В процедуре формирования подписи используется секретный ключ отправителя сообщения, в процедуре проверки — открытый ключ отправителя

4.1. Процедура формирования и проверки электронной подписи

На подготовительном этапе этой процедуры отправитель сообщения генерирует пару ключей: секретный ключ и открытый ключ. Открытый ключ вычисляется из парного ему секретного ключа. Открытый ключ рассылается остальным абонентам сети (или делается доступным, например, на разделяемом ресурсе) для использования при проверке подписи. Для формирования цифровой подписи отправитель, прежде всего, вычисляет значение хэш-функцииподписываемого текста.

Хэш-функция служит для сжатия исходного подписываемого текста в дайджест — относительно короткое число, состоящее из фиксированного небольшого числа битов и характеризующее весь текст в целом. Далее отправитель шифрует дайджест своим секретным ключом. Получаемая пара чисел представляет собой цифровую подпись для данного текста. Сообщение вместе с цифровой подписью отправляется в адрес получателя.

Абоненты сети могут проверить цифровую подпись полученного сообщения с помощью открытого ключа отправителя этого сообщения.

При проверке ЭП абонент—получатель сообщения расшифровывает принятый дайджест открытым ключом отправителя. Кроме того, получатель сам вычисляет с помощью хэш-функции дайджест принятого сообщения и сравнивает его с расшифрованным. Если эти два дайджестасовпадают, то цифровая подпись является подлинной. В противном случае, либо подпись подделана, либо изменено содержание сообщения.

Принципиальным моментом в системе ЭП является невозможность подделки ЭП пользователя без знания его секретного ключа подписывания. Поэтому необходимо защитить секретный ключ сек от несанкционированного доступа.

Помещаемая в подписываемый файл (или в отдельный файл, электронной подписи) структура ЭП обычно содержит дополнительную информацию, однозначно идентифицирующую автора подписанного документа. Эта информация добавляется к документу до вычисления ЭП, что обеспечивает и ее целостность. Каждая подпись содержит следующую информацию:

• дату подписи;

• срок окончания действия ключа данной подписи;

• информацию о лице, подписавшем файл (Ф.И.О., должность, краткое наименование организации);

• идентификатор подписавшего (имя открытого ключа);

• собственно цифровую подпись.

4.2. Сертификация открытого ключа

Сертификация открытого ключа ЭП абонента сети—это подтверждение подлинности открытого, ключа и хранимой совместно с ним служебной информации, в частности, о принадлежности ключа. Сертификация ключа это подписывание открытого ключа электронной подписью, вычисленной на секретном ключе центра сертификации.

Открытый ключ совместно с сертифицирующей его ЭП часто называется сертификатом открытого ключа или просто сертификатом.

4.3. Идентификация, аутентификация и авторизация

С каждым зарегистрированным в компьютерной системе субъектом (пользователем или процессом, действующим от имени пользователя) связана некоторая информация, - однозначно идентифицирующая его. Это может быть число или строка символов, именующие данный субъект. Эту информацию называют идентификатором субъекта.

Идентификация —это процедура распознавания пользователя по его идентификатору, пользователь сообщает системе по ее запросу свой идентификатор и система проверяет в своей базе данных его наличие

Аутентификация —проверка подлинности входящего в систему объекта (пользователя), предъявившего свой идентификатор. Проверяющая сторона должна достоверно убедиться, что пользователь (процесс или устройство) является именно тем, кем себя объявляет. При этом, обычно, пользователь подтверждает свою идентификацию, вводя в систему уникальную, неизвестную другим пользователям информацию о себе (например, пароль или сертификат).

Авторизация —процедура предоставления пользователю (процессу или устройству) определенных прав доступа к ресурсам системы после, успешного прохождения им процедуры аутентификации, иными словами, авторизация устанавливает сферу действия пользователя и доступные ему ресурсы.

4.4. Биометрическая аутентификация пользователя

Процедуры идентификации и аутентификации пользователя могут базироваться не только на секретной информации, которой; обладает пользователь (пароль, персональный идентификатор, секретный ключ и т. д.). Привычные системы аутентификации не всегда удовлетворяют современным требованиям в области информационной безопасности, особенно если речь идёт об ответственных приложениях (онлайновые финансовые приложения, доступ к удалённым базам данных).

В последнее время все большее распространение получает биометрическая аутентификация пользователя, позволяющая уверенно аутентифицировать потенциального пользователя путем измерения физиологических параметров и характеристик человека, особенностей его поведения. Использование решений, основанных на биометрической технологии, позволяет в ряде случаев улучшить положение дел в области аутентификаций.

Отметим основные достоинства биометрических методов аутентификации пользователя по сравнению с традиционными:

· высокая степень достоверности аутентификации по биометрическим признакам из-за их уникальности;

· неотделимость биометрических признаков от дееспособной личности;

· трудность фальсификации биометрических признаков.

В качестве биометрических признаков, которые активно используются при аутентификации потенциального пользователя, можно выделить, следующие:

· отпечатки пальцев;

· геометрическая форма кисти руки;

· форма и размеры лица;

· особенности голоса;

· узор радужной оболочки и сетчатки глаз.

