Come configurare smartphone e PC. Portale informativo

Sistema di identificazione unificato. Cos'è l'esia? Cos'è

15.04.2019 Televisori (Smart TV)

V.Shramko

PCWeek / RE n. 45, 2004

Prevenire i danni associati alla perdita di informazioni riservate archiviate sui computer è uno dei compiti più importanti per qualsiasi azienda. È noto che il personale dell'impresa è spesso il principale responsabile di queste perdite. Secondo uno studio del Computer Security Institute, gli errori involontari dei dipendenti rappresentano il 55% di questo danno e le azioni di colleghi disonesti e risentiti - rispettivamente il 10% e il 9%. Il resto delle perdite è associato a problemi di protezione fisica (calamità naturali, alimentazione) - 20%, virus - 4% e attacchi esterni- 2%.

Il modo principale per proteggere le informazioni dagli intrusi è l'introduzione dei cosiddetti strumenti AAA, o 3A (autenticazione, autorizzazione, amministrazione). Tra i fondi AAA luogo significativo occupare sistemi di identificazione e autenticazione hardware e software (SIA) e dispositivi per l'immissione di segni di identificazione (il termine corrisponde a GOST R 51241-98), progettati per proteggere dall'accesso non autorizzato (NSD) ai computer.

Quando si utilizza SIA, un dipendente ottiene l'accesso a un computer oa una rete aziendale solo dopo aver superato con successo la procedura di identificazione e autenticazione. L'identificazione consiste nel riconoscere un utente da una caratteristica di identificazione inerente o assegnata. La verifica dell'appartenenza all'utente del segno di identificazione presentatogli viene effettuata durante il processo di autenticazione.

La SIA hardware e software include identificatori, dispositivi di input-output (lettori, dispositivi di contatto, adattatori, schede di avvio affidabili, connettori scheda madre e altri) e il software corrispondente. Gli identificatori sono progettati per memorizzare identificatori univoci. Inoltre, possono archiviare ed elaborare una varietà di dati sensibili. I dispositivi di input-output e il software trasferiscono i dati tra l'identificatore e il computer protetto.

Sul mercato mondiale informazioni di sicurezza il segmento AAA è in costante crescita. Questa tendenza è evidenziata nelle revisioni analitiche e nelle previsioni di Infonetics Research, IDC, Gartner e altre società di consulenza.

Questo articolo si concentrerà sui sistemi combinati di identificazione e autenticazione. Questa scelta è dovuta al fatto che attualmente i sistemi di questa classe forniscono la protezione più efficace dei computer da manomissioni.

Classificazione dei sistemi di identificazione e autenticazione

I moderni SIA, in base al tipo di segni di identificazione utilizzati, sono suddivisi in elettronici, biometrici e combinati (vedi Fig. 1).

Figura 1 - Classificazione SIA per tipologia di cartelli identificativi

Nei sistemi elettronici, i segni di identificazione sono rappresentati nella forma codice digitale memorizzato nella memoria dell'identificatore. Tali SIA sono sviluppate sulla base dei seguenti identificatori:

  • smart card a contatto;
  • carte intelligenti senza contatto;
  • Chiavi USB (note anche come token USB);
  • Identificatori iButton.

V sistemi biometrici ah, le caratteristiche identificative sono caratteristiche individuali di una persona, chiamate caratteristiche biometriche. L'identificazione e l'autenticazione di questo tipo si basano sulla procedura di lettura della caratteristica biometrica presentata dell'utente e di confronto con un modello precedentemente ottenuto. A seconda del tipo di caratteristiche utilizzate, i sistemi biometrici si dividono in statici e dinamici.

La biometria statica (detta anche fisiologica) si basa sui dati ottenuti dalle misurazioni delle caratteristiche anatomiche di una persona (impronte digitali, forma della mano, modello dell'iride, diagramma dei vasi sanguigni facciali, modello retinico, caratteristiche del viso, frammenti del codice genetico, ecc.).

La biometria dinamica (chiamata anche biometria comportamentale) si basa sull'analisi delle azioni umane (parametri vocali, dinamica e forma della firma).

Nonostante la moltitudine di caratteristiche biometriche, gli sviluppatori SIA si concentrano sulle tecnologie di riconoscimento di impronta digitale, tratti del viso, geometria della mano e dell'iride. Quindi, ad esempio, secondo il rapporto dell'International Biometric Group, nel mercato mondiale della sicurezza biometrica nel 2004 la quota dei sistemi di riconoscimento delle impronte digitali era del 48%, i tratti del viso - 12%, la geometria della mano - 11%, l'iride - 9%, parametri vocali - 6%, firme - 2%. La quota restante (12%) è relativa al middleware.

Nei sistemi combinati, per l'identificazione vengono utilizzati contemporaneamente più segni di identificazione. Tale integrazione consente all'attaccante di erigere ulteriori barriere che non può superare e, se può, con difficoltà significative. Lo sviluppo di sistemi combinati si svolge in due direzioni:

  • integrazione di identificatori all'interno di un sistema di una classe;
  • integrazione di sistemi di classi diverse.

Nel primo caso vengono utilizzati sistemi basati su smart card contactless e chiavi USB, nonché smart card ibride (contact e contactless) per proteggere i computer da manomissioni. Nel secondo caso, gli sviluppatori "incrociano" abilmente le SIA biometriche ed elettroniche (di seguito nell'articolo un tale conglomerato è chiamato sistema di identificazione e autenticazione bioelettronica).

Caratteristiche dei sistemi di identificazione e autenticazione elettronica

Le SIA elettroniche e un'analisi delle loro caratteristiche chiave, che consentono di fare una scelta a favore di uno o un altro prodotto, possono essere trovate nella mia recensione "Protezione del computer: sistemi di identificazione e autenticazione elettronica" (vedi PC Week / RE, n. 12 /2004, pag.18). Fornirò solo le caratteristiche principali della SIA elettronica, la cui conoscenza aiuta a comprendere la struttura e il principio di funzionamento dei sistemi combinati.

