Одним из важнейших методов защиты для соблюдения конфиденциальности является разграничение доступа. Практически с момента создания первых многопользовательских операционных систем для ограничения доступа используются пароли. Вспомним историю.

Операционные системы Windows 95/98 сохраняли пароль в PWL-файле (как правило, USERNAME.PWL) в каталоге Windows. Вместе с тем стоит отметить, что несмотря на то, что содержимое PWL-файла было зашифровано, извлечь из него пароли было довольно просто. Первый алгоритм шифрования версии Windows 95 позволял создавать программы для расшифровки PWL-файлов. Однако в версии Windows 95 OSR2 этот недостаток был устранен. Тем не менее система защиты паролей в OSR2 содержала несколько серьезных недостатков, а именно:

• все пароли были преобразованы к верхнему регистру, что значительно уменьшало количество возможных паролей;
• применяемые для шифрования алгоритмы MD5 и RC4 позволяли реализовать более быстрое шифрование пароля, но достоверный пароль Windows должен был иметь длину не менее девяти символов.
• система кэширования пароля, по существу, была ненадежна. Пароль мог быть сохранен только в том случае, если никто из персонала без соответствующего разрешения не имел доступа к вашему компьютеру.

В операционных системах, используемых в настоящее время (Windows XP/2000/2003), применяется более надежная защита парольного метода аутентификации. Но в то же время необходимо выполнять следующие рекомендации Microsoft:

• длина пароля должна составлять не менее восьми символов;
• в пароле должны встречаться большие и маленькие буквы, цифры и спецсимволы;
• время действия пароля должно составлять не более 42 дней;
• пароли не должны повторяться.

В дальнейшем эти требования будут только ужесточаться. К чему это приведет, вернее, увы, уже привело? Чем сложнее пароли, чем больше приложений требуют ввод пароля, тем выше вероятность того, что пользователи для всех приложений, в том числе и для аутентификации в ОС, будут использовать один и тот же пароль, к тому же записывая его на бумаге. Хорошо это или плохо? Допустимо ли?

С одной стороны - явно недопустимо, так как резко возрастает риск компрометации пароля, с другой - слишком сложный пароль (типа PqSh*98+) трудно удержать в голове. Пользователи явно будут или выбирать простой пароль, или постоянно забывать сложный и отвлекать администратора от более важных дел. Исследования Gartner показывают, что от 10 до 30% звонков в службу технической поддержки компаний составляют просьбы сотрудников по поводу восстановления забытых ими паролей.

По данным IDC, каждый забытый пароль обходится организации в 10-25 долл. Добавим сюда еще необходимость его постоянной смены и требование неповторяемости паролей. Что делать? Каков выход?

На самом деле уже сегодня существует несколько вариантов решения этой нелегкой проблемы.

Первый вариант. На видном месте в комнате (на стене, на столе) вывешивается плакат с лозунгом. После этого в качестве пароля используется текст, содержащий, предположим, каждый третий символ лозунга, включая пробелы и знаки препинания. Не зная алгоритма выбора знаков, подобный пароль подобрать довольно сложно.

Второй вариант. В качестве пароля выбирается (генерируется с помощью специального ПО) случайная последовательность букв, цифр и специальных символов. При этом указанный пароль распечатывается на матричном принтере на специальных конвертах, которые нельзя вскрыть, не нарушив их целостность. Примером такого конверта может служить конверт с PIN-кодом к платежной карте. Эти конверты хранятся в сейфе начальника подразделения или в сейфе службы информационной безопасности. Единственной сложностью при таком способе является необходимость немедленной смены пароля сразу после вскрытия конверта и изготовления другого подобного конверта с новым паролем, а также организация учета конвертов. Однако если принять во внимание экономию времени администраторов сети и приложений, то эта плата не является чрезмерной.

Третий вариант - использование многофакторной аутентификации на базе новейших технологий аутентификации. В качестве примера рассмотрим двухфакторную аутентификацию. Основным преимуществом такой аутентификации является наличие физического ключа и PIN-кода к нему, что обеспечивает дополнительную устойчивость к взлому. Ведь утрата аппаратного ключа не влечет за собой компрометацию пароля, поскольку, кроме ключа, для доступа к системе нужен еще PIN-код к ключу.

Отдельно стоит рассмотреть системы с применением разовых паролей, которые получают все большее распространение в связи с широким развитием интернет-технологий, и системы биометрической аутентификации.

В настоящее время основным способом защиты информации от несанкционированного доступа (НСД) является внедрение так называемых средств AAA (Authentication, Authorization, Accounting - аутентификация, авторизация, управление правами пользователей). При использовании этой технологии пользователь получает доступ к компьютеру лишь после того, как успешно прошел процедуры идентификации` и аутентификации.

Стоит учесть, что на мировом рынке ИТ-услуг сегмент ААА постоянно растет. Эта тенденция подчеркивается в аналитических обзорах IDC, Gartner и других консалтинговых фирм. Такой же вывод можно сделать, внимательно просмотрев ежегодный обзор компьютерной преступности Института компьютерной безопасности США и ФБР за 2005 год (рис. 1).

Рис. 1. Данные по объему потерь от разных видов атак за 2005 год, долл.
Суммарный объем потерь за 2005 год - 130 104 542 долл.
Количество предприятий-респондентов (США) - 700

Как видно из диаграммы, ущерб от кражи конфиденциальной информации значительно увеличился. То есть каждая из опрошенных компаний потеряла в среднем более 350 тыс. долл. вследствие кражи конфиденциальной информации. Это исследование подтверждает тенденции, наметившиеся в последние несколько лет. Согласно отчету Института компьютерной безопасности США и ФБР за 2004 год, кража чувствительных данных уже тогда входила в число опаснейших угроз - ущерб от нее составлял около 40% от общего объема ущерба всех его угроз. При этом средний объем потерь был равен более 300 тыс. долл., а максимальный объем - 1,5 млн долл.

Исходя из этого, можно сделать вывод, что кража конфиденциальной информации имеет один из наиболее высоких рейтингов среди всех ИТ-угроз в США. Стоит отметить, что найти виновного без решения вопросов идентификации и аутентификации невозможно!

Среди основных сервисов безопасности:

• идентификация и аутентификация;
• контроль защищенности;
• контроль целостности и аутентичности информации;
• межсетевое экранирование;
• построение VPN;
• протоколирование/аудит;
• разграничение доступа;
• управление безопасностью;
• фильтрация контента;
• шифрование.

Отметим, что вопросы разграничения доступа решаются в обязательном порядке при создании любой информационной системы. В наше время, когда системы становятся все более распределенными, трудно переоценить важность корректного разграничения доступа. При этом требуется все более надежная защита систем аутентификации как от внешних, так и от внутренних злоумышленников. Стоит понимать, что пользователи не склонны усложнять себе жизнь и стараются пользоваться как можно менее сложными паролями. А следовательно, для устранения этого в дальнейшем все чаще будут применяться программно-аппаратные средства аутентификации, которые постепенно придут на смену традиционным паролям (рис. 2).

Рис. 2. Рост рынка средств информационной безопасности

Классификация средств идентификации и аутентификации

Современные программно-аппаратные средства идентификации и аутентификации по виду идентификационных признаков можно разделить на электронные, биометрические и комбинированные (рис. 3). В отдельную подгруппу в связи с их специфическим применением можно выделить входящие в состав электронных средств системы одноразовых паролей.

Рис. 3. Классификация программно-аппаратных систем идентификации
и аутентификации

В электронных системах идентификационные признаки представляются в виде кода, хранящегося в защищенной области памяти идентификатора (носителя) и, за редким исключением, фактически не покидающего ее. Идентификаторы в этом случае бывают следующие:

• контактные смарт-карты;
• бесконтактные смарт-карты;
• USB-ключи (USB-token);
• iButton.

В биометрических системах идентификационными являются индивидуальные особенности человека, которые в данном случае называются биометрическими признаками. Идентификация производится за счет сравнения полученных биометрических характеристик и хранящихся в базе шаблонов. В зависимости от характеристик, которые при этом используются, биометрические системы делятся на статические и динамические.

Статическая биометрия основывается на данных (шаблонах), полученных путем измерения анатомических особенностей человека (отпечатки пальцев, узор радужки глаза и т.д.), а динамическая - на анализе действий человека (голос, параметры подписи, ее динамика).

На мой взгляд, биометрические системы аутентификации не получили широкого распространения по нескольким причинам:

• высокая стоимость подобных систем;
• отсутствие хорошо подготовленного профессионального персонала;
• сложность настройки таких систем;
• противодействие со стороны сотрудников, так как руководство получает возможность контролировать все их перемещения и фактически производить контроль рабочего времени.

В комбинированных системах применяется одновременно несколько признаков, причем они могу принадлежать как к системам одного класса, так и к разным.

Электронные системы идентификации и аутентификации

В состав электронных систем идентификации и аутентификации входят контактные и бесконтактные смарт-карты и USB-ключи (USB-token).

Контактные смарт-карты и USB-ключи

USB-ключи работают с USB-портом компьютера и изготавливаются в виде брелоков. Что такое USB-ключ, мы рассмотрим на примере eToken от компании Aladdin.

eToken - персональное средство аутентификации и хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и электронными цифровыми подписями (ЭЦП). eToken может быть выполнен в виде стандартной смарт-карты или USB-ключа:

• смарт-карта требует для подключения к компьютеру PC/SC-совместимого устройства чтения смарт-карт. Она может применяться как средство визуальной идентификации (на смарт-карте eToken PRO/SC может быть размещена информация о ее владельце и фотография (ID-бэдж) для использования службой безопасности предприятия). Смарт-карты могут быть изготовлены из белого пластика для последующей печати (фотографии, персональных данных и т.д.) с предварительной надпечаткой, а также с наклеенной магнитной полосой либо в виде эмбосированных карт (с выдавленными символами);
• USB-ключ - напрямую подключается к компьютеру через порт USB (Universal Serial Bus), совмещая в себе функции смарт-карты и устройства для ее считывания.

Если сравнивать две эти технологии, то становится очевидно, что выбор одной из них зависит от технологии безопасности, принятой в компании. Так, если планируется введение автоматизированного пропускного режима и при этом на пропусках должны быть фотография, имя владельца и прочая информация, то предпочтительно воспользоваться смарт-картами. Однако стоит учесть, что потребуется купить также устройства чтения смарт-карт.

Если пропускной режим уже введен и необходимо лишь обеспечить дополнительный контроль и ужесточить режим входа в некоторые помещения - стоит обратить внимание на eToken PRO со встроенными радиометками. Ведь службе физической безопасности, отвечающей за пропускной режим, гораздо проще контролировать пропуска при наличии на них фотографии, фамилии и имени владельца, хотя eToken PRO со встроенным RFID-чипом и аналогичная смарт-карта одинаковы по функциональности.

