Инфраструктуры открытых ключей - [22]

По степени приближенности субъекта к среде различают следующие процедуры идентификации:

1 начальную идентификацию субъекта в локальной среде, то есть на персональном, физически приближенном к субъекту устройстве без связи с другими устройствами в сети;

2 идентификацию субъекта в удаленной среде или при доступе к удаленному устройству.

В процедуре локальной аутентификации, или начальной аутентификации субъекта в локальной среде, почти всегда явно и непосредственно участвует пользователь, который должен ввести пароль или предъявить биометрические характеристики (отпечатки пальцев, рисунок радужной оболочки глаза). Удаленная аутентификация, или аутентификация субъекта в некоторой удаленной среде, может выполняться как с участием, так и без участия пользователя [44]. Обычно более сложные системы аутентификации явным образом не включают пользователя. Это происходит по двум причинам:

1 Трудно защитить систему аутентификации, которая получает секретную информацию, идентифицирующую субъекта (например, пароль или отпечатки пальцев), и передает ее на расстояние по незащищенным каналам, где она может быть скопирована с мошенническими целями недобросовестной стороной.

2 Пользователям неудобно вводить аутентифицирующую информацию всякий раз, когда они желают получить доступ к удаленной сети.

Таким образом, более рациональным решением является передача на расстояние результата процесса локальной аутентификации без передачи самой фактической информации, аутентифицирующей субъекта. Субъект может получить доступ к удаленной среде на основании положительного результата его аутентификации в локальной среде, если между локальной и удаленной средами установлена защищенная связь. В этом случае нет необходимости передавать на расстояние пароль, PIN-код или биометрические характеристики. Отметим, что такое решение может использоваться для последующей аутентификации (после успешно завершившейся начальной аутентификации) для работы с другими приложениями в локальной среде, то есть для защищенной однократной регистрации (см. лекцию 2).

Существует много способов доказательства идентичности субъекта, но любой способ предусматривает предъявление одного из четырех возможных идентифицирующих признаков:

1 того, что субъект имеет (например, смарт-карты или аппаратного ключа);

2 того, что субъект знает (например, пароля или PIN-кода);

3 того, чем субъект является (например, отпечатков пальцев, параметров ладони или рисунка радужной оболочки глаза);

4 того, что субъект делает (например, клавиатурного почерка).

При однофакторной идентификации используется только один из перечисленных методов, при многофакторной идентификации - более одного метода (двухфакторная идентификация использует два метода, трехфакторная - три и т.д.). Известным примером двухфакторной аутентификации является процесс однократной регистрации при пользовании банкоматом, когда пользователь вставляет карту со встроенным чипом (то, что пользователь имеет) и вводит PIN-код (то, что пользователь знает), чтобы получить доступ к своему банковскому счету. Очевидно, что системы многофакторной идентификации требуют больших затрат усилий от пользователя, но более эффективны в смысле безопасности и практически лишают злоумышленника возможности выдать себя за легитимного пользователя.

Сервисы PKI обычно не используются для начальной (безразлично - однофакторной или многофакторной) аутентификации в локальной среде, но необходимы для аутентификации в удаленной среде (или последующей аутентификации в локальной среде), которая выполняется на базе сложных протоколов запроса-подтверждения и подписанных цифровой подписью сообщений. Важным преимуществом удаленной аутентификации на базе открытых ключей перед механизмами, которые имитируют аутентификацию в локальной среде, является то, что секретная информация, идентифицирующая субъекта, никогда не передается по сети [10]. Если пользователь А хранит копию пароля или отпечатка пальца пользователя В, то пользователь В должен пройти аутентификацию, доказывая, что он знает или имеет эту информацию; это обычно выполняется путем передачи этой информации пользователю А в процессе регистрации. Если пользователь А владеет копией открытого ключа подписи пользователя В, то может попросить пользователя В подписать сообщение-запрос своим секретным ключом подписи (который известен только В ). Если подписанный запрос возвращается, то пользователь В аутентифицировал себя без раскрытия какой-либо секретной информации. По сети не передается та информация, которая может быть использована злоумышленником для маскировки под пользователя В. Более того, пользователям А и В нет необходимости участвовать в дорогом и неудобном процессе предварительного создания разделяемого секрета (например, в передаче пользователю А копии пароля или отпечатка пальца пользователя В ). Пользователь А может просто воспользоваться опубликованной в репозитории УЦ или присланной по электронной почте самим пользователем В копией его открытого ключа.

Преимуществом сервиса аутентификации PKI является возможность однократной регистрации через PKI-совместимые устройства (и возможно, через серверы шлюзов локальной сети к другим устройствам тоже)