Il SIA combinato può includere smart card contactless e contactless e chiavi USB. L'elemento principale di questi dispositivi è uno o più built-in circuiti integrati(chip), che possono essere chip di memoria, chip con logica rigida e microprocessori (processori). Attualmente, gli identificatori con un processore hanno la massima funzionalità e grado di sicurezza.

Il chip della smart card a contatto del microprocessore si basa su un processore centrale, un processore crittografico specializzato (opzionale), una memoria ad accesso casuale (RAM), una memoria di sola lettura (ROM), una memoria di sola lettura programmabile non volatile (PROM), un sensore numeri casuali, timer, porta di comunicazione seriale.

La memoria ad accesso casuale viene utilizzata per l'archiviazione temporanea di dati, ad esempio i risultati dei calcoli eseguiti dal processore. La sua capacità è di diversi kilobyte.

La memoria permanente memorizza le istruzioni eseguite dal processore e altri dati non volatili. Le informazioni nella ROM vengono registrate quando viene prodotta la scheda. La capacità di memoria può essere di decine di kilobyte.

Esistono due tipi di PROM utilizzati nelle smart card a contatto: EPROM programmabili una tantum e le EEPROM riprogrammabili più comunemente presenti. La PROM viene utilizzata per memorizzare dati dell'utente che possono essere letti, scritti e modificati e dati riservati (ad esempio chiavi crittografiche) che non sono accessibili a programmi applicativi... La capacità della PROM è di decine e centinaia di kilobyte.

L'unità centrale di elaborazione di una smart card (solitamente un processore RISC) prevede l'implementazione di varie procedure di elaborazione dei dati, il controllo dell'accesso alla memoria e il controllo dell'esecuzione del processo computazionale.

Un elaboratore specializzato è responsabile dell'attuazione delle varie procedure necessarie per aumentare la sicurezza della SIA:

  • generazione di chiavi crittografiche;
  • implementazione di algoritmi crittografici (GOST 28147-89, DES, 3DES, RSA, SHA-1, ecc.);
  • eseguire operazioni con firma digitale elettronica (generazione e verifica);
  • eseguire operazioni con un codice PIN, ecc.

Le smart card contactless sono suddivise in identificatori di prossimità e smart card in base agli standard internazionali ISO/IEC 15693 e ISO/IEC 14443. La maggior parte delle SIA basate su smart card contactless si basa sulla tecnologia di identificazione a radiofrequenza. Strutturalmente, gli identificatori a radiofrequenza (vedi Tabella 1) sono fabbricati sotto forma di schede di plastica, portachiavi, gettoni, dischi, tag, ecc.

Tabella 1 - Identificatori di radiofrequenza

I componenti principali delle smart card contactless sono il chip e l'antenna. Potrebbe esserci anche una batteria al litio all'interno degli identificatori. Gli identificatori con una batteria sono chiamati attivi, senza batteria - passivi. Ciascun identificatore ha un numero di serie univoco a 32/64 bit.

Gli identificatori di prossimità funzionano a 125 kHz. Il chip include un microcircuito di memoria (o un microcircuito a logica rigida) con unità ausiliarie: modulo di programmazione, modulatore, unità di controllo, ecc. La capacità di memoria varia da 8 a 256 byte. Proximity utilizza principalmente EPROM di sola lettura programmabili una tantum, ma esiste anche una EEPROM riscrivibile. La memoria contiene un numero identificativo univoco, codice dispositivo e informazioni di servizio (bit di parità, bit di inizio e fine trasmissione del codice, ecc.).

In genere gli ID di prossimità sono passivi e non contengono una fonte di alimentazione chimica: una batteria al litio. In questo caso il microcircuito è alimentato da un campo elettromagnetico emesso dal lettore. Il lettore legge i dati a una velocità di 4 kbps a una distanza massima di 1 m.

I sistemi di identificazione e autenticazione basati sulla prossimità non sono crittograficamente sicuri (ad eccezione dei sistemi personalizzati).

Le smart card contactless funzionano a 13,56 MHz e sono divise in due classi basate sugli standard internazionali ISO/IEC 15693 e ISO/IEC 14443.

Lo standard ISO/IEC 14443 comprende le versioni A e B, che si differenziano per il modo in cui viene modulato il segnale radio trasmesso. Lo standard supporta lo scambio (lettura-scrittura) dei dati a una velocità di 106 kbps (la velocità può essere aumentata a 212, 424 o 848 kbps), la distanza di lettura è fino a 10 cm.

Per implementare funzioni di crittografia e autenticazione negli identificatori dello standard ISO/IEC 14443 si possono utilizzare tre tipi di chip: un microcircuito con logica MIFARE rigida, un processore o un processore crittografico. La tecnologia MIFARE è uno sviluppo di Philips Electronics ed è un'estensione di ISO/IEC 14443 (revisione A).

Lo standard ISO / IEC 15693 estende la portata dell'identificatore senza contatto a 1 m. A questa distanza, lo scambio di dati viene effettuato a una velocità di 26,6 kbps.

Le chiavi USB (vedi Tabella 2) sono progettate per funzionare con una porta USB su un computer. Sono fabbricati strutturalmente sotto forma di portachiavi, che sono prodotti in custodie colorate, hanno indicatori luminosi funziona e si posiziona facilmente su un mazzo di chiavi. Ogni identificatore ha un numero di serie univoco a 32/64 bit flashato in fabbrica.

Tabella 2 - Caratteristiche delle chiavi USB

Le seguenti chiavi USB sono le più popolari sul mercato russo:

  • iKey 10xx, iKey 20xx, iKey serie 3000 - sviluppato da Rainbow Technologies;
  • eToken R2, eToken Pro di Aladdin Knowledge Systems;
  • ePass1000, ePass2000 di Feitian Technologies;
  • ruToken è uno sviluppo congiunto della società Aktiv e della società ANKAD.