Основные области применения eToken (рис. 4):

Рис. 4. Возможности eToken

• двухфакторная аутентификация пользователей при доступе к серверам, базам данных, приложениям, разделам веб-сайтов;
• безопасное хранение секретной информации: паролей, ключей ЭЦП и шифрования, цифровых сертификатов;
• защита электронной почты (цифровая подпись и шифрование, доступ);
• защита компьютеров от несанкционированного доступа (НСД);
• защита сетей и каналов передачи данных (VPN, SSL);
• клиент-банк, системы типа e-banking и e-commerce.

При работе с многофакторной аутентификацией пользователь получает целый ряд преимуществ. В частности, ему требуется помнить всего один пароль к eToken вместо нескольких паролей к приложениям. Кроме того, теперь отпадает необходимость в регулярной смене паролей. Да и в случае утери eToken ничего страшного не произойдет. Ведь для того, чтобы воспользоваться найденным (украденным) eToken, необходимо еще знать его пароль. Все это существенно повышает уровень безопасности организации. Вместе с тем стоит понимать, что eToken поддерживает работу и интегрируется со всеми основными системами и приложениями, использующими технологии смарт-карт или PKI (Public Key Infrastructure), - так называемыми PKI-ready-приложениями.

Основное назначение eToken:

• строгая двухфакторная аутентификация пользователей при доступе к защищенным ресурсам (компьютерам, сетям, приложениям);
• безопасное хранение закрытых ключей цифровых сертификатов, криптографических ключей, профилей пользователей, настроек приложений и пр. в энергонезависимой памяти ключа;
• аппаратное выполнение криптографических операций в доверенной среде (генерация ключей шифрования, симметричное и асимметричное шифрование, вычисление хеш-функции, формирование ЭЦП).

В качестве средства аутентификации eToken поддерживается большинством современных операционных систем, бизнес-приложений и продуктов по информационной безопасности и может применяться для решения следующих задач:

• строгая аутентификация пользователей при доступе к информационным ресурсам: серверам, базам данных, разделам веб-сайтов, защищенным хранилищам, зашифрованным дискам и пр.;
• вход в операционные системы, службы каталога, гетерогенные сети (операционные системы Microsoft, Linux, UNIX, Novell) и бизнес-приложения (SAP R/3, IBM Lotus Notes/Domino);
• внедрение систем PKI (Entrust, Microsoft CA, RSA Keon, а также в удостоверяющих центрах и системах с использованием отечественных криптопровайдеров «Крипто-Про», «Сигнал-Ком» и т.д.) - хранение ключевой информации, аппаратная генерация ключевых пар и выполнение криптографических операций в доверенной среде (на чипе смарт-карты);
• построение систем документооборота, защищенных почтовых систем (на основе Microsoft Exchange, Novell GroupWise, Lotus Notes/Domino) - ЭЦП и шифрование данных, хранение сертификатов и закрытых ключей;
• организация защищенных каналов передачи данных с использованием транспорта Интернет (технология VPN, протоколы IPSec и SSL) - аутентификация пользователей, генерация ключей, обмен ключами;
• межсетевые экраны и защита периметра сети (продукты Cisco Systems, Check Point) - аутентификация пользователей;
• шифрование данных на дисках (в продуктах типа Secret Disk NG) - аутентификация пользователей, генерация ключей шифрования, хранение ключевой информации;
• единая точка входа пользователя в информационные системы и порталы (в продуктах eTrust SSO, IBM Tivoli Access Manager, WebSphere, mySAP Enterprise Portal) и приложения под управлением СУБД Oracle - строгая двухфакторная аутентификация;
• защита веб-серверов и приложений электронной коммерции (на основе Microsoft IIS, Apache Web Server) - аутентификация пользователей, генерация ключей, обмен ключами;
• управление безопасностью корпоративных информационных систем, интеграция систем защиты информации (Token Management System) - eToken является единым универсальным идентификатором для доступа к различным приложениям;
• поддержка унаследованных приложений и разработка собственных решений в области ИБ.

Характеристики USB-ключей приведены в табл. 1 .

Сегодня на рынке представлены следующие типы USB-ключей:

• eToken R2, eToken PRO - компания Aladdin;
• iKey10xx, iKey20xx,iKey 3000 - компания Rainbow Technologies;
• ePass 1000, ePass 2000 - фирма Feitian Technologies;
• ruToken - разработка компании «Актив» и фирмы АНКАД;
• uaToken - компания ООО «Технотрейд».

USB-ключи - это преемники смарт-карт, в силу этого структура USB-ключей и смарт-карт идентична.

Бесконтактные смарт-карты

Бесконтактные смарт-карты (БСК) широко используются в различных приложениях как для аутентификации (режим электронного пропуска, электронный ключ к двери и т.д.), так и для разного рода транспортных, идентификационных, расчетных и дисконтных приложений.

Важным свойством БСК, выделяющим ее из ряда других смарт-карт, является отсутствие механического контакта с устройством, обрабатывающим данные с карты. Фактически надежность технических элементов систем, использующих БСК, определяется надежностью микросхем. Последнее обстоятельство приводит к существенному снижению эксплуатационных расходов на систему по сравнению с аналогичными системами, применяющими смарт-карты с внешними контактами.

Порядок проведения операций с БСК и устройством чтения/записи памяти карты (в дальнейшем - считывателем) определяется программным приложением. При поднесении пользователем карты к считывателю происходит транзакция, то есть обмен данными между картой и считывателем, и возможное изменение информации в памяти карты. Максимальное расстояние для осуществления транзакций между считывателем и картой составляет 10 см. При этом карту можно и не вынимать из бумажника. С одной стороны, это позволяет пользователю удобно и быстро произвести транзакцию, а с другой - при попадании в поле антенны карта вовлекается в процесс обмена информацией независимо от того, желал этого пользователь или нет.

Типичная начальная последовательность команд для работы приложения с картой включает:

• захват карты (выбирается первая находящаяся в поле антенны считывателя карта), если необходимо - включение антиколлизионного алгоритма (команда антиколлизии сообщает приложению уникальный серийный номер захваченной карты, точнее уникальный номер встроенной в карту микросхемы);
• выбор карты с данным серийным номером для последующей работы с памятью карты или ее серийным номером.

Указанная последовательность команд выполняется за 3 мс, то есть практически мгновенно.

Далее следует аутентификация выбранной области памяти карты. Она основана на использовании секретных ключей и будет описана ниже. Если карта и считыватель узнали друг друга, то данная область памяти открывается для обмена данными и в зависимости от условий доступа могут быть выполнены команды чтения и записи, а также специализированные команды электронного кошелька (если, конечно, область соответствующим образом была размечена при персонализации карты). Команда чтения 16 байтов памяти карты выполняется за 2,5 мс, команды чтения и изменения баланса кошелька - за 9-10 мс. Таким образом, типичная транзакция, начинающаяся с захвата карты и приводящая к изменению 16 байтов памяти, совершается максимум за 16 мс.

Для аутентификации сектора памяти карты применяется трехпроходный алгоритм с использованием случайных чисел и секретных ключей согласно стандарту ISO/IEC DIS 9798-2.

В общих чертах процесс аутентификации можно представить так. Чипы карты и устройства для работы с ней обмениваются случайными числами. На первом шаге карта посылает считывателю сформированное ею случайное число. Считыватель добавляет к нему свое случайное число, шифрует сообщение и отправляет его карте. Карта расшифровывает полученное сообщение, сравнивает свое случайное число с числом, полученным в сообщении; при совпадении она заново зашифровывает сообщение и направляет его считывателю. Считыватель расшифровывает послание карты, сравнивает свое случайное число с числом, полученным в сообщении, и при совпадении чисел аутентификация сектора считается успешной.

Итак, работа с сектором памяти возможна только после успешной аутентификации сектора выбранной карты и пока карта находится в поле антенны считывателя. При этом все данные, передаваемые по радиочастотному каналу, всегда шифруются.

Начальные (так называемые транспортные) ключи, а также условия доступа к секторам задаются во время первичной персонализации карты на заводе-изготовителе и секретным образом сообщаются эмитенту. В дальнейшем, в процессе вторичной персонализации карточки эмитентом или пользователем приложения, ключи обычно меняются на другие, известные только эмитенту или пользователю. Также (это определяется конкретным приложением) при вторичной персонализации изменяются и условия доступа к секторам памяти карты.

Бесконтактные смарт-карты разделяются на идентификаторы PROximity и смарт-карты, базирующиеся на международных стандартах ISO/IEC 15693 и ISO/IEC 14443. В основе большинства устройств на базе бесконтактных смарт-карт лежит технология радиочастотной идентификации (табл. 2).

Основными компонентами бесконтактных устройств являются чип и антенна. Идентификаторы могут быть как активными (с батареями), так и пассивными (без источника питания). Идентификаторы имеют уникальные 32/64-разрядные серийные номера.

Системы идентификации на базе PROximity криптографически не защищены, за исключением специальных заказных систем.

Каждый ключ имеет прошиваемый 32/64-разрядный серийный номер.

Комбинированные системы

Внедрение комбинированных систем существенно увеличивает количество идентификационных признаков и тем самым повышает безопасность (табл. 3).

В настоящее время существуют комбинированные системы следующих типов:

• системы на базе бесконтактных смарт-карт и USB-ключей;
• системы на базе гибридных смарт-карт;
• биоэлектронные системы.

В корпус брелока USB-ключа встраиваются антенна и микросхема для создания бесконтактного интерфейса. Это позволяет организовать управление доступом в помещение и к компьютеру, используя один идентификатор. Такая схема применения идентификатора исключает ситуацию, когда сотрудник, покидая рабочее место, оставляет USB-ключ в разъеме компьютера, что дает возможность работать под его идентификатором.

Сегодня наибольшее распространение получили два идентификатора подобного типа: RFiKey - от компании Rainbow Technologies и eToken PRO RM - от фирмы Aladdin Software Security R.D. Устройство RFiKey поддерживает интерфейс USB 1.1/2.0 и функционирует со считывателями HID Corporation (PR5355, PK5355, PR5365, MX5375, PP6005) и российской компании Parsec (APR-03Hx, APR-05Hx, APR-06Hx, APR-08Hx, H-Reader). eToken RM - USB-ключи и смарт-карты eToken PRO, дополненные пассивными RFID-метками.

Применение eToken для контроля физического доступа

RFID-технология (Radio Frequency IDentification - радиочастотная идентификация) является наиболее популярной сегодня технологией бесконтактной идентификации. Радиочастотное распознавание осуществляется с помощью закрепленных за объектом так называемых RFID-меток, несущих идентификационную и другую информацию.

Из семейства USB-ключей eToken RFID-меткой может быть дополнен eToken PRO/32K и выше. При этом надо учитывать ограничения, обусловленные размерами ключа: RFID-метка должна быть не более 1,2 см в диаметре. Такие размеры имеют метки, работающие с частотой 13,56 МГц, например производства «Ангстрем» и HID.

