает гораздо более надежную защиту: ведь собственное тело нельзя ни забыть, ни потерять. Биометрическое распознавание объекта основано на сравнении физиологических или психологических особенностей этого объекта с его характеристиками, хранящимися в базе данных системы. Подобный процесс постоянно происходит в мозгу человека, позволяя узнавать, например, своих близких и отличать их от незнакомых людей.

Особое внимание привлекают к себе биометрические средства защиты информации (БСЗИ), что определяется их высокой надежностью идентификации и значительным прорывом в области снижения их стоимости. 
В настоящее время отечественной промышленностью и рядом зарубежных фирм предлагается достаточно широкий набор различных средств контроля доступа к информации, в результате чего выбор оптимального их сочетания для применения в каждом конкретном случае вырастает в самостоятельную проблему. По своему происхождению на российском рынке в настоящее время представлены как отечественные, так и импортные БСЗИ, хотя существуют и совместно разработанные средства. По конструктивным особенностям можно отметить системы, выполненные в виде моноблока, нескольких блоков и в виде приставок к компьютерам.  
Биометрические системы контроля доступа к информации завоевывают все большую популярность в банках, фирмах, связанных с обеспечением безопасности в телекоммуникационных сетях, в информационных отделах. 
В число современных биометрических систем контроля доступа к информации входят системы проверки по голосу, форме кисти руки, рисунку кожи пальцев, сетчатке или радужной оболочке глаза, фотографии лица, термограмме лица, динамике подписи, фрагментам генетического кода . 
Все биометрические системы характеризуются высоким уровнем безопасности, прежде всего потому, что используемые в них данные не могут быть утеряны пользователем, похищены или скопированы.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

4. Виды биометрической идентификации

4.1 Идентификация по отпечатку пальца

 
 
    Наибольшее применение в настоящее время нашли биометрические системы защиты информации, использующие идентификацию личности по отпечатку пальца.  
Этот признак используется в качестве контрольного образа. Записываемый в виде контрольного образа трехмерный отпечаток пальца сканируется оптической системой, анализируется, оцифровывается, хранится в памяти терминала или в памяти управляющего компьютера и используется для проверки каждого, кто выдает себя за авторизованного пользователя. При этом в памяти устройства не содержится реальных отпечатков пальцев, что не позволяет их украсть нарушителю. При совпадении предъявляемого и контрольного отпечатков пользователь получает доступ в систему. 
    

 

 

 

 

 

 

 

 

 

 

 

 

 

 

4.2. Идентификация по геометрии кисти руки

 

 Устройство “HandKey”(хэндкей), использует в качестве

идентификационного признака параметры ладони руки. Это устройство представляет собой конструкцию (чуть больше телефонного аппарата) с нишей, куда проверяемый вкладывает свою руку. Кроме того, устройство имеет мини-клавиатуру и жидкокристаллический экран, на котором отображаются данные об идентификации. Подлинность личности определяется по фотографии ладони (в цифровом виде), при этом, снимок руки сопоставляется с эталоном (прежними данными). При первой регистрации вводится персональный код, который заносится в базу данных. 
Рука внутри хэндкея фотографируется в ультрафиолетовом излучении в трех проекциях. Полученный электронный образ обрабатывается встроенным процессором, информация сжимается до девяти байт, которые можно хранить в базе данных и передавать по системам коммуникаций. Общее время процедуры составляет от 10 секунд до 1 минуты, хотя сама идентификация происходит за 1…2 секунды. За это время хэндкей сверяет характеристики руки с ранее определенными данными, а также проверяет ограничения для этого пользователя, если они существуют. При каждой проверке сохраняемая информация автоматически обновляется, так что все изменения на руке проверяемого постоянно фиксируются.

 

 

 

 

 

 

 

 

 

4.3. Идентификация по радужной оболочке глаз

 

С помощью этих алгоритмов необработанные видеоизображения глаза преобразуются в уникальный идентификационный двоичный поток Iris-код, полученный в результате определения позиции радужки, ее границы и выполнения других математических операций для описания текстуры радужки в виде последовательности чередования фаз, похожей на штрих-код.

Полученный таким образом Iris-код используется для поиска совпадений в базах данных (скорость поиска - около 1 млн. сравнения Iris-кодов в 1 с) и для подтверждения или неподтверждения заявленной личности.

Преимущество сканеров для радужной оболочки глаза состоит в том, что они не требуют от пользователя сосредоточения на цели, так как образец пятен на радужной оболочке находится на поверхности глаза.

Дифференциатор ключей для идентификации личности по рисунку радужной оболочки глаза осуществляет поиск в базе данных для нахождения соответствующего идентификационного кода. При этом база данных может состоять из неограниченного числа записей кодов IrisCode.

 

 

 

 

 

 

 

 

 

 

 

 

 

4.4 Идентификация по капиллярам сетчатки глаз

 

При идентификации по сетчатке глаза измеряется угловое распределение кровеносных сосудов на поверхности сетчатки относительно слепого пятна глаза и другие признаки. Сканирование сетчатки происходит с использованием инфракрасного света низкой интенсивности, направленного через зрачок к кровеносным сосудам на задней стенке глаза. Замеры ведутся по 320 точкам фотодатчиками и результирующий аналоговый сигнал с помощью микропроцессора преобразуется в цифровой вид.

С точки зрения безопасности данная система выгодно отличается от всех других, использующих биометрические терминалы, не только малым значением коэффициентов ошибок как l-ro, так и 2-го рода, но и использованием специфического аутентификациоиного атрибута, который практически невозможно негласно подменить для обмана системы при проверке.

К недостаткам подобных систем следует отнести психологический фактор: не всякий человек отважится посмотреть в неведомое темное отверстие, где что-то светит в глаз. К тому же надо следить за положением глаза относительно отверстия, поскольку подобные системы, как правило, чувствительны к неправильной ориентации сетчатки.

 

 

 

 

 

 

 

 

 

 

 

 

4.5. Идентификация по геометрии и тепловому изображению лица

 

Техническая реализация метода - более сложная (с математической точки зрения) задача, чем распознавание отпечатков пальцев, и, кроме того, требует более дорогостоящей аппаратуры (нужна цифровая видео- или фотокамера и плата захвата видеоизображения). У этого метода есть один существенный плюс: для хранения данных об одном образце идентификационного шаблона требуется совсем немного памяти, так как человеческое лицо можно «разобрать» на относительно небольшое количество участков, неизменных у всех людей. Например, для вычисления уникального шаблона, соответствующего конкретному человеку, требуется всего от 12 до 40 характерных участков.