I dongle USB sono i successori delle smart card a contatto. Pertanto, le strutture delle chiavi USB e delle smart card, così come i volumi di dispositivi di archiviazione simili, sono praticamente identiche. Le chiavi USB possono includere:

  • responsabile - controllo ed elaborazione dati;
  • processore crittografico - implementazione di algoritmi GOST 28147-89, DES, 3DES, RSA, DSA, MD5, SHA-1 e altre trasformazioni crittografiche;
  • Controller USB: fornisce un'interfaccia con una porta USB del computer;
  • RAM - memorizzazione di dati variabili;
  • EEPROM - archiviazione di chiavi di crittografia, password, certificati e altri dati importanti;
  • ROM - memorizzazione di comandi e costanti.

Sistemi combinati

L'introduzione di SIA combinata (vedi Tabella 3) nel sistema di sicurezza delle informazioni aziendale aumenta il numero delle caratteristiche di identificazione, consentendo così di proteggere più efficacemente i computer e la rete aziendale da attacchi non autorizzati. Inoltre, alcuni tipi di sistemi sono in grado di controllare accesso fisico in edifici e locali e controllarlo.

Tabella 3 - Le principali funzioni del combinato SIA

Oggi sul mercato sicurezza del computer regalo sistemi combinati identificazione e autenticazione delle seguenti tipologie:

  • sistemi basati su smart card contactless e chiavi USB;
  • sistemi basati su smart card ibride;
  • sistemi bioelettronici.

Smart card senza contatto e dongle USB

L'integrazione hardware di dongle USB e smart card senza contatto implica che un'antenna e un microcircuito che supportano un'interfaccia senza contatto siano integrati nel corpo del portachiavi. Ciò consente di utilizzare un identificatore per organizzare il controllo degli accessi sia al computer che ai locali dell'ufficio. Per entrare in ufficio, il dipendente utilizza il suo identificatore come una carta contactless e, quando accede ai dati protetti del computer, come chiave USB. Inoltre, quando esce dalla stanza, estrae l'identificatore dal connettore USB (in modo che possa rientrare in seguito) e quindi blocca automaticamente il funzionamento del computer.

Nel 2004, sul mercato russo sono comparsi due identificatori combinati di questo tipo:

  • RFiKey - sviluppato da Rainbow Technologies;
  • eToken PRO RM - sviluppato da Aladdin Software Security R.D. ...

La RFiKey (Figura 2) è una iKey USB con un chip di prossimità integrato sviluppato da HID Corporation.

Figura 2 - Identificatore RFiKey

Il prodotto RFiKey supporta Interfaccia USB 1.1 / 2.0 e funziona con lettori HID Corporation (PR5355, PK5355, PR5365, MX5375, PP6005) e compagnia russa Parsec (APR-03Hx, APR-05Hx, APR-06Hx, APR-08Hx, H-Reader).

Le caratteristiche principali di RFiKey includono i seguenti indicatori:

  • frequenza operativa del microcircuito di prossimità - 125 kHz;
  • velocità di clock del processore - 12 MHz;
  • algoritmi crittografici implementati - MD5, RSA-1024, DES, 3DES, RC2, RC4, RC5;
  • standard supportati - PKCS # 11, MS Crypto API, PC / SC;
  • file system con tre livelli di accesso ai dati;
  • Sistemi operativi supportati: Windows 95/98/ME/NT4 (SP3)/2000/XP/2003.

L'identificatore eToken RM è un dongle USB eToken Pro con un chip integrato che supporta un'interfaccia senza contatto (Fig. 3). Il cliente può scegliere il fornitore e il tipo di microcircuito in base alle sue esigenze. Attualmente, l'azienda offre chip radio prodotti da HID Corporation, EM Microelectronic-Marin, Philips Electronics (tecnologia MIFARE), Cotag International e JSC Angstrem.

Figura 3 - Identificatore eToken RM

Ad esempio, l'identificatore passivo a radiofrequenza BIM-002 della società nazionale "Angstrem" è realizzato sotto forma di un segno rotondo. È costruito sulla base del microcircuito KB5004XK1, che si basa sulla memoria EPROM a 64 bit e su un'unità di programmazione utilizzata per scrivere un codice di identificazione univoco.

Le caratteristiche principali di eToken RM con identificatore BIM-002 integrato includono i seguenti indicatori:

  • frequenza di funzionamento BIM-002 - 13,56 MHz;
  • campo di lettura del codice identificativo - fino a 30 mm;
  • velocità di clock del processore - 6 MHz;
  • algoritmi crittografici implementati - RSA-1024, DES, 3DES, SHA-1;
  • la presenza di un generatore di numeri casuali hardware;
  • standard supportati - PKCS # 11, PKCS # 15 (CRYPTOKI), MS Crypto API, PC / SC, X.509 v3, SSL v3, S / MIME, IPSec / IKE, GINA, RAS / Radius / PAP / CHAP / PAP;
  • Sistemi operativi supportati: Windows 98/ME/NT/2000/XP/2003, ASP Linux 7.2, Red Hat Linux 8.0, SuSe Linux 8.2.

Nel mercato domestico, i prezzi stimati per gli identificatori combinati sono: RFiKey 1032 - da $ 41, RFiKey 2032 e RFiKey 3000 - da $ 57, eToken RM con 32 KB di memoria protetta e BIM-002 - da $ 52.

La differenza tra il costo della combo e dei normali dongle USB è approssimativamente uguale al prezzo di una smart card di prossimità. Ne consegue che l'integrazione di smart card contactless e chiavi USB non comporta quasi alcun aumento dei costi hardware quando si passa a un sistema combinato di identificazione e autenticazione. Il vantaggio è ovvio: un identificatore invece di due.

