5.3. Прикладные особенности аутентификации в агрессивной среде существования электронного документа

Хотя классификация и аутентификация теоретически эквивалентны, с прикладной точки зрения следует отметить ряд особенностей этих процедур. Очевидно различие в размерности этих процедур: классифицируются все элементы множества Х, а аутентифицируются отдельные элементы х Î X. И если мощность |X| множества  бесконечна, то его классификация за конечное время на практике невозможна, в то время как аутентификация любого элемента реализуема.

На практике это не существенно: всегда можно ограничить разрядность чисел–документов х, что автоматически означает конечность мощности |X| = n < ¥. При любой конечной мощности |X| зависимость между вычислительной сложностью классификации и аутентификации линейна. В теории сложности вычислений считается, что если количество операций (длина ленты) на машине Тьюринга для реализации алгоритма решения имеет полиномиальную зависимость, O(nk), от размерности n задачи, то ответ достижим на практике, если выше, (суб)-экспоненциальную O(en) или факториальную O(nn), то — нет. Следовательно, алгоритмы классификации и аутентификации реализуемы или нет одновременно: решается одна задача — решается и другая.

Более значимым отличием традиционных постановок является то, что при классификации множество элементов Х и множество классов Y задается, а при аутентификации — предполагается по умолчанию, описывается контекстно, неявно: задаются единственный элемент ΠX  и единственный элемент ÎY. В то же время, переход в пространство функций эквивалентности требует задания области определения Х и области значений Y. Для корректного сведения процедур аутентификации к классификации необходимо доопределить эти множества.

Прежде всего, уточним, о каких множествах идет речь. Любой документ х создается или формируется автором у в одной точке системы координат «пространство–время» — точка формирования, но аутентифицируется в другой — точка аутентификации. Абсолютные значения координат, очевидно, несущественны, важно только различие точек, поэтому можно поставить в соответствие точке формирования любого документа значение «0», а точке аутентификации — значение «1». Таким образом, в точке «0» множество авторов Y формирует множество документов Х, тогда как в точке «1» классифицируется множество Х1 по классам множества Y1. При этом никаких ограничений на совпадение множеств в точках формирования и аутентификации не накладывается, т.е. в общем случае Х ¹ Х1, ¹ Y1.

Это означает, что каждому документу d = áхiñ из множества X = {d} в точке «0» соответствует в точке «1» подмножество Èмножества Х1, где d и отличающихся от него искажением либо текста Х1 есть объединение Х1 = Х È

В зависимости от особенностей множеств документов и авторов в точках формирования и аутентификации различаются три класса среды аутентификации: достоверная, случайная, агрессивная. В достоверной среде всегда Х = Х1, Y1, т.е возможные искажения текста и идентификатора документа исключены (практически незначимы). В таком случае классификация на основе единственного признака эквивалентности достаточна для аутентификации любого ЭлД, и документ представляется в виде пары d = áхiñ.

В случайной среде аутентификации допускается искажение не более чем одного из элементов пары: если в точке формирования «0»имеется документ d = áхiñ, то в точке аутентификации «1» аутентифицируются порождаемые им документы — множество È, где Х, поэтому в точке «1» множество Х1 предварительно надо разделить еще на классы Х иh, т.е. необходимо документ, формируемый в точке «0», должен представлять собой трио d = áхihñ, где h = h(xi), или h = hi(x), или h = hx(i). Обычно h есть хэш–код содержания х и идентификатора i, тогда атрибут h достаточен для индикации случайных воздействий на документ, когда согласованное искажение всех элементов трио áхihñ практически невозможно.

Однако, в агрессивной среде аутентификации злонамеренное воздействие несанкционированного доступа (НСД) делает такое возможным, если, например, хэш–функция h = h(xi) общедоступна и известна злоумышленнику. Тогда множество  будет объединением двух непересекающихся подмножеств *È**, где * — подмножество поддельных документов со случайными искажениями, а **— подмножество поддельных документов со злонамеренными искажениями. Возникает еще одно измерение: трехмерная классификация. Рассуждая аналогично, приходим к выводу, что документ должен формироваться уже в виде квартета d = áхihрñ, где р — индикатор  некой защиты, связывающей элементы трио áхihñ. 

Возможны различные конструкции функций hр, приводящие к различным классам механизмов аутентификации – код аутентификации, пароль, ЭЦП.

