Технологии

Посторонним вход воспрещён

Сегодня большим и малым предприятиям и организациям необходимы доступные по цене средства безопасности. Практически до конца 90-х годов основным способом персонификации пользователя было указание его сетевого имени и пароля. Справедливости ради нужно отметить, что подобного подхода по-прежнему придерживаются во многих учреждениях и организациях. Опасности, связанные с использованием пароля, хорошо известны: его можно забыть, сохранить в неподходящем месте или просто украсть. Некоторые пользователи даже записывают пароль на бумаге и держат эти записи рядом со своими рабочими станциями. По сообщению ИТ-групп многих компаний, до 50% звонков в службу поддержки связаны с забытыми или утратившими силу паролями.

Впрочем, в некоторых случаях, когда к безопасности системы не предъявляется особых требований, такой подход вполне оправдан. Однако по мере развития компьютерных сетей и расширения сфер автоматизации ценность информации неуклонно возрастает. Государственные секреты, наукоемкие ноу-хау, коммерческие, юридические и врачебные тайны все чаще доверяются компьютеру, который, как правило, подключен к локальным и корпоративным сетям. Популярность глобальной сети Интернет не только открывает огромные возможности для электронной коммерции, но и создает потребность в более надежных средствах безопасности для защиты корпоративных данных от доступа извне.

Компьютер можно обмануть, представившись под чужим именем. Для этого необходимо знать лишь некую идентифицирующую информацию, которой, с точки зрения системы безопасности, обладает один-единственный человек. "Чужак", выдав себя за сотрудника компании, получает в свое распоряжение все ресурсы, доступные тому в соответствии с его полномочиями и должностными обязанностями. Это может привести к различным противоправным действиям, начиная от кражи информации и заканчивая выводом из строя всего информационного комплекса.

В настоящее время все больше компаний сталкиваются с необходимостью обеспечения безопасности для предотвращения несанкционированного доступа к своим системам и защиты транзакций в электронном бизнесе. Проведенное институтом компьютерной безопасности при ФБР США исследование "Компьютерная преступность и безопасность" показывает, что средний ущерб от несанкционированного доступа сотрудников к данным своих компаний в 1998 г. составил около 2,8 млн. долл.

Таким образом, встает вопрос об эффективном разграничении и контроле доступа к информации. Простым вводом имени и пароля здесь уже не обойтись из-за низкой надежности такого способа, и на помощь приходят иные современные технологии.

Однако стоит отметить, что, поскольку требования различных корпоративных инфраструктур к безопасности неодинаковы, существующие решения в большинстве случаев не являются универсальными и не оправдывают ожиданий клиентов.

Свой или чужой?

Для начала уместно напомнить, что аутентификация - это фактически процесс проверки подлинности субъекта, каковым, в принципе, может быть не только человек, но и программный процесс. Вообще говоря, аутентификация индивидов возможна с помощью информации, хранящейся в различной форме. Например, это может быть:

  • пароль, личный номер, криптографический ключ, сетевой адрес компьютера в сети;
  • смарт-карта, электронный ключ;
  • внешность, голос, рисунок радужной оболочки глаз, отпечатки пальцев и другие биометрические характеристики пользователя.

Аутентификация позволяет обоснованно и достоверно разграничить права доступа к информации, находящейся в общем пользовании. Однако возникает проблема обеспечения ее целостности и достоверности. Пользователь должен быть уверен, что получает доступ к информации из заслуживающего доверия источника и что данная информация не модифицировалась без соответствующих санкций.

Обычно поиск совпадения "один к одному" (по одному атрибуту) называется верификацией. Он отличается высокой скоростью и предъявляет минимальные требования к вычислительной мощности компьютера. А вот поиск "один ко многим" носит название идентификации. Реализовать подобный алгоритм обычно не только сложно, но и дорого. Например, в операционных системах Windows для аутентификации требуются два объекта - имя пользователя и пароль. При аутентификации по технологии идентификации отпечатков пальцев имя вводится для регистрации, а отпечаток пальца заменяет пароль. В этом случае имя пользователя является указателем для получения его учетной записи и проверки соответствия "один к одному" между шаблоном считанного при регистрации отпечатка и ранее сохраненным шаблоном для данного имени пользователя. При другом способе введенный при регистрации шаблон отпечатка пальца необходимо сопоставить со всем набором сохраненных шаблонов.

