Бесфакторная классификация аутентифицирующих данных: начала построения

ОКБ САПР, Москва, 115114, Россия

В числе большого количества работ по стандартизации сейчас ТК 362 ведется работа над ГОСТами по вопросам идентификации и аутентификации [1, 2]. Определяющий подход к созданию этих текстов – гармонизация зарубежных стандартов (NIST [3], ISO [4] и др.) с отечественной практикой и нормативной базой. Негативные следствия из этого подхода хотелось бы обсудить с широким кругом специалистов до того, как ГОСТы будут введены в действие. Для этого я и испросила разрешения основных исполнителей на это выступление и получила его.

Оба проекта (и в целом практика описания процессов идентификации и аутентификации последователями NIST и ISO – вплоть до статьи «Аутентификация» в Википедии [5] и популярных статей [6]) строятся на терминологии, в основе которой лежит понятие «факторы аутентификации». Это порождает многочисленные коллизии, которые приходится снимать, вводя различные оговорки относительно того, как и что понимать в каком контексте.

Если последовательно рассмотреть, какие в связи с этим возникают проблемы, можно сформулировать другую классификацию аутентифицирующих данных и попробовать отказаться от использования идиоматического выражения «факторы аутентификации» в терминологическом смысле.

В отношении классификаций в научном исследовании возможна постановка нескольких принципиальных вопросов:

1. является ли рассматриваемое классификацией;
2. корректна ли классификация – то есть соответствует ли она действительному наблюдаемому положению вещей;
3. целесообразна ли классификация – то есть позволяет ли она решить какие-либо задачи (прогнозирование, объяснение причин и др.). Всегда желательно минимизировать изменения в устоявшейся практике, поэтому если классификация построена с нарушениями, но при этом она целесообразна, имеет смысл постараться ее сохранить, устранив недостатки, а не создавать новую классификацию на других основаниях.

Определение «факторов»

Понятие, лежащее в основе классификации очевидно должно быть определено, так как этим определением задаются границы класса.

Определение фактора аутентификации дано в проекте ГОСТ Р Идентификация и аутентификация. Общие положения [5. С. 14]: «фактор аутентификации: Вид (форма) существования аутентификационной информации, предъявляемой субъектом доступа или объектом доступа при аутентификации».

Похожее определение есть в различных работах [например, 3. С. 13], определение из проекта ГОСТ предлагается к рассмотрению потому, что он разработан теми же авторами, которые пишут основной объем книг и статей на эту тему в нашей стране, и является последним по хронологии, то есть аккумулирует результаты развития их взглядов на предмет.

Однако, все, что возможно почерпнуть из этого определения – это то, что понятие фактор каким-то образом связано с аутентифицирующими данными. Как именно связано – напрямую установить невозможно, так как что означает «вид существования информации» (или «форма существования информации») – не ясно.

Наложив это определение на то, какие, собственно, выделяются «факторы», можно сделать вывод, что «вид» и «форма» здесь характеризуют парадоксальным образом как раз не форму, а содержание. Речь ведется о разделении всех возможных для применения в процессе аутентификации данных на классы по их содержанию (по тому, чем является в реальном физическом мире их источник – знанием, предметом обладания, физиологической особенностью, местом, образом действия). Целесообразность такого оксюморона в научном определении представляется не очевидной.

Во втором проекте ГОСТ [2. С. 21] упоминается еще один процесс (помимо предъявления при аутентификации), в котором участвуют аутентифицирующие данные и факторы аутентификации: «…необходимо осуществить привязку идентификационных данных к субъекту (объекту) доступа. При этом должны использоваться механизмы привязки с использованием следующих факторов…». Казалось бы, создается некоторый интуитивно понятный образ: данные с помощью чего-то привязываются к субъекту, который будет затем их предъявлять. Но, вообще говоря, совершенно не понятно, что же именно за этим стоит, если пытаться рассмотреть какой-то конкретный пример. Например, отпечаток пальца – идентификационные данные человека. Он привязывается к субъекту с использованием биометрического фактора? Что это может означать? Как можно привязать информацию к чему-либо с помощью формы ее же существования?

Классификация «факторов»

«Общим местом» всех, во многом противоречащих один другому документов, является список из трех факторов (знание, владение, биометрия (обладание некоторой биологической особенностью)). Согласно NIST биометрический фактор является дополнительным, способным подтвердить обладание субъекта тем предметом, который для него воплощает фактор «владения» (например, биометрическое подтверждение того, что данная смарт-карта – этого человека) [3. Раздел 5.2.3]. В пункте 4.2.1 при этом есть примечание, основное содержание которого понятно не в полной мере, но из которого ясно вытекает несамодостаточность биометрического фактора. То есть в многофакторной аутентификации этот «фактор» может быть только третьим. Если заменить ввод пароля к смарт-карте предъявлением отпечатка пальца, то аутентификация перестанет считаться многофакторной, допустимо только добавить предъявление биометрического признака[1].