В зависимости от доступности атрибутов ЭлД и требований к ошибке аутентификации можно, рассуждая по индукции, прийти к необходимости формирования документа с большим числом признаков эквивалентности. Но в любом случае рост их числа в агрессивной среде заканчивается криптографическим признаком — эквивалентом «пароля» автора.

Полученный результат о необходимости нескольких атрибутов ЭлД для его надежной аутентификации не противоречит установленному ранее положению о сводимости многомерной классификации к одномерной: несколько чисел–признаков можно представить в виде одного числа, объединив их посредством конкатенации. Всегда можно считать, что документ характеризуется единственным обобщенным идентификатором, одна часть которого является общедоступной, а другая — секретной, далее называемой «паролем» пользователя.

Итак, в агрессивной среде аутентификации электронного документа идентификатор документа необходимо должен содержать, в явной или неявной форме, защитный (возможно, криптографический) атрибут, известный получателю документа. Очевидно, что пароль должен быть известен минимальному количеству «посторонних» — принцип минимизации избыточности секретной информации. Применение принципа позволяет сравнить различные топологии аутентификации и сформировать требования к предпочтительной архитектуре механизмов аутентификации ЭлД в агрессивной среде.

Пусть электронный обмен организуется в системе, включающей n объектов (пользователей), и необходимо обеспечить взаимодействие каждого с остальными. Несекретная часть идентификатора в соответствии с определением аутентификации понимается как «идентифицирующая информация» об авторе документа — аутентифицируемом причастном к документу объекте или процессе. Секретная часть идентификатора, пароль автора, есть ресурс для «объективного подтверждения» этой информации.

Сравним наиболее распространенные схемы организации аутентификации в таких системах: полносвязная (каждый с каждым), ориентированная и неориентированная кольцевая, радиальная (звезда), планарная сеть, древовидная (иерархическая). Оценим минимально необходимый суммарный объем секретной информации, который должен быть известен для обеспечения аутентификации документов объектами системы при взаимодействии друг с другом.

В первом приближении это можно оценить суммарным количеством паролей (с учетом повторений), которые должны быть известны участникам: если один и тот же пароль известен двум участникам, то его надо учитывать дважды. «Каждый может проболтаться», следовательно, и несанкционированный доступ к паролю становится «вдвое проще». Обозначим удельный объем закрытой информации в расчете на один объект через a и будем называть эту величину a избыточностью механизма аутентификации, в том смысле, что в достоверной среде аутентификации избыточность a = 0, так как необходимость в дополнительной информации, подтверждающей открытый идентификатор, здесь отсутствует.

Минимальное значение избыточности очевидно, хоть какой-то секрет у каждого из взаимодействующих объектов должен существовать, следовательно, amin = 1. На практике такой минимум достигается асимметричными методами криптографии, применение которых обычно подразумеваемых по умолчанию, когда говорят о механизмах электронной цифровой подписи — ЭЦП. При этом возможно непосредственное взаимодействие объектов, так что среднее число промежуточных ретрансляций b =bmin = 0. 

Для симметричных методов минимальное значение избыточности находится из следующих рассуждений: для того чтобы в замкнутой группе из n людей «выйти на нужного человека», каждому необходимо знать, как минимум, еще одного постороннего человека. Это означает, что любой из n объектов системы должен «знать», как минимум, два идентификатора–пароля: свой собственный и один посторонний. Таким образом, суммарный объем секретной информации (количество паролей), которая известна объектам системы, не может быть ниже 2n, соответственно amin = 2. Не имеет значения, каким образом организуется взаимодействие в такой системе, несомненна только ретрансляция документа: адресат известен из открытой части идентификатора, но кто-то должен поручиться за «объективность информации, идентифицирующей автора ЭлД», и это поручительство выражается в подтверждении такой информации собственным идентификатором ретранслятора.

