1.Основные понятия
Идея строгой аутентификации, реализуемая в криптографических протоколах, заключается в следующем. Проверяемая (доказывающая) сторона доказывает свою подлинность проверяющей стороне, демонстрируя знание некоторого секрета. Например, этот секрет может быть предварительно распределен безопасным способом между сторонами аутентификационного обмена.
Существенным является факт, что доказывающая сторона демонстрирует только знание секрета, но сам секрет в ходе аутентификационного обмена не раскрывается. Это обеспечивается посредством ответов доказывающей стороны на различные запросы проверяющей стороны.
В большинстве случаев строгая аутентификация заключается в том, что каждый пользователь аутентифицируется по признаку владения своим секретным ключом. Иначе говоря, пользователь имеет возможность определить, владеет ли его партнер по связи надлежащим секретным ключом и может ли он использовать этот ключ для подтверждения того, что он действительно является подлинным партнером по информационному обмену.
В соответствии с рекомендациями стандарта Х.509 различают процедуры строгой аутентификации следующих типов:
- односторонняя аутентификация;
- двусторонняя аутентификация;
- трехсторонняя аутентификация.
Односторонняя аутентификация предусматривает обмен информацией только в одном направлении.
Двусторонняя аутентификация по сравнению с односторонней содержит дополнительный ответ проверяющей стороны доказывающей стороне, который должен убедить ее, что связь устанавливается именно с той стороной, которой были предназначены аутентификационные данные;
Трехсторонняя аутентификация содержит дополнительную передачу данных от доказывающей стороны, проверяющей. Этот подход позволяет отказаться от использования меток времени при проведении аутентификации.
Следует отметить, что данная классификация достаточно условна. На практике набор используемых приемов и средств зависит непосредственно от конкретных условий реализации процесса аутентификации. Необходимо учитывать, что проведение строгой аутентификации требует обязательного согласования сторонами используемых криптографических алгоритмов и дополнительных параметров.
Прежде чем перейти к рассмотрению конкретных вариантов протоколов строгой аутентификации, следует остановиться на назначении и возможностях так называемых одноразовых параметров, используемых в протоколах аутентификации. Одноразовые параметры иногда называют также nonces — это величина, используемая для одной и той же цели не более одного раза.
Одноразовые параметры позволяют избежать повтора передачи, подмены стороны аутентификационного обмена и атаки с выбором открытого текста. С их помощью можно обеспечить уникальность, однозначность и временные гарантии передаваемых сообщений. Различные типы одноразовых параметров могут употребляться как отдельно, так и дополнять друг друга.
Следует отметить, что одноразовые параметры широко используются и в других вариантах криптографических протоколов (например, в протоколах распределения ключевой информации).
В зависимости от используемых криптографических алгоритмов протоколы строгой аутентификации делятся на протоколы, основанные:
на симметричных алгоритмах шифрования;
однонаправленных ключевых хэш-функциях;
асимметричных алгоритмах шифрования;
алгоритмах электронной цифровой подписи.
3.Строгая аутентификация, основанная на асимметричных алгоритмах
В протоколах строгой аутентификации могут быть использованы асимметричные алгоритмы с открытыми ключами. В этом случае доказывающий может продемонстрировать знание секретного ключа одним из следующих способов:
- расшифровать запрос, зашифрованный на открытом ключе;
- поставить свою цифровую подпись на запросе.
Пара ключей, необходимая для аутентификации, не должна
использоваться для других целей (например, для шифрования) по соображениям безопасности. Важно отметить, что выбранная система с открытым ключом должна быть устойчивой к атакам с выборкой шифрованного текста даже в том случае, если нарушитель пытается получить критичную информацию, выдавая себя за проверяющего и действуя от его имени.
Аутентификация с использованием асимметричных алгоритмов шифрования
В качестве примера протокола, построенного на использовании асимметричного алгоритма шифрования, можно привести следующий протокол аутентификации:
(1)
. (2)
Участник В выбирает случайным образом r и вычисляет значение х=h(r) (значение х демонстрирует знание r без раскрытия самого значения r), далее он вычисляет значение е = РA(r, В). Под РА подразумевается алгоритм асимметричного шифрования (например, RSA), а под А(•) — хэш-функция.
Участник В отправляет сообщение (1) участнику А. Участник А расшифровывает е = РА(r, В) и получает значения r1, и B1, а также вычисляет х1=h(r1).
После этого производится ряд сравнений, доказывающих, что x=x1, и что полученный идентификатор B1, действительно указывает на участника В. В случае успешного проведения сравнения участник А посылает r. Получив его, участник В проверяет, то ли это значение, которое он отправил в сообщении (1).