При выборе способа аутентификации имеет смысл учитывать несколько основных факторов:

  • ценность информации;
  • стоимость программно-аппаратного обеспечения аутентификации;
  • производительность системы;
  • отношение пользователей к применяемым методам аутентификации;
  • специфику (предназначение) защищаемого информационного комплекса.

Очевидно, что стоимость, а следовательно, качество и надежность средств аутентификации должны быть напрямую связаны с важностью информации. Кроме того, повышение производительности комплекса, как правило, сопровождается его удорожанием, хотя и не всегда.

Рассмотрим некоторые существующие на сегодняшний день методы аппаратной и биометрической аутентификации.

Методы биометрической аутентификации

В ответ на рост потребности в системах обеспечения компьютерной безопасности были разработаны различные методы аутентификации личности. Сегодня на рынок выходят биометрические устройства для верификации и идентификации пользователей компьютеров по таким индивидуальным характеристикам человека, как отпечатки пальцев, черты лица, голос, радужная оболочка глаза, форма ладони и подпись. Кроме того, биометрические технологии обещают бизнесу резко сократить миллиардные ежегодные потери в бизнесе из-за мошенничества с кредитными картами и чеками. Возможно, что еще заметнее окажется экономия на расходах в связи с обеспечением безопасности, поскольку все чаще запертые двери (и компьютеры) будут доступны только тем, кто имеет на это право.

Важно отметить, что все биометрические средства аутентификации в той или иной форме используют статистические свойства некоторых характеристик индивида. Это означает, что результаты их применения носят вероятностный характер и могут изменяться от раза к разу. Кроме того, никакие подобные средства не застрахованы от ошибок аутентификации. Существует два рода ошибок: ложный отказ (не признали своего) и ложный допуск (пропустили чужого). Надо сказать, что тема эта в теории вероятностей хорошо изучена еще со времен развития радиолокации. Влияние ошибок на процесс аутентификации оценивается с помощью сравнения средних вероятностей ложного отказа и ложного допуска. Как показывает практика, эти две вероятности связаны обратной зависимостью, т. е. при попытке ужесточить контроль повышается вероятность не пустить в систему своего, и наоборот. Таким образом, в каждом случае необходимо искать некий компромисс. Обычно значения этих вероятностей не превышают 15 и 5% соответственно.

Тем не менее необходимо отметить, что даже по самым пессимистичным оценкам биометрия выигрывает при всех сравнениях, поскольку она значительно надежнее, чем другие существующие методы аутентификации.

Отпечатки пальцев

Правительственные и гражданские организации всего мира уже давно используют отпечатки пальцев в качестве основного метода установления личности. Кроме того, отпечатки являются наиболее точной, дружественной к пользователю и экономичной биометрической характеристикой для применения в компьютерной системе идентификации. В частности, данной технологией в США пользуются отделы транспортных средств администраций ряда штатов, ФБР, MasterCard, Секретная служба, Министерство финансов, Агентство национальной безопасности, Министерство обороны и т. д. Устраняя потребность в паролях для конечных пользователей, технология распознавания отпечатков пальцев сокращает число обращений в службу поддержки и снижает расходы на сетевое администрирование.

Обычно системы для распознавания отпечатков пальцев разделяют на два типа: для идентификации AFIS (Automatic Fingerprint Identification Systems) и для верификации. В первом случае используются отпечатки всех десяти пальцев. Подобные системы находят широкое применение в судебных органах. Устройства верификации обычно оперируют с информацией об отпечатках одного, реже нескольких пальцев. Сканирующие устройства бывают, как правило, трех типов: оптические, ультразвуковые и на основе микрочипа.

Единовременная регистрация отпечатка пальца человека на оптическом сканере занимает всего несколько минут. Крошечная CCD-камера, выполненная в виде отдельного устройства или встроенная в клавиатуру, делает снимок отпечатка пальца. Затем, с помощью специальных алгоритмов полученное изображение преобразуется в уникальный "шаблон" - карту микроточек этого отпечатка, которые определяются имеющимися в нем разрывами и пересечениями линий. Этот шаблон (а не сам отпечаток) затем шифруется и записывается в базу данных для аутентификации сетевых пользователей. В одном шаблоне хранится до 40 - 50 микроточек. При этом пользователи могут не беспокоиться о неприкосновенности своей частной жизни, поскольку сам отпечаток пальца не сохраняется и не может быть воссоздан по микроточкам.

