Криптографические и биометрические средства для обеспечения ИБ банков
Статья Сергея Грибкова, руководителя проектов компании "Аладдин Р.Д."
Специалистам по информационной безопасности хорошо известны случаи, когда сотрудники той или иной организации передают смарт-карты и пароли своим коллегам. При этом сотрудники не осознают в полной мере всех рисков, которым они подвергают организацию. В связи с этим возникает задача: как сделать карты неотчуждаемыми от пользователя? Это особенно актуально для организаций, работающих с критическими данными, несанкционированный доступ к которым может привести к серьёзному ущербу (и банковский сектор - яркий тому пример). В статье речь пойдёт о технологии биометрической аутентификации, которая вкупе с имеющимися на сегодняшний день решениями призвана существенно повысить уровень информационной безопасности различных организаций, в том числе и кредитно-финансовых.
Современные технологии способны обеспечить удостоверение личности человека, используя свойственные только ему одному характеристики. Эти решения основаны на применении знаний современной биометрии ("измерения жизни", от греческих pfoq и ijstpov), дисциплины, занимающейся изучением и статистическим анализом измеряемых черт живого человека, которые можно использовать для идентификации и аутентификации. Такие черты (отпечатки пальцев, радужная оболочка глаза, голос и т.д.) называются "биометрическими характеристиками".
Поскольку отпечаток пальца у каждого человека уникален, его можно использовать в качестве одного из факторов аутентификации в PKI-системах. Биометрический параметр можно использовать совместно с паролем и с устройством аутентификации (смарт-картой) для обеспечения двух- или трёхфакторной аутентификации.
Решение, построенное с использованием биометрической аутентификации, максимально комфортно для пользователя, вероятность ошибок минимальна, а время, необходимое для сканирования отпечатка, не превышает секунды. Современные сканеры невозможно обмануть, предъявляя муляж или оттиск.
Биометрическая система идентификации либо аутентификации реализует функции фиксации биометрических характеристик, выборки предварительно сохранённых биометрических данных (эталонов), сравнения биометрических характеристик с одним эталоном или большим количеством эталонов, принятия решений о соответствии предъявленных данных эталонным, формирования заключения об установлении личности либо её подлинности, принятия решений о повторении, окончании или изменении процесса идентификации или аутентификации.
В настоящее время решения биометрической аутентификации Match-on-Card успешно внедряются крупнейшими мировыми компаниями.
В числе ключевых особенностей биометрической технологии Match-on-Card можно выделить:
- Биометрические данные используются только для получения доступа к смарт-карте. Для доступа к информационным ресурсам используются данные, хранящиеся в памяти смарт-карты (например, цифровые сертификаты и закрытые ключи пользователя);
- В процессе эксплуатации не используются, не создаются, не сохраняются и не обрабатываются биометрические персональные данные пользователей. Рисунок отпечатка пальца не хранится. В памяти смарт-карты сохраняется только результат его необратимого одностороннего математического преобразования — эталонный шаблон. По эталонному шаблону невозможно восстановить рисунок отпечатка пальца;
- Нет серверов хранения эталонных шаблонов: эталонные шаблоны каждого пользователя хранятся только в его смарт-карте;
- Нет серверов биометрической аутентификации: сравнение предъявленного отпечатка пальца (контрольного шаблона) с эталонным шаблоном происходит в самой смарт-карте;
- Эталонный шаблон не покидает смарт-карту, он не может быть извлечён/cчитан из смарт-карты. Для сравнения контрольный шаблон передаётся непосредственно в смарт-карту;
- Нет серверов хранения аутентификационных данных пользователя: все аутентификационные данные пользователя для доступа к информационным ресурсам (цифровые сертификаты, закрытые ключи, ключи подписи и пр.) хранятся в его смарт-карте;
- Смарт-карта с поддержкой биометрии может быть использована для доступа к информационной системе с разных рабочих станций.
Любая биометрическая система включает, по меньшей мере, одно устройство регистрации биометрической характеристики — считыватель или сканер отпечатков пальцев, сетчатки глаза, и т.п. Полученная устройством информация анализируется и сравнивается с личной информацией человека, записанной ранее. Если данные совпадают, происходит идентификация либо аутентификация человека.
Основные преимущества, которые предлагают биометрические системы в PKI-инфраструктуре: во-первых, биометрический параметр можно использовать для однофакторной аутентификации пользователя, а также совместно с паролем или с аутентификационным устройством (таким как смарт-карта) — для усиления аутентификации (до двухфакторной или до трёхфакторной). Во-вторых, для пользователя биометрическая аутентификация обычно является самым лёгким и простым способом прохождения аутентификации. В-третьих, физиологические биометрические характеристики обычно неизменны в течение жизни человека и не могут быть изменены без существенного воздействия на человека. В-четвёртых, все вычисления происходят "на борту" смарт-карты.
Существуют следующие комбинации аутентификационных факторов: смарт- карта + PIN-код; смарт-карта + отпечаток пальца; смарт-карта + PIN-код + отпечаток пальца. Биометрическую аутентификацию можно совместить с требованием ввода пользователем пароля для смарт-карты (PIN-кода). Совместное использование биометрических данных и пароля обеспечивает надёжную трехфакторную аутентификацию. Для усиления безопасности рекомендуется использовать пароль, не ограничиваясь только отпечатком пальца.
В основе технологии лежит архитектура Match-on-Card, при которой все вычисления производятся на смарт-карте. Важным преимуществом такой архитектуры является то, что хранение цифровых образцов отпечатков и принятие решения свой/чужой выполняются в защищённой области смарт-карты, а не на сервере биометрической идентификации. Цифровые образы отпечатков никуда не пересылаются. Кроме этого, не создаются биометрические базы данных пользователей. Таким образом, даже администраторы системы не имеют доступа к биометрической информации сотрудников.
"Аладдин Р.Д." является компанией-экспертом, специализирующимся на решении задач аутентификации и защиты персональных данных. Компания стремится к тому, чтобы предлагаемые продукты и решения шли в "ногу со временем", становясь лидерами своих сегментов. Отвечая потребностям и реалиям рынка, "Аладдин Р.Д." имеет в своём арсенале смарт-карты с биометрической технологией Match-On-Card, отвечающие всем требованиям и стандартам.