Теперь перейдем к анализу наиболее распространенных структур взаимодействия.  Если взаимодействие осуществляется в архитектуре «ориентированное кольцо» (рис. 5.1А), то каждый объект должен хранить в тайне собственный пароль (защитный код аутентификации — ЗКА), чтобы им не воспользовались посторонние, и знать ЗКА соседа, чтобы объективно установить отправителя документа. Для системы «ориентированное кольцо» a = 2. Поскольку при каждой ретрансляции осуществляется доступ к ЭлД, пусть и санкционированный, то число ретрансляций также влияет на выбор схемы аутентификации: при равновероятном трафике между объектами среднее число ретрансляций b @ (1) / 2. С увеличением числа объектов системы число ретрансляций возрастает, что упрощает несанкционированный «съем» информации и, соответственно, негативно сказывается на аутентификации. Избыточность возможных путей взаимодействия ухудшает достоверность аутентификации, но улучшает другие параметры — сокращается среднее число промежуточных ретрансляций документа. При схеме «неориентированное кольцо» (рис. 5.1В), избыточность a = 3n = 3, но число ретрансляций сокращается вдвое, b @ (1) / 4.

При схеме взаимодействия «каждый с каждым» (рис. 5.1С) ЭлД не нуждается в ретрансляции, b = 0, однако каждый объект должен «знать» как свой пароль–идентификатор, так и пароли каждого из остальных n –1 объектов системы. Избыточность a = n2 / n = n. Возможности несанкционированного доступа линейно увеличиваются с ростом числа объектов системы, что делает такой механизм приемлемым только для малых систем.

При радиальной топологии системы, типа «звезда» (рис. 5.1D), каждый из объектов должен «знать» два пароля — собственный и центра, а центру кроме своего пароля должны быть известны пароли–идентификаторы всех n объектов системы. Избыточность механизма «звезда» равна a =  (2n + 1) / n = 3 + 1 / n, почти такая же, как при кольцевой топологии, но при связи любых объектов отсутствует ретрансляция, b = 0. Как избыточность a, так и среднее число ретрансляций b при информационном обмене невелики и практически не зависят от размера системы, что делает механизмы аутентификации такого типа весьма перспективными для небольших и средних систем электронного взаимодействия.

Однако в больших системах подобный механизм резко увеличивает вероятность «катастроф» — в центре скапливается слишком много секретной информации о паролях всех объектов системы, так что утечка информации из центра может привести к параличу всей системы, не говоря уже о сложности технологических и технических проблем практической реализации подобной схемы при большой пространственной разнесенности объектов системы.

Таких недостатков лишены механизмы аутентификации с древовидной (иерархической) структурой. Для простоты рассмотрим структуру с k уровнями иерархии и постоянным коэффициентом a разветвления на любом уровне иерархии (рис. 5.1E, = 4, a = 2). Общее число объектов системы n = ak. Можно показать, что в таких иерархических механизмах аутентификации при больших n = ak избыточность a будет примерно такой же, как при кольцевой топологии

Среднее число ретрансляций b при равновероятном трафике между объектами системы растет как логарифм числа объектов. В рассматриваемом случае

При планарной топологии система отображается в виде сети, например, решетка с треугольными или квадратными ячейками (рис. 5.1Е). Обозначим через  a среднюю степень вершин графа сети, т.е. среднее число объектов, с которым непосредственно соединяется данный объект. Тогда любой объект, кроме собственного, должен «знать» пароли–идентификаторы всех смежных объектов. Избыточность для подобной схемы аутентификации находится очевидным образом, a = [n(a + 1)] / n = a + 1. Сложнее задача оценки среднего числа b ретрансляций в такой системе. При равновероятном трафике между объектами величина b зависит от конкретного вида ячеек сети. При квадратных ячейках и большом числе объектов можно показать, что значение b растет как квадратный корень из общего числа n объектов сети: b @ 

Представленный анализ показывает, что с позиций аутентификации целесообразна организация документооборота по радиальной (при умеренном количестве взаимодействующих объектов) или иерархической схеме (при большом числе объектов, сгруппированных в различных точках пространства). Только тогда избыточность и количество ретрансляций принимают умеренные значения, причем не зависящие или почти независящие от числа объектов. При такой архитектуре информация, как-то эквивалентная паролю аутентифицируемого пользователя, объекта или процесса электронной среды, может храниться концентрировано. Например, в виде таблиц (достоверности) в защищенной энергонезависимой памяти сервера безопасности. 