Преимуществом ультразвукового сканирования является возможность определить требуемые характеристики на грязных пальцах и даже через тонкие резиновые перчатки. Стоит отметить, что современные системы распознавания нельзя обмануть, даже подсунув им свежеотрубленные пальцы (микрочип измеряет физические параметры кожи), что, согласитесь, весьма актуально для России.

Разработкой подобных систем занимается более 50 различных фирм-производителей. Что же касается стоимости оборудования, то построение комплексов для верификации обычно требует от нескольких сотен до нескольких тысяч долларов. Существенно дороже стоят системы AFIS. Например, программно-аппаратный комплекс, используемый правоохранительными органами, предназначенный для хранения информации о 5 млн. человек и выполняющий около 5 тыс. поисков в день, обойдется в несколько миллионов долларов.

...и я скажу, кто ты

Прибор для идентификации отпечатков пальцев

Прибор для идентификации
отпечатков пальцев

Идентификация человека по геометрии лица представляет собой более сложную (с математической точки зрения) задачу, нежели распознавание отпечатков пальцев, и, кроме того, требует более дорогостоящей аппаратуры (цифровой видео- или фотокамеры, а также платы захвата видеоизображения). Обычно камера устанавливается на расстоянии от объекта в несколько десятков сантиметров. После получения изображения система анализирует различные параметры лица (например, расстояние между глазами и носом). Большинство алгоритмов позволяет компенсировать наличие очков, шляпы и бороды у исследуемого индивида. Было бы наивно предполагать, что с помощью подобных систем можно получить очень точный результат. Несмотря на это в ряде стран они довольно успешно используются для верификации кассиров и пользователей депозитных сейфов.

К слову отметим, что наряду с системами для оценки геометрии лица, существует оборудование для распознавания очертаний ладоней рук. При этом оценивается более 90 различных характеристик, включая размеры самой ладони в трех измерениях, длину и ширину пальцев, очертания суставов и т. п. Стоимость подобного оборудования не превышает пары тысяч долларов.

Многие фирмы выпускают программное обеспечение, способное идентифицировать человека по голосу. Здесь оцениваются такие параметры, как высота тона, модуляция, интонация и т. п. В отличие от распознавания внешности, данный метод не требует дорогостоящей аппаратуры - достаточно лишь звуковой платы и микрофона, что в сумме может составить не более 100 долл. на рабочее место.

Глаза - зеркало души

Довольно надежное распознавание обеспечивают системы, анализирующие рисунок радужной оболочки человеческого глаза. Дело в том, что эта характеристика довольно стабильна и не меняется практически в течение всей жизни. Заметим также, что радужки правого и левого глаза имеют разный рисунок.

Обычно различают активные и пассивные системы. В системах первого типа пользователь должен сам настроить камеру, передвигая ее для более точной наводки. Пассивные системы более просты в использовании, поскольку настройка камеры в них осуществляется автоматически, и обладают весьма высокой надежностью.

Отметим, что оборудование подобного класса до сих пор производили только две фирмы: наиболее известная из них IriScan (http://www.iriscan.com). Стоимость биометрических комплексов этой компании составляет от десятков до нескольких тысяч долларов.

Просто распишитесь!

Одна из технологий аутентификации основана на уникальности биометрических характеристик движения человеческой руки во время письма. С помощью стандартного дигитайзера и ручки пользователь имитирует, как он обычно ставит подпись, а система считывает параметры движения и сверяет их с теми, что были заранее введены в базу данных. При совпадении образа подписи с эталоном система прикрепляет к подписываемому документу информацию об имени пользователя, адрес его электронной почты, должность, текущее время и дату, параметры подписи, включающие более 42 характеристик динамики движения (направление, скорость, ускорение и др.). Эти данные шифруются, затем для них вычисляется контрольная сумма, и все это шифруется еще раз, образуя так называемую биометрическую метку. Для настройки системы вновь зарегистрированный пользователь от пяти до десяти раз выполняет процедуру подписания документа, что позволяет получить усредненные показатели и доверительный интервал. Впервые данную технологию использовала компания PenOp (http://www.penop.com).

Стоимость оборудования в этом случае не превышает 70 - 80 долл., а затраты на программное обеспечение зависят от количества пользователей.