Иногда к факторам также относят расположение в определенном месте [6. С. 13], но согласно ISO – это не фактор, а только свидетельство, то есть данные, которые могут дополнительно привлекаться для усиления уверенности в положительном результате аутентификации или при первичной идентификации. В то же время, согласно ISO/IEC 29003 факторов все-таки 4, но 4й – другой: то, что субъект «обычно делает» (например, какие-то поведенческие паттерны) [4. Раздел 3.6].

Перечень классов всегда представляется как закрытый, несмотря на то, что факторов от 2 до 4 (при этом самих пунктов 5 (знать, владеть, биометрия, расположение, поведение), но все 5 одновременно в одном перечне никогда не встречаются, и более того, эксперты ISO склонны напротив, сужать перечень факторов «в чистом виде» до 2, а остальные называть – дополнительным, свидетельством и так далее).

В классификации должен быть ясно выраженный классификационный признак, все классы должны быть выделены на одном основании и, наконец, классификация должна быть исчерпывающей.

Классификационный признак

Классификационный признак должен быть связан с целью, для которой проводится классификация, он должен быть объясним.

Ничем невозможно объяснить, что классифицировать аутентифицирующие данные целесообразно именно по содержанию. Более того, при использовании «факторов» аутентификации в построении дальнейших рассуждений в дело идут не содержательные характеристики данных, а признаки, характеризующие степень их связанности с субъектом (чаще всего – насколько необходимо вступать в насколько тесный контакт с субъектом, чтобы завладеть этими данными). То есть разделяются феномены на группы по одному признаку, а используются далее – другие признаки, свойственные этим же группам.

Единое основание

О едином основании в перечислении «знать, владеть, биометрия» говорить невозможно.

Полнота классификации

1. Охвачены не все типы субъектов

Не универсальность подхода становится очевидной при попытке применения «факторов» для создания общего описания процессов идентификации и аутентификации любых субъектов, не только пользователей в смысле людей, но и сущностей цифровой природы. Именно это наблюдаем в разрабатываемом ГОСТе [2. С. 21]. Классификация «знать-владеть-биометрия» оставляет полностью не закрытым один из двух (!) типов субъектов аутентификации.

Оговорки позволяют некоторым образом снять самые очевидные противоречия, однако терминологическая система, подходящая без оговорок только одной из двух глобальных групп субъектов, очевидно, несовершенна.

1. Охвачены не все фактически применяемые для аутентификации виды данных

То, что не укладывается в «знать» и «владеть», зачастую называется «свидетельствами». Например, паспорт – это официальное свидетельство. Действительно, в парадигме «знать-владеть-биометрия» классификация паспорта затруднительна хотя бы потому, что некоторые из паспортов – биометрические, а некоторые – нет. А главное, в отношениях человека и паспорта каким-то сомнительным представляется установление связи «владение». Но свидетельства, а значит, и паспорт, не могут применяться для аутентификации, а могут применяться только для идентификации[2]. Хотя наблюдение над практикой аутентификации показывает обратное.

Разумеется, не охвачены классификацией те виды данных, которые предъявляются субъектами цифровой природы – контрольные суммы, серийные номера, UID’ы и аналогичные.

Можно и целесообразно построить классификацию аутентифицирующих данных, лишенную перечисленных недостатков, если отказаться от понятия «фактор».

Предмет классификации

В первую очередь, необходимо зафиксировать, что в информационную систему мы в любом случае представляем только данные, а не знания, не собственность или что-то еще из аналогового или духовного мира. Поэтому речь должна идти о данных, характеризуемых какими-то признаками или наборами признаков.

В данном случае речь пойдет не о способах и не о механизмах аутентификации, а именно об аутентифицирующих данных и их признаках. Следствия из полученной классификации, имеющие значение для выводов о механизмах или способах аутентификации, вероятно станут развитием этого рассуждения.

Классификационные признаки

Признаки, по которым данные будут классифицированы, должны позволять строить на основе этой классификации рассуждения о защищенности механизмов аутентификации, использующих эти признаки аутентифицирующих данных. Значит, они должны быть связаны с ключевыми элементами системы аутентификации – аутентифицирующимися сторонами (назовем их субъектом и объектом аутентификации), а также носителем аутентифицирующих данных.

Отдельно необходимо оговорить, что объектом доступа может быть некоторый целевой ресурс, а не информационная система целиком. Например, аутентификацию в интерфейсе идентификации/аутентификации банкомата клиент банка проходит для того, чтобы получить доступ к своему счету, а не к банкомату. И объектом аутентификации будет банкомат как информационно-вычислительный ресурс, предоставляющий доступ к целевому объекту доступа.