Ранее было установлено, что только при условии неизменности защищаемого объекта, при выполнении им функции эталона, аппаратная реализация технологии в силу постоянства, присущего материальным объектам, имеет преимущества по сравнению с программными механизмами. В таком случае вопрос о применимости аппаратных механизмов для аутентификации ЭлД нетривиален. Если исходить из традиционной трактовки, рассматривать аутентификацию одиночного конкретного ЭлД, то ответ отрицательный: все документы различны, и ни о каком постоянстве речи быть не может. Но, как показано, аутентификация эквивалентна классификации, а предметная область классификации есть множество документов, поэтому необходимо должно существовать нечто общее, постоянное, в процессе классификации, соответственно — и аутентификации. Именно это «общее» и может являться предметной областью аппаратной реализации элементов технологии аутентификации.

Отображение любого ЭлД как пары d = áхiñ (х — текст, i = i(х) — идентификатор) всегда возможно в силу сводимости многомерной классификации к одномерной. В этой паре текст х меняется от документа к документу, тогда как идентификатор i, хотя и связан с переменным х, но характеризует один и тот же аутентифицируемый объект или процесс, и потому должен быть в каком-то смысле постоянен в пространстве и времени, например, пароль, ключ. Таким образом, одной компонентой предметной области защиты аутентификации могут являться секретные данные (числа) идентификатора аутентифицируемого объекта: ключи, пароли. Другая потенциальная компонента определяется второй составляющей электронной среды — алгоритмами, по определению инвариантными к преобразуемой информации. Так как вычисление идентификатора i должно быть одним и тем же при различных х, то собственно преобразование i(х) должно быть константным. А это означает, что  аппаратная защита неизменности i(х) как отображения х также целесообразна и перспективна.

В достоверной среде защита аутентификации не нужна — нет атак. Остается рассмотреть агрессивную среду, в которой, как установлено, документ должен формироваться, как минимум, в виде четырех чисел d = áхihрñ, где х — собственно документ (текст), ihр — атрибуты, признаки эквивалентности. Функционально i и р равнозначны; если i — имя автора, то р в каком-то смысле — его секретный псевдоним. Таким образом, в качестве объектов аппаратной защиты аутентификации можно выделить два условно постоянных параметра: функциональный аналог пароля «автора» р и реализацию преобразования h, связывающего хi.

Аппаратные методы защиты аутентификации ЭлД могут быть эффективны только в части формирования, обеспечения целостности (хранения) и конфиденциальности (исключения НСД) криптографических ключей (или паролей) авторов и криптографических преобразований.

Поскольку затронута криптография, то целесообразно оценить границы предпочтительности двух принципиально различных классов методов криптографии при аутентификации документа: симметричных — коды аутентификации; и асимметричных — цифровая подпись в канонической трактовке. Для определенности будем различать применение для аутентификации таких методов, как ЭЦП — асимметричные методы и  защитные коды аутентификации (ЗКА) — симметричные методы.

Оба класса методов базируются на секретном ключе шифрования; от того, что ключ именуется различно, «закрытый ключ ЭЦП» или «пароль, защитный код аутентификации — ЗКА», суть дела не меняется. В целом можно считать, что, при отсутствии инсайдерской информации о ключах, криптостойкость методов в первом приближении сопоставима. На первый план выходят прикладные характеристики методов: юридические аспекты ответственности за разглашение ключей, возможность получения инсайдерской информации о ключах при несанкционированном доступе или от источников, допущенных к ключам шифрования, эффективность технической реализации шифрования и дешифрования.

Любое криптографическое взаимодействие использует два ключа — кодирования и декодирования. Эти ключи могут быть одинаковыми, могут вычисляться один из другого, могут быть и принципиально разными, но их всегда два. С другой стороны, чтобы «скрыть» информацию от посторонних, достаточен всего один ключ. Теоретически возможно обеспечить конфиденциальность, сохраняя в тайне всего один ключ — точнее, один из ключей криптографического взаимодействия может быть, в принципе, несекретным. В таком случае говорят, что функция шифрования не имеет обратной, что характерно для асимметричных методов: они базируются на разных ключах, один из которых называется «закрытым» и держится в секрете, другой — «открытым». В зависимости от целей взаимодействия «закрытым» может являться как ключ кодирования — если аутентифицируется отправитель документа, так и декодирования — если получатель.

При симметричных методах криптографии либо оба ключа одинаковы, либо один из них легко определяется на основе второго. Применение таких методов для аутентификации далее подразумевается в защитных кодах аутентификации — ЗКА. В связи с этим возникает вопрос о предпочтительности построения прикладных механизмов аутентификации на основе симметричных или асимметричных криптографических методов.