Стоит также отметить, что на стадии тестирования находятся системы, позволяющие выполнять аутентификацию пользователей по тепловому полю лица, рисунку кровеносных сосудов руки и даже по очертанию ушей. К слову сказать, последняя технология известна еще с XIX века, однако широкого распространения так и не получила. Более подробную информацию о биометрических технологиях можно получить по адресу http://www.biometricgroup.com.

Электронные смарт-карты

Одним из кардинальных способов решения проблемы безопасности является использование так называемых смарт-карт (smart cards). Эти устройства образуют один из самых крупных и быстрорастущих сегментов рынка электронных продуктов для конечных пользователей. По прогнозам фирмы Dataquest, к 2002 г. объем продаж смарт-карт возрастет до 532 млн. долл.

С 1996 г. существует рабочая группа по созданию единого стандарта на смарт-карты, в которую входят такие фирмы, как Microsoft, Bull CP8 Transac, Compaq, Hewlett-Packard, Schlumberger, Siemens Nixdorf Information Systems, IBM, Sun Microsystems, Toshiba и др. Среди производителей смарт-карт и сопутствующих устройств - такие известные фирмы, как Schlumberger, Bull, Motorola, Siemens, SGS Thomson, Philips, GemPlus, Aladdin Knowledge Systems. Благодаря использованию стандарта возможна унифицированная интеграция прикладных приложений, использующих технологии смарт-карт, в программно-аппаратные комплексы на базе персональных компьютеров.

Смарт-карта обеспечивает два уровня аутентификации

Смарт-карта обеспечивает два уровня аутентификации

Применение смарт-карт требует наличия на каждом рабочем месте специального считывающего (терминального) устройства, подключенного к компьютеру, которое не требует вовлечения пользователя в процесс взаимодействия карты и сервера аутентификации. Устройства чтения смарт-карт и клавиатуры с устройствами чтения помогают защитить корпоративные данные, поскольку для получения доступа недостаточно только пароля, который легко украсть или распознать.

Обычно проблема безопасности особенно остро стоит в таких подразделениях, как кадровая служба, исследовательские, юридические и бухгалтерские отделы. Именно в этих областях средства защиты, в том числе и смарт-карты, способны сыграть важную роль в общей системе безопасности организации.

Смарт-карта обеспечивает два уровня аутентификации. Для того чтобы система заработала, пользователь должен вставить смарт-карту в считывающее устройство, а затем правильно ввести личный идентификационный номер.

Комплексные решения на базе технологии смарт-карт предлагаются корпорацией Compaq (http://www.compaq.ru). Выпускаемые ею устройства чтения смарт-карт и клавиатуры со встроенными устройствами чтения открывают путь к управлению доступом к данным, администрированию и обработке Интернет-транзакций. Продукты компании для работы со смарт-картами рассчитаны на быстрое развертывание в корпоративной среде, базируются на самых современных технологиях и обеспечивают надежность и совместимость по доступной цене.

Предлагаются четыре устройства для работы со смарт-картами, которые обеспечивают различные уровни защиты и имеют разную компоновку. Линия продуктов для работы со смарт-картами включает в себя:

  • устройство чтения смарт-карт (Compaq Smart Card Reader);
  • клавиатуру с устройством чтения смарт-карт (Compaq Smart Card Keyboard);
  • усовершенствованное устройство чтения смарт-карт (Compaq Enhanced Smart Card Reader);
  • усовершенствованную клавиатуру с устройством чтения смарт-карт (Compaq Enhanced Smart Card Keyboard).

Все эти продукты обеспечивают быстрое подключение к сети и ускорение транзакций электронной коммерции; имеют удобную конструкцию, позволяющую устанавливать их непосредственно на рабочий стол или прикреплять к монитору; обладают стандартными разъемами для подключения к последовательному порту и порту PS/2, благодаря чему их можно использовать с большинством имеющихся на рынке ПК; соответствуют отраслевым стандартам, что гарантирует их совместимость со всеми смарт-картами стандартов ISO 7816 и PC/SC.