В качестве другого примера приведем модифицированный протокол Нидхэма и Шредера, основанный на асимметричном шифровании.
Рассматривая вариант протокола Нидхэма и Шредера, используемый только для аутентификации, будем подразумевать под РB алгоритм шифрования открытым ключом участника В. Протокол имеет следующую структуру:
. (1)
. (2)
; (3)
Аутентификация, основанная на использовании цифровой подписи
В рекомендациях стандарта Х.509 специфицирована схема аутентификации, основанная на использовании цифровой подписи, меток времени и случайных чисел.
Для описания этой схемы аутентификации введем следующие обозначения:
tA , rА и rв — временная метка и случайные числа соответственно;
SA — подпись, сгенерированная участником А;
SB — подпись, сгенерированная участником B;
certA — сертификат открытого ключа участника А;
certB — сертификат открытого ключа участника В.
Если участники имеют аутентичные открытые ключи, полученные друг от друга, то можно не пользоваться сертификатами, в противном случае они служат для подтверждения подлинности открытых ключей.
В качестве примеров приведем следующие протоколы аутентификации.
- Односторонняя аутентификация с применением меток времени:
(1)
После принятия данного сообщения участник В проверяет правильность метки времени tA, полученный идентификатор В и, используя открытый ключ из сертификата certA корректность цифровой подписи SA(tA,В).
- Односторонняя аутентификация с использованием случайных чисел:
; (1)
(2)
Участник В, получив сообщение от участника А, убеждается, что именно он является адресатом сообщения; используя открытый ключ участника А, взятый из сертификата certA, проверяет корректность подписи SA(rA , rB , В) под числом rА, полученным в открытом виде, числом rB , которое было отослано в сообщении (1), и его идентификатором В. Подписанное случайное число rА используется для предотвращения атак с выборкой открытого текста.
- Двусторонняя аутентификация с использованием случайных чисел:
; (1)
(2)
(3)
В данном протоколе обработка сообщений (1) и (2) выполняется так же, как и в предыдущем протоколе, а сообщение (3) обрабатывается аналогично сообщению (2).
Заключение
На данной лекции мы изучили принципы управления доступом к информационным ресурсам. Нами были рассмотрены вопросы: «Идентификация и аутентификация пользователей и программ», «Методы аутентификации, использующие пароли и PIN-коды», «Строгая аутентификация».
21 компания, использующая блокчейн для аутентификации и управления идентификацией
Существует множество вариантов применения блокчейна вне финансовой сферы. Например, в области идентификации личности: цифровая идентичность, паспорта, электронное резидентство, свидетельства о рождении и браке, удостоверения личности, логины и пароли и так далее. Создавая цифровую идентичность на базе блокчейна, человек получает более эффективные инструменты управления персональными данными. Он может определять, кто будет ими владеть и иметь к ним доступ.
Объединяя в себе принципы распределенного реестра и идентификации личности, цифровое ID может использоваться в качестве своеобразного «цифрового водяного знака». Такой «водяной знак» может присваиваться буквально каждой онлайн-транзакции, затрагивающей различные типы активов. Вот список компаний-первопроходцев, создающих решения на основе блокчейна для управления цифровой идентичностью и аутентификации. Все эти решения находят межотраслевое применение.
Решение 2WAY.IO позволяет преобразовывать публичные узлы (ноды) в приватные за счет добавления уровней доступа. Приватные узлы могут объединять хранилища информации и безопасные каналы связи. Они контролируются пользователями (конфиденциальность и безопасность заложены на уровне базового дизайна системы) и потому не требуют никаких жертв со стороны безопасности в пользу UX. Такие системы одновременно блокчейн-независимы и представляют собой пользующуюся доверием третью сторону. Им необходим только посредник или блокчейн, если обе стороны согласны добавить еще одну сторону во взаимодействие.
Atencoin — нормативная цифровая валюта первого поколения, основанная на идентификации личности. Нормативная цифровая валюта — это валюта, которая соответствует нормам государственного законодательного регулирования. Поддержкой валюты занимается Национальный фонд Aten Coin (NAC) — организация, ориентированная на поддержку цифровых валют и методов идентификации, основанных на блокчейн.
BlockAuth позволяет пользователям управлять собственным реестром цифровой идентичности. Это дает возможность предоставлять персональные данные с целью верификации.