В практических применениях ответ далеко не однозначен, несмотря на очевидное теоретическое преимущество ЭЦП: принципиальной возможности известности закрытого ключа одному и только одному из взаимодействующих объектов. Отсюда вытекают два главных достоинства применения ЭЦП:

·        преимущество однозначности — юридическая возможность возложения ответственности за сохранение в тайне закрытого ключа на конкретное лицо;

·        преимущество потенциально более высокой защищенности — возможность единственного места хранения закрытого ключа.

Конечно, однозначность всегда желательна, но не всегда необходима. В технических системах порой проще заменить неисправный блок, чем искать отказавшую деталь. В учреждении зачастую эффективнее ограничить доступ к закрытой информации группе сотрудников, чем определить, кто из них виновен в утечке. Даже при единственном месте хранения ключа, соблюдении всех правил и инструкций, единоличной ответственности неизбежно возникают возможности доступа третьих лиц: увольнять надо «третье лицо» — тогда утечка прекратится, а не ответственного — канал доступа сохранится.

Преимущество однозначности играет решающую роль, если ответственность за применение закрытого ключа не только можно, но и необходимо требуется возложить на единственное лицо. Вопреки обычному заблуждению именно за применение, а не за хранение ключа в тайне, это разные виды ответственности. Такое возможно только при информационном взаимодействии в социальной среде, где понятие наказания и санкций имеет смысл. В рамках корпоративной системы ответственность за применение ЭЦП (например, подпись финансовых и бизнес–документов), тогда как за хранение ключа — на его сотрудниках. Если ЭлД не выходит за рамки электронной среды, то однозначность ЭЦП оказывается не столь существенным: неодушевленный объект нельзя ни наказать, ни поощрить, здесь нет места социальным законам.

Остается преимущество защищенности, и тут необходим более тщательный анализ. Действительно, закрытый ключ ЭЦП можно хранить «в одном месте», но отсюда не следует, что процедуры формирования ЭЦП, кодирования и декодирования, могут быть столь же сильно локализованы — это весьма трудоемко при длине ключа в сотни двоичных бит. Требуется привлечение значительных программно–технических ресурсов, соответственно «расширяется» сектор электронной среды, в котором выполняются необходимые операции, и резко возрастают возможности злонамеренного НСД.

В то же время при симметричных методах преобразования выполняются несравнимо более простыми методами. В свою очередь, это означает, что такие механизмы могут быть реализованы в виде специализированного модуля, а эффективность аппаратных механизмов защиты, как было установлено, потенциально много выше программных. Таким образом, более высокая защищенность ЭЦП по сравнению с ЗКА при аутентификации объектов электронной среды далеко не очевидна, и выбор средства аутентификации должен  учитывать конкретные условия информационного обмена.

Есть еще один веский аргумент в пользу применения ЗКА в вычислительных системах с последовательной, централизованной или иерархической структурой обмена информацией (рис. 5.1 А, В, D, F), характерной для корпоративных систем. При n взаимодействующих объектах применение ЗКА по сравнению с ЭЦП требует защиты сопоставимого количества информации об идентификаторах. В подобных системах применение аутентификации электронных процессов и объектов на основе ЗКА может оказаться, в конечном итоге, более эффективным, чем ЭЦП. При взаимодействии «каждый с каждым» (рис. 5.1С) приведенный аргумент не столь очевиден: применение ЭЦП требует защиты от НСД n идентификаторов, применение ЗКА — n2.

И, наконец, последнее обстоятельство в пользу ЗКА — временные затраты на процедуры аутентификации при использовании симметричных и асимметричных методов криптографии отличаются в сотни (программная реализация асимметричной криптосистемы RSA по сравнению с симметричной DES) и тысячи (аппаратная реализация) раз. Если трафик ЭлД незначителен, что присуще функциональным документам — договора, письма, указания и т.п., это не существенно. Но если  ЭлД носят технологический характер — обслуживание финансовых потоков, технологические системы управления и др., то ситуация кардинально меняется.

Необходимо разумное сочетание механизмов аутентификации: ЭЦП — на «внешних» сечениях вычислительной системы; ЗКА — на «внутренних».

<<Назад   Оглавление   Далее>>