Пожалуйста, "на пальцах"

Производители средств защиты информации (СЗИ) и эксперты в области информационной безопасности сейчас много спорят о том, насколько эффективно и целесообразно применение биометрии для аутентификации пользователя того или иного технического средства. В ответ на доводы о том, что пароль связан с человеком гораздо более опосредовано, чем, скажем, отпечаток пальца, и может быть перехвачен при вводе с клавиатуры, - звучат возражения, что использование устройств с аутентификацией "по пальцу" может спровоцировать волну насилия и рост показателей по инвалидности населения.

Как это часто бывает, правы и те, и другие. Действительно, биометрия обеспечивает более прямую и тесную связь между техническим средством и его владельцем, и, вместе с тем, не доказано, что применение биометрических данных исключает полностью возможность фальсификации, ошибки или совпадения.

Все это так, однако тот факт, что аутентификация на основе биометрических данных имеет очевидные и понятные плюсы и является в настоящей момент довольно востребованной технологией - несомненен.

Поэтому, не вдаваясь в дальнейшие теоретические дискуссии, а действуя исходя из практических потребностей, ОКБ САПР предлагает как один из вариантов идентификации/аутентификации пользователя - идентификацию по отпечатку пальца.

Предложение устройств для считывания отпечатков пальцев на рынке сейчас достаточно велико, а интегрировать такое устройство в систему - не представляет собой особенно сложной проблемы. Принципиальным является вопрос, куда именно будет встроено устройство, где будут храниться базы биометрических данных пользователей, как будет организован доступ к ним.

Главный принцип, которого ОКБ САПР придерживается уже 10 лет - с момента разработки и воплощения на практике методологии РКБ (резидентного компонента безопасности), заключается в том, что СЗИ должны не просто выполнять контрольные функции, а контролировать все критичные для безопасности данные, события и процессы.

Это значит, что базы данных пользователей должны храниться в СЗИ, доступ к ним - регламентироваться процессором СЗИ в соответствии с описанными правилами, данные пользователя, под которыми состоялся вход в систему, при дальнейшей работе должны передаваться только напрямую между компонентами СЗИ, без участия посторонних приложений в цепочке передачи данных.

Кроме этого, работа СЗИ не может ограничиваться только проведением контрольных процедур при входе пользователя в систему, средство защиты должно использоваться во время всего сеанса работы.

Совершенно очевидно, почему в памяти ПК не должны храниться базы данных (в том числе биометрических данных) пользователей: потому что она незащищена от программного воздействия.

По той же самой причине недопустимо передавать данные аутентификации пользователя после успешного входа в систему - в штатную систему разграничения доступа, например, ОС семейства Windows.

Все это самым прямым образом относится и к реализации биометрических механизмов защиты информации. Во всех наших изделиях - как семейства АККОРД^ТМ, так и семейства ШИПКА^ТМ, - которые снабжены устройствами для считывания отпечатков пальцев, управляет ими исключительно процессор СЗИ, базы биометрических данных пользователей хранятся в защищенной памяти контроллера или ШИПКИ, и эти данные, выполняющие в наших изделиях функцию регламентации доступа к секретным ключам, никогда не передаются по незащищенным каналам или в незащищенную от модификации память ПК.

Конечно, реализовать сложнейшие алгоритмы распознавания паппилярных узоров в микропроцессоре - намного сложнее, чем просто в компьютере. Нужно добиться высокой скорости распознавания в условиях ограниченной производительности микропроцессора и небольшом объеме памяти, при этом обеспечивая нужные вероятности ошибок типа <пропуск цели> и <ложное срабатывание>. Сложность работы компенсируется защитным эффектом: решение об успешной аутентификации в такой системе нельзя дискредитировать.

Изделия ОКБ САПР с биометрией поступят в продажу в конце этого года.

Автор: Конявская С. В.

Дата публикации: 01.01.2007

Библиографическая ссылка: Конявская С. В. Пожалуйста, «на пальцах» // Information Security/Информационная безопасность. М., 2007. № 4 (август–сентябрь). С. 13.

---