Помимо традиционных преимуществ RFID-технологий, комбинированные USB-ключи и смарт-карты eToken, используя единый «электронный пропуск» для контроля доступа в помещения и к информационным ресурсам, позволяют:

• сократить расходы;
• защитить инвестиции, сделанные в ранее приобретенные СКУД, за счет интеграции eToken с большинством типов RFID-меток;
• уменьшить влияние человеческого фактора на уровень информационной безопасности организации: сотрудник не сможет покинуть помещение, оставив комбинированную карту на рабочем месте;
• автоматизировать учет рабочего времени и перемещений сотрудников по офису;
• провести поэтапное внедрение путем постепенной замены выходящих из эксплуатации идентификаторов.

Применение гибридных смарт-карт для контроля физического доступа

Гибридные смарт-карты содержат разнородные чипы: один чип поддерживает контактный интерфейс, другой - бесконтактный. Как и в случае гибридных USB-ключей, гибридные смарт-карты решают две задачи: контроль доступа в помещение и к компьютеру. Дополнительно на карту можно нанести логотип компании, фотографию сотрудника или магнитную полосу, что позволяет заменить на такие карты обычные пропуска и перейти к единому электронному пропуску.

Смарт-карты подобного типа предлагают следующие компании: HID Corporation, Axalto, GemPlus, Indala, Aladdin и др.

В России компанией Aladdin Software Security R.D. разработана технология производства гибридных смарт-карт eToken PRO/SC RM. В них микросхемы с контактным интерфейсом eToken PRO встраиваются в бесконтактные смарт-карты. Смарт-карты eToken PRO могут быть дополнены пассивными RFID-метками производства HID/ISOPROx II, EM-Marin (частота 125 кГц), Cotag (частота 122/66 кГц), «Ангстрем»/КИБИ-002 (частота 13,56 МГц), Mifare и других компаний. Выбор варианта комбинирования определяет заказчик. Дополнительно на карту можно нанести логотип компании, фотографию сотрудника или магнитную полосу, что позволяет отказаться от обычных пропусков и перейти к единому электронному пропуску.

Биоэлектронные системы

Как правило, для защиты компьютерных систем от несанкционированного доступа применяется комбинация из двух систем - биометрической и контактной на базе смарт-карт или USB-ключей.

Что скрывается за понятием «биометрия»? Фактически мы используем такие технологии каждый день, однако как технический способ аутентификации биометрия стала применяться относительно недавно. Биометрия - это идентификация пользователя по уникальным, присущим только ему одному биологическим признакам. Такие системы являются самыми удобными, с точки зрения самих пользователей, поскольку не нужно ничего запоминать, а потерять биологические характеристики весьма сложно.

При биометрической идентификации в базе данных хранится цифровой код, ассоциированный с определенным человеком. Сканер или другое устройство, используемое для аутентификации, считывает конкретный биологический параметр. Далее он обрабатывается по определенным алгоритмам и сравнивается с кодом, содержащимся в базе данных.

Просто? С точки зрения пользователя - безусловно. Однако у данного метода существуют как достоинства, так и недостатки.

К достоинствам биометрических сканеров обычно относят то, что они никак не зависят от пользователя (например, пользователь может ошибиться при вводе пароля) и пользователь не может передать свой биологический идентификатор другому человеку, в отличие от пароля. А, например, подделать узор, имеющийся на пальце у каждого человека, практически невозможно. Однако, как показали исследования, проведенные в США, биометрические сканеры, основанные на отпечатках пальцев, довольно легко вводили в заблуждение с помощью муляжа отпечатка пальца или даже пальца трупа. Распространен также отказ в доступе, осуществляемый на основании распознавания голоса, если человек просто простыл. Но самый большой недостаток биометрических систем - это их высокая цена.

Все биометрические технологии можно разделить на две группы:

• статические методы, которые основываются на физиологической (статической) характеристике человека, то есть уникальном свойстве, присущем ему от рождения и неотъемлемом от него. К статическим биологическим признакам относятся форма ладони, отпечатки пальцев, радужная оболочка, сетчатка глаза, форма лица, расположение вен на кисти руки и т.д.(табл. 4);
• динамические методы, которые основываются на поведенческой (динамической) характеристике человека - особенностях, характерных для подсознательных движений в процессе воспроизведения какого-либо действия (подписи, речи, динамики клавиатурного набора).

Идеальная биометрическая характеристика человека (БХЧ) должна быть универсальной, уникальной, стабильной и собираемой. Универсальность означает наличие биометрической характеристики у каждого человека. Уникальность - что не может быть двух человек, имеющих идентичные значения БХЧ. Стабильность - независимость БХЧ от времени. Собираемость - возможность получения биометрической характеристики от каждого индивидуума. Реальные БХЧ не идеальны, и это ограничивает их применение. В результате экспертной оценки таких источников БХЧ, как форма и термограмма лица, отпечатки пальцев, геометрия руки, структура радужной оболочки глаза (РОГ), узор сосудов сетчатки, подпись, особенности голоса, форма губ и ушей, динамика почерка и походки, было установлено, что ни один из них не удовлетворяет всем требованиям по перечисленным выше свойствам (табл. 5). Необходимым условием использования тех или иных БХЧ является их универсальность и уникальность, что косвенно может быть обосновано их взаимосвязью с генотипом или кариотипом человека.

Распознавание по отпечаткам пальцев

Это самый распространенный статический метод биометрической идентификации, в основе которого лежит уникальность для каждого человека рисунка папиллярных узоров на пальцах. Изображение отпечатка пальца, полученное с помощью специального сканера, преобразуется в цифровой код (свертку) и сравнивается с ранее введенным шаблоном (эталоном) или набором шаблонов (в случае аутентификации).

Ведущие производители сканеров отпечатков пальцев:

• BioLink (http://www.biolink.ru/ , http://www.biolinkusa.com/);
• Bioscrypt (http://www.bioscrypt.com/);
• DigitalPersona (http://www.digitalpersona.com/);
• Ethentica (http://www.ethentica.com/);
• Precise Biometrics (http://www.precisebiometrics.com/);
• Ведущие производители сенсоров (считывающих элементов для сканирующих устройств):
• Atmel (http://www.atmel.com/ , http://www.atmel-grenoble.com/);
• AuthenTec (http://www.authentec.com/);
• Veridicom (http://www.veridicom.com/);

Распознавание по форме руки

Данный статический метод построен на распознавании геометрии кисти руки, также являющейся уникальной биометрической характеристикой человека. С помощью специального устройства, позволяющего получать трехмерный образ кисти руки (некоторые производители сканируют форму нескольких пальцев), делаются измерения, необходимые для получения уникальной цифровой свертки, идентифицирующей человека.

Ведущие производители такого оборудования:

• Recognition Systems (http://www.recogsys.com/ , http://www.handreader.com/);
• BioMet Partners (http://www.biomet.ch/).

Распознавание по радужной оболочке глаза

Данный метод распознавания основан на уникальности рисунка радужной оболочки глаза. Для реализации этого метода необходима камера, позволяющая получить изображение глаза человека с достаточным разрешением, и специализированное программное обеспечение, выделяющее из полученного изображения рисунок радужной оболочки глаза, по которому строится цифровой код для идентификации человека.

В данном разделе будут рассмотрены некоторые технические меры повышения защищенности систем. Выбор рассматриваемых мер обусловлен возможностью их реализации встроенными средствами операционных систем семейства Microsoft Windows . Соответственно, уровень защищенности может быть повышен без дополнительных затрат на специализированные средства защиты.

В теоретической части курса будут методы, лежащие в основе соответствующих средств и механизмов. В лабораторных работах рассматриваются конкретные настройки операционных систем.

Рассматриваемые вопросы можно разделить на две группы:

• вопросы, связанные с идентификацией и аутентификацией пользователей;
• защита передаваемых сообщений.

Идентификация и аутентификация

Идентификация - присвоение пользователям идентификаторов (уникальных имен или меток) под которыми система "знает" пользователя. Кроме идентификации пользователей, может проводиться идентификация групп пользователей, ресурсов ИС и т.д. Идентификация нужна и для других системных задач, например, для ведения журналов событий. В большинстве случаев идентификация сопровождается аутентификацией. Аутентификация - установление подлинности - проверка принадлежности пользователю предъявленного им идентификатора. Например, в начале сеанса работы в ИС пользователь вводит имя и пароль . На основании этих данных система проводит идентификацию ( по имени пользователя) и аутентификацию (сопоставляя имя пользователя и введенный пароль ).

Система идентификации и аутентификации является одним из ключевых элементов инфраструктуры защиты от несанкционированного доступа (НСД) любой информационной системы. В соответствии с рассмотренной ранее моделью многоуровневой защиты, аутентификация пользователя компьютера относится к уровню защиты узлов.

Обычно выделяют 3 группы методов аутентификации.

1. Аутентификация по наличию у пользователя уникального объекта заданного типа. Иногда этот класс методов аутентификации называют по-английски "I have" ("у меня есть"). В качестве примера можно привести аутентификацию с помощью смарт-карт или электронных USB-ключей.
2. Аутентификация, основанная на том, что пользователю известна некоторая конфиденциальная информация - "I know" ("я знаю"). Например, аутентификация по паролю. Более подробно парольные системы рассматриваются далее в этом разделе.
3. Аутентификация пользователя по его собственным уникальным характеристикам - "I am" ("я есть"). Эти методы также называются биометрическими.

Нередко используются комбинированные схемы аутентификации, объединяющие методы разных классов. Например, двухфакторная аутентификация - пользователь предъявляет системе смарт-карту и вводит пин-код для ее активации.

Наиболее распространенными на данный момент являются парольные системы аутентификации . У пользователя есть идентификатор и пароль , т.е. секретная информация , известная только пользователю (и возможно - системе), которая используется для прохождения аутентификации.

В зависимости от реализации системы, пароль может быть одноразовым или многоразовым. Операционные системы, как правило, проводят аутентификацию с использованием многоразовых паролей. Совокупность идентификатора, пароля и, возможно, дополнительной информации, служащей для описания пользователя составляют учетную запись пользователя .

Если нарушитель узнал пароль легального пользователя, то он может, например, войти в систему под его учетной записью и получить доступ к конфиденциальным данным. Поэтому безопасности паролей следует уделять особой внимание.

Как отмечалось при рассмотрении стандарта ISO 17799 , рекомендуется, чтобы пользователи системы подписывали документ о сохранении конфиденциальности пароля. Но нарушитель также может попытаться подобрать пароль , угадать его, перехватить и т.д. Рассмотрим некоторые рекомендации по администрированию парольной системы, позволяющие снизить вероятность реализации подобных угроз.