Носитель аутентифицирующих данных в рамках процесса аутентификации всегда находится на стороне субъекта аутентификации и предъявляется объекту. Видится целесообразным представлять зависимость от носителя видом зависимости от субъекта.

Зависимость – это понятие с крайне размытой областью определения, поэтому в качестве характеристики нецелесообразно брать «наличие» и «отсутствие» зависимости. Но в то же время вполне реально формализовать характер зависимости – как от системы, так и от субъекта.

То есть зафиксировать, как они зависят от субъекта аутентификации и от объекта классификации.

Например, они могут быть назначены субъекту, могут быть с ним ассоциированы, а могут быть ему имманентны.

Не зависеть от объекта совсем аутентифицирующие данные не могут, так как тогда они не смогут сыграть целевую для них роль – доказательства. Объект должен располагать какими-то данными для того, чтобы принять решение о корректности представленного подтверждения.

Эти данные могут быть именно теми, которые субъект будет предъявлять, или какими-то косвенными данными, позволяющими определить корректность данных, не располагая ими «в лоб». Например, так производится проверка сертификата – сертификатом объект не располагает, но располагает возможностью его проверить.

Получаем следующие варианты зависимости аутентифицирующих данных от субъекта и объекта аутентификации:

1. зависимость от объекта аутентификации

0) прямая (в системе хранятся (или создаются) сами данные, сравнение с ними производится напрямую (в этом смысле не имеет значения, что сравнивается «пароль с паролем» или «свертка со сверткой», и точное совпадение должно быть или вероятностное – главное, что сравнивается именно непосредственно то, что получается от субъекта при аутентификации);

1) косвенная (в системе хранится «стимул», порождающий данные как ответ, или какие-то признаки, которым данные должны удовлетворять (атрибутный сертификат)).

1. зависимость от субъекта аутентификации

0) назначены субъекту (строго говоря, зависимости нет – мой пароль никак от меня не зависит, даже если я сама его выдумала)

1) ассоциированы с субъектом (зависимы от чего-то (в случае с человеком – от носителя), что не имманентно субъекту)

2) имманентны субъекту (для человека – это преимущественно биометрические данные, а для информационных и вычислительных ресурсов любые присущие им признаки, такие как серийные и заводские номера, фрагменты кода, контрольные суммы и аналогичное).

Классификация

Одновременно данные характеризуются какой-то зависимостью и от субъекта, и от объекта. То есть получается 6 вариантов сочетаний характеристик:

1. 0 ; 0 – прямая зависимость от объекта, назначен субъекту – пароль, в том числе одноразовый пароль (с точки зрения данных, а не механизма – отличий нет), здесь же контрольные вопросы.
2. 0 ; 1 – прямая зависимость от объекта, ассоциированность с субъектом (зависит от носителя) – аппаратный идентификатор (ничего кроме того, что это обладатель идентификатора (возможно, случайный), мы о субъекте не знаем), аппаратный идентификатор с одноразовым паролем относится к этой же категории, меняется только реализация механизма.
3. 0 ; 2 – прямая зависимость от объекта, имманентность субъекту – это биометрические данные, сравниваемые с шаблоном (данные имманентны субъекту и зарегистрированы в объекте), или неотчуждаемые характеристики, например, характеристики СВТ, сравниваемые с зарегистрированными в служебном носителе «Секрет».
4. 1 ; 0 – косвенная зависимость от объекта, назначается субъекту – например, талончики в очереди. Очевидно, что система не хранит список номеров талончиков, из которых выдает по одному, а формирует номера по порядку с учетом каких-то дополнительных входных данных (например, за какой госуслугой пришел в МФЦ посетитель, или к какому врачу); также очевидно, что талончик не связан с субъектом, а ему назначается; о зависимости от носителя тут тоже говорить некорректно, так как то, что на талончике напечатано, от носителя не зависит, оно полностью формируется системой. Можно возразить, что такой же номерок, но напечатанный на чем-то другом, не будет принят как подтверждение очереди, однако тут опять же связь с системой, а не с носителем, ибо талончики именно в таком как есть виде целиком выпускаются системой, можно сказать, являются ее продуктом. Важной особенностью этого случая является то, что подтвердить с помощью таких аутентифицирующих данных субъект может только одно – «бронирование» права на взаимодействие с системой. Аналогичными аутентифицирующими данными являются многие билеты[3].
5. 1 ; 1 – косвенная зависимость от объекта, ассоциированность с субъектом – атрибутный сертификат, «рукопожатие» СВТ с аппаратным идентификатором, какое-то вычисление, например, КС (объект передает данные, на основании которых производится какое-то вычисление в устройстве, ассоциированном с субъектом, или самим субъектом (если это программа или система)).
6. 1 ; 2 – косвенная зависимость от объекта, имманентность субъекту – интерактивная биометрия стимул-реакция, клавиатурный почерк при наборе фразы по запросу, аппаратный идентификатор в котором пользователь авторизуется по биометрии, а тот дальше передает какие-то другие данные.

