Московский Государственный Институт Электронной Техники (Технический Университет) курсовая
Вид материала | Курсовая |
- Отчет государственного образовательного учреждения высшего профессионального образования, 2810.92kb.
- Министерство Высшего Образования РФ. Московский Институт Электронной Техники (Технический, 284.55kb.
- Утверждаю, 394.89kb.
- Департамент образования города Москвы, 98.71kb.
- Департамент образования города Москвы, 76.34kb.
- Департамент образования города Москвы, 163.3kb.
- Департамент образования города Москвы, 95.06kb.
- Департамент образования города Москвы, 315kb.
- Департамент образования города Москвы, 95.78kb.
- Департамент образования города Москвы, 51.35kb.
Московский Государственный Институт Электронной Техники
(Технический Университет)
Курсовая работа
Стой! Кто идет?
Аутентификация пользователей.
Написали: Ворожейкин А.А.
Алымов И.В.
Пущин М.Н.
Проверил: Зверев Е.М.
Москва 1998
Содержание
Введение
Идентификация и аутентификация
Пароли
Криптография
Пластиковые карты
- Карты доступа
- Смарт-карты
Оценка биометрической аутентификации
- Отпечатки пальцев
- Распознавание лица
- Распознавание голоса
- Подпись с помощью дигитайзера
Аутентификация путем выяснения координат пользователя
Заключение
Приложения
^ А. Платежные системы на основе интеллектуальных карт
Б. SecurID - технология "двухкомпонентной" аутентификации
С. Технология речевой подписи
Введение
В одной довольно известной книге о хакерах, написанной Джоном Маркоффом (John Markoff) и Кэти Хэфнер (Katie Hafner), по ходу увлекательного рассказа о компьютерных мошенниках упоминается немало способов о том, как проникнуть в чужой компьютер или корпоративную информационную систему. Практически все из них основывались на том факте, что компьютер можно обмануть, представившись чужим именем. Для этого необходимо лишь знать некую идентифицирующую информацию, которой с точки зрения системы безопасности обладает один-единственный, «свой», человек. «Чужак», выдав себя за сотрудника компании, получал в свое распоряжение все ресурсы, доступные тому в соответствии с его полномочиями и должностными обязанностями. В результате совершались различные противоправные действия, начиная от кражи информации и заканчивая выводом из строя всего информационного комплекса.
В 80-е годы, когда и развивались описываемые в книге события, основным способом персонификации пользователя было указание сетевого имени и пароля. Справедливости ради нужно отметить, что подобного минималистского подхода по-прежнему придерживаются во многих компьютеризированных организациях. В некоторых случаях, когда к безопасности системы не предъявляется особых требований, он вполне оправдан. Однако, по мере развития компьютерных сетей и расширения сфер автоматизации, ценность информации неуклонно возрастает. Государственные секреты, наукоемкие «ноу-хау», коммерческие, юридические и врачебные тайны все чаще «доверяются» компьютеру, который в процессе работы, как правило, подключен к локальным и глобальным сетям. Таким образом, встает вопрос об эффективном разграничении и контроле доступа к информации, что возможно только в условиях точного знания участников рабочего процесса. Простым вводом имени и пароля здесь уже не обойтись в силу низкой надежности такого способа, и на помощь приходят современные криптографические технологии.
^
Идентификация и аутентификация
Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация - это первая линия обороны, "проходная" информационного пространства организации. Без порядка на проходной не будет порядка и внутри охраняемой территории.
Идентификация позволяет субъекту - пользователю или процессу, действующему от имени определенного пользователя, назвать себя, сообщив свое имя. Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого себя выдает. В качестве синонима слова "аутентификация" иногда используют сочетание "проверка подлинности". Субъект может подтвердить свою подлинность, если предъявит по крайней мере одну из следующих сущностей:
• нечто, что он знает: пароль, личный идентификационный номер, криптографический ключ и т.п;
• нечто, чем он владеет: сетевой адрес компьютера в сети, личную карточку или иное устройство аналогичного назначения (смарт-карта, электронный ключ);
• нечто, что является свойством самого пользователя: внешность, голос, рисунок радужной оболочки глаз, отпечатки пальцев и другие биометрические характеристики;
• нечто, ассоциированное с ним, например координаты.
При выборе способа аутентификации имеет смысл учитывать несколько основных факторов:
• ценность информации;
• стоимость программно-аппаратного обеспечения аутентификации;
• производительность системы;
• отношение пользователей к применяемым методам аутентификации;
• специфику (предназначение) защищаемого информационного комплекса.
Очевидно, что стоимость (а следовательно, качество и надежность) средств аутентификации должна быть напрямую связана с важностью информации. Кроме того, повышение производительности комплекса, как правило, сопровождается его удорожанием, хотя и не всегда. Что же касается отношения пользователей к применяемым методам аутентификации, то некоторые из них вызывают настороженность у сотрудников, которым придется регистрироваться в системе, возможно, по несколько раз в день: например, распознавание рисунка роговицы является источником беспокойства, поскольку людей трудно убедить, что в данном случае нет никакой угрозы ухудшения зрения.
Назначение комплекса также играет не последнюю роль и может влиять на выбор базовой технологии аутентификации (автоматизированная служба контроля доступа в помещения наверняка будет использовать приемы, отличные от тех, что применяются на рабочих местах).