1. Задание минимальной длины используемых в системе паролей. Это усложняет атаку путем подбора паролей. Как правило, рекомендуют устанавливать минимальную длину в 6-8 символов.
2. Установка требования использовать в пароле разные группы символов - большие и маленькие буквы, цифры, специальные символы. Это также усложняет подбор.
3. Периодическая проверка администраторами безопасности качества используемых паролей путем имитации атак , таких как подбор паролей "по словарю" (т.е. проверка на использование в качестве пароля слов естественного языка и простых комбинаций символов, таких как "1234").
4. Установка максимального и минимального сроков жизни пароля, использование механизма принудительной смены старых паролей.
5. Ограничение числа неудачных попыток ввода пароля (блокирование учетной записи после заданного числа неудачных попыток войти в систему).
6. Ведение журнала истории паролей, чтобы пользователи, после принудительной смены пароля, не могли вновь выбрать себе старый, возможно скомпрометированный пароль.

Современные операционные системы семейства Windows позволяют делать установки, автоматически контролирующие выполнение требований 1,2,4-6. При использовании домена Windows , эти требования можно распространить на все компьютеры, входящие в домен и таким образом повысить защищенность всей сети.

Но при внедрении новых механизмов защиты могут появиться и нежелательные последствия. Например, требования "сложности" паролей могут поставить в тупик недостаточно подготовленного пользователя. В данном случае потребуется объяснить, что с точки зрения операционной системы Windows надежный пароль содержит 3 из 4 групп символов (большие буквы, малые буквы, цифры, служебные знаки). Аналогичным образом, надо подготовить пользователей и к внедрению блокировки учетных записей после нескольких неудачных попыток ввода пароля. Требуется объяснить пользователям, что происходит, а сами правила блокировки должны быть хорошо продуманы. Например, если высока вероятность того, что пользователь заблокирует свою запись в период отсутствия администратора, лучше ставить блокировку не насовсем, а на какой-то срок (30 минут, час и т.д.).

Это приводит к тому, что должна быть разработана политика управления паролями , сопровождающие ее документы, а потом уже проведено внедрение.

При использовании ОС семейства Windows , выявить учетные записи со слабыми или отсутствующими паролями можно, например, с помощью утилиты Microsoft Baseline Security Analyzer . Она же позволяет выявить и другие ошибки администрирования. Вопросам использования этой утилиты, а также настройке политики паролей посвящена лабораторная работа № 3.

Протокол Kerberos был разработан в Массачусетском технологическом институте в середине 1980-х годов и сейчас является фактическим стандартом системы централизованной аутентификации и распределения ключей симметричного шифрования. Поддерживается операционными системами семейства Unix, Windows (начиная с Windows "2000), есть реализации для Mac OS.

В сетях Windows (начиная с Windows "2000 Serv.) аутентификация по протоколу Kerberos v.5 ( RFC 1510) реализована на уровне доменов. Kerberos является основным протоколом аутентификации в домене, но в целях обеспечения совместимости c с предыдущими версиями, также поддерживается протокол NTLM .

Перед тем, как рассмотреть порядок работы Kerberos, разберем зачем он изначально разрабатывался. Централизованное распределение ключей симметричного шифрования подразумевает, что у каждого абонента сети есть только один основной ключ , который используется для взаимодействия с центром распределения ключей (сервером ключей). Чтобы получить ключ шифрования для защиты обмена данными с другим абонентом, пользователь обращается к серверу ключей, который назначает этому пользователю и соответствующему абоненту сеансовый симметричный ключ .

Протокол Kerberos обеспечивает распределение ключей симметричного шифрования и проверку подлинности пользователей, работающих в незащищенной сети. Реализация Kerberos - это программная система, построенная по архитектуре "клиент- сервер ". Клиентская часть устанавливается на все компьютеры защищаемой сети, кроме тех, на которые устанавливаются компоненты сервера Kerberos. В роли клиентов Kerberos могут, в частности, выступать и сетевые серверы (файловые серверы, серверы печати и т.д.).

Серверная часть Kerberos называется центром распределения ключей (англ. Key Distribution Center , сокр. KDC ) и состоит из двух компонент :

• сервер аутентификации (англ. Authentication Server , сокр. AS);
• сервер выдачи разрешений (англ. Ticket Granting Server, сокр. TGS ).

Каждому субъекту сети сервер Kerberos назначает разделяемый с ним ключ симметричного шифрования и поддерживает базу данных субъектов и их секретных ключей. Схема функционирования протокола Kerberos представлена на рис. 5.1 .

Рис. 5.1.

Пусть клиент C собирается начать взаимодействие с сервером SS (англ. Service Server - сервер , предоставляющий сетевые сервисы). В несколько упрощенном виде, протокол предполагает следующие шаги [ , ]:

1. C->AS: {c} .

   Клиент C посылает серверу аутентификации AS свой идентификатор c (идентификатор передается открытым текстом).

2. AS->C: {{TGT}K AS_TGS , K C_TGS }K C ,
   • K C - основной ключ C ;
   • K C_TGS - ключ, выдаваемый C для доступа к серверу выдачи разрешений TGS ;
   • {TGT} - Ticket Granting Ticket - билет на доступ к серверу выдачи разрешений

   {TGT}={c, tgs ,t 1 ,p 1 , K C_TGS } , где tgs - идентификатор сервера выдачи разрешений, t 1 - отметка времени, p 1 - период действия билета.

   На этом шаге сервер аутентификации AS , проверив, что клиент C имеется в его базе, возвращает ему билет для доступа к серверу выдачи разрешений и ключ для взаимодействия с сервером выдачи разрешений. Вся посылка зашифрована на ключе клиента C . Таким образом, даже если на первом шаге взаимодействия идентификатор с послал не клиент С , а нарушитель X , то полученную от AS посылку X расшифровать не сможет.

   Получить доступ к содержимому билета TGT не может не только нарушитель, но и клиент C , т.к. билет зашифрован на ключе, который распределили между собой сервер аутентификации и сервер выдачи разрешений.

3. C-> TGS : {TGT}K AS_TGS , {Aut 1 } K C_TGS , {ID}

   где {Aut 1 } - аутентификационный блок - Aut 1 = {с,t 2 } , t 2 - метка времени; ID - идентификатор запрашиваемого сервиса (в частности, это может быть идентификатор сервера SS ).

   Клиент C на этот раз обращается к серверу выдачи разрешений ТGS . Он пересылает полученный от AS билет, зашифрованный на ключе K AS_TGS , и аутентификационный блок, содержащий идентификатор c и метку времени, показывающую, когда была сформирована посылка.Сервер выдачи разрешений расшифровывает билет TGT и получает из него информацию о том, кому был выдан билет, когда и на какой срок, ключ шифрования, сгенерированный сервером AS для взаимодействия между клиентом C и сервером TGS . С помощью этого ключа расшифровывается аутентификационный блок. Если метка в блоке совпадает с меткой в билете, это доказывает, что посылку сгенерировал на самом деле С (ведь только он знал ключ K C_TGS и мог правильно зашифровать свой идентификатор). Далее делается проверка времени действия билета и времени отправления посылки 3 ). Если проверка проходит и действующая в системе политика позволяет клиенту С обращаться к клиенту SS , тогда выполняется шаг 4 ).

4. TGS ->C: {{ TGS }K TGS_SS ,K C_SS }K C_TGS ,

   где K C_SS - ключ для взаимодействия C и SS , { TGS } - Ticket Granting Service - билет для доступа к SS (обратите внимание, что такой же аббревиатурой в описании протокола обозначается и сервер выдачи разрешений). { TGS } ={с,ss,t 3 ,p 2 , K C_SS } .

   Сейчас сервер выдачи разрешений TGS посылает клиенту C ключ шифрования и билет, необходимые для доступа к серверу SS . Структура билета такая же, как на шаге 2): идентификатор того, кому выдали билет; идентификатор того, для кого выдали билет; отметка времени; период действия ; ключ шифрования.

5. C->SS: { TGS }K TGS_SS , {Aut 2 } K C_SS

   где Aut 2 ={c,t 4 } .

   Клиент C посылает билет, полученный от сервера выдачи разрешений, и свой аутентификационный блок серверу SS , с которым хочет установить сеанс защищенного взаимодействия. Предполагается, что SS уже зарегистрировался в системе и распределил с сервером TGS ключ шифрования K TGS_SS . Имея этот ключ, он может расшифровать билет, получить ключ шифрования K C_SS и проверить подлинность отправителя сообщения .

6. SS->C: {t 4 +1}K C_SS

   Смысл последнего шага заключается в том, что теперь уже SS должен доказать C свою подлинность. Он может сделать это, показав, что правильно расшифровал предыдущее сообщение. Вот поэтому, SS берет отметку времени из аутентификационного блока C , изменяет ее заранее определенным образом (увеличивает на 1), шифрует на ключе K C_SS и возвращает C .сеть логически делится на области действия серверов Kerberos. Kerberos-область - это участок сети, пользователи и серверы которого зарегистрированы в базе данных одного сервера Kerberos (или в одной базе, разделяемой несколькими серверами). Одна область может охватывать сегмент локальной сети, всю локальную сеть или объединять несколько связанных локальных сетей. Схема взаимодействия между Kerberos-областями представлена на рис. 5.2 .

   Для взаимодействия между областями, должна быть осуществлена взаимная регистрация серверов Kerberos, в процессе которой сервер выдачи разрешений одной области регистрируется в качестве клиента в другой области (т.е. заносится в базу сервера аутентификации и разделяет с ним ключ ).

   После установки взаимных соглашений, клиент из области 1 (пусть это будет K 11 ) может установить сеанс взаимодействия с клиентом из области 2 (например, К 21 ). Для этого K 11 должен получить у своего сервера выдачи разрешений билет на доступ к Kerberos-серверу, с клиентом которого он хочет установить взаимодействие (т.е. серверу Kerberos KDC2). Полученный билет содержит отметку о том, в какой области зарегистрирован владелец билета. Билет шифруется на ключе, разделенном между серверами KDC1 и KDC2. При успешной расшифровке билета, удаленный Kerberos- сервер может быть уверен, что билет выдан клиенту Kerberos-области, с которой установлены доверительные отношения . Далее протокол работает как обычно.

   ключ , но и убедились в подлинности друг друга, иными словами - аутентифицировали друг друга.

   Что касается реализации протокола Kerberos в Windows , то надо отметить следующее.

   1. Ключ пользователя генерируется на базе его пароля. Таким образом, при использовании слабых паролей эффект от надежной защиты процесса аутентификации будет сведен к нулю.
   2. В роли Kerberos-серверов выступают контроллеры домена, на каждом из которых должна работать служба Kerberos Key Distribution Center ( KDC ). Роль хранилища информации о пользователях и паролях берет на себя служба каталога Active Directory. Ключ, который разделяют между собой сервер аутентификации и сервер выдачи разрешений формируется на основе пароля служебной учетной записи krbtgt - эта запись автоматически создается при организации домена и всегда заблокирована.
   3. Microsoft в своих ОС использует расширение Kerberos для применения криптографии с открытым ключом. Это позволяет осуществлять регистрацию в домене и с помощью смарт-карт, хранящих ключевую информацию и цифровой сертификат пользователя .
   4. Использование Kerberos требует синхронизации внутренних часов компьютеров, входящих в домен Windows.