Получается, что любое из пересечений значений признаков дает описание реально применяющихся в жизни аутентифицирующих данных, причем охвачены даже такие, способы аутентификации на основе которых в настоящее время еще не реализованы, а только разработаны на уровне концепций (рефлекторная биометрия «стимул-реакция»), а также такие, которые не очевидно ассоциируются именно с аутентификацией (талончики на очередь).

Примера данных, которые бы не попадали ни в одну из 6 получившихся категорий, пока не обнаружено, что усиливает ее правдоподобность.

Признаки расположены по возрастанию сложности их нелегального получения:

• прямо сравниваемые данные можно «подложить», перехватив ранее отправленный при аутентификации легального субъекта пакет, а косвенная зависимость требуется более сложной атаки;
• несвязанные с субъектом данные могут быть переданы неограниченно большому кругу лиц, растиражированы (они не могут быть по каким-либо причинам нетиражируемыми);
• устройство теоретически может быть нетиражируемым и в любом случае его тиражирование сложнее;
• неотчуждаемые характеристики теоретически воспроизводимы, но еще заметно сложнее, и так далее.

В то же время нельзя не заметить, что так же возрастает и сложность реализации подсистемы идентификации\аутентификации, использующей данные разных типов.

Однако это в некотором смысле компенсируется тем, что снижаются требования к обеспечению доверия тем или иным компонентам системы, которые могут в разных случаях легче или сложнее доступны для контроля. Иногда проще сделать доверенным клиентское устройство, а иногда – использовать намного более сложную систему аутентификации, но не контролировать клиентские устройства совсем. И эти параметры (контроль какого компонента должен быть усилен, а какого – может быть ослаблен) тоже можно получить как следствие из предложенной классификации.

Это означает, что классификация обладает определенной продуктивностью, то есть целесообразна.

Верна ли она – покажет анализ со стороны широкого круга специалистов.

Список литературы:

1. ГОСТ Р «Идентификация и аутентификация. Общие положения». Проект, окончательная редакция.
2. ГОСТ Р «Защита информации. Идентификация и аутентификация. Уровни доверия к результатам идентификации». Проект, первая редакция.
3. NIST Специальная публикация 800-63B. Руководство по цифровой идентификации. Аутентификация и управление жизненным циклом. 2017 [электронный ресурс]. URL: https://pages.nist.gov/800-63-3/sp800-63b.html (дата обращения - 30.04.2019).
4. ISO/IEC 2nd WD 29003 -- Information technology – Security techniques – Identity proofing. 2013 [электронный ресурс]. URL: https://cabforum.org/pipermail/public/attachments/20130814/f2f4a333/attachment.pdf (дата обращения – 30.04.2019).
5. Аутентификация // Википедия [электронный ресурс]. URL: https://ru.wikipedia.org/wiki/Аутентификация#Факторы_аутентификации (дата обращения – 29.04.2019).
6. Комаров А. Современнные методы аутентификации: токен и это все о нем…! // T-Comm. 2008. № 6. С. 13–16.

[1] Благодарю за это уточнение, данное в личной беседе, А. Г. Сабанова.

[2] Этот вывод не является вымыслом автора, он получен от А. Г. Сабанова в личной беседе о том, к какому фактору аутентификации относить паспорт.

[3] Необходимо иметь в виду один нюанс: билеты могут включать в себя (в тексте на билете, например) какие-либо идентифицирующие данные, которые могут быть проверены (допустим, паспортные данные, проверяются путем сличения с паспортом); это будет другой, отдельный процесс аутентификации человека как легального владельца билета (проверяется, что он владеет билетом законно, а не что именно он имеет право посмотреть спектакль); отличаются случаи, когда аутентифицирующими данными являются собственно данные субъекта, а билет является только способом учета – так, как, например, при авиаперевозках – билеты существуют, однако регистрируют на рейс не по билету, а по паспорту, это будет «случай 2)» – 0 ; 1.

Автор: Конявская С. В.

Дата публикации: 18.01.2019

Библиографическая ссылка: Конявская С. В. Бесфакторная классификация аутентифицирующих данных: начала построения // Комплексная защита информации: материалы ХХIV научно-практической конференции. Витебск. 21–23 мая 2019 г.: УО ВГТУ. Витебск, 2019. С. 194–200.

---