К сожалению, надежная идентификация и аутентификация затруднена по ряду принципиальных причин. Во-первых, компьютерная система основывается на информации в том виде, в каком она была получена; строго говоря, источник информации остается неизвестным. Например, злоумышленник мог воспроизвести ранее перехваченные данные. Следовательно, необходимо принять меры для безопасного ввода и передачи идентификационной и аутентификационной информации; в сетевой среде это сопряжено с особыми трудностями. Во-вторых, почти все аутентификационные сущности можно узнать, украсть или подделать. В-третьих, имеется противоречие между надежностью аутентификации с одной стороны, и удобствами пользователя и системного администратора с другой. Так, из соображений безопасности необходимо с определенной частотой просить пользователя повторно вводить аутентификационную информацию (ведь на его место мог сесть другой человек), а это не только хлопотно, но и повышает вероятность подглядывания за вводом. В-четвертых, чем надежнее средство защиты, тем оно дороже.
Таким образом, необходимо искать компромисс между надежностью, доступностью по цене и удобством использования и администрирования средств идентификации и аутентификации. Обычно компромисс достигается за счет комбинирования двух первых из перечисленных базовых механизмов проверки подлинности.
Аутентификация позволяет обоснованно и достоверно разграничить права доступа к информации, находящейся в общем пользовании. Однако, с другой стороны, возникает проблема обеспечения целостности и достоверности этой информации. Пользователь должен быть уверен, что получает доступ к информации из заслуживающего доверия источника и что данная информации не модифицировалась без соответствующих санкций. Этот, в каком-то смысле обратный по отношению к аутентификации, процесс обеспечения и контроля благонадежности источника информации называется верификацией и базируется на технологии электронно-цифровой подписи (ЭЦП). Для верификации также могут применяться четыре вышеперечисленных типа идентификации субъектов.
Наиболее распространенным средством аутентификации являются пароли. Система сравнивает введенный и ранее заданный для данного пользователя пароль; в случае совпадения подлинность пользователя считается доказанной. Другое средство, постепенно набирающее популярность, - секретные криптографические ключи пользователей.
Обратим внимание на то, что процесс идентификации и аутентификации может идти не только между пользователем и системой - его целесообразно применять и к равноправным партнерам по общению, а также для проверки подлинности источника данных. Когда аутентификации подвергаются процесс или данные, а не человек, выбор допустимых средств сужается, т.е. ограничивается сфера применения биометрических средств. Компьютерные сущности не могут чем-то обладать, у них нет биометрических характеристик. Единственное, что у них есть, это информация; значит, проверка подлинности может основываться только на том, что процесс или данные знают. С другой стороны, память и терпение у компьютерных сущностей не в пример лучше человеческих, они в состоянии помнить или извлекать из соответствующих устройств и многократно применять длинные криптографические ключи, поэтому в распределенных средах методы криптографии выходят на первый план; по существу, им нет альтернативы.
Любопытно отметить, что иногда фаза аутентификации отсутствует совсем - партнеру верят на слово, или носит чисто символический характер. Так, при получении письма по электронной почте вторая сторона описывается строкой "From:"; подделать ее не составляет большого труда. Порой в качестве свидетельства подлинности выступает только сетевой адрес или имя компьютера - вещь явно недостаточная для подлинного доверия. Только использование криптографии поможет навести здесь порядок.
Пароли
Главное достоинство парольной аутентификации - простота и привычность. Пароли давно встроены в операционные системы и иные сервисы. При правильном использовании пароли могут обеспечить приемлемый для многих организаций уровень безопасности [2]. Тем не менее по совокупности характеристик их следует признать самым слабым средством проверки подлинности. Надежность паролей основывается на способности помнить их и хранить в тайне. Чтобы пароль был запоминающимся, его зачастую делают простым, однако простой пароль нетрудно угадать, особенно если знать пристрастия данного пользователя. Известна классическая история про советского разведчика Рихарда Зорге, объект внимания которого через каждое слово говорил "карамба"; разумеется, этим же словом открывался сверхсекретный сейф. Иногда пароли с самого начала не являются тайной, так как имеют стандартные значения, указанные в документации, и далеко не всегда после установки системы производится их смена. Правда, это можно считать аспектом простоты использования программного продукта.
Ввод пароля можно подсмотреть. В экзотических случаях для подглядывания используются оптические приборы.
Пароли нередко сообщают коллегам, чтобы те смогли выполнить какие-либо нестандартные действия, например подменить на некоторое время владельца пароля. Теоретически в подобных случаях более правильно задействовать средства управления доступом, но на практике так никто не поступает; а тайна, которую знают двое, это уже не тайна.
Пароль можно угадать методом грубой силы, используя, быть может, словарь. Если файл паролей зашифрован, но доступен на чтение, его можно перекачать к себе на компьютер и попытаться подобрать пароль, запрограммировав полный перебор.
Нередко на ПК пароли используются как средство управления доступом. Подобную практику едва ли можно приветствовать. Во-первых, многочисленные пароли трудно использовать и администрировать. Во-вторых, они быстро становятся известными практически всем.
Пароли уязвимы по отношению к электронному перехвату - это наиболее принципиальный недостаток, который нельзя компенсировать улучшением администрирования или обучением пользователей. Практически единственный выход - использование криптографии для шифрования паролей перед передачей по линиям связи или вообще их не передавать, как это делается в сервере аутентификации Kerberos.