Smart Card ibride

Le smart card ibride contengono chip diversi non collegati tra loro (Figura 4). Un chip supporta l'interfaccia di contatto, altri (Proximity, ISO 14443/15693) senza contatto. Come nel caso dell'integrazione di chiavi USB e smart card contactless, i SIA basati su smart card ibride risolvono un duplice problema: la protezione da manomissioni dei computer e dei locali dell'azienda in cui sono custoditi. Inoltre, sulla smart card viene posizionata una foto del dipendente, che gli consente di essere identificato visivamente.

Figura 4 - Struttura di una smart card ibrida

Il desiderio di integrare tecnologie contactless a radiofrequenza e smart card a contatto si riflette nello sviluppo di molte aziende: HID Corporation, Axalto, GemPlus, Indala, Aladdin Knowledge Systems, ecc.

Ad esempio, HID Corporation, uno dei principali sviluppatori di SIA basati su identificatori senza contatto, ha rilasciato identificatori di carte che combinano varie tecnologie lettura dei cartelli identificativi. Il risultato di questi sviluppi è stata la creazione di smart card ibride:

  • Smart ISOProx II - integrazione di un chip di prossimità e un chip con interfaccia di contatto (opzionale);
  • iCLASS - Integrazione di chip ISO/IEC 15693 e chip di interfaccia pin (opzionale);
  • iCLASS Prox - Integrazione di chip di prossimità, chip ISO / IEC 15693 e chip di interfaccia di contatto (opzionale).

Nel mercato interno, i prezzi per questi prodotti sono: iCLASS - da $ 5.1; Smart ISOProx II - da $ 5,7; iCLASS Prox - da $ 8,9.

In Russia, Aladdin Software Security R.D. è stata sviluppata una tecnologia per la produzione di smart card ibride eToken Pro/SC RM. In essi, i microcircuiti con un'interfaccia di contatto eToken Pro sono incorporati nelle smart card senza contatto. L'azienda offre smart card diversi produttori: JSC Angstrem (BIM-002), HID Corporation (ISOProx II), Cotag International (Bewator Cotag 958), Philips Electronics (tecnologia MIFARE) e altri. La scelta dell'opzione di combinazione è determinata dal cliente.

L'analisi dei costi finanziari del passaggio alle smart card ibride, come nel caso della combinazione di smart card contactless e chiavi USB, conferma ancora una volta il trionfo del principio “due in uno”. Se metti una foto di un dipendente sull'identificatore, questo principio si trasforma in "tre in uno".

Sistemi bioelettronici

Per proteggere i computer da manomissioni, i sistemi biometrici sono solitamente combinati con due classi di SIA elettronici: basati su smart card a contatto e basati su chiavi USB.

Integrazione con sistemi elettronici basato su smart card contactless, viene utilizzato principalmente nei sistemi di controllo degli accessi alle sale fisiche.

Come già notato, le tecnologie di identificazione delle impronte digitali sono oggi leader nel mercato della sicurezza biometrica. Un posto così onorevole per il rilevamento delle impronte digitali è dovuto alle seguenti circostanze:

  • è il metodo di riconoscimento più antico e studiato;
  • la sua caratteristica biometrica è stabile: la superficie della pelle del dito non cambia nel tempo;
  • alti valori degli indicatori di accuratezza del riconoscimento (secondo le dichiarazioni degli sviluppatori di strumenti di sicurezza delle impronte digitali, la probabilità di un falso rifiuto di accesso è 10-2 e la probabilità di un falso accesso è 10-9);
  • semplicità e comodità della procedura di scansione;
  • ergonomia e dimensioni ridotte del dispositivo di scansione;
  • più prezzo basso tra i sistemi di identificazione biometrica.

Di conseguenza, gli scanner di impronte digitali sono diventati i più utilizzati parte di SIA combinato, utilizzato per proteggere i computer da manomissioni. Al secondo posto in termini di prevalenza nel mercato della sicurezza informatica ci sono le SIA basate su smart card a contatto.

Esempi di questo tipo di integrazione sono Precise 100 MC (Fig. 5) e AET60 BioCARDKey (Fig. 6) rispettivamente di Precise Biometrics AB e Advanced Card Systems. Per accedere alle risorse informative di un computer utilizzando questi strumenti, l'utente deve inserire una smart card nel lettore e mettere il dito sullo scanner. I modelli di impronte digitali vengono archiviati crittografati nella memoria sicura della smart card. Se l'immagine dell'impronta digitale corrisponde al modello, l'accesso al computer è consentito. L'utente è molto soddisfatto: non c'è bisogno di ricordare una password o un codice PIN, la procedura per accedere al sistema è notevolmente semplificata.

Figura 5 - Prodotto Preciso 100 MC

Figura 6 - Prodotto AET60 BioCARDKey

Precise 100 MC e AET60 BioCARDKey sono dispositivi USB che funzionano in Ambiente Windows... I lettori di smart card supportano tutti i tipi di schede a microprocessore conformi allo standard ISO 7816-3 (protocolli T = 0, T = 1). I lettori di impronte digitali sono scanner tipo capacitivo con velocità di scansione di 4 e 14 impronte al secondo rispettivamente per Precise 100 MC e AET60 BioCARDKey.

Per ridurre il numero periferiche, è possibile integrare uno scanner di impronte digitali e un lettore di smart card nella tastiera USB del computer protetto. Esempi di tali dispositivi sono il KBPC-CID (Fig. 7) dell'alleanza Fujitsu Siemens Computers, la tastiera Precise 100 SC (Fig. 8) e la tastiera Precise 100 MC di Precise Biometrics AB.

Figura 7 - Prodotto KBPC-CID

Figura 8 - Tastiera Product Precise 100 SC

Per accedere alle risorse informative del computer, come in versione precedente, l'utente deve inserire la smart card nel lettore e appoggiare il dito sullo scanner. Sembra una decisione interessante e promettente degli sviluppatori di sistemi di sicurezza combinati combinare un dongle USB con un sistema di identificazione delle impronte digitali (di seguito chiameremo tale dispositivo una chiavetta USB). Un esempio di questa soluzione è la biochiave FingerQuick USB (Fig. 9) della società giapponese NTT Electronics e la ClearedKey (Fig. 10) della società americana Priva Technologies.