Наибольшее число биометрических систем идентификации использует отпечатки пальцев системы. Отпечаток пальца считается одним из наиболее устойчивых идентификационных признаков (не изменяется со временем, при повреждении кожного покрова идентичный восстанавливается, при сканировании не вызывает дискомфорта у пользователя).

Основными элементами дактилоскопической системы аутентификации являются:

• сканер;

• ПО идентификации, формирующее идентификатор пользователя;

• ПО аутентификации, производящее сравнение отсканированного отпечатка пальца с имеющимися в, базе данных «паспортами» пользователей.

Дактилоскопическая система аутентификации работает следующим образом. Сначала производится регистрация пользователя. Как правило, производится несколько вариантов сканирования в разных положениях пальца на сканере. Понятно, что образцы, будут немного отличаться и требуется сформировать некоторый обобщенный образец- «паспорт». Результаты запоминаются в базе данных аутентификации. При аутентификации производится сравнение отсканированного отпечатка пальца с «паспортами», хранящимися в базе данных.

Формирование «паспорта», так же как и распознавание предъявляемого образца, — это задачи распознавания образов. Для этого используются различные алгоритмы, являющиеся ноу-хау фирм производителей подобных устройств.

Системы аутентификации по форме ладони используют сканеры формы ладони, обычно устанавливаемые на стенах. Следует отметить, что подавляющее большинство пользователей предпочитают системы этого типа.

Устройства считывания формы ладони создают объемное изображение ладони, измеряя длину пальцев, толщину и площадь поверхности ладони. Например, продукты компании Recognition Systems выполняют более 90 измерений, которые преобразуются в девятиразрядный образец для дальнейших сравнений. Этот образец может быть сохранен локально, на индивидуальном сканере ладони либо в централизованной
базе данных.

По уровню доходов устройства, сканирования формы ладони занимают второе место среди биометрических устройств, однако редко применяются в сетевой среде из-за высокой стоимости и размера. Однако сканеры формы ладони хорошо подходят для вычислительных сред со строгим режимом безопасности и напряженным трафиком, включая серверные комнаты. Они достаточно точны и обладают довольно низким коэффициентом ошибочного отказа FRR, т. е. процентом отклоненных законных пользователей.

Системы: аутентификации по лицу и голосу являются наиболее дос­тупными из-за их дешевизны, поскольку большинство современных компьютеров имеют видео и аудио средства. Системы данного класса применяются при удаленной идентификации субъекта доступа в теле­коммуникационных сетях.

Технология сканирования черт лица подходит для тех приложений, где прочие биометрические технологии непригодны. В этом случае для идентификации и верификации личности используются особенности глаз, носа и губ. Производители устройств распознавания черт лица используют собственные математические алгоритмы для идентификации пользователей.

Поскольку голос можно просто записать на пленку или другие носители, некоторые производители встраивают в свои продукты операцию запроса, отклика. Эта функция предлагает пользователю при входе ответить на предварительно; подготовленный и регулярно меняющийся запрос, например: «Повторите числа, 0,1,3».

Оборудование аутентификации по_: голосу более пригодно для интеграции в приложения телефонии чем для входа в сеть. Обычно оно позволяет абонентам получить, доступ, в финансовые или прочие системы посредством телефонной связки.

Технологии распознавания; говорящего, имеют некоторые ограничения. Различные люди могут говорить похожими голосами, а голос любого человека, может, меняться со временем (в зависимости от самочувствия, эмоционального состояния и возраста). Более того, разница в модификации телефонных аппаратов и качество телефонных соединений могут серьезно усложнить распознавание.

Поскольку голос сам по себе не обеспечивает достаточной точности, распознавание по голосу следует сочетать с другими биометриками, такими как распознавание черт лица или отпечатков пальцев.

Системы аутентификации подзору радужной оболочки и сетчатки глаз могут быть разделены на два класса:

· использующие рисунок радужной оболочки глаза;

· использующие рисунок кровеносных сосудов сетчатки глаза.

Сетчатка человеческого глаза представляет собой уникальный объект для аутентификации. Рисунок кровеносных сосудов отличается даже у близнецов.

Средства идентификации по радужной оболочки и сетчатки глаза являются наиболее надежными среди системаутентификации.

Одной из первых областей широкого применения биометрической аутентификации личности; станут мобильные системы. Проблема не сводится только к потерям компьютеров из-за краж; нарушение защиты
информации можете привести к значительно большим потерям. Кроме того, ноутбуки часто предоставляют доступ к корпоративной сети через программные соединения, выполняемые с помощью паролей, хранящихся на мобильных компьютерах.

Твердотельные датчики отпечатков пальцев — небольшие недорогие и низкоэнергоемкие — позволяют решить эти проблемы. С помощью соответствующего программного обеспечения эти устройства дают возможность выполнять аутентификацию для четырех уровней доступа к информации, хранящейся на мобильном компьютере: регистрация, выход из режима сохранения экрана, загрузка и дешифровка файлов.

Дата добавления: 2015-07-13; Просмотров: 657; Нарушение авторских прав?; Мы поможем в написании вашей работы!