Тем не менее следующие меры позволяют значительно повысить надежность парольной защиты:
• наложение технических ограничений (пароль должен быть не слишком коротким, он должен содержать буквы, цифры, знаки пунктуации и т.п.);
• управление сроком действия паролей, их периодическая смена;
• ограничение доступа к файлу паролей;
• ограничение числа неудачных попыток входа в систему, что затруднит применение метода грубой силы;
• обучение и воспитание пользователей (например, тому, что пароли, в отличие от обеда, лучше не разделять с другом);
• использование программных генераторов паролей, которые, основываясь на несложных правилах, могут порождать только благозвучные и, следовательно, запоминающиеся пароли.
Перечисленные меры целесообразно применять всегда, даже если наряду с паролями используются другие методы аутентификации, основанные, например, на применении токенов.
Криптография
Одним из методов криптозащиты, обеспечивающим проверку подлинности информации вообще и информации, идентифицирующей конкретного пользователя, в частности, является шифрование с симметричными или асимметричными ключами. С их помощью реализуются схемы аутентификации, использующие электронно-цифровые подписи (ЭЦП). Напомним, что в случае применения симметричного ключа он имеется у всех участников транзакции (взаимодействия) и используется как для шифрования, так и дешифрования данных. Метафора асимметричных ключей подразумевает наличие двух разных ключей на приемном и передающем конце канала связи. Так называемый открытый ключ распространяется между всеми заинтересованными лицами, как следует из его названия, по открытым каналам связи (однако он снабжен цифровым сертификатом, удостоверяющим его подлинность), а закрытый — известен только одному лицу. При отправке информации она предварительно обрабатывается с помощью алгоритма хеширования, который формирует ее слепок — небольшой блок данных, который с большой вероятностью должен измениться при модификации исходной информации. Затем информация и слепок шифруются с помощью закрытого ключа отправителя, а получатель ее расшифровывает с помощью открытого ключа отправителя. Так как закрытый ключ известен (в идеале) только отправителю, то совпадение расшифрованной хеш-функции и хеш-функции, подсчитанной заново на основе присланной информации, означает, что послание не менялось в пути или документ, лежащий в электронной библиотеке, не редактировался. Если же при шифровании добавить еще и открытый ключ получателя, то никто, кроме него (обладающего обратным ключом), не сможет расшифровать сообщение.
На основе данных методов Information Security Corporation разработала программное обеспечение SecretAgent3 для шифрования и нанесения ЭЦП, которое может встраиваться в большинство современных приложений, будь то почтовая программа или система управления документами. Кстати говоря, SecretAgent уже интегрировано с СУД DOCS Open. Для шифрования используются алгоритмы DES, Triple-DES и EA2 (разработка AT&T) с возможностью предварительного сжатия файла, а для ЭЦП — RSA или NIST.
Интересно, что управление открытыми ключами и цифровыми сертификатами стандарта X.509, которые применяются для удостоверения подлинности открытых ключей, может выполняться в рамках администрирования Novell Directory Service.
Несмотря на весьма солидную степень защиты, обеспечиваемую ключами, они имеют и некоторые недостатки. Как уже говорилось выше, ключи требуют наличия в организационной структуре предприятия некоего звена, которое бы генерировало ключи, получало бы на них сертификаты у уполномоченного по выпуску сертификатов (Certificate Authority — это, как правило, компетентная организация) и отслеживало актуальность (например, при увольнении сотрудника его ключ должен быть аннулирован).
Кроме того, нужно отметить, что сотрудники зачастую не очень пунктуально выполняют инструкции, призванные сохранить ключи в секрете. Кроме того, их могут и украсть. В связи с этим появляется необходимость применения дополнительных мер обеспечения безопасности, включающих помимо программных методов также аппаратные и биометрические средства аутентификации и верификации.
^ Пластиковые карты (токены).
Токен - это предмет или устройство, владение которым подтверждает подлинность пользователя. Различают токены с памятью (пассивные, которые только хранят, но не обрабатывают информацию) и интеллектуальные токены (активные).
Самой распространенной разновидностью токенов с памятью являются карточки с магнитной полосой. Для использования подобных токенов необходимо устройство чтения, снабженное также клавиатурой и процессором. Обычно пользователь набирает на этой клавиатуре свой личный идентификационный номер, после чего процессор проверяет его совпадение с тем, что записано на карточке, а также подлинность самой карточки. Таким образом, здесь фактически применяется комбинация двух способов защиты, что существенно затрудняет действия злоумышленника - мало украсть или подделать карточку, нужно узнать еще и личный номер "жертвы".
Обратим внимание на необходимость обработки аутентификационной информации самим устройством чтения, без передачи в компьютер - это исключает возможность электронного перехвата.
Иногда (обычно для физического контроля доступа) карточки применяют сами по себе, без запроса личного идентификационного номера.