Figura 9 - Chiavetta USB FingerQuick

Figura 10 - USB Biokey ClearedKey

Nel prossimo futuro, le chiavi bio USB potrebbero diffondersi grazie ai loro vantaggi:

  • elevato livello di sicurezza (presenza di uno scanner di impronte digitali, archiviazione di dati segreti, in particolare modelli di impronte digitali, in una memoria non volatile protetta dell'identificatore, crittografia dello scambio di dati con un computer);
  • implementazione hardware di trasformazioni crittografiche;
  • mancanza di un lettore hardware;
  • unicità della caratteristica, dimensioni ridotte e facilità di memorizzazione degli identificatori.

Il principale svantaggio delle chiavi bio USB è il loro prezzo elevato. Ad esempio, FingerQuick ha un costo approssimativo di $ 190.

Conclusione

A prima vista, i sistemi combinati di identificazione e autenticazione rappresentano una sorta di prodotti costosi ed esotici. Ma l'esperienza mondiale nello sviluppo di sistemi di sicurezza informatica mostra che tutti utilizzati in attualmente anche i dispositivi di protezione una volta erano prodotti così esotici. E ora sono la norma per una vita sicura. Pertanto, è altamente probabile che un destino simile attende i sistemi combinati.

L'identificazione e l'autenticazione sono alla base di qualsiasi sistema di sicurezza dei sistemi informativi, poiché tutti i meccanismi di sicurezza delle informazioni sono progettati per funzionare con i soggetti e gli oggetti nominati del sistema automatizzato. Ricordiamo che sia gli utenti che i processi possono agire come soggetti dell'AS, e informazioni e altro risorse informative sistemi.

L'assegnazione di un identificativo personale a soggetti e oggetti di accesso e il confronto con un determinato elenco si chiama identificazione. L'identificazione fornisce le seguenti funzioni:

Autenticazione e determinazione dell'autorità del soggetto al momento dell'ammissione al sistema,

Controllo dei poteri stabiliti nel corso di una sessione di lavoro;

Registrazione di azioni, ecc.

L'autenticazione (autenticazione) è la verifica dell'identità del soggetto di accesso dell'identificatore da lui presentato e la conferma della sua autenticità. In altre parole, l'autenticazione consiste nel verificare se il soggetto che si connette è chi afferma di essere.

La procedura generale per identificare e autenticare un utente quando accede all'AS è mostrata in Fig. 2.10. Se nel processo di autenticazione viene stabilita l'autenticità del soggetto, il sistema di sicurezza delle informazioni deve determinare i suoi poteri (insieme di diritti). Ciò è necessario per il successivo controllo e differenziazione dell'accesso alle risorse.

A seconda della componente controllata del sistema, i metodi di autenticazione possono essere suddivisi in autenticazione dei partner di comunicazione e autenticazione della sorgente dati. L'autenticazione del partner di comunicazione viene utilizzata quando si stabilisce (e si verifica periodicamente) una connessione durante una sessione. Serve a prevenire minacce come il masquerade e il replay della precedente sessione di comunicazione. L'autenticazione dell'origine dati è la verifica dell'origine di un singolo pezzo di dati.

In termini di direzione, l'autenticazione può essere unidirezionale (l'utente dimostra la sua identità al sistema, ad esempio, quando effettua il login) e bidirezionale (reciproca).

Riso. 2.10. Procedura classica di identificazione e autenticazione

In genere, i metodi di autenticazione sono classificati in base ai mezzi utilizzati. In questo caso, questi metodi sono divisi in quattro gruppi:

1. Sulla base della conoscenza di una persona che ha il diritto di accedere alle risorse del sistema, alcune informazioni segrete: una password.

2. Basato sull'uso di un oggetto unico: un token, carta elettronica e così via.

3. Basato sulla misurazione dei parametri biometrici umani - attributi fisiologici o comportamentali di un organismo vivente.

4. Sulla base delle informazioni associate all'utente, ad esempio, con le sue coordinate.

Consideriamo questi gruppi.

1. I più comuni, semplici e consueti, sono i metodi di autenticazione basati su password - gli identificatori segreti dei soggetti. Qui, quando il soggetto inserisce la sua password, il sottosistema di autenticazione la confronta con la password crittografata memorizzata nel database di riferimento. Se le password corrispondono, il sottosistema di autenticazione consente l'accesso alle risorse AS.

I metodi della password devono essere classificati in base al grado di modificabilità della password:

Metodi che utilizzano password persistenti (riutilizzabili),

Metodi che utilizzano password monouso (che cambiano dinamicamente).

La maggior parte degli oratori utilizza password riutilizzabili. In questo caso, la password dell'utente non cambia da sessione a sessione durante il tempo di validità impostato dall'amministratore di sistema. Ciò semplifica le procedure di amministrazione, ma aumenta il rischio di declassificazione della password. Ci sono molti modi per decifrare una password: dal sbirciare dietro le spalle all'intercettare una sessione di comunicazione. La probabilità che una password venga aperta da un utente malintenzionato aumenta se la password ha un significato semantico (anno di nascita, nome della ragazza), è breve, digitata in un registro, non ha restrizioni sul periodo della sua esistenza, ecc. È importante se la password può essere inserita solo in modalità interattiva o è la possibilità di accedere dal programma.

In quest'ultimo caso, è possibile eseguire un programma per indovinare le password - "frantoio".

Un modo più sicuro consiste nell'utilizzare password singole o modificabili dinamicamente.

Sono noti i seguenti metodi di protezione con password basati su password monouso:

Metodi per modificare lo schema di password semplice;

modalità di richiesta-risposta;

Metodi funzionali.

Nel primo caso, all'utente viene presentato un elenco di password. Durante l'autenticazione, il sistema richiede all'utente una password, il cui numero nell'elenco è determinato da una legge casuale. Lunghezza e numero di serie il carattere iniziale della password può anche essere impostato in modo casuale.