Blockstack предоставляет децентрализованные DNS, децентрализованную систему распределения публичных ключей и реестр для приложений и пользовательских идентичностей. Персональный пользовательский API поставляется вместе с приложением Blockstack и работает с самыми разными сущностями: от идентичности и аутентификации до хранения данных. Приложения могут запрашивать разрешения у пользователя и получать доступ к чтению и записи пользовательских данных.
Bitnation — это платформа «госуслуг 2.0» в основе которой лежит блокчейн. Цель платформы — предоставлять те же услуги, что и государственные органы, но в децентрализованной и добровольной манере, независимо от географической привязки. В Bitnation разработали идентификационное решение, которое на данный момент включает в себя блокчейн-паспорт и свидетельство о браке.
BlockVerify предлагает антифальсификационные решения на блокчейне. Решения используют блокчейн для борьбы с подделками и фальсификатом в фармацевтической и ювелирной отрасли, сфере электроники и предметов роскоши.
Cambridge Blockchain LLC разрабатывает свои программные решения в области цифровой идентичности совместно с ведущими международными финансовыми учреждениями. Коммерческие внедрения продуктов запланированы на конец 2021 года. Распределенная архитектура решает проблему баланса прозрачности и приватности, что заметно сокращает срок адаптации новых клиентов, снижает затраты и помогает выполнить требования законодательства в данной сфере. Все это — благодаря унифицированному, систематичному, основанному на доверии подходу к базовым данным клиентов. Cambridge Blockchain стал победителем многих финтех-конкурсов, включая BBVA Open Talent 2021 и Santander InnoVentures Distributed Ledger Challenge. Cambridge Blockchain — «выпускник» менторской программы FinTech Innovation Lab 2021. Ее создатели — некоммерческая организация Partnership Fund for New York City и консалтинговая компания Accenture.
Civic — блокчейновая платформа для управления цифровой идентичностью, с помощью которой пользователи могут регистрировать и подтверждать свои личные данные, а также скрывать свою идентичность для предотвращения кражи данных и мошеннических действий с кредитной историей. Основная цель Civic — борьба с воровством данных покупателей и мошенничеством с использованием персональных данных в онлайне.
Платформа Credits позволяет компаниям быстро и легко создавать надежные блокчейны, с помощью которых в разных отраслях будут решаться задачи по установлению происхождения, аутентификации и согласования. Платформа дает возможность создавать зашифрованные цифровые идентичности, которые способны заместить дюжины пар имен пользователей и паролей, и вместе с тем предлагает развитые механизмы обеспечения безопасности. Все это позволит компаниям, учреждениям, органам власти и покупателям существенно экономить свое время, силы и средства. Другими словами, сервис предоставляет своеобразную «золотую запись» идентичности, которая будет работать не только в банковской сфере, но и в любой точке мира, в любых электронных средах.
CredyCo — SaaS-решение для верификации документов. Построено на смарт-контрактах и технологии идентичности поверх блокчейна. За счет этого обеспечивается достоверность и неоспоримость выписок и деклараций.
Cryptid исключает возможность подделки идентификационных данных за счет добавления дополнительных факторов идентификации и шифрования. Cryptid берет предоставленные данные и переупаковывает их в сжатый формат, понятный его системам, заодно генерируя идентификационные данные самого приложения. Все данные шифруются предоставленным паролем после чего переносятся в блокчейн. После этого пользователю выдается уникальный идентификационный номер. Он фактически является указателем на информацию в самом блокчейне и может храниться практически на любых носителях, начиная с магнитных полос, заканчивая QR-кодом.
Evernym — глобальная, полностью опенсорсная, атрибутированная, автономно суверенная сеть графов идентичности. Сеть построена на продвинутых выделенных, обеспечивающих приватность и открытых для публичного доступа распределенных реестрах.
ExistenceID — защищенная цифровая идентификационная система. Хранит и позволяет безопасно передавать ценные данные о личности пользователя. Услуга личной идентификационной капсулы позволяет оценить насколько хорошо предоставленные данные описывают пользователя как живого и реального человека. При этом ExistenceID обрабатывает все личные данные пользователя с помощью протоколов нулевого знания и потому ничего о нем не знает.
Guardtime’s BLT — блокчейн-стандарт для цифровой идентичности — протокол аутентификации и цифровой подписи, который должен заменить криптосистему RSA, которая на текущий момент является стандартом для цифровых подписей. В отличие от RSA, который использует уязвимый для квантовых вычислений асимметричный ключ шифрования, BLT построен на технологии квантово защищенной инфраструктуры бесключевой подписи (KSI), которая использует только шифрование хэш-функцией.
Пакет биометрических систем обеспечения безопасности HYPR предлагает компаниям полностью операционно-совместимое решение для защиты пользователей на мобильных платформах, ПК и в системах интернета вещей. HYPR позволяет выбирать между распознаванием голоса, лица, глаз или отпечатков пальцев. Децентрализованная платформа аутентификации позволяет организациям работать с биометрическими данными, не беспокоясь о хакерских атаках на биометрический сервер или централизованную базу данных с паролями.
Identify — это основанный на блокчейне стартап, разрабатывающий адресную книгу, куда пользователи могут прикрепить личные профили и идентификаторы для создания доверенной идентичности. Пользователи могут хранить в ней контактные данные, такие как актуальный номер телефона или биткойн-адрес, а также предоставлять другим пользователям рейтинг доверия и отзывы.
Open Identity Exchange (OIX) — это некоммерческая, технологически независимая организация, обеспечивающая совместную разработку продукта участниками из различных отраслей экономики. Ее цель — ускорить внедрение цифровых идентификационных сервисов, основанных на открытых стандартах. OIXNet, принадлежащий OIX — это реестр. Это официальный общественно доступный онлайн-репозиторий документов и информации, относящихся к системам идентификации и их участникам. Называясь «реестром», он функционирует как официальный и централизованный источник документов и информации, точно так же, как и государственный регистратор. Иными словами, физические или юридические лица могут регистрировать документы и информацию в реестре OIXnet, чтобы уведомлять общественность об их содержании. В свою очередь, те, кто ищет информацию, могут обращаться к единой авторитетной площадке.
KYC-Chain — это новаторская платформа, построенная на основе удобства и безопасности технологии распределенных реестров. Она позволяет пользователям оперировать своей цифровой идентичностью, а бизнесам и финансовым институтам управлять клиентскими данными надежным и простым способом.
ShoCard предлагает цифровую идентичность, которая ориентирована на защиту данных клиентов. Продукт настолько же прост в использовании как паспорт. Он оптимизирован под мобильные платформы, и надежно защищен даже по меркам банков. Пользовательская идентичность зашифрована, хеширована и затем вписана в блокчейн, откуда может быть вызвана по необходимости. Пользователи на практике будут давать банкам временный доступ в приватную часть блокчейна для подтверждения своей идентичности. После этого банк создает собственную запись, по которой можно сверить, что Иван Иванович — это тот же самый Иван Иванович.
UniquID обеспечивает безопасное управление идентичностью, интегрированное с распознаванием отпечатков пальцев и других биометрических данных на персональных устройствах. Может работать на кастомном оборудовании, серверах, ПК, смартфонах и планшетах, а также на аккумуляторных и маломощных устройствах, гарантируя целостность данных и взаимную совместимость с имеющейся инфраструктурой.
uPort в сотрудничестве с Microsoft создают защищенную, легкую в использовании систему для автономно суверенной идентичности на основе Ethereum. Технология uPort состоит из трех основных компонентов: смарт-контракты, библиотеки разработчиков и мобильное приложение. Приложение хранит пользовательские ключи. Смарт-контракты Ethereum образуют ядро идентичности и содержат логику, позволяющую пользователям восстановить свою идентичность при утере мобильного устройства. И, наконец, библиотеки разработчиков нужны для того, чтобы сторонние разработчики могли внедрять поддержку uPort в свои приложения. В конце января Microsoft объявил о сотрудничестве с Tierion для создания сервиса, который будет генерировать, управлять и подтверждать аттестаты подлинности.
Обзор
Американский национальный институт стандартов и технологий (NIST) разработал общую модель электронной аутентификации, которая обеспечивает базовую структуру того, как выполняется процесс аутентификации, независимо от юрисдикции или географического региона.
Согласно этой модели, процесс регистрации начинается с того, что человек обращается к поставщику услуг учетных данных (CSP). CSP необходимо будет подтвердить личность заявителя, прежде чем продолжить транзакцию. Как только личность заявителя подтверждена CSP, он или она получает статус «подписчик», ему предоставляется аутентификатор , такой как токен и учетные данные, которые могут быть в форме имени пользователя.
CSP отвечает за управление учетными данными вместе с данными регистрации подписчика в течение срока действия учетных данных. Подписчику будет поручено поддерживать аутентификаторы. Примером этого является ситуация, когда пользователь обычно использует определенный компьютер для онлайн-банкинга .
Если он или она попытается получить доступ к своему банковскому счету с другого компьютера, аутентификатор не будет присутствовать. Чтобы получить доступ, подписчик должен будет подтвердить свою личность в CSP, что может быть в форме успешного ответа на контрольный вопрос, прежде чем ему будет предоставлен доступ.