   Для увеличения уровня защищенности процесса аутентификации пользователей, рекомендуется отключить использование менее надежного протокола NTLM и оставить только Kerberos (если использования NTLM не требуют устаревшие клиентские ОС).

ЕСИА - самостоятельная информационная система, единое «окно» доступа граждан, бизнеса и представителей исполнительной власти в инфраструктуру электронного правительства, а также в другие информационные системы, подключенные к Системе межведомственного электронного взаимодействия (СМЭВ).

Ключевая функция ЕСИА - предоставление пользователю единой учетной записи для доступа к множеству значимых государственных информационных систем. Учетная запись позволяет заходить на любые порталы, использующие ЕСИА, под одним и тем же логином и паролем.

Единая учетная запись позволяет просто и быстро оплатить налоги, записать в детский сад ребенка, узнать состояние пенсионного счета, заказать множество других госуслуг. Бизнес, помимо прочего, получил возможность простой авторизации на площадке электронных торгов, представители госорганов – в Государственной автоматизированной информационной системе «Управление».

Зачем нужна ЕСИА

Система избавит граждан от необходимости хранить множество логинов/паролей для получения государственных услуг в электронном виде. Единожды зарегистрировавшись в какой-либо государственной информационной системе, гражданин сможет использовать полученные логин и пароль на других ведомственных ресурсах. Например, граждане, зарегистрированные на портале госуслуг, смогут пользоваться логином и паролем от своего личного кабинета для доступа к информационным системам ведомств с помощью сайтов ведомств.

Кликните два раза, чтобы увеличить

Кроме того, для доступа к госресурсам можно будет использовать различные электронные карты, средства предоставляемые операторами сотовой связи и цифрового телевидения – любые средства, информация о которых будет в системе.

Единый цифровой профиль

Более 66 млн россиян зарегистрировано в ЕСИА

По данным на 8 февраля 2018 года, почти половина населения России - более 66 млн граждан - имеют учетную запись в Единой системе идентификации и аутентификации (ЕСИА). За 2017 год численность «электронного» населения страны выросла более чем на 66%. Согласно годовой статистике, ежемесячно в ЕСИА регистрировалось около 2 млн пользователей.

В региональном рейтинге ЕСИА Минкомсвязи России лидирует Ненецкий автономный округ, который год назад занимал лишь 80-е место. За год численность «электронного» населения региона увеличилась более чем на 77% и составляет 95,5%. На втором месте - Республика Тыва с годовым приростом почти 30% и долей 93,5%. Рекордные результаты также продемонстрировал Чукотский автономный округ - более 60%. Регион за год «поднялся» с 71-го до 3-го места с показателем 87,1%. Топ-5 замыкает Ханты-Мансийский и Ямало-Ненецкий автономные округа - 85,2% и 81% соответственно.

Число зарегистрированных в ЕСИА граждан старше 14 лет превышает 70% еще в 5 субъектах РФ: Курской , Тульской и Сахалинской областях , а также в Республиках Дагестан и Алтай . В Тамбовской , Вологодской областях и в Удмуртской Республике этот показатель почти достигнут и превышает 69%.

ЕСИА - это единая точка доступа более чем к 4 тыс. государственных и коммерческих порталов, число которых за 2017 год выросло в 4 раза. Через ЕСИА было совершено почти 1 млрд авторизаций, более четверти которых пользователи выполнили для входа на Единый портал госуслуг (ЕПГУ).

По состоянию на февраль 2018 года, на ЕПГУ доступно более 27 тыс. государственных услуг федерального, регионального и муниципального уровня. Для получения примерно 23 тыс. из них требуется подтвержденная учетная запись, число обладателей которой составляет около 60% пользователей Единого портала госуслуг - более 40 млн граждан. Подтвердить личность можно в любом Центре обслуживания пользователей.

2017

Биометрия, облачная ЭП, денежные переводы и доступ к данным для бизнеса

Внедрение биометрии

В частности, заместитель министра связи и массовых коммуникаций Российской Федерации Алексей Козырев сообщил о планах ввести в ЕСИА с начала 2018 года поддержку биометрии . При этом на первом этапе предполагается реализовать распознание голоса и лица, а в последующем добавить возможность идентификации по отпечаткам пальцев и радужной оболочке глаз. По словам замминистра, МВД России уже ведет соответствующие разработки.

Пока идентификация в ЕСИА осуществляется по паре логин-пароль либо с помощью квалифицированной электронной подписи (электронного ключа, выданного аккредитованным удостоверяющим центром).

Доступ к данным для коммерческих организаций

В то же время, планируется открыть доступ к персональным данным российских граждан для коммерческих организаций, в первую очередь - финансовых, которые в наибольшей степени подготовлены к электронному взаимодействию, а затем и для представителей других отраслей. В частности, организации смогут получить доступ к следующим персональным данным: профиль гражданина на портале госуслуг, данные о пенсионных накоплениях, налоговых платежах и др. Гражданам, в свою очередь, будет предоставлена возможность регулировать через специальный веб-интерфейс ЕСИА использование своих данных: давать и отзывать свое согласие на их обработку коммерческими организациями, получать уведомления о фактах их обработки и т.д.

Облачная ЭП транзакций

Кроме того, в планах Минкомсвязи - реализовать через ЕСИА возможность подписывать транзакции в электронном формате. При этом, в связи со сложностью процесса получения квалифицированной электронной подписи, гражданам планируется предоставлять услугу облачной подписи. По словам Алексея Козырева, две российские компании, названия которых не раскрываются, уже располагают необходимыми разработками для реализации сервиса. При этом одна из них - в процессе получения разрешений от ФСТЭК России.

Денежные переводы без платежных систем

Самая амбициозная задача, озвученная Козыревым - создание нового адресного пространства. По задумке Минкомсвязи, уникальный идентификатор позволит сделать денежный перевод или отправить заказное письмо гражданину вне зависимости от его местонахождения. Планируется, что граждане смогут использовать ЕСИА для проведения финансовых операций друг с другом - соответствующие работы уже ведутся Центробанком и ассоциацией «Финтех» . В качестве уникального идентификатора могут выступать номер паспорта, ИНН, СНИЛС, номер телефона и прочие персональные данные пользователя.

Для реализации задачи потребуется специальная платформа для взаимодействия между банками. При этом возможности платежных систем для проведения таких переводов не потребуются, уточнил замминистра.

Подключение операторов сотовой связи к инфраструктуре электронного правительства

В октябре 2017 года заместитель министра связи и массовых коммуникаций Российской Федерации Алексей Козырев провел заседание Подкомиссии по использованию информационных технологий при предоставлении государственных и муниципальных услуг Правительственной комиссии по использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности. Одним из главных вопросов заседания стало подключение операторов подвижной радиотелефонной связи к Единой системе идентификации и аутентификации (ЕСИА) и системе межведомственного электронного взаимодействия (СМЭВ), которые являются частью инфраструктуры электронного правительства.

«После подключения к ЕСИА и СМЭВ операторы смогут выполнить требования закона и оперативно очистить базы абонентов от анонимных пользователей. Кроме того, подключение к ЕСИА позволит операторам развивать дистанционное взаимодействие с абонентами», - подчеркнул заместитель директора Департамента регулирования радиочастот и сетей связи Минкомсвязи России Михаил Быковский.

ЕСИА - единая точка доступа к цифровым сервисам ведомств

8 сентября 2017 года, в ходе заседания Подкомиссии по использованию ИТ при предоставлении государственных и муниципальных услуг под председательством Министра связи и массовых коммуникаций Российской Федерации Николая Никифорова , была рассмотрена возможность авторизации пользователей при получении информации из государственных информационных систем исключительно через Единую систему идентификации и аутентификации (ЕСИА).

Предложение о едином доступе поступило от представителей Архангельской области . Речь идет о такой информации, как, например, запросы сведений о штрафах ГИБДД через официальный сайт Госавтоинспекции МВД России и результатах единого государственного экзамена через соответствующие официальные сайты в интернете . Подкомиссия поручила проработать вопрос единого доступа к сведениям из государственных информационных систем через ЕСИА МВД России и Минобрнауки совместно с Федеральной службой по надзору в сфере образования и науки (Рособрнадзором).

В ходе заседания представитель Курской области доложил о росте количества заказанных населением госуслуг в электронном виде. Так, за весь 2016 год граждане заказали 200 тыс. услуг, а за прошедшие месяцы 2017 года подано более 270 тыс. заявок. Всего в Курской области более 70% населения зарегистрированы в ЕСИА. Было поддержано предложение региона о совершенствовании нормативных документов для оказания полностью электронных услуг по таким востребованным услугам, как, например, оформление разрешения на охоту. По результатам заседания подкомиссии регионам рекомендовано учесть опыт Курской области по достижению доли граждан, использующих электронный механизм получения госуслуг.

50 млн граждан России

В ЦБ объясняли, что первичная идентификация останется очной и клиент должен будет пройти ее в банке в соответствии с уже действующими нормами. После идентификации эта информация попадет в ЕСИА, которая и станет центральной инфраструктурой для хранения информации. Далее, если клиент обратится в другой банк за услугой, ему не придется проходить очную идентификацию, этот банк просто обратится к ЕСИА.

Удаленную идентификацию планируется сначала применять по операциям физлиц со счетами, вкладами, переводами, получением кредитов, предоставлением информации по счету. После пилота этот перечень может быть расширен, рассказала Скоробогатова.

Для проведения проекта необходимо внести изменения в закон и ввести понятие «удаленная идентификация». Принятие поправок в закон о противодействии отмыванию доходов и другие нормативные акты ожидается в первом полугодии 2017 года.

2016

Ежемесячный прирост пользователей электронных госуслуг превысил два миллиона человек

По данным на конец ноября 2016 года, в Единой системе идентификации и аутентификации (ЕСИА) зарегистрировано 37,7 млн человек. Прирост пользователей электронных госуслуг в ноябре 2016 года составил 2,4 млн человек. Это рекордный рост за все время существования системы.

Интеграцию с системой межведомственного электронного взаимодействия (СМЭВ) версии 3.0 на сегодняшний день завершило большинство субъектов РФ. Оставшимся двум субъектам - Республике Ингушетия и Тверской области необходимо осуществить переход на новую версию системы.

Статистика на лето 2016 года

На 18 августа 2016 года единую систему идентификации и аутентификации (ЕСИА) используют все региональные порталы госуслуг, сайты Федеральной налоговой службы , Федеральной службы государственной регистрации, кадастра и картографии , Федерального казначейства , Пенсионного фонда РФ , официальные сайты для размещения информации о торгах и государственных закупках, сайт Российской общественной инициативы, государственная информационная система жилищно-коммунального хозяйства, а также электронные государственные библиотеки.