Quando si utilizza il metodo "challenge-response", il sistema pone all'utente alcune domande di carattere generale, le cui risposte corrette sono note solo a un utente specifico.

I metodi funzionali si basano sull'utilizzo di una speciale funzione di conversione della password. Ciò consente di prevedere la possibilità di modificare (secondo alcune formule) le password degli utenti nel tempo. La funzione specificata deve soddisfare i seguenti requisiti:

Per una data password x, è facile da calcolare Nuova password ;

Conoscendo xey, è difficile o impossibile definire una funzione.

Gli esempi più famosi di metodi funzionali sono: il metodo della trasformazione funzionale e il metodo della "stretta di mano".

L'idea alla base del metodo di trasformazione funzionale è cambio periodico la funzione stessa. Quest'ultimo è ottenuto dalla presenza di parametri che cambiano dinamicamente nell'espressione funzionale, ad esempio una funzione da una certa data e ora. All'utente viene comunicata la password iniziale, la funzione effettiva e la frequenza di modifica della password. È facile vedere che le password utente per i periodi di tempo indicati saranno le seguenti: x, f (x), f (f (x)), ..., f (x) n-1.

Il metodo della stretta di mano è il seguente. La funzione di conversione della password è nota solo all'utente e al sistema di sicurezza. Entrando nell'AS, il sottosistema di autenticazione genera una sequenza casuale x, che viene trasmessa all'utente. L'utente calcola il risultato della funzione y = f (x) e lo restituisce al sistema. Il sistema confronta il proprio risultato calcolato con quello ricevuto dall'utente. Se i risultati specificati corrispondono, l'autenticità dell'utente è considerata provata.

Il vantaggio del metodo è che qui viene ridotto al minimo il trasferimento di qualsiasi informazione che può essere utilizzata da un utente malintenzionato.

In alcuni casi, l'utente potrebbe aver bisogno di verificare l'identità di un altro utente remoto o di qualche AS a cui sta per accedere. Il metodo più adatto qui è il metodo della "stretta di mano", poiché nessuno dei partecipanti scambio di informazioni non ne riceverà informazioni confidenziali.

Si noti che anche i metodi di autenticazione basati su OTP non forniscono una sicurezza assoluta. Ad esempio, se un utente malintenzionato ha la capacità di connettersi alla rete e intercettare i pacchetti trasmessi, può inviare questi ultimi come propri.

2. Di recente si sono diffusi metodi di identificazione combinata che richiedono, oltre alla conoscenza della password, la presenza di un token, un dispositivo speciale che conferma l'autenticità del soggetto.

Le carte si dividono in due tipologie:

Passivo (schede di memoria);

Attivo (smart card).

Le più comuni sono le carte passive a banda magnetica, che vengono lette da un dispositivo speciale dotato di tastiera e processore. Quando si utilizza la carta specificata, l'utente inserisce il proprio numero di identificazione. Se corrisponde alla versione elettronica codificata nella tessera, l'utente accede al sistema. Ciò consente di identificare in modo affidabile la persona che ha ottenuto l'accesso al sistema ed escludere l'uso non autorizzato della carta da parte di un intruso (ad esempio, in caso di smarrimento). Questo metodo viene spesso definito autenticazione a due componenti.

A volte (di solito per il controllo dell'accesso fisico) le carte vengono utilizzate da sole, senza richiedere un numero di identificazione personale.

Il vantaggio dell'utilizzo delle carte è che l'elaborazione delle informazioni di autenticazione viene eseguita dal lettore, senza trasferirle nella memoria del computer. Ciò esclude la possibilità di intercettazione elettronica attraverso canali di comunicazione.

Gli svantaggi delle carte passive sono i seguenti: sono notevolmente più costose delle password, richiedono lettori speciali e il loro utilizzo implica procedure speciali per la contabilità e la distribuzione sicure. Devono anche essere protetti dagli intrusi e, naturalmente, non lasciati nei dispositivi di lettura. Sono noti casi di contraffazione di carte passive.

Oltre alla memoria, le smart card hanno il proprio microprocessore. Questo ti permette di implementare diverse opzioni metodi di protezione con password: password riutilizzabili, password che cambiano dinamicamente, metodi convenzionali di risposta al problema. Tutte le carte forniscono l'autenticazione a due componenti.

Ai vantaggi indicati delle smart card, va aggiunta la loro multifunzionalità. Possono essere utilizzati non solo per motivi di sicurezza, ma anche, ad esempio, per transazioni finanziarie. Uno svantaggio concomitante delle carte è il loro costo elevato.

Una direzione promettente nello sviluppo delle schede è dotarle dello standard per l'espansione dei sistemi PCMCIA portatili (PC Card). Queste schede sono PC Card portatili che si inseriscono nello slot per PC Card e non richiedono lettori speciali. Sono piuttosto costosi al giorno d'oggi.

3. I metodi di autenticazione basati sulla misurazione dei parametri biometrici di una persona (vedi Tabella 2.6) forniscono un'identificazione quasi al 100%, risolvendo il problema della perdita di password e identificatori personali. Tuttavia, tali metodi non possono essere utilizzati per identificare processi o dati (oggetti dati), poiché stanno appena iniziando a svilupparsi (ci sono problemi con la standardizzazione e la distribuzione) e finora richiedono attrezzature complesse e costose. Ciò porta al loro utilizzo finora solo in strutture e sistemi particolarmente importanti.

Esempi dell'implementazione di questi metodi sono i sistemi di identificazione dell'utente tramite il modello dell'iride dell'occhio, le impronte dei palmi, la forma delle orecchie, l'immagine a infrarossi dei vasi capillari, la scrittura a mano, l'olfatto, il timbro della voce, e anche dal DNA.