Наряду со стандартными продуктами для работы со смарт-картами корпорация первой предложила усовершенствованные устройства, которые должны удовлетворить более жесткие требования к безопасности, предъявляемые возникающими сегодня приложениями электронного бизнеса. Усовершенствованные устройства позволяют реализовать экономичный способ создания на ПК защищенной среды, обеспечивающей проведение транзакций на крупные суммы, защиту информационного содержания, а также аутентификацию пользователей и невозможность отказа от совершенной транзакции. В частности, они используют такие новые функции, как локальное аппаратное шифрование, шифрование потока данных от карты к микросхеме на уровне устройства, защищенный доступ к карте, локальный ввод с клавишной панели, безопасную загрузку программного обеспечения эмитента DAD (Dynamic Application Downloads).

В частности, последняя функция дает возможность обновлять программный код шифрования в устройстве чтения (или клавиатуре), чтобы применить самые современные и мощные алгоритмы шифрования. Другими словами, модернизация усовершенствованных продуктов для работы со смарт-картами не требует дополнительного оборудования, что позволяет продлить срок их службы и снизить общую стоимость владения.

Пользователи стандартных устройств должны иметь возможность эксплуатировать их в защищенной среде, в то время как усовершенствованные идеально подходят для пользователей, работающих вне защищенной среды, поскольку сами создают защищенную среду везде, где применяются. Они не только обладают всеми достоинствами стандартных устройств чтения, но и обеспечивают чрезвычайно надежную защиту данных внутри организации, а также при совершении транзакций в электронной коммерции и электронном бизнесе. Кроме того, усовершенствованные устройства чтения значительно быстрее осуществляют доступ к находящейся на смарт-картах информации, что позволяет ускорить совершение транзакций. Как стандартные, так и усовершенствованные модели являются портативными и могут применяться с имеющимися клавиатурами или с клавиатурами специальной конструкции, не допускающими модификаций.

Например, Enhanced Smart Card Reader представляет собой мощное устройство чтения с удобной конструкцией, дизайн которого допускает гибкое размещение без интеграции с клавиатурой.

Модель снабжена жидкокристаллическим дисплеем для контроля суммы транзакции и процесса аутентификации, 10-клавишной панелью для локального ввода конфиденциальной информации, а также стандартными разъемами для подключения к последовательному порту или порту PS/2, что позволяет использовать его с большинством ПК.

Существуют усовершенствованные полноразмерные клавиатуры с интегрированным устройством чтения смарт-карт. Обладая всеми достоинствами усовершенствованного устройства чтения смарт-карт, они экономят место на рабочем столе, а также создают защищенную среду везде, где применяются, так что пользователи в любой ситуации могут осуществлять безопасный доступ к данным и совершать защищенные транзакции. Все подобные клавиатуры рассчитаны на 20 млн. нажатий клавиш, а устройство чтения смарт-карт - на 100 тыс. вставок.

Продукты для работы со смарт-картами позволяют применять цифровые подписи для отправки защищенной электронной почты и совершения электронных транзакций как в глобальных, так и в локальных сетях. Усовершенствованные устройства чтения смарт-карт и клавиатуры с устройствами чтения дополнительно обеспечивают:

  • безопасный ввод личного идентификационного номера и защиту набора микросхем обработки транзакций, что позволяет обезопасить права доступа пользователей;
  • защищенную загрузку и обработку конфиденциальной информации с помощью алгоритмов аутентификации и шифрования;
  • отображение информации на жидкокристаллическом индикаторе для визуального контроля за совершением транзакций.

В заключение хотелось бы отметить, что наибольшую эффективность защиты обеспечивают системы, в которых смарт-карты сочетаются с другими, например с биометрическими, средствами аутентификации. Следовательно, комбинируя различные способы биометрической и аппаратной аутентификации, можно получить весьма надежную систему защиты, что косвенно подтверждается большим интересом, проявляемым к этим технологиям ведущими производителями программного обеспечения. Например, Microsoft, IBM, Novell, Compaq и другие компании образовали консорциум BioAPI (http://www.bioapi.org), призванный сделать распознавание речи, лица и отпечатков пальцев базовыми технологиями персональных компьютеров. Эта организация планирует разработать стандартизированные интерфейсы прикладного программирования (API), допускающие встраивание в операционные системы и прикладное программное обеспечение. Эти стандартные API дадут пользователям доступ к широкому спектру биометрических устройств и программных продуктов, а также позволят совместно применять продукты нескольких поставщиков.

Статья опубликована в PC Week/RE № (225)3 от 2/14/00, стр. 19
Перепечатывается с разрешения автора.