В июле 2015 года появилась возможность пройти идентификацию с помощью учетной записи на Едином портале госуслуг в бесплатной сети Wi-Fi московского метрополитена. Также пройти регистрацию с помощью учетной записи в ЕСИА возможно в Международном аэропорту Шереметьево , терминалах «Аэроэкспресс », ряде московских ярмарок, на стадионе «Спартак» и в детском парке игрового обучения

В.Шрамко

PCWeek/RE № 45, 2004 г.

Предотвратить ущерб, связанный с утратой хранящейся в компьютерах конфиденциальной информации, — одна из важнейших задач для любой компании. Известно, что персонал предприятия нередко оказывается главным виновником этих потерь. По результатам исследования Computer Security Institute, на непреднамеренные ошибки сотрудников приходится 55% такого ущерба, на действия нечестных и обиженных коллег — соответственно 10% и 9%. Оставшуюся часть потерь связывают с проблемами физической защиты (стихийные бедствия, электропитание) — 20%, вирусами — 4% и внешними атаками — 2%.

Основным способом защиты информации от злоумышленников считается внедрение так называемых средств ААА, или 3А (authentication, authorization, administration — аутентификация, авторизация, администрирование). Среди средств ААА значимое место занимают аппаратно-программные системы идентификации и аутентификации (СИА) и устройства ввода идентификационных признаков (термин соответствует ГОСТ Р 51241-98), предназначенные для защиты от несанкционированного доступа (НСД) к компьютерам.

При использовании СИА сотрудник получает доступ к компьютеру или в корпоративную сеть только после успешного прохождения процедуры идентификации и аутентификации. Идентификация заключается в распознавании пользователя по присущему или присвоенному ему идентификационному признаку. Проверка принадлежности пользователю предъявленного им идентификационного признака осуществляется в процессе аутентификации.

В состав аппаратно-программных СИА входят идентификаторы, устройства ввода-вывода (считыватели, контактные устройства, адаптеры, платы доверенной загрузки, разъемы системной платы и др.) и соответствующее ПО. Идентификаторы предназначены для хранения уникальных идентификационных признаков. Кроме того, они могут хранить и обрабатывать разнообразные конфиденциальные данные. Устройства ввода-вывода и ПО пересылают данные между идентификатором и защищаемым компьютером.

На мировом рынке информационной безопасности сегмент ААА стабильно растет. Эта тенденция подчеркивается в аналитических обзорах и прогнозах Infonetics Research, IDC, Gartner и других консалтинговых компаний.

В нашей статье основное внимание будет уделено комбинированным системам идентификации и аутентификации. Такой выбор обусловлен тем, что в настоящее время системы этого класса обеспечивают наиболее эффективную защиту компьютеров от НСД.

Классификация систем идентификации и аутентификации

Современные СИА по виду используемых идентификационных признаков разделяются на электронные, биометрические и комбинированные (см. рис. 1).

Рисунок 1 — Классификация СИА по виду идентификационных признаков

В электронных системах идентификационные признаки представляются в виде цифрового кода, хранящегося в памяти идентификатора. Такие СИА разрабатываются на базе следующих идентификаторов:

• контактных смарт-карт;
• бесконтактных смарт-карт;
• USB-ключей (другое название — USB-токенов);
• идентификаторов iButton.

В биометрических системах идентификационными признаками являются индивидуальные особенности человека, называемые биометрическими характеристиками. В основе идентификации и аутентификации этого типа лежит процедура считывания предъявляемого биометрического признака пользователя и его сравнение с предварительно полученным шаблоном. В зависимости от вида используемых характеристик биометрические системы делятся на статические и динамические.

Статическая биометрия (также называемая физиологической) основывается на данных, получаемых из измерений анатомических особенностей человека (отпечатки пальцев, форма кисти руки, узор радужной оболочки глаза, схема кровеносных сосудов лица, рисунок сетчатки глаза, черты лица, фрагменты генетического кода и др.).

Динамическая биометрия (также называемая поведенческой) основывается на анализе совершаемых человеком действий (параметры голоса, динамика и форма подписи).

Несмотря на многочисленность биометрических характеристик, разработчики СИА основное внимание уделяют технологиям распознавания по отпечаткам пальцев, чертам лица, геометрии руки и радужной оболочки глаза. Так, например, согласно отчету International Biometric Group, на мировом рынке биометрической защиты в 2004 г. доля систем распознавания по отпечаткам пальцев составила 48%, по чертам лица — 12%, геометрии руки — 11%, радужке глаза — 9%, параметрам голоса — 6%, подписи — 2%. Оставшаяся доля (12%) относится к промежуточному ПО.

В комбинированных системах для идентификации используется одновременно несколько идентификационных признаков. Такая интеграция позволяет воздвигнуть перед злоумышленником дополнительные преграды, которые он не сможет преодолеть, а если и сможет, то со значительными трудностями. Разработка комбинированных систем осуществляется по двум направлениям:

• интеграция идентификаторов в рамках системы одного класса;
• интеграция систем разного класса.

В первом случае для защиты компьютеров от НСД используются системы, базирующиеся на бесконтактных смарт-картах и USB-ключах, а также на гибридных (контактных и бесконтактных) смарт-картах. Во втором случае разработчики умело «скрещивают» биометрические и электронные СИА (далее в статье такой конгломерат называется биоэлектронной системой идентификации и аутентификации).

Особенности электронных систем идентификации и аутентификации

С электронными СИА и анализом их ключевых характеристик, позволяющим сделать выбор в пользу того или иного продукта, можно познакомиться в моем обзоре «Защита компьютеров: электронные системы идентификации и аутентификации» (см. PC Week/RE, № 12/2004, с. 18). Приведу лишь основные особенности электронных СИА, знание которых помогает понять структуру и принцип работы комбинированных систем.

В состав комбинированных СИА могут входить электронные контактные и бесконтактные смарт-карты и USB-ключи. Основным элементом этих устройств являются одна или более встроенных интегральных микросхем (чипов), которые могут представлять собой микросхемы памяти, микросхемы с жесткой логикой и микропроцессоры (процессоры). В настоящее время наибольшей функциональностью и степенью защищенности обладают идентификаторы с процессором.

Основу чипа микропроцессорной контактной смарт-карты составляют центральный процессор, специализированный криптографический процессор (опционально), оперативная память (RAM), постоянная память (ROM), энергонезависимая программируемая постоянная память (PROM), датчик случайных чисел, таймеры, последовательный коммуникационный порт.

Оперативная память используется для временного хранения данных, например, результатов вычислений, произведенных процессором. Ее емкость составляет несколько килобайтов.

В постоянной памяти хранятся команды, исполняемые процессором, и другие неизменяемые данные. Информация в ROM записывается при производстве карты. Емкость памяти может составлять десятки килобайтов.

В контактных смарт-картах используется два типа памяти PROM: однократно программируемая память EPROM и чаще встречающаяся многократно программируемая память EEPROM. Память PROM служит для хранения пользовательских данных, которые могут считываться, записываться и модифицироваться, и конфиденциальных данных (например, криптографических ключей), недоступных для прикладных программ. Емкость PROM составляет десятки и сотни килобайтов.

Центральный процессор смарт-карты (обычно это RISC-процессор) обеспечивает реализацию разнообразных процедур обработки данных, контроль доступа к памяти и управление ходом выполнения вычислительного процесса.

На специализированный процессор возлагается реализация различных процедур, необходимых для повышения защищенности СИА:

• генерация криптографических ключей;
• реализация криптографических алгоритмов (ГОСТ 28147-89, DES, 3DES, RSA, SHA-1 и др.);
• выполнение операций с электронной цифровой подписью (генерация и проверка);
• выполнение операций с PIN-кодом и др.

Бесконтактные смарт-карты разделяются на идентификаторы Proximity и смарт-карты, базирующиеся на международных стандартах ISO/IEC 15693 и ISO/IEC 14443. В основе функционирования большинства СИА на базе бесконтактных смарт-карт лежит технология радиочастотной идентификации. Конструктивно радиочастотные идентификаторы (см. табл. 1) изготавливаются в виде пластиковых карточек, брелоков, жетонов, дисков, меток и т. п.

Таблица 1 — Радиочастотные идентификаторы

Основные компоненты бесконтактных смарт-карт — чип и антенна. Внутри идентификаторов также может находиться литиевая батарея. Идентификаторы с батареей называются активными, без батареи — пассивными. Каждый идентификатор имеет уникальный 32/64-разрядный серийный номер.

Идентификаторы Proximity функционируют на частоте 125 кГц. В состав чипа входит микросхема памяти (или микросхема с жесткой логикой) со вспомогательными блоками: модулем программирования, модулятором, блоком управления и др. Емкость памяти составляет от 8 до 256 байт. В Proximity в основном используется однократно программируемая постоянная память EPROM, но встречается и перезаписываемая EEPROM. В памяти содержатся уникальный номер идентификатора, код устройства и служебная информация (биты четности, биты начала и конца передачи кода и т. д.).

Обычно идентификаторы Proximity являются пассивными и не содержат химического источника питания — литиевой батареи. В этом случае питание микросхемы происходит посредством электромагнитного поля, излучаемого считывателем. Чтение данных считыватель осуществляет со скоростью 4 кбит/с на расстоянии до 1 м.

Системы идентификации и аутентификации на базе Proximity криптографически не защищены (за исключением заказных систем).

Бесконтактные смарт-карты функционируют на частоте 13,56 МГц и разделяются на два класса, которые базируются на международных стандартах ISO/IEC 15693 и ISO/IEC 14443.

Стандарт ISO/IEC 14443 включает в себя версии А и В, различающиеся способами модуляции передаваемого радиосигнала. Стандарт поддерживает обмен (чтение-запись) данными со скоростью 106 кбит/с (возможно увеличение скорости до 212, 424 или 848 кбит/с), дистанция чтения — до 10 см.

Для реализации функций шифрования и аутентификации в идентификаторах стандарта ISO/IEC 14443 могут применяться чипы трех видов: микросхема с жесткой логикой MIFARE, процессор или криптографический процессор. Технология MIFARE является разработкой компании Philips Electronics и представляет собой расширение ISO/IEC 14443 (версии А).

Стандарт ISO/IEC 15693 увеличивает дистанцию применения бесконтактного идентификатора до 1 м. На этом расстоянии обмен данными осуществляется со скоростью 26,6 Кбит/с.

USB-ключи (см. табл. 2) предназначаются для работы с USB-портом компьютера. Они конструктивно изготавливаются в виде брелоков, которые выпускаются в цветных корпусах, имеют световые индикаторы работы и легко размещаются на связке с ключами. Каждый идентификатор имеет прошиваемый при изготовлении уникальный 32/64-разрядный серийный номер.

