Пожалуйста, "на пальцах"

Пожалуйста, "на пальцах"

Светлана КОНЯВСКАЯ, кандидат филологических наук, ОКБ САПР

ПРОИЗВОДИТЕЛИ средств защиты информации (СЗИ) и эксперты в области информационной безопасности сейчас много спорят о том, насколько эффективно и целесообразно применение биометрии для аутентификации пользователя того или иного технического средства. В ответ на доводы, что пароль связан с человеком гораздо более опосредовано, чем, скажем, отпечаток пальца, и может быть перехвачен при вводе с клавиатуры, звучат возражения, что использование устройств с аутентификацией "по пальцу" может спровоцировать волну насилия и рост показателей по инвалидности населения.

Как это часто бывает, правы и те и другие. Действительно, биометрия обеспечивает более прямую и тесную связь между техническим средством и его владельцем, и вместе с тем не доказано, что применение биометрических данных исключает полностью возможность фальсификации, ошибки или совпадения.

Все это так, однако тот факт, что аутентификация на основе биометрических данных имеет очевидные и понятные плюсы и является в настоящий момент довольно востребованной технологией, несомненен.

Главный принцип

ОКБ САПР предлагает как один из вариантов идентификации/аутентификации пользователя идентификацию по отпечатку пальца.

Предложение устройств для считывания отпечатков пальцев на рынке сейчас достаточно велико, а интегрировать такое устройство в систему не представляет собой особенно сложной проблемы. Принципиальным является вопрос, куда именно будет встроено устройство, где будут храниться базы биометрических данных пользователей, как будет организован доступ к ним.

Главный принцип, которого ОКБ САПР придерживается уже 10 лет, - с момента разработки и воплощения на практике методологии РКБ (резидентного компонента безопасности) - заключается в том, что СЗИ должны не просто выполнять контрольные функции, а контролировать все критичные для безопасности данные, события и процессы.

Это значит, что базы данных пользователей должны храниться в СЗИ, доступ к ним -регламентироваться процессором СЗИ в соответствии с описанными правилами, данные пользователя, под которыми состоялся вход в систему, при дальнейшей работе должны передаваться только напрямую между компонентами СЗИ без участия посторонних приложений в цепочке передачи данных.

Кроме того, работа СЗИ не может ограничиваться только проведением контрольных процедур при входе пользователя в систему, средство защиты должно использоваться во время всего сеанса работы.

Совершенно очевидно, почему в памяти ПК не должны храниться базы данных (в том числе биометрических данных) пользователей: она не защищена от программного воздействия.

По той же самой причине недопустимо передавать данные аутентификации пользователя после успешного входа в систему - в штатную систему разграничения доступа, например, ОС семейства Windows.

Изделия ОКБ САПР

Все вышеперечисленное самым прямым образом относится и к реализации биометрических механизмов защиты информации. Во всех наших изделиях (как семейства АККОРД™, так и семейства ШИПКА™), которые снабжены устройствами для считывания отпечатков пальцев, управляет ими исключительно процессор СЗИ, базы биометрических данных пользователей хранятся в защищенной памяти контроллера или ШИПКИ, и эти данные, выполняющие в наших изделиях функцию регламентации доступа к секретным ключам, никогда не передаются по незащищенным каналам или в незащищенную от модификации память ПК.

Конечно, реализовать сложнейшие алгоритмы распознавания паппилярных узоров в микропроцессоре намного сложнее, чем просто в компьютере. Нужно добиться высокой скорости распознавания в условиях ограниченной производительности микропроцессора и небольшого объема памяти, при этом обеспечивая нужные вероятности ошибок типа "пропуск цели" и "ложное срабатывание". Сложность работы компенсируется защитным эффектом: решение об успешной аутентификации в такой системе нельзя дискредитировать.

Изделия ОКБ САПР с биометрией поступят в продажу в конце 2007 г.