Наряду с несомненными достоинствами, токены с памятью обладают и определенными недостатками. Прежде всего, они существенно дороже паролей. Их необходимо делать, раздавать пользователям, обслуживать случаи потери. Они нуждаются в специальных устройствах чтения. Пользоваться ими не очень удобно, особенно если организация установила у себя интегрированную систему безопасности. Чтобы сходить, например, в туалет, нужно вынуть карточку из устройства чтения, положить ее себе в карман, совершить моцион, вернуться, вновь поместить карточку в устройство чтения и т.д. Пользователей в этом случае придется убеждать, что повышенные меры безопасности действительно необходимы.
Как известно, одним из самых мощных средств в руках злоумышленника является изменение программы аутентификации, при котором пароли не только проверяются, но и запоминаются для последующего несанкционированного использования. Выборочные обследования показали, что подобная операция была проделана хакерами на многих хостах Internet. Удивительно, что некоторые банкоматы, обслуживающие клиентов по карточкам с магнитной полосой, подверглись аналогичной модификации. Лица, получившие доступ к накопленной информации, могли подделывать карточки и пользоваться ими от имени законных владельцев. Против таких технических новинок рядовые граждане бессильны.
Интеллектуальные токены характеризуются наличием собственной вычислительной мощности. Они подразделяются на интеллектуальные карты, стандартизованные ISO и прочие токены. Карты нуждаются в интерфейсном устройстве, прочие токены обычно обладают ручным интерфейсом (дисплеем и клавиатурой) и по внешнему виду напоминают калькуляторы. Чтобы токен начал работать, пользователь должен ввести свой личный идентификационный номер.
По принципу действия интеллектуальные токены можно разделить на следующие категории.
• Статический обмен паролями: пользователь обычным образом доказывает токену свою подлинность, затем токен проверяется компьютерной системой.
• Динамическая генерация паролей: токен генерирует пароли, периодически изменяя их. Компьютерная система должна иметь синхронизированный генератор паролей. Информация от токена поступает по электронному интерфейсу или набирается пользователем на клавиатуре терминала.
• Запросно-ответные системы: компьютер выдает случайное число, которое преобразуется криптографическим механизмом, встроенным в токен, после чего результат возвращается в компьютер для проверки. Здесь также возможно использование электронного или ручного интерфейса. В последнем случае пользователь читает запрос с экрана терминала, набирает его на клавиатуре токена (возможно, в это время вводится и личный номер), а на дисплее токена видит ответ и переносит его на клавиатуру терминала.
Главным достоинством интеллектуальных токенов является возможность их применения при аутентификации по открытой сети. Генерируемые или выдаваемые в ответ пароли постоянно меняются, и злоумышленник не получит заметных дивидендов, даже если перехватит текущий пароль. С практической точки зрения, интеллектуальные токены реализуют механизм одноразовых паролей.
Еще одним достоинством является потенциальная многофункциональность интеллектуальных токенов. Их можно применять не только для целей безопасности, но и, например, для финансовых операций. В приложение приводиться материал по существующим на сегодняшний день платежным системам на основе интеллектуальных токенов (см. Приложение А: «Платежные системы на основе интеллектуальных карт»).
Основным недостатком интеллектуальных токенов является их высокая стоимость. Если у токена нет электронного интерфейса, пользователю при аутентификации приходится совершать много манипуляций, что для владельцев дорогих устройств должно быть особенно обидно. Администрирование интеллектуальных токенов, по сравнению с магнитными картами, усложнено за счет необходимости управления криптографическими ключами. За безопасность действительно приходится платить - деньгами и неудобствами.
^
Карты доступа
Так называемая карта доступа (или шифратор) представляет собой небольшое устройство, напоминающее пластиковую карту. Пользователь при попытке войти в систему или подписать документ инициирует запрос к серверу аутентификации, который, в свою очередь, через интерфейс активной программы задает некий вопрос пользователю. Последний вводит его в карту доступа и получает на встроенном жидко-кристаллическом дисплее ответ, который переадресует серверу, присовокупив к нему свой персональный код (PIN5). Примером такого устройства может послужить шифратор SecurID, разработанный фирмой Security Dynamics Technologies. В приложении приводиться более подробная информация по этому шифратору (см. Приложение Б: «SecurID - технология "двухкомпонентной" аутентификации»).
Смарт-карты
Смарт-карта подобна карте доступа, однако требует наличия на каждом рабочем месте специального считывающего (терминального) устройства, подключенного к компьютеру, которое исключает необходимость вовлечения пользователя в процесс взаимодействия карты и сервера аутентификации.
С 1996 года существует рабочая группа по созданию единого стандарта на смарт-карты, в которую входят такие фирмы, как Microsoft, Bull CP8 Transac, Hewlett-Packard, Schlumberger, Siemens Nixdorf Information Systems, IBM, Sun Microsystems, Toshiba и другие.
Благодаря стандарту станет возможна унифицированная интеграция прикладных приложений, использующих технологии смарт-карт, в программно-аппаратные комплексы на базе персональных компьютеров.
Рабочая группа сконцентрировала свое внимание на определении требований к совместимости смарт-карт и терминальных (считывающих) устройств, разработке стандартного интерфейса для терминальных устройств и высокоуровневого интерфейса для поддержки сервисов смарт-карт, а также на выработке рекомендаций для поддержки существующих типов смарт-карт (простые карты с памятью, карты с защищенной памятью, микропроцессорные карты, карты с криптографической защитой).
