BIS Journal №4(31)/2018

2 января, 2019

Биометрия в аутентификации

В протоколах доступа субъекта (человека) к информационным ресурсам центральную роль играют три понятия – идентификация, аутентификация и авторизация. Сторона, раскрывающая информацию обязательно должна убедиться, кто хочет получить доступ, чем он может себя удостоверить и есть ли у него разрешение на доступ. В этой статье мы рассмотрим современные подходы к аутентификации, то есть протоколам, которые позволяют субъекту себя удостоверить.

В простейшем случае протокол идентификации состоит в том, чтобы назвать свой логин (имя пользователя, учетную запись, персональный номер и др.), а протокол аутентификации в том, чтобы сообщить секретную информацию, которая есть только у субъекта (например, пароль).

Способы аутентификации можно разбить на три большие группы по общим признакам. Вот эти признаки, они же факторы:

знание - логин и пароль;
владение - токен, на котором хранится секретный ключ или сертификат, или устройство выдающее код подтверждения;
сущность – обладание признаками, однозначно идентифицирующими пользователя - биометрические данные.

При использовании способов из разных групп говорят о многофакторной аутентификации. Использование разных способов из одной группы (отправка первого кода подтверждения по электронной почте, а второго по СМС) не делает аутентификацию многофакторной.

Подтверждение сущности не требует от человека запоминания данных или хранения токенов.

ПРОТОКОЛЫ

При разработке протоколов аутентификации с использованием биометрии можно брать за основу существующие протоколы, разработанные для других факторов, расширяя их биометрической спецификой. Рассмотрим известное семейство протоколов выработки общего ключа с аутентификацией на основе пароля PAKE [1] и его биометрическое расширение BAKE [6,8].

Протоколы PAKE позволяют участникам обеспечить взаимную аутентификацию и установить безопасный канал связи [2]. Использование PAKE в TLS обеспечивает безопасную аутентификацию на стороне клиента, заменяя сертификаты на пароли для аутентификации своих идентификаторов. Такое решение удобно использовать при ограничениях в ресурсах, в скорости обработки, в доступности ресурсов [3], например, для Интернета Вещей (IoT).

ПРИМЕР BAKE


Рис.1. Пример. Биометрический обмен ключами с проверкой подлинности (BAKE) [6,8]

На рисунке 1 представлено высокоуровневое описание шагов в протоколе BAKE. Протокол PAKE и расширение BAKE основаны на алгоритме Диффи-Хеллмана для идентификации ключей. Отметим, что алгоритм Диффи-Хеллмана, как и многие алгоритмы, решающие задачу распределения ключей, уязвим против атаки с помощью квантового компьютера [4], но будем надеяться, что как минимум пять лет у нас есть. Несколько механизмов PAKE были стандартизированы на международном уровне в Рекомендации МСЭ-Т X.1035: ITU-T X.1035: “Password-Authenticated Key Exchange” (PAK) recommendation [5] и в Механизмах управления ключами ISO / IEC 11770-4, основанных на слабых (легко раскрываемых) секретах [6].

МНОГОФАКТОРНОСТЬ

Секретные знания, совместно используемые пользователем и сервером, могут быть собраны у пользователя и «представлены в систему разными способами и форматами» [5]. Они варьируются от простого пароля, введенного через клавиатурное устройство, до PIN-кода, введенного с помощью сенсорного экрана смартфона, и до человеческой речи, записанной микрофоном [5]. Как только данные, содержащие знания пользователя, собираются, их необходимо преобразовать или отобразить в подходящий строковый формат, прежде чем его можно будет ввести в протокол PAKE.

Необходимые для аутентификации знания (секреты) пользователя могут быть извлечены из того же источника (тех же биометрических датчиков), из которого поступают пользовательские биометрические данные [6]. Многие типы биометрических данных содержат знания пользователя, но легко понятный пример - это голосовая биометрия. Пользователь может сообщить пароль голосом, передавая одновременно и знание (секретный пароль) и биометрию (характеристики голоса). Сохраненные необработанные данные датчика могут быть переданы системе биометрической проверки идентификации пользователя. Те же данные датчиков также могут обрабатываться с помощью средства распознавания речи, такого как Google Cloud Speech API  [7], для преобразования речи пользователя в текст.

БИОМЕТРИЧЕСКАЯ ЭЛЕКТРОННАЯ ПОДПИСЬ

Определение электронной подписи может варьироваться в зависимости от юрисдикции. В России это закон “Об электронной подписи”. В США электронная подпись указывается в соответствии с Единым законом об электронных транзакциях (Uniform Electronic Transactions Act) и Законом об электронных подписях в глобальной и национальной торговле (Electronic Signatures in Global and National Commerce Act).

Версия ANSI стандарта X9.84 (2017 года) определяет три новых метода электронной подписи на основе биометрических данных. Этими методами являются биометрический токен электронной подписи (biometric electronic signature token, BEST), его модификация (signcrypted biometric electronic signature token, SBEST) и биометрический обмен электронной аутентификацией с использованием электронной подписи (biometric electronic-signature authenticated-key exchange, BESAKE).

Два из этих методов, BEST и SBEST, полагаются на функционирующую инфраструктуру открытого ключа (PKI). Техника BESAKE расширяет BAKE для создания протокола электронной подписи без необходимости использования цифровых сертификатов.