Таблица 2 — Характеристики USB-ключей

На российском рынке наибольшей популярностью пользуются следующие USB-ключи:

• серии iKey 10xx, iKey 20xx, iKey 3000 — разработка компании Rainbow Technologies;
• eToken R2, eToken Pro фирмы Aladdin Knowledge Systems;
• ePass1000, ePass2000 фирмы Feitian Technologies;
• ruToken — совместная разработка компании «Актив» и фирмы «АНКАД» .

USB-ключи являются преемниками контактных смарт-карт. Поэтому структуры USB-ключей и смарт-карт, как и объемы аналогичных запоминающих устройств, практически идентичны. В состав USB-ключей могут входить:

• процессор — управление и обработка данных;
• криптографический процессор — реализация алгоритмов ГОСТ 28147-89, DES, 3DES, RSA, DSA, MD5, SHA-1 и других криптографических преобразований;
• USB-контроллер — обеспечение интерфейса с USB-портом компьютера;
• RAM — хранение изменяемых данных;
• EEPROM — хранение ключей шифрования, паролей, сертификатов и других важных данных;
• ROM — хранение команд и констант.

Комбинированные системы

Внедрение комбинированных СИА (см. табл. 3) в систему информационной безопасности компании увеличивает количество идентификационных признаков, позволяя таким образом более эффективно защитить компьютеры и корпоративную сеть от НСД. Кроме того, некоторые типы систем способны управлять физическим доступом в здания и помещения и контролировать его.

Таблица 3 — Основные функции комбинированных СИА

Сегодня на рынке компьютерной безопасности присутствуют комбинированные системы идентификации и аутентификации следующих типов:

• системы на базе бесконтактных смарт-карт и USB-ключей;
• системы на базе гибридных смарт-карт;
• биоэлектронные системы.

Бесконтактные смарт-карты и USB-ключи

Аппаратная интеграция USB-ключей и бесконтактных смарт-карт предполагает, что в корпус брелока встраиваются антенна и микросхема, поддерживающая бесконтактный интерфейс. Это позволяет с помощью одного идентификатора организовать управление доступом и к компьютеру, и в помещения офиса. Для входа в служебное помещение сотрудник использует свой идентификатор в качестве бесконтактной карты, а при допуске к защищенным компьютерным данным — в качестве USB-ключа. Кроме того, при выходе из помещения он извлекает идентификатор из USB-разъема (чтобы потом войти обратно) и тем самым автоматически блокирует работу компьютера.

В 2004 г. на российском рынке появились два комбинированных идентификатора такого типа:

• RFiKey — разработка компании Rainbow Technologies;
• eToken PRO RM — разработка компании Aladdin Software Security R.D. .

Идентификатор RFiKey (рис. 2) представляет собой USB-ключ iKey со встроенной микросхемой Proximity, разработанной HID Corporation.

Рисунок 2 — Идентификатор RFiKey

Изделие RFiKey поддерживает интерфейс USB 1.1/2.0 и функционирует со считывателями HID Corporation (PR5355, PK5355, PR5365, MX5375, PP6005) и российской компании Parsec (APR-03Hx, APR-05Hx, APR-06Hx, APR-08Hx, H-Reader).

К основным характеристикам RFiKey можно отнести следующие показатели:

• частота функционирования микросхемы Proximity — 125 кГц;
• тактовая частота процессора — 12 МГц;
• реализуемые криптографические алгоритмы — MD5, RSA-1024, DES, 3DES, RC2, RC4, RC5;
• поддерживаемые стандарты — PKCS#11, MS Crypto API, PC/SC;
• файловая система с тремя уровнями доступа к данным;
• поддерживаемые операционные системы — Windows 95/98/ME/NT4 (SP3)/2000/XP/ 2003.

Идентификатор eToken RM представляет собой USB-ключ eToken Pro со встроенным чипом, поддерживающим бесконтактный интерфейс (рис. 3). Поставщика и тип микросхемы заказчик может выбирать в соответствии со своими потребностями. В настоящее время компанией предлагаются радиочипы производства HID Corporation, EM Microelectronic-Marin, Philips Electronics (технология MIFARE), Cotag International и ОАО «Ангстрем».

Рисунок 3 — Идентификатор eToken RM

Например, радиочастотный пассивный идентификатор БИМ-002 отечественной компании «Ангстрем» изготовлен в виде круглой метки. Он построен на базе микросхемы КБ5004ХК1, основой которой являются память EPROM емкостью 64 бит и блок программирования, используемый для записи уникального идентификационного кода.

К главным характеристикам eToken RM со встроенным идентификатором БИМ-002 можно отнести следующие показатели:

• частота функционирования БИМ-002 — 13,56 МГц;
• дальность чтения идентификационного кода — до 30 мм;
• тактовая частота процессора — 6 МГц;
• реализуемые криптографические алгоритмы — RSA-1024, DES, 3DES, SHA-1;
• наличие аппаратного датчика случайных чисел;
• поддерживаемые стандарты — PKCS#11, PKCS#15 (CRYPTOKI), MS Crypto API, PC/SC, X.509 v3, SSL v3, S/MIME, IPSec/IKE, GINA, RAS/Radius/PAP/CHAP/PAP;
• поддерживаемые операционные системы — Windows 98/ME/NT/2000/XP/2003, ASP Linux 7.2, Red Hat Linux 8.0, SuSe Linux 8.2.

На отечественном рынке ориентировочные цены комбинированных идентификаторов составляют: RFiKey 1032 — от $41, RFiKey 2032 и RFiKey 3000 — от $57, eToken RM с 32 Кб защищенной памяти и БИМ-002 — от $52.

Разница между стоимостью комбинированных и обычных USB-ключей приблизительно соответствует цене смарт-карты Proximity. Отсюда следует, что интеграция бесконтактных смарт-карт и USB-ключей почти не ведет к росту затрат на аппаратную часть при переходе на комбинированную систему идентификации и аутентификации. Выигрыш же очевиден: один идентификатор вместо двух.

Гибридные смарт-карты

Гибридные смарт-карты содержат не связанные между собой разнородные чипы (рис. 4). Один чип поддерживает контактный интерфейс, другие (Proximity, ISO 14443/15693) — бесконтактный. Как и в случае интеграции USB-ключей и бесконтактных смарт-карт, СИА на базе гибридных смарт-карт решают двоякую задачу: защиту от НСД к компьютерам и в помещения компании, где они содержатся. Кроме этого на смарт-карте помещается фотография сотрудника, что позволяет идентифицировать его визуально.

Рисунок 4 — Структура гибридной смарт-карты

Стремление к интеграции радиочастотной бесконтактной и контактной смарт-карт-технологий находит отражение в разработках многих компаний: HID Corporation, Axalto, GemPlus, Indala, Aladdin Knowledge Systems и др.

Например, корпорация HID, ведущий разработчик СИА на базе бесконтактных идентификаторов, выпустила идентификаторы-карты, объединяющие в себе различные технологии считывания идентификационных признаков. Результатом этих разработок явилось создание гибридных смарт-карт:

• Smart ISOProx II — интеграция Proximity-чипа и чипа с контактным интерфейсом (опционально);
• iCLASS — интеграция чипа ISO/IEC 15693 и чипа с контактным интерфейсом (опционально);
• iCLASS Prox — интеграция Proximity-чипа, чипа ISO/IEC 15693 и чипа с контактным интерфейсом (опционально).

На отечественном рынке цены на эти изделия составляют: iCLASS — от $5,1; Smart ISOProx II — от $5,7; iCLASS Prox — от $8,9.

В России компанией Aladdin Software Security R.D. разработана технология производства гибридных смарт-карт eToken Pro/SC RM. В них микросхемы с контактным интерфейсом eToken Pro встраиваются в бесконтактные смарт-карты. Фирма предлагает смарт-карты различных производителей: ОАО «Ангстрем» (БИМ-002), HID Corporation (ISOProx II), Cotag International (Bewator Cotag 958), Philips Electronics (технология MIFARE) и других. Выбор варианта комбинирования определяет заказчик.

Анализ финансовых затрат при переходе на применение гибридных смарт-карт, как и в случае комбинирования бесконтактных смарт-карт и USB-ключей, снова подтверждает торжество принципа «два в одном». Если же на идентификатор поместить фотографию сотрудника, то этот принцип трансформируется в «три в одном».

Биоэлектронные системы

Для защиты компьютеров от НСД биометрические системы обычно объединяются с двумя классами электронных СИА — на базе контактных смарт-карт и на базе USB-ключей.

Интеграция с электронными системами на базе бесконтактных смарт-карт главным образом используется в системах управления физическим доступом в помещения.

Как уже было замечено, технологии идентификации по отпечаткам пальцев сегодня лидируют на рынке биометрических средств защиты. Столь почетное место дактилоскопии вызвано следующими обстоятельствами:

• это самый старый и наиболее изученный метод распознавания;
• его биометрический признак устойчив: поверхность кожного покрова на пальце не меняется со временем;
• высокие значения показателей точности распознавания (по заявлениям разработчиков дактилоскопических средств защиты, вероятность ложного отказа в доступе составляет 10-2, а вероятность ложного доступа -10-9);
• простота и удобство процедуры сканирования;
• эргономичность и малый размер сканирующего устройства;
• самая низкая цена среди биометрических систем идентификации.

В связи с этим сканеры отпечатков пальцев стали наиболее используемой составной частью комбинированных СИА, применяемых для защиты компьютеров от НСД. На втором месте по распространенности на рынке компьютерной безопасности находятся СИА на базе контактных смарт-карт.

Примером такого рода интеграции служат изделия Precise 100 MC (рис. 5) и AET60 BioCARDKey (рис. 6) компаний Precise Biometrics AB и Advanced Card Systems соответственно. Чтобы получить доступ к информационным ресурсам компьютера с помощью этих средств, пользователю необходимо вставить в считыватель смарт-карту и приложить палец к сканеру. Шаблоны отпечатков пальцев хранятся в зашифрованном виде в защищенной памяти смарт-карты. При совпадении изображения отпечатка с шаблоном разрешается доступ к компьютеру. Пользователь очень доволен: не надо запоминать пароль или PIN-код, процедура входа в систему значительно упрощается.

Рисунок 5 — Изделие Precise 100 MC

Рисунок 6 — Изделие AET60 BioCARDKey

Изделия Precise 100 MC и AET60 BioCARDKey — это USB-устройства, работающие в среде Windows. Считыватели смарт-карт поддерживают все типы микропроцессорных карточек, удовлетворяющих стандарту ISO 7816-3 (протоколы T=0, T=1). Дактилоскопические считыватели представляют собой сканеры емкостного типа со скоростями сканирования 4 и 14 отпечатков пальцев в секунду у Precise 100 MC и AET60 BioCARDKey соответственно.

Чтобы уменьшить число периферийных устройств, можно интегрировать дактилоскопический сканер и считыватель смарт-карт в USB-клавиатуру защищаемого компьютера. Примерами таких устройств служат изделия KBPC-CID (рис. 7) альянса Fujitsu Siemens Computers , Precise 100 SC Keyboard (рис. 8) и Precise 100 MC Keyboard компании Precise Biometrics AB.