Среди производителей смарт-карт и сопутствующих устройств такие известные фирмы, как Schlumberger, Bull, Motorola, Siemens, SGS Thomson, Philips, GemPlus, Aladdin Knowledge Systems. В частности, продукция последней довольно хорошо известна у нас благодаря российскому дистрибьютору Aladdin Software Security R.D.Ltd. Эта компания предлагает весь спектр продуктов, включающий как сами смарт-карты, так и терминальные устройства и программное обеспечение для интеграции с прикладными приложениями (ASESoft). Программное обеспечение включает утилиты для работы с картами и библиотеки, реализующие программные интерфейсы нижнего и высокого уровня, а также криптографический API для платформ DOS, Windows, Windows NT и Windows 95.
С его помощью возможно встраивание в прикладные и офисные системы специфических функций, использующих технологии смарт-карт (безопасный обмен данными между смарт-картами и приложением через различные считывающие устройства), причем допускается применение большинства современных средств разработки (C/C++, Visual Basic, Delphi) и промышленных стандартов (ActiveX, CryptoAPI).
Среди основных функций ASESoft можно назвать запись и считывание информации со смарт-карты, шифрование и дешифрование данных, нанесение и проверка цифровой подписи, аутентификация, проверка целостности данных.
Важно, что программное обеспечение не только реализует криптографические алгоритмы DES, Triple-DES и RSA, но и имеет возможность встраивания любого механизма шифрования, в том числе сертифицированных систем, поддерживающих российский ГОСТ 28147-89 на шифрование и ГОСТ Р34.10-94 на криптографические процедуры с открытым ключом.
Оценка систем биометрической аутентификации
В ближайшее время устройства, анализирующие глазное дно или отпечаток пальца, вряд ли получат широкое распространение в России из-за их высокой стоимости. Несколько иначе обстоит дело с биометрическими системами аутентификации, ориентированными на использование стандартных мультимедийных средств ввода информации, однако они не настолько хороши, чтобы им безоговорочно доверять.
Биометрические системы аутентификации личности - это информационные технологии с большим будущим. На сегодня можно выделить два типа таких систем. К первому следует отнести биометрические системы, анализирующие статический образ пользователя: лицо, радужную оболочку глаза, рисунок кожи пальцев и ладони.
Ко второму классу относятся биометрические системы аутентификации, анализирующие динамические образы, создаваемые пользователем при выполнении им заранее заданных действий. На рынке сегодня присутствуют три такие системы, построенные на основе анализа следующих параметров: динамики воспроизведения подписи или иного ключевого слова, особенности голоса и клавиатурного почерка.
Очень важно, что технические характеристики динамических систем биометрической аутентификации пользователей постоянно улучшаются и в перспективе должны оказаться близкими по своим показателям к системам статической биометрии. Немаловажно, что этот процесс сопровождается стремительным снижением стоимости, так как наметилась тенденция применения в них стандартных мультимедийных средств ввода информации.
Так, системы биометрической аутентификации по особенностям клавиатурного почерка были изначально ориентированы на использование стандартной клавиатуры, тогда как другие системы долгое время были вынуждены привлекать нестандартное оборудование. Положение изменилось с началом широкого использования мультимедийных компьютеров. В частности, сегодня практически все продаваемые компьютеры имеют стандартные звуковые карты типа Sound Blaster, в результате чего их можно использовать для аутентификации личности по голосу.
Аналогичная ситуация складывается и со средствами ввода рукописной информации. С одной стороны, появились дешевые графические планшеты типа Easy Painter, подключаемые к порту мыши и имеющие приемлемые технические характеристики. С другой - учебные компьютеры, графические станции, персональные секретари уже изначально снабжены средствами ввода рукописной графики. Все это позволяет использовать их в процессе аутентификации пользователей по динамике воспроизведения подписи.
Если компьютер уже оснащен средствами ввода биометрической информации, стоимость систем биометрической аутентификации будет целиком определяться стоимостью программного обеспечения, которая, в свою очередь, зависит от тиража и должна существенно снизиться в будущем. Одной из предпосылок для этого является возможность разработки подобного ПО мелкими и средними фирмами, способными создавать конкуренцию в этом секторе рынка.
Таким образом, в ближайшее время следует ожидать появления биометрических систем аутентификации пользователей по динамическим образам, сопоставимых по стоимости с системами аутентификации по паролям. В связи с этим возникает задача оценки возможностей подобных биометрических систем и выработки общепринятых правил их сравнительного анализа, а в дальнейшем, видимо, появится необходимость независимой сертификации биометрических программ с целью подтверждения независимым органом стандартизации качественных характеристик, заявляемых производителем.
Рассмотрим подробнее проблемы оценки качества биометрических систем аутентификации, построенных на анализе динамических образов. Как правило, отечественные и зарубежные производители подобных систем ограничиваются приведением среднестатистических характеристик, приводя значения вероятности выявления попыток подделки голоса или подписи (Р1) и вероятности отказа подлинному пользователю в доступе (Р2). Если при этом не указывается объем статистики, то доверять приводимым цифрам не следует. Очевидно, что уровень доверия к заявляемым данным должен понижаться для продуктов малых фирм, как правило, не способных обеспечить достаточный объем статистических испытаний.
Кроме того, ориентируясь на среднестатистические показатели, потребители в ряде случаев существенно переоценивают либо недооценивают возможности биометрической аутентификации. Переоценка и недооценка качества биометрической аутентификации обусловлены существенно различающимися способностями пользователей стабильно воспроизводить заданные движения.