Эти три метода могут использоваться для электронного подписания соглашений любого типа или формата. Все три метода предназначены для использования в электронной торговле и других случаях использования подписей, как коммерческих, так и правительственных. Они обеспечивают многофакторную аутентификацию пользователя и взаимную аутентификацию, а также защищают конфиденциальность биометрических данных электронного подписанта и другую информацию.

Методы биометрической электронной подписи X9.84 сочетают биометрическую аутентификацию с криптографией и подходят для использования в облачных средах и распределенном журнале (блокчейн), включая приложения смарт-контрактов.

Рис. 2. Пример BESAKE [9]

На рисунке 2 описаны шаги протокола BESAKE и показано, как протокол BAKE может использоваться для целей, отличных от аутентификации пользователя, расширения TLS и создания безопасного канала связи. Шаги 1-6 показывают, как создается зашифрованный токен электронной подписи BESAKE. В токене содержится надлежащее соглашение электронной подписи, в том числе указание о принятии условий и намерений для электронного подписания. Токен также содержит биометрическую информацию пользователя, челлендж сервера и любые другие данные, необходимые для контрактного приложения.

Шаги 7-12 описывают обработку, требуемую при проверке достоверности заявленного идентификатора электронного подписывающего лица. Обработка собственно соглашения остается для контрактного приложения.

BESAKE может использоваться для авторизации передачи стоимости в смарт-контракте. Зашифрованные результаты шагов 1-6 на рисунке 2 можно безопасно разместить в облаке, распределенном журнале (блокчейн) или в среде смарт-контрактов. В контексте смарт-контракта код цепи приведет к обработке шагов 7-12, когда событие смарт-контракта сигнализирует о том, что контракт выполнен.

БИОМЕТРИЧЕСКИЕ ПРОТОКОЛЫ. МЕЖДУНАРОДНАЯ ПРАКТИКА

Аутентифицированные протоколы обмена ключами, такие как BAKE на основе PAKE, могут использоваться для обеспечения надежной двухфакторной аутентификации пользователей. BAKE может быть реализован путем объединения биометрических данных и пользовательских знаний (секретов), извлеченных из одного биометрического датчика. Многие биометрические технологии могут обеспечить два фактора аутентификации, и все это без накладных расходов TLS, цифровых сертификатов и правильно функционирующей PKI.

Протокол BAKE может использоваться для создания недорогих, удобных в использовании систем контроля доступа, которые могут помочь управлять рисками несанкционированного доступа к информации и обеспечивать безопасную связь в средах с ограниченными ресурсами, где не могут использоваться решения на основе сертификатов.

BAKE также может помочь улучшить практику аутентификации пользователей, создать доверие пользователей посредством взаимной аутентификации, гарантировать, что пользователи фактически подключены к системам, к которым они планировали подключиться и которым они могут доверять. BAKE гарантирует, что учетные данные для проверки подлинности пользователя и другие конфиденциальные данные защищены от атак типа «человек-в-середине» и фишинга во время передачи учетных данных для проверки подлинности пользователя и во время последующих коммуникаций.

Кроме того, BAKE может быть расширен до протокола для электронных подписей BESAKE, для поддержки электронных подписей документов любого типа и формата.

Литература

Wikipedia, “Password-Authenticated Key Agreement,” https://en.wikipedia.org/wiki/Password-authenticated_key_agreement.
Douglas Stebila, “Secure Modular Password Authentication for the Web Using Channel Bindings,” https://www.douglas.stebila.ca/research/papers/SSR-ManSteDen14/.
SSR 2014, “Security Standardisation Research,” http://ssr2014.com/.
S.Tikhonov, M.Bondarenko. “Application of Quantum Technologies for Practical Tasks”. ISSA Journal November 2017
ITU, “X.1035 : Password-Authenticated Key Exchange (PAK) Protocol,” http://www.itu.int/rec/T-REC-X.1035-200702-I/en
Phillip H.Griffin, “Biometric Knowledge Extraction for Multi-Factor Authentication and Key Exchange,” Procedia Computer Science, Volume 61, 2015, Elsevier, freely available at http://www.sciencedirect.com/science/article/pii/S1877050915029804
Google, “Cloud Speech API,” https://cloud.google.com/speech/.
Phillip Griffin, ISSA Fellow, Raleigh Chapter, “Biometric Electronic Signatures.”, ISSA Journal, January 2018

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

18.03.2024
Сколько денег тратят на маркетинг лидеры российского рынка инфобеза
18.03.2024
Microsoft закроет доступ к облачным сервисам для российских компаний
18.03.2024
От операторов связи потребовали ограничить продажу «симок»
18.03.2024
Жертва социнженеров пыталась поджечь отделение «Сбера»
18.03.2024
Системы МВФ были взломаны впервые за 13 лет
15.03.2024
ИИ поможет бизнесу выявлять брак и маркировать продукцию
15.03.2024
Минцифры поручено и дальше цифровизировать всё вокруг
15.03.2024
Стоит с настороженностью относиться к сообщениям о перевыпуске SIM-карты
15.03.2024
IDC: Больше всех на «облака» в этом году потратит Польша
14.03.2024
Вендоры хотят ограничить госкомпании в закупках зарубежного харда

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных