COMPUTERWORLD - BezpeΦnost pro vÜechny, soukromφ pro ka₧dΘho

Specializovan² t²denφk o v²poΦetnφ technice

Serißl
o bezpeΦnosti
a informaΦnφm soukromφ

╚ßst 12 - CW 21/97

Identifikace a °φzenφ p°φstupu -- aneb n∞kdo je za dve°mi

Antonφn BeneÜ

Psst. SlyÜφte, n∞kdo zvonφ. Jdete ke dve°φm a podφvßte se Üpeh²rkou, kdo se to domßhß vstupu do vaÜeho domova. Ale, to je Pepφk, m∞l p°ijφt dnes na nßvÜt∞vu. Otev°ete tedy dve°e,

a pozvete ho dßl.

Zcela automaticky, ani₧ se na to musφte n∞jak zvlßÜ¥ soust°edit, °eÜφte ka₧d² den ·koly, kterΘ jsou zßkladnφm poslßnφm ka₧dΘho bezpeΦnostnφho systΘmu. Toti₧ otßzky p°φstupu k systΘmov²m zdroj∙m. Rozeberme si celou situaci jeÜt∞ jednou, tentokrßt vφce z pohledu bezpeΦnosti.

Nejd°φve jste zaslechli zvonek. Zvon∞nφ bychom mohli oznaΦit za po₧adavek na poskytnutφ jistΘ slu₧by systΘmu. V tomto p°φpad∞ jde o vpuÜt∞nφ dovnit°, usazenφ do k°esla a nßslednou konzumaci p°φsluÜn²ch po₧ivatin. BezpeΦnostnφ mechanismus zde p°edstavujete vy sami. Jdete ke dve°φm a pohledem skrz Üpeh²rku zjistφte, kdo je venku. Jin²mi slovy, provedli jste identifikaci subjektu, kter² je zdrojem po₧adavku. Na zßklad∞ tohoto poznatku a na zßklad∞ dalÜφch dostupn²ch informacφ, jako nap°. vaÜe momentßlnφ nßlada, obsah lednice, vzpomφnka na pozvßnφ dotyΦnΘ osoby apod. dosp∞jete k rozhodnutφ, zda po₧adovanou slu₧bu poskytnete, Φi nikoliv.

Je-li vÜe v po°ßdku, tedy venku stojφcφ osoba je skuteΦn∞ vßÜ p°φtel Pepφk, je sprßvnΘ datum, sprßvn² Φas atd., dve°e otev°ete a ₧adatele vpustφte dovnit°. Formßln∞ °eΦeno, bezpeΦnostnφ mechanismus shledal po₧adavek legßlnφm a rozhodl se umo₧nit jeho zpracovßnφ. Nßsledovat bude zmφn∞nß konzumace a jinΘ druhy zßbavy. To vÜak ji₧ je nad rßmec naÜeho zkoumßnφ.

Na tomto mφst∞ bychom naopak rßdi upozornili na dva zajφmavΘ detaily. ZaprvΘ, jste-li opatrnφ, zjiÜ¥ujete, kdo je za dve°mi poka₧dΘ, ne₧ dve°e otev°ete. ZadruhΘ, v²sledek vaÜeho rozhodovßnφ, zda dve°e otev°φt, Φi nikoliv, do znaΦnΘ mφry zßvisφ na zjiÜt∞nφ, kdo je venku. Pravd∞podobn∞ byste se rozhodli jinak, kdyby se k vßm dom∙ namφsto vaÜeho p°φtele dob²val opil² vagabund s no₧em v ruce. Dßle si vÜimn∞me, ₧e zatφmco n∞kdy zjiÜ¥ujeme, zda za dve°mi je ta hromßdka organickΘ hmoty zvanß Pepφk, jindy se spokojφme se zjiÜt∞nφm, ₧e za dve°mi je poÜ¥ßk, ani₧ by nßs zajφmalo, jak se jmenuje. V principu jde o rozdφl mezi absolutnφ a relativnφ identifikacφ.

Velmi d∙le₧itou informacφ, se kterou bezpeΦnostnφ mechanismus pracuje p°i rozhodovßnφ o poskytnutφ, Φi neposkytnutφ po₧adovanΘ slu₧by, je identifikace ₧adatele. A prßv∞ otßzce -- jak bezpeΦnostnφ systΘm poznß, s k²m mß tu Φest -- se budeme v∞novat v tomto Φlßnku.

V dalÜφm textu budeme toho, kdo prokazuje svoji identitu, naz²vat dokazovatelem. Ov∞°ovatel je potom ten, komu dokazovatel svoji identitu prokazuje. Ov∞°ovatel provßdφ zkoumßnφ, zda udanß identita odpovφdß skuteΦnosti -- provßdφ autentizaci.

Nenφ oko jako oko

V naÜem "domovnφm" p°φklad∞ si bezpeΦnostnφ mechanismus s problΘmem identifikace poradil vcelku jednoduÜe. Prost∞ se podφval kdo zvonφ, a poznal svΘho p°φtele. PoΦφtaΦe ovÜem ani zdaleka nejsou vybaveny tak dokonal²mi smysly, jako je lidskΘ oko a u₧ v∙bec nedisponujφ kapacitou, kterß by byla by¥ jen vzdßlen∞ srovnatelnß se schopnostφ mozku zpracovßvat zrakovΘ vjemy. Navφc budeme chtφt, aby mechanismus identifikace, tedy rozpoznßnφ protistrany, byl co nejjednoduÜÜφ. Lze toti₧ oΦekßvat, ₧e Φφm jednoduÜÜφ je pou₧φvan² mechanismus identifikace, tφm bude mΘn∞ nßkladn². A o penφze jde a₧ v prvnφ °ad∞.

Nezb²vß nßm tedy, ne₧ pou₧φt metody, kterΘ jsou dostupnΘ omezen²m mo₧nostem poΦφtaΦ∙. Navφc, pokud jde o identifikaci lidφ, nebo chcete-li u₧ivatel∙, musφme volit postupy, kterΘ jsou tito lidΘ schopni zvlßdnout a kterΘ pro n∞ jsou p°ijatelnΘ z etickΘho hlediska. Posledn∞ zmφn∞nΘ problΘmy samoz°ejm∞ odpadajφ, pokud dokazovatel je tΘ₧ poΦφtaΦ.

V zßsad∞ mßme n∞kolik mo₧nostφ, jak identifikovat, nebo aspo≥ autentizovat dan² subjekt:

Prvnφ z t∞chto mo₧nostφ je, ₧e subjekt mß jakousi v²luΦnou znalost Φi dovednost. V takovΘm p°φpad∞ musφme ov∞°it, zda dokazovatel mß znalosti odpovφdajφcφ tomu, za koho se vydßvß. Typick²mi znalostmi, kterΘ se ov∞°ujφ, je znalost p°φsluÜnΘho pinu, hesla, vstupnφ frßze Φi specifickΘho algoritmu.

Druhou mo₧nostφ, jak identifikovat subjekt, je ov∞°it, zda vlastnφ n∞jak² specifick² p°edm∞t. Tyto p°edm∞ty -- budeme jim °φkat tokeny -- mohou mφt nejr∙zn∞jÜφ podobu. Navzdory odpudivΘmu nßzvu si je nenφ t°eba p°edstavovat n∞jak dramaticky. V urΦitΘm slova smyslu mßte jist∞ n∞kolik token∙ ve sv²ch kapsßch. T°eba klφΦe od svΘho bytu, nebo libovolnou bankovku. Obojφ by m∞lo b²t nereplikovatelnΘ, lepÜφ tokeny jsou navφc jedineΦnΘ. NejΦast∞ji vÜak vypadajφ jako n∞jakΘ karty Φi p°φv∞sky. Problematice token∙ bude v∞novßno celΘ jedno pokraΦovßnφ tohoto serißlu.

Poslednφ mo₧nostφ je pokusit se zkoumat n∞kterΘ charakteristickΘ rysy samotnΘho subjektu. Tato metoda p°ipadß v ·vahu zejmΘna tehdy, pokud identifikovan² subjekt je Φlov∞k. Potom vychßzφme z p°edpokladu, ₧e ka₧d² lidsk² jedinec je trochu jin², ne₧ vÜichni ostatnφ. Od ostatnφch se jej sna₧φme odliÜit srovnßvßnφm snadno popsateln²ch Φßstφ jeho t∞la Φi odliÜnostφ v chovßnφ. Souhrnn∞ naz²vßme tyto charakteristiky biometrikami. Pat°φ sem nap°φklad otisky prst∙, zvuk hlasu, obraz sφtnice, ale t°eba i podpis.

Hesla, piny, vstupnφ frßze

Hesla jsou nejstarÜφm a nejΦast∞ji pou₧φvan²m prost°edkem k identifikaci protistrany. Äe je heslo tvo°eno zpravidla nep°φliÜ dlouh²m °et∞zcem znak∙, vφ pravd∞podobn∞ ka₧d². Mechanismus autentizace pomocφ hesla je v principu jednoduch². P°i po₧adavku o p°φstup se ov∞°ovatel dokazovatele zeptß na jeho identifikaci a nßsledn∞ jej po₧ßdß, aby svΘ tvrzenφ dolo₧il p°edlo₧enφm p°φsluÜnΘho hesla. Pokud p°edlo₧enΘ heslo odpovφdß sd∞lenΘ identifikaci, ov∞°ovatel tuto autentizaci uznß jako ·sp∞Ünou.

Jednoduch² princip vÜak nenφ ·pln∞ jednoduchΘ uvΘst v ₧ivot. Tak p°edevÜφm, lidΘ se m²lφ. Jednou si u₧ivatel splete stroj, ke kterΘmu se p°ihlaÜuje, podruhΘ se netrefφ na klßvesnici do toho sprßvnΘho pφsmenka. Je tedy nutnΘ, aby dokazovatel m∞l vφce pokus∙. Zßrove≥ je pot°eba Φelit ·toΦnφkovi, kter² zjiÜ¥uje cizφ heslo tak, ₧e zkouÜφ vÜechna mo₧nß hesla. Dobrou obranou je omezit poΦet pokus∙ o zadßnφ hesla. Po p°ekroΦenφ tohoto poΦtu ov∞°ovatel p°estane na jistou dobu, nebo ji₧ napo°ßd, reagovat na dalÜφ ₧ßdosti o autentizaci ov∞°ovatele. Jinß metoda spoΦφvß v tom, ₧e s rostoucφm poΦtem ne·sp∞Ün²ch pokus∙ o zadßnφ hesla se zpomaluje odezva ov∞°ovatele. ┌toΦnφk tak nem∙₧e v dostupnΘm Φase vyzkouÜet p°φliÜ mnoho r∙zn²ch hesel. V ka₧dΘm p°φpad∞ je dobrΘ, kdy₧ systΘm upozornφ (nap°φklad sprßvce), ₧e doÜlo k v∞tÜφmu mno₧stvφ ne·sp∞Ün²ch pokus∙ o zadßnφ hesla.

K bezpeΦnosti svΘho hesla m∙₧e p°isp∞t znaΦnou m∞rou i sßm ov∞°ovatel.

Jak vypadß dobrΘ heslo? P°edevÜφm nenφ p°φliÜ krßtkΘ. DobrΘ heslo je dlouhΘ alespo≥ p∞t, lΘpe vÜak Üest znak∙. Samoz°ejm∞ Φφm delÜφ, tφm lepÜφ. M∞lo by obsahovat velkß i malß pφsmena, Φφslice, a n∞jak² ten znßΦek z hornφ °ady klßvesnice. Jako heslo by nem∞lo b²t pou₧φvßno n∞jakΘ ΦastΘ slovo, frßze, nebo dokonce jmΘno. Obsah hesla by nem∞l b²t odvoditeln² ze znalosti jeho dr₧itele -- ₧ßdnß rodnß Φφsla, Φφsla pojistek, jmΘna d∞tφ, man₧elky Φi milenky apod. VÜechna tato pravidla sm∞°ujφ k co nejv∞tÜφmu zv∞tÜenφ mno₧stvφ potencißlnφch hesel, kterß by ·toΦnφk musel vyzkouÜet. Dßle, pokud se u₧ivatel p°ihlaÜuje pod n∞kolika r∙zn²mi u₧ivatelsk²mi jmΘny, nebo k vφce stroj∙m, nem∞l by pou₧φvat vÜude stejnΘ heslo. V neposlednφ °ad∞ je nutnΘ hesla pravideln∞ m∞nit.

PIN je zkratka pochßzejφcφ z anglickΘho Personal Identification Number, tedy cosi ve smyslu osobnφ identifikaΦnφ Φφslo. Jak u₧ nßzev napovφdß, sklßdß se pouze z Φφslic. Mφvß standardnφ dΘlku (nejΦast∞ji Φty°i Φφslice). B²vß pou₧φvßno jako dodateΦn² identifikaΦnφ prost°edek spoleΦn∞ s bezpeΦnostnφm tokenem (viz dßle), nap°. s kreditnφ kartou, s klφΦkartou apod. V podstat∞ slou₧φ jako ochrana proti neoprßvn∞nΘmu pou₧itφ tokenu, ke kterΘmu pat°φ, t°eba v p°φpad∞ ztrßty, nebo odcizenφ. Samoz°ejm∞ je mo₧no PIN pou₧φt samostatn∞ jako jednoduchΘ heslo, nebo k aktivaci dalÜφho bezpeΦnostnφho mechanismu. P°φkladem takovΘho pou₧itφ jsou mobilnφ telefony.

Vstupnφ frßze (Passphrase) je naopak v podstat∞ tuze dlouhΘ heslo. M∙₧e to b²t ·ryvek z oblφbenΘ knihy, citßt, nebo n∞jakß °φkanka. V²hodou je, ₧e se Φlov∞ku dob°e pamatuje. Zßrove≥ p°i svΘ dΘlce poskytuje dostatek bezpeΦnosti proti uhßdnutφ. DalÜφ v²hoda spoΦφvß v tom, ₧e ov∞°ovatel m∙₧e p°i autentizaci po₧adovat jen nßhodn∞ zvolenou Φßst passphrase, kup°φkladu pßtΘ a₧ desßtΘ slovo. To zt∞₧uje odposlouchßvßnφ Φi odezφrßnφ.

Kdy₧ hesla nestaΦφ

Mß-li prob∞hnout autentizace pomocφ hesla, musφ dokazovatel poskytnout ov∞°ovateli svΘ heslo, aby tento mohl zjistit, s k²m mß tu Φest. To ovÜem znamenß, ₧e ov∞°ovatel se kdykoliv m∙₧e tvß°it jako₧to dokazovatel. To nemusφ b²t za vÜech okolnostφ p°ijatelnΘ. Nap°. to s sebou p°inßÜφ riziko, ₧e pokud se ·toΦnφkovi poda°φ tvß°it se jako ov∞°ovatel, vyzradφte mu svΘ heslo. Zde je prostor pro pou₧itφ tzv. d∙kaz∙ s nulov²m rozÜφ°enφm informacφ. Jde o to, ₧e ov∞°ovateli musφte dokßzat znalost n∞jakΘ (tajnΘ) informace tak, aby nezφskal ₧ßdnou p°edstavu o tom, jak ona informace vypadß. Dßle po₧adujeme, aby ov∞°ovatel nem∞l mo₧nost "nauΦit se" tvß°it jako dokazovatel na zßklad∞ odpov∞dφ, kterΘ od dokazovatele dostane.

Princip d∙kaz∙ s nulov²m rozÜφ°enφm informacφ ukazuje obrßzek.

Do bludiÜt∞ nejprve vpustφme dokazovatele. Ten si nßhodn∞ zvolφ sm∞r a dojde a₧ ke dve°φm. Ov∞°ovatel potΘ dojde a₧ na rozcestφ a do tmy zak°iΦφ, ze kterΘ strany mß dokazovatel p°ijφt. Dokazovatel p°edem nevφ, jakou stranu si ov∞°ovatel vybere, nevφ tedy, na kterΘ stran∞ dve°φ je lepÜφ stßt. Pokud se dokazovatel z urΦenΘho sm∞ru p°iblφ₧it nedokß₧e, je jasnΘ, ₧e tajnΘ za°φkßnφ k otev°enφ dve°φ neznß. Pokud p°ijde, vφme s pravd∞podobnostφ 50 %, ₧e za°φkßnφ znß. Opakovßnφm postupu m∙₧eme docφlit libovolnΘho stupn∞ jistoty.

Biometriky v krychli

Jßdrem vÜech biometrick²ch m∞°enφ jsou rafinovanΘ algoritmy, kterΘ p°evedou nam∞°enß data na nep°φliÜ velk² vzorek, Φφtajφcφ °ßdov∞ desφtky a₧ stovky bajt∙. Tento vzorek je nßsledn∞ porovnßn s ulo₧enou p°edlohou. Pokud jsou si dostateΦn∞ podobnΘ, ov∞°ovatel usoudφ, ₧e dokazovatele poznal jako osobu XY.

Co se m∞°φ? Tak t°eba zvuk hlasu zkoumanΘ osoby zßle₧φ na individußlnφm anatomickΘm uspo°ßdßnφ hlasovΘho aparßtu. SystΘm zkoumß rozlo₧enφ zßznamu hlasu na harmonickΘ frekvence.

Pou₧ijeme-li otisky prst∙, hledßme poΦet a rozlo₧enφ markant papilßrnφch liniφ (smyΦky, hrbolky na liniφch). Namφsto otisk∙ prst∙ m∙₧eme pou₧φt otisky dlan∞ nebo celΘ ruky, p°φpadn∞ kombinovanΘ s m∞°enφm celkovΘ geometrie konΦetiny. Za krßlovnu biometrik lze pova₧ovat rozpoznßvßnφ obrazu sφtnice. V tomto p°φpad∞ zkoumßme rozlo₧enφ cΘvek v sφtnici v okolφ mφsta, kde do oka vstupuje zrakov² nerv.

Pokud jste doΦetli a₧ sem, gratuluji. Zφskali jste p°ibli₧nou p°edstavu, jak vypadß vstupnφ brßna do ka₧dΘho bezpeΦnostnφho systΘmu. RaΦte vstoupit.

Serißl je rovn∞₧ dostupn² na www.idg.cz/computerworld/bvsk/

Identifikace a °φzenφ p°φstupu -- aneb n∞kdo je za dve°mi

| COMPUTERWORLD - serißl o bezpeΦnosti | COMPUTERWORLD | IDG CZ homepage |