Все мы обладаем разными возможностями и статистическими характеристиками и в случаях, когда речь идет о таких параметрах, как рост, вес, полнота, размер обуви, эти различия становятся очевидными. Каждый конкретный биометрический признак подчиняется закону распределения значений, близких к нормальному, и в рамках гипотезы о его нормальности можно разбить всех пользователей на группы несколькими способами.
Очевидно, что когда производители средств биометрической аутентификации приводят для своих систем усредненные вероятности ошибок первого и второго рода {Р1,Р2}, то эти данные без особых натяжек применимы только для пользователей группы 0, обладающих средней стабильностью воспроизведения динамических образов. Для групп +1, +2, +3 вероятностные характеристики будут существенно лучше, однако при этом для групп -1, -2, -3 они ухудшатся. Возникает необходимость корректного пересчета статистических характеристик биометрической системы, заявленных производителем для группы 0, на другие группы.
Для осуществления этого пересчета рассмотрим процедуру принятия решения при аутентификации пользователя по одному биометрическому параметру. Будем считать, что при воспроизведении пользователем динамического образа (рукой или голосом) вариации измеряемого параметра описываются нормальным законом распределения значений.
Все эти перемещения легко прогнозируемы для каждой из выделенных групп пользователей и, соответственно, для каждой из семи групп могут быть скорректированы среднестатистические показатели качества системы, заявленные производителем.
Вероятность выявления "чужого" биометрическими системами для пользователей с разным уровнем стабильности воспроизведения динамического образа, построена численным решением соответствующего интегрального уравнения, точность вычисления интегралов вероятности - 5 цифр с проверкой данных по четырехзначной таблице нормального закона и соответствующим округлением.
Иными словами, современные системы биометрической аутентификации по голосу и подписи (центральные строки таблицы) вообще неработоспособны примерно для 0,6% пользователей группы -3. По сути дела, деление пользователей на семь групп вместо пяти появилось из-за скорбного факта неработоспособности современных систем динамической биометрии для пользователей группы -3. Видимо, только в будущем появятся системы с Р1>0.999, способные работать со всеми без исключения пользователями.
Противоположная группа пользователей с рекордной стабильностью +3 будет всегда очень хорошо аутентифицироваться. Как правило, на выставки и презентации, устраиваемые производителями, направляются представители именно этой группы, которые в соответствии с левым столбцом таблицы смогут продемонстрировать высокое качество работы любой, даже очень плохой системы.
Еще один важный вывод заключается в том, что для половины пользователей характеристики системы аутентификации оказываются хуже заявленных производителем. Соответственно производитель должен совместно с системой биометрической аутентификации поставлять средство классификации пользователей, при помощи которой администратор безопасности сможет классифицировать пользователей по крайней мере на две группы (хуже - лучше среднего показателя). Доверять данным производителя следует только по отношению ко второй группе пользователей, а для пользователей с индивидуальными данными хуже средних следует применять специальные меры, усиливающие безопасность процедур биометрической аутентификации: в частности, нельзя использовать практику аутентификации по подписи, форма и начертание которой известны неопределенному кругу лиц; фраза, по которой производится аутентификация по голосу, должна храниться пользователем в тайне, подобно обычному паролю. Ситуацию, когда совокупность воспроизводимых пользователем при аутентификации действий хранится им в тайне, условно можно рассматривать как некоторый "биометрический пароль".
К сожалению, по открытому "биометрическому ключу" в виде личного автографа или всем известной фразы можно аутентифицировать только пользователей групп +3, +2, +1. Только для них современные системы биометрической аутентификации пользователей по динамическим образам оказываются достаточно надежными.
В настоящее время на рынке представлено достаточно большое число биометрических устройств: от небольших предназначенных для аутентификации пользователей компьютера до профессиональных систем аутентификации со встроенным процессором, памятью и т.д.
Список компаний предлагающих услуги и продукты:
Название компании | Продукт | Метод биометрии |
Pitrone & Associates | The Handkey The Handpunch | Проведение аутентификации по геометрии руки. |
BioMet Partners | Digi-2 | |
PIDEAC | Handmark VI Handmark X0 | |
Recognition Systems Limited | ID3D HandKey | |
Eyedantify Inc. | Eyedentify | Сканирование сетчатки глаза |
CADIX International Inc. | ID - 007 | Аутентификация по почерку |
^ T – NETIX | Voice Verify-Air | Аутентификация по голосу |
American Biometric Company | BioMouse | Сканирование отпечатков пальцев |
Attel Communication LTD. | FingerCheck | |
National Registry Inc. | Secure Desktop Scanner Secure Keyboard Scanner |
Рассмотрим более подробно существующие на сегодняшний день методы биометрической аутентификации. Самыми распространенными из них являются:
• распознавание отпечатков пальцев;
• распознавание лица;
• распознавание голоса;
• подпись с помощью дигитайзера (планшета);
• распознавание рисунка руки;
• распознавание рисунка сетчатки глаза;
• ввод с клавиатуры.