Tabella 2.6

Esempi di metodi biometrici

Metodi fisiologici

Tecniche comportamentali

Rimozione delle impronte digitali

Scansione dell'iride

Scansione della retina

Geometria della mano

Riconoscimento facciale

Analisi della grafia della tastiera

Una nuova direzione è l'uso delle caratteristiche biometriche nelle carte di pagamento intelligenti, nei pass token e negli elementi di comunicazione cellulare. Ad esempio, quando si paga in un negozio, il portatore della carta mette il dito sullo scanner per confermare che la carta è davvero sua.

Diamo un nome agli attributi biometrici più utilizzati e ai sistemi corrispondenti.

· Impronte digitali. Questi scanner sono piccoli, versatili e relativamente economici. La ripetibilità biologica dell'impronta digitale è del 10-5%. Sono attualmente in promozione forze dell'ordine a causa di grandi allocazioni in archivi elettronici impronta digitale.

· Geometria della mano. I dispositivi idonei vengono utilizzati quando è difficile utilizzare i lettori d'impronte digitali a causa di sporco o lesioni. La ripetibilità biologica della geometria della mano è di circa il 2%.

· Iris. Questi dispositivi sono della massima precisione. La probabilità teorica che due iridi coincidano è 1 su 1078.

· Immagine termica del viso... I sistemi consentono di identificare una persona a una distanza massima di decine di metri. In combinazione con una ricerca nel database, tali sistemi vengono utilizzati per identificare i dipendenti autorizzati e filtrare gli estranei. Tuttavia, quando si cambiano le condizioni di luce, gli scanner per il viso hanno un tasso di errore relativamente alto.

· Voce. Il test vocale è conveniente per l'uso nelle applicazioni di telecomunicazione. Necessario per questo 16 bit scheda audio e un microfono a condensatore costano meno di $ 25. La probabilità di errore è del 2 - 5%. Questa tecnologia è adatta per la verifica vocale sui canali di comunicazione telefonica, è più affidabile della selezione di frequenza di un numero personale. Al giorno d'oggi, si stanno sviluppando le direzioni di identificazione di una persona e del suo stato con la voce: è agitato, malato, dice la verità, non in se stesso, ecc.

· Input dalla tastiera. Qui, quando si inserisce, ad esempio, una password, vengono monitorati la velocità e gli intervalli tra i clic.

· Firma. I digitalizzatori vengono utilizzati per controllare le firme scritte a mano.

4. La nuova direzione dell'autenticazione è dimostrare l'autenticità di un utente remoto nella sua posizione. Questo meccanismo di difesa si basa sull'utilizzo di un sistema di navigazione spaziale come il GPS (Global Positioning System). Un utente con attrezzatura GPS invia ripetutamente le coordinate dei satelliti specificati che si trovano nella linea di vista. Il sottosistema di autenticazione, conoscendo le orbite dei satelliti, può determinare la posizione dell'utente con una precisione di un metro. L'elevata affidabilità dell'autenticazione è determinata dal fatto che le orbite dei satelliti sono soggette a fluttuazioni difficili da prevedere. Inoltre, le coordinate cambiano costantemente, il che nega la possibilità della loro intercettazione.

L'attrezzatura GPS è semplice e affidabile da usare e relativamente poco costosa. Ciò consente di utilizzarlo nei casi in cui un utente remoto autorizzato deve trovarsi nel posto giusto.

Riassumendo le capacità degli strumenti di autenticazione, può essere classificato in base al livello di sicurezza delle informazioni in tre categorie:

1. Autenticazione statica;

2. Autenticazione forte;

3. Autenticazione permanente.

La prima categoria fornisce protezione solo contro la manomissione nei sistemi in cui l'attaccante non può leggere le informazioni di autenticazione durante una sessione. Le password persistenti tradizionali sono un esempio di una struttura di autenticazione statica. La loro efficacia dipende principalmente dalla difficoltà di indovinare le password e, di fatto, da come sono protette.

Per compromettere l'autenticazione statica, un utente malintenzionato può spiare, selezionare, indovinare o intercettare i dati di autenticazione, ecc.

L'autenticazione forte utilizza credenziali di autenticazione dinamica che cambiano con ogni sessione. Le implementazioni di autenticazione forte sono sistemi che utilizzano password monouso e firme elettroniche... L'autenticazione più forte protegge dagli attacchi in cui un utente malintenzionato può intercettare le informazioni di autenticazione e provare a utilizzarle nelle sessioni future.

Tuttavia, l'autenticazione forte non fornisce protezione contro gli attacchi attivi, durante i quali un aggressore mascherato può (durante la sessione di autenticazione) intercettare, modificare e inserire rapidamente informazioni nel flusso di dati trasmesso.

L'autenticazione permanente garantisce l'identificazione di ogni blocco di dati trasmessi, che li protegge da modifiche o inserimenti non autorizzati. Un esempio di implementazione della specifica categoria di autenticazione è l'uso di algoritmi per la generazione di firme elettroniche per ogni bit di informazione trasmessa.

L'identificazione e l'autenticazione sono alla base dei moderni strumenti di sicurezza software e hardware, poiché tutti gli altri servizi sono principalmente progettati per servire queste entità. Questi concetti rappresentano una sorta di prima linea di difesa che fornisce lo spazio dell'organizzazione.

Cos'è?

L'identificazione e l'autenticazione hanno funzioni diverse. La prima dà al soggetto (un utente o un processo che agisce per suo conto) la possibilità di fornire un proprio nome. Con l'aiuto dell'autenticazione, la seconda parte è finalmente convinta che il soggetto sia davvero chi afferma di essere. Spesso l'identificazione e l'autenticazione sono sostituite dalle frasi "nome messaggio" e "autenticazione".

Essi stessi sono suddivisi in diverse varietà. Successivamente, esamineremo cosa sono e cosa sono l'identificazione e l'autenticazione.

