5.1. Понятия идентификации и аутентификации

Понятия «идентификация» (identification — отождествление) и «аутентификация» (authentification — подлинность) близки, поэтому в аналоговой среде, среде приблизительной терминологии, обычно используется первое. «Подлинность» может трактоваться очень широко: вряд ли можно считать подлинным документ Президента, доставленный обычным прохожим, а не спецкурьером. В электронной среде, требующей однозначности, такое совмещение смыслов может приводить к абсурдным результатам. Не случайно, что термин «аутентификация» стал широко использоваться именно в сфере электронного взаимодействия. Необходима конкретизация терминов.

Идентификация объекта есть установление (отношения) эквивалентности между объектом и его априорным обозначением (определением, представлением, образом, комплексом характеристик и т.п.). Иными словами, идентификация есть опознание, выделение объекта, приписывание ему априорно известного комплекса характеристик. Можно идентифицировать знакомого из группы стоящих людей, искомый документ из подшивки. Идентификация документа есть установление факта наличия в нем блока идентифицирующей информации, выделяющей данный документ среди остальных: наименование отправителя, получателя, тематика, время регистрации и т.п.

Современные ЭВМ являются машинами тьюрингового типа, операция замены символа в подобных машинах — базовая. Следовательно, возможность модификации ЭлД есть принципиальное, неотъемлемое свойство электронного взаимодействия. Соответственно необходимо возникает задача подтверждения идентифицирующей информации, приведенной в документе. Например, что именно указанный в ЭлД субъект действительно является автором или отправителем данного документа, что время регистрации соответствует фактическому и др. Надо «привязать» документ как предмет или процесс к субъектам, объектам и процессам, существующим независимо и вне документа, аутентифицировать документ.

Когда говорят, что требуется идентифицировать автора, то обычно подразумевают аутентификацию документа. Автор — это не документ, это совершенно другой объект, человек; идентифицировать автора Y документа X означает, что из трех поставленных рядом людей надо узнать, какой их них Y. Тогда как фактически надо установить, что подпись (идентифицирующаяся информация) человека, поименованного в документе как Y, действительно принадлежит Y.

В общем случае существенно не только, кто документ сформировал, но и кто документ отправил. Поэтому, оформление документа должно предусматривать, в соответствии с требованиями  сектора его действенности, и возможность аутентификации законченных технологических операций формирования, обработки и передачи документа в цикле информационного обмена. При электронном взаимодействии может потребоваться не только аутентификация субъекта аналоговой среды, но и объекта электронной среды, промежуточного процесса обработки ЭлД, программно–технического устройства, на котором был сформирован ЭлД, и т.д.

Аутентификация причастного к документу объекта или процесса (автор, отправитель, получатель, оператор, процесс, технология и пр.) — объективное подтверждение содержащейся в документе идентифицирующей информации об этом объекте или процессе.

Аутентификация в электронной среде подразумевает, что все «действующие лица», объекты и процессы, необходимо являются ее элементами. Но это лишь часть среды аутентификации документа, включающей еще и аналоговую среду. Например, пусть ЭлД есть запрос на доступ в некий закрытый фрагмент электронной среды — пароль пользователя.  Запрос формируется интерфейсной частью электронной среды — согласно нажатию клавиш пользователем в аналоговой среде происходит создание ЭлД в среде электронной. Какие клавиши нажимать и в какой последовательности, определяет не электронная среда, а пользователь. В аналоговой среде решается задача выбора пароля — присвоение данному пользователю y идентификатора (пароля!) — числа i.

А вот предоставлять доступ или нет, решается в рамках собственно электронной среды, на основе анализа поступившего из интерфейсного фрагмента среды электронного документа, представляющего собой некоторое двоичное число х. Разумеется, число х не совпадает с i, так как ЭлД содержит еще и массу служебной и технологической информации. Производя регламентированные преобразования числа х, т.е. вычисляя заданную функцию i(х), ЭВМ находит значение i и сравнивает его с хранящимися в памяти. При положительном результате сравнения говорят, что пользователь у аутентифицирован. Хотя на самом деле аутентифицирована последовательность нажатия клавиш, а кто именно их нажимал — для электронной среды не имеет значения. В таком случае и число i - это идентификатор не конкретного пользователя у, но конкретной реализации электронного процесса формирования пароля. В обиходе эти понятия часто смешиваются, что может приводить к серьезным ошибкам.

Если гарантируется, что доступ к среде могут иметь только два пользователя, то для их идентификации необходимо и достаточно всего один бит информации, 0 или 1. Следует ли отсюда, что достаточен одноразрядный идентификатор — пароль длиной в один двоичный бит? Да, если оба пользователя «честные», каждый пользователь инициирует единственный, присущий ему процесс запроса. Нет, если пользователь «нечестный», тогда он может инициировать любой ЭлД–запрос, но вероятность ошибочной аутентификации будет недопустимо высокой. Два взаимно исключающих ответа на один вопрос возможны, если вопрос некорректен. Выходит, что аутентифицируется не пользователь, но запрос: хотя количество пользователей сохранилось, число возможных запросов от каждого увеличилось.

Очевидно, что если пароль сделать длиной в n бит, то вероятность «угадывания» одним пользователем пароля другого снижается до 2n, и на «вход» процедуры аутентификации возможно поступление 2n чисел. Даже из этого простейшего примера становится очевидным, что в электронной среде аутентификация единичных объектов или процессов сводится к анализу множества различных чисел.

<<Назад   Оглавление   Далее>>