Учитывая тот факт, что распознавание рисунка руки и сетчатки глаза по многим причинам пока не подходит для работы с отдельными приложениями, и в том числе документно-ориентированными системами, мы не будем здесь их рассматривать. Эти методы, как правило, используются для массового контроля доступа на «закрытые» территории, а распознавание радужной оболочки, кроме того, — одна из самых дорогостоящих технологий (однако она также и самая надежная — возможна одна ошибка на миллион).
Что же касается распознавания динамических параметров ввода с клавиатуры (скорость набора символов, длина интервалов между нажатиями клавиш), то данный метод в силу своей наименьшей надежности из всех биометрических методов не может претендовать на звание самодостаточного способа аутентификации. Его мы тоже не станем касаться далее. Остальные рассмотрим по порядку.
^
Отпечатки пальцев
Любители детективов прекрасно знают, что отпечатки пальцев считаются неопровержимой криминалистической уликой, так как их рисунок уникален у каждого человека. Это свойство делает отпечатки пальцев весьма привлекательной (с точки зрения аутентификации) биометрической характеристикой. Кроме того, их не столь просто (практически невозможно — без крайних мер) украсть, как пластиковую карту.
Для ввода отпечатков пальцев в компьютер используются специальные миниатюрные сканеры. Они могут быть выполнены как в виде отдельного устройства, так и встроенными в клавиатуру (например, такие изделия выпускают компании National Registry, Who Vision Systems, Digital Persona; отметилась и корпорация Sony со своей системой Puppy Logon System). Очевидно, что с помощью образов отпечатков можно не только обойтись без пароля (который некоторые сотрудники забывают или по недосмотру предоставляют другим лицам) при регистрации в системе, но и безошибочно идентифицировать человека. В том числе данные из образа отпечатков могут послужить ключом для ЭЦП. Стоимость таких устройств колеблется от 50 до нескольких сотен долларов.
В частности, Digital Persona предлагает свою систему распознавания отпечатков U are U («ты есть ты») за 99 долларов. Сейчас ведется работа по интеграции программной части этого комплекса со службой Active Directory Windows NT 5.0. Программное обеспечение будет оперировать учетной информацией пользователей операционной системы и управляться с помощью Microsoft Management Console, что даст администраторам возможность настраивать и контролировать процесс идентификации пользователей по отпечаткам пальцев.
^
Распознавание лица
Идентификация человека по лицу представляет собой более сложную (с математической точки зрения) задачу, нежели распознавание отпечатков пальцев, и, кроме того, требует более дорогостоящей аппаратуры (цифровую видео- или фотокамеру, возможно, плату захвата видеоизображений). В качестве примеров продуктов, реализующих данный подход, можно назвать FaceIt корпорации Visionics, TrueFace CyberWatch фирмы Miros или Face Guardian фирмы Keyware Techology.
В качестве примера хорошо защищенной, сложной системы идентификации по изображениям лица можно привести систему ZN-FACE от партнеров компании Siemens-Nixdorf - Zentrum fur Neuroinformatic и MAKU. Данная система предоставляет доступ только известным ей клиентам. Тот, кто хочет пройти проверку, должен предъявить личный секретный номер или идентификационную карточку. В процессе контроля ZN-FACE посредством встроенной в консоль видеокамеры снимает изображение лица человека и сравнивает его с соответствующей записью из базы данных. Только при совпадении всех данных система разрешает доступ.
Другим примером, интересным с точки зрения массового и относительно недорогого использования, может служить технология идентификации личности автономными устройствами без их соединения с банками данных, представленная американской фирмой StarTen Technology. В качестве средства идентификации в системе используется автономное портативное устройство с дисплеем на жидких кристаллах. Идентификация владельца документа производится путем считывания с пластиковой карточки нанесенного на нее двухмерного штрих-кода, содержащего уникальные биометрические данные предъявителя: отпечатки пальцев или внешний вид (лицо). Эти же данные вводятся в модуль считывания с помощью сканера или видеокамеры. После сравнения информации на карточке с параметрами, выделенными из считанных изображений пальцев или лица предъявителя, принимается решение о допуске. Портативный модуль считывания может работать и в сложной компьютерной системе доступа, содержащей банк данных большого объема. Заявленные фирмой характеристики - очень высоки для такого рода систем - показатель ошибочного срабатывания (0,2%), время работы алгоритма сравнения (несколько секунд) - могут определить возможности широкого применения данной системы в различных приложениях.
^
Распознавание голоса
Та же фирма Keyware Technology выпускает программное обеспечение Voice Guardian, способное идентифицировать человека по голосу. Аналогичные разработки осуществляют и многие другие фирмы. В отличие от распознавания внешности, данный метод не требует дорогостоящей аппаратуры — достаточно звуковой платы и микрофона, что в сумме может составить не более 100 долл. на рабочее место. Более подробная информация по распознаванию голоса, представлена в приложение (см. Приложение С: «Технология речевой подписи»).
^ Подпись с помощью дигитайзера (планшета)
Американская компания PenOp разработала интересную технологию, которая основана на уникальности биометрических характеристик движения человеческой руки во время письма. Пользователь, используя стандартный дигитайзер и ручку, имитирует, как он обычно ставит подпись, а система считывает параметры движения и сверяет их с теми, что были заранее введены в базу данных. При совпадении образа подписи с эталоном система прикрепляет к подписываемому документу следующую информацию:
• имя пользователя и другие данные о нем (идентификатор, адрес электронной почты, должность);
• текущее время и дату;
• контрольную сумму документа на основе алгоритма MD5 компании RSA Data Security;
• параметры подписи, включающие более 42 характеристик динамики движения: направление, скорость, ускорение и другие;
• статический образ подписи.