Рисунок 7 — Изделие KBPC-CID

Рисунок 8 — Изделие Precise 100 SC Keyboard

Для доступа к информационным ресурсам компьютера, как и в предыдущем варианте, пользователю необходимо поместить смарт-карту в считыватель и к сканеру приложить палец. Представляется интересным и перспективным решение разработчиков комбинированных систем защиты объединить USB-ключ с дактилоскопической системой идентификации (далее такое устройство будем именовать USB-биоключом). Примером этого решения могут служить USB-биоключи FingerQuick (рис. 9) японской корпорации NTT Electronics и ClearedKey (рис. 10) американской компании Priva Technologies.

Рисунок 9 — USB-биоключ FingerQuick

Рисунок 10 — USB-биоключ ClearedKey

В ближайшем будущем USB-биоключи могут получить широкое распространение благодаря своим достоинствам:

• высокий уровень защищенности (наличие дактилоскопического сканера, хранение секретных данных, в частности шаблонов отпечатков пальцев, в защищенной энергонезависимой памяти идентификатора, шифрование обмена данными с компьютером);
• аппаратная реализация криптографических преобразований;
• отсутствие аппаратного считывателя;
• уникальность признака, малые размеры и удобство хранения идентификаторов.

Главным недостатком USB-биоключей является их высокая цена. Например, приблизительная стоимость FingerQuick составляет $190.

Заключение

На первый взгляд комбинированные системы идентификации и аутентификации представляют собой какие-то дорогостоящие, экзотические продукты. Но мировой опыт разработок систем компьютерной безопасности показывает, что все используемые в настоящий момент средства защиты тоже когда-то были такими вот экзотическими изделиями. А сейчас они — норма безопасной жизни. Отсюда с высокой вероятностью можно утверждать, что подобная судьба ожидает и комбинированные системы.

Полное название:

Биометрические системы идентификации и аутентификации.

Биометрические технологии основаны на биометрии, измерении уникальных характеристик отдельно взятого человека. Это могут быть как уникальные признаки, полученные им с рождения, например: ДНК, отпечатки пальцев, радужная оболочка глаза; так и характеристики, приобретённые со временем или же способные меняться с возрастом или внешним воздействием. Например: почерк, голос или походка.

Назначение:

Основным способом защиты информации от злоумышленников считается внедрение так называемых средств ААА, или 3А (authentication, authorization, administration - аутентификация, авторизация, администрирование). Среди средств ААА значимое место занимают аппаратно-программные системы идентификации и аутентификации (СИА) и устройства ввода идентификационных признаков (термин соответствует ГОСТ Р 51241-98), предназначенные для защиты от несанкционированного доступа (НСД) к компьютерам.

При использовании СИА сотрудник получает доступ к компьютеру или в корпоративную сеть только после успешного прохождения процедуры идентификации и аутентификации. Идентификация заключается в распознавании пользователя по присущему или присвоенному ему идентификационному признаку. Проверка принадлежности пользователю предъявленного им идентификационного признака осуществляется в процессе аутентификации.

В состав аппаратно-программных СИА входят идентификаторы, устройства ввода-вывода (считыватели, контактные устройства, адаптеры, платы доверенной загрузки, разъемы системной платы и др.) и соответствующее ПО. Идентификаторы предназначены для хранения уникальных идентификационных признаков. Кроме того, они могут хранить и обрабатывать разнообразные конфиденциальные данные. Устройства ввода-вывода и ПО пересылают данные между идентификатором и защищаемым компьютером.

Биометрическая идентификация – это способ идентификации личности по отдельным специфическим биометрическим признакам (идентификаторам), присущим конкретному человеку.

Биометрическая аутентификация - это опознание индивидуума на основе его физиологических характеристик и поведения. Аутентификация проводится посредством компьютерной технологии без какого-либо нарушения личной сферы человека. Собранные таким образом в базе данных приметы человека сравниваются с теми, которые актуально регистрируются системами безопасности.

Присвоение субъектам и объектам доступа личного идентификатора и сравнение его с заданным перечнем называется идентификацией. Идентификация обеспечивает выполнение следующих функций:

Установление подлинности и определение полномочий субъекта при его допуске в систему,

Контролирование установленных полномочий в процессе сеанса работы;

Регистрация действий и др.

Аутентификацией (установлением подлинности) называется проверка принадлежности субъекту доступа предъявленного им идентификатора и подтверждение его подлинности. Другими словами, аутентификация заключается в проверке: является ли подключающийся субъект тем, за кого он себя выдает.

Биометрические технологии активно применяются во многих областях связанных с обеспечением безопасности доступа к информации и материальным объектам, а также в задачах уникальной идентификации личности.

Применения биометрических технологий разнообразны: доступ к рабочим местам и сетевым ресурсам, защита информации, обеспечение доступа к определённым ресурсам и безопасность. Ведение электронного бизнеса и электронных правительственных дел возможно только после соблюдения определённых процедур по идентификации личности. Биометрические технологии используются в области безопасности банковских обращений, инвестирования и других финансовых перемещений, а также розничной торговле, охране правопорядка, вопросах охраны здоровья, а также в сфере социальных услуг. Биометрические технологии в скором будущем будут играть главную роль в вопросах персональной идентификации во многих сферах. Применяемые отдельно или используемые совместно со смарт-картами, ключами и подписями, биометрия скоро станет применяться во всех сферах экономики и частной жизни.

№ п/п	Области применения	Основные характеристики
1	Компьютер-ная безопас-ность	В данной области биометрия используется для замены (иногда для усиления) стандартной процедуры входа в различные программы по паролю, смарт-карте, таблетке touch-memory и т.д. Самым распространенным решением на базе биометрических технологий является идентификация (или верификация) по биометрическим характеристикам в корпоративной сети или при входе на рабочую станцию (персональный компьютер, ноутбук и т.д.).
2	Торговля	Основные направления:>br>- в магазинах, ресторанах и кафе биометрические идентификаторы используются либо непосредственно как средство идентификации покупателя и последующего снятия денег с его счета, либо для подтверждения права покупателя на какие-либо скидки и другие льготы; - в торговых автоматах и банкоматах как средство идентификации человека взамен магнитных карточек или в дополнение к ним; - в электронной коммерции биометрические идентификаторы используются как средства удаленной идентификации через Интернет, что значительно надежнее паролей, а в сочетании со средствами крипто-графии дает электронным транзакциям очень высокий уровень защиты.
3	Системы СКУД	В системах контроля и управления доступом (СКУД) с сетевой архитектурой, когда в здании есть несколько входов, оборудованных биометрическими замками, шаблоны биометрических характеристик всех сотрудников хранятся централизованно, вместе с информацией о том, кому и куда (и, возможно, когда) разрешен вход. В СКУД реализуются следующие технологии распознавания: отпечаток пальца, лицо, форма руки, ра-дужная оболочка глаза, голос.
4	Системы АДИС	Основным назначением систем гражданской идентификации и автоматизированных дактилоскопических информационных систем (АДИС) является управление правами, которые предоставлены государством гражданам и иностранцам. Права гражданства, голосования, места жительства или работы для иностранцев, право получать социальное обеспечение и т.д. признаются и подтверждаются с помощью документов и разнообразных карт. В настоящее время такие системы получили очень широкое распространение из-за того, что некоторые страны стали использовать их для проверки личности въезжающих.
5	Комплексные системы	К системам данного типа относятся решения, сочетающие в себе системы первых трех классов. Сотрудник компании регистрируется у администратора системы всего один раз, и дальше ему автоматически назначаются все необходимые привилегии как на вход в помещение, так и на работу в корпоративной сети и с ее ресурсами.

Кроме этих основных секторов применения в настоящее время начинается активное использование биометрии и в некоторых других областях, таких как:

Игорный бизнес. Биометрия используется по двум направлениям: проверка всех находящихся по "черным спискам" (аналог массовой идентификации по лицам, используемой в аэропортах), а также как система идентификации и платежное средство постоянных клиентов;

Идентификация в мобильных устройствах, таких как мобильные телефоны, компактные ПК и т.д.;

В транспортной области как платежное средство;

Медицина. Биометрия используется для идентификации медицинских работников при получении доступа к закрытым данным и для электронной подписи записей в истории болезни.

Представители:

Еkey biometric systems GmbH – основанная в 1999 году австрийская компания по биометрическим системам доступа по отпечаткам пальцев, на сегодняшний день является компанией №1 в этой области. Слоган –«ваш палец – это ключ».

BioLink - создана в 2000г. и за это время превратилась в ведущего российского разработчика, поставщика и провайдера решений в сфере биометрической идентификации. Компания успела осуществить не только в России, но и за рубежом ряд крупномасштабных проектов (в том числе по созданию системы регистрации жителей Сан-Франциско, получающих пособия и социальные льготы, а также системы регистрации избирателей в Нигерии).

Многочисленные партнеры компании BioLink в России и за рубежом объединены в Биометрический альянс - уникальное содружество ведущих поставщиков передовых решений и систем на основе биометрической идентификации.

Ряд фирм США (Miros, Lau Technologies, Identification Technologies International) уже разработали системы опознавания человека по лицу, действующие подобно полицейскому, проверяющему права водителя автомобиля и сравнивающему его лицо с фотографией в предъявленном документе.

По данным фирмы Master Card (США), разработавшей оптическую биометрическую систему идентификации по отпечаткам пальцев, с времени установки в 1996 г. этой системы в офисах фирмы было проверено 6700 посетителей. Фирма считает, что эта система является наиболее удобной для держателей кредитных карточек.

В системе идентификации фирмы San Bruno (США) используется светодиод с излучением в ближней инфракрасной области спектра для бокового освещения пальцев и получения рельефного дактилоскопического рисунка.

Фирма Fingermatrix (США) разработала принтеры для одного и десяти пальцев, в которых оптическая система располагается под ванночкой со спиртом и водой. Слой жидкости предохраняет поверхность, на которой воспроизводится изображение, от загрязнения и повышает светопропускание.

Другая американская фирма Quatalmage разработала более совершенный коррелятор, в котором применен созданный фирмой пространственный модулятор света высокого быстродействия (время отклика менее 1 мкс) с разрешением 200 линий/мм. Сформированное компьютером изображение направляется в два сегнетоэлектрических пространственных модулятора света, облучаемых светом лазерного диода с длиной волны 830 нм. Лазерный луч проходит через объектив преобразователя Фурье. Быстродействующий пространственный модулятор света усиливает преобразованное по Фурье изображение. Второй лазерный луч с длиной волны излучения 850 нм считывает усиленное изображение и переносит результаты обратно через объектив преобразователя Фурье на интеллек-туальный чувствительный элемент, способный обнаруживать пики корреляции при сравнении до 4000 отпечатков пальцев в 1 с.