Эти данные шифруются с помощью закрытого ключа прикладной программы, интегрированной с PenOp. Затем для них вычисляется еще одна контрольная сумма, и все это шифруется еще раз, образуя так называемую биометрическую метку (biometric token). Многоуровневое шифрование позволяет гарантировать, что оцифрованная подпись была прикреплена именно к тому документу, вместе с которым она попала к получателю.
В архитектуре PenOP можно выделить два основных модуля — службу захвата подписи и службу верификации подписи. Первая из них ответственна за получение всей информации, входящей в биометрическую метку, и ее шифрование; вторая — высчитывает степень схожести подписи и сохраненных образцов и выдает резюме в соответствии с установленным порогом.
Для настройки системы вновь зарегистрированный пользователь от пяти до десяти раз выполняет процедуру подписания документа, что позволяет получить усредненные показатели и доверительный интервал. Впоследствии на основе этих значений, представляющих собой шаблон, PenOp вычисляет степень соответствия характеристик новой подписи с шаблоном. В результате проверок возможно получение как полного соответствия (100%, что очень маловероятно), так и полного несоответствия (0%). Каждая организация вольна установить свой уровень допуска для успешной аутентификации, причем он может варьироваться в зависимости от ценности документа (например, счет на 50 рублей можно подписать при достоверности аутентификации в 20%, а на 50 000 рублей — 95%).
Система PenOp обладает следующими неоспоримыми достоинствами.
- В отличие от систем с открытыми ключами, PenOp не требует какой-либо сертификации ключей и учреждения служб по управлению ключами.
- PenOp можно использовать сразу в нескольких приложениях, в то время как смарт-карты, как правило, предназначены специально для конкретных целей (программ).
- Подписавший документ сотрудник уже не сможет сказать, что он этого не делал; это возможно в случае применения смарт-карт и ключей, когда легко спровоцировать или сфальсифицировать их кражу.
- Для взлома защиты злоумышленник должен не только узнать ключи шифрования PenOp и прикладной программы, но и подделать подпись ответственного лица (последнее, впрочем, может быть и для бумажных документов).
- .Привычность и удобство процедуры.
Справедливости ради нужно отметить, что планшет для оцифровки подписи стоит в среднем 200 долл.
Похожую систему на базе программы распознавания рукописных символов smARTwriter разрабатывает и Advanced Recognition Technologies.
^
Аутентификация путем выяснения координат пользователя
В последнее время набирает популярность аутентификация путем выяснения координат пользователя. Идея состоит в том, чтобы пользователь посылал координаты спутников системы GPS (Global Positioning System), находящихся в зоне прямой видимости. Сервер аутентификации знает орбиты всех спутников, поэтому может с точностью до метра определить положение пользователя. Как злорадно пишут американцы, "теперь русский хакер не сможет войти в американскую систему перевода платежей от имени аргентинского банка".
Поскольку орбиты спутников подвержены колебаниям, предсказать которые крайне сложно, подделка координат оказывается практически невозможной. Ничего не даст и перехват координат - они постоянно меняются. Непрерывная передача координат не требует от пользователя каких-либо дополнительных усилий, поэтому он может без труда многократно подтверждать свою подлинность. Аппаратура GPS сравнительно недорога и апробирована, поэтому в тех случаях, когда легальный пользователь должен находиться в определенном месте, данный метод проверки подлинности представляется весьма привлекательным.
Заключение
Очень важной и трудной задачей является администрирование службы идентификации и аутентификации. Необходимо постоянно поддерживать конфиденциальность, целостность и доступность соответствующей информации, что особенно непросто в сетевой разнородной среде. Целесообразно, наряду с ранее декларировавшимся тезисом всемерной автоматизации, применить максимально возможную централизацию информации. Достичь этого можно применяя выделенные серверы проверки подлинности (такие как Kerberos) или средства централизованного администрирования (например CA-Unicenter). Некоторые операционные системы предлагают сетевые сервисы, которые могут служить основой централизации административных данных.
Отметим, что централизация облегчает жизнь не только системным администраторам, но и пользователям, поскольку позволяет реализовать важную концепцию единого входа. Единожды пройдя проверку подлинности, пользователь получает доступ ко всем ресурсам сети в пределах своих полномочий.
Комбинируя различные способы биометрической и аппаратной аутентификации, можно получить весьма надежную систему защиты, что косвенно подтверждается большим интересом, проявляемым к этим технологиям ведущими производителями программного обеспечения. Например, Microsoft, IBM, Novell, Compaq и другие компании образовали консорциум BioAPI, призванный сделать распознавание речи, лица и отпечатков пальцев базовыми технологиями персональных компьютеров.
Некоторые продукты, реализующие эти технологии, уже сертифицированы Международной ассоциацией по компьютерной безопасности. В их число попали, например, системы проверки отпечатков пальцев Touchstone фирмы Mytec Technologies и Biometric Access Control фирмы Hi-Key Technologies, а также упомянутые выше TrueFace (Miros) и NRIdentity фирмы National Registry.