Autenticazione

Questo concetto prevede due tipologie: unidirezionale, quando il client deve prima dimostrare la propria autenticità al server, e bidirezionale, cioè quando vi è conferma reciproca. Esempio standard come avviene l'identificazione e l'autenticazione standard degli utenti è la procedura per il login un certo sistema... In questo modo, tipi diversi può essere utilizzato in vari oggetti.

In un ambiente di rete, quando l'identificazione e l'autenticazione degli utenti vengono effettuate su lati geograficamente dispersi, il servizio in esame si differenzia per due aspetti principali:

  • cosa funge da autenticatore;
  • come è stato organizzato e come è protetto lo scambio di dati di autenticazione e identificazione.

Per provare la propria identità, il soggetto deve presentare uno dei seguenti soggetti:

  • certe informazioni che conosce ( numero personale, password, chiave crittografica speciale, ecc.);
  • una certa cosa che possiede (una carta personale o qualche altro dispositivo con uno scopo simile);
  • una certa cosa che è un elemento di se stesso (impronte digitali, voce e altri mezzi biometrici per identificare e autenticare gli utenti).

Caratteristiche del sistema

In un ambiente di rete aperto, le parti non hanno un percorso affidabile, il che suggerisce che in caso generale le informazioni trasmesse dal soggetto potrebbero infine non corrispondere alle informazioni ricevute e utilizzate nell'autenticazione. È necessario garantire la sicurezza delle intercettazioni attive e passive sulla rete, ovvero la protezione contro la correzione, l'intercettazione o la riproduzione di vari dati. L'opzione di trasmettere le password in chiaro non è soddisfacente e, allo stesso modo, la crittografia delle password non può salvare la giornata, poiché non forniscono protezione dalla riproduzione. Questo è il motivo per cui oggi vengono utilizzati protocolli di autenticazione più sofisticati.

L'identificazione affidabile presenta difficoltà non solo per vari motivi, ma anche per una serie di altri motivi. In primo luogo, quasi tutte le entità di autenticazione possono essere rubate, contraffatte o dedotte. C'è anche una certa contraddizione tra l'affidabilità del sistema utilizzato, da un lato, e la comodità dell'amministratore di sistema o dell'utente, dall'altro. Pertanto, per motivi di sicurezza, è necessario chiedere con una certa frequenza all'utente di reinserire le proprie informazioni di autenticazione (poiché al suo posto potrebbe già essere seduta un'altra persona), e questo non solo crea ulteriori problemi, ma aumenta anche significativamente il possibilità che qualcuno possa spiare l'input delle informazioni. Tra l'altro, l'affidabilità dei dispositivi di protezione incide in modo significativo sul suo costo.

I moderni sistemi di identificazione e autenticazione supportano il concetto di single sign-on alla rete, che soddisfa principalmente i requisiti in termini di facilità d'uso. Se lo standard rete aziendale dispone di molti servizi informativi che prevedono la possibilità di un accesso autonomo, quindi in questo caso l'inserimento multiplo di dati personali diventa troppo gravoso. Sul questo momento non si può ancora affermare che l'utilizzo del single sign-on sia considerato normale, non essendo ancora emerse le soluzioni dominanti.

Pertanto, molti stanno cercando di trovare un compromesso tra accessibilità, convenienza e affidabilità dei mezzi con cui viene fornita l'identificazione/autenticazione. Autorizzazione utente in in questo caso svolto secondo regole individuali.

Particolare attenzione va posta al fatto che il servizio utilizzato può essere selezionato come oggetto di attacco all'accessibilità. Se viene fatto in modo tale che, dopo un certo numero di tentativi falliti, la possibilità di accedere sia stata bloccata, in questo caso gli aggressori possono interrompere il lavoro degli utenti legali letteralmente con pochi tasti.

Autenticazione con password

Il vantaggio principale di un tale sistema è che è estremamente semplice e familiare alla maggioranza. Le password esistono da molto tempo sistemi operativi e altri servizi e, se utilizzati correttamente, forniscono un livello di sicurezza abbastanza accettabile per la maggior parte delle organizzazioni. Ma d'altra parte, in termini di insieme generale delle caratteristiche, tali sistemi rappresentano il mezzo più debole attraverso il quale può essere effettuata l'identificazione/autenticazione. In questo caso, l'autorizzazione diventa abbastanza semplice, poiché le password dovrebbero essere memorabili, ma le combinazioni semplici non sono difficili da indovinare, soprattutto se una persona conosce le preferenze di un determinato utente.

A volte capita che le password, in linea di principio, non vengano mantenute segrete, poiché hanno valori abbastanza standard specificati in determinate documentazioni e non sempre dopo l'installazione del sistema vengono modificate.

Quando inserisci la password, puoi vedere e in alcuni casi le persone usano persino dispositivi ottici specializzati.

Gli utenti, i principali soggetti di identificazione e autenticazione, possono spesso condividere le password con i colleghi per consentire loro di certo tempo cambiato proprietario. In teoria, in tali situazioni, sarebbe più corretto utilizzare controlli di accesso speciali, ma in pratica questo non viene utilizzato da nessuno. E se due persone conoscono la password, questo aumenta notevolmente le possibilità che altri alla fine lo scoprano.

Come sistemarlo?

Esistono diversi modi per proteggere l'identificazione e l'autenticazione. La componente di elaborazione delle informazioni può essere protetta da quanto segue:

  • L'imposizione di varie restrizioni tecniche. Molto spesso, vengono stabilite regole per la lunghezza della password e il contenuto di alcuni caratteri in essa contenuti.
  • Gestione della data di scadenza delle password, ovvero della necessità di sostituirle periodicamente.
  • Limitazione dell'accesso al file della password principale.
  • Limitando il numero totale di tentativi falliti disponibili all'accesso. Ciò garantisce che gli aggressori debbano solo eseguire azioni prima dell'identificazione e dell'autenticazione, poiché il metodo della forza bruta non può essere utilizzato.
  • Formazione preliminare degli utenti.
  • Utilizzo di generatori di password software specializzati che ti consentono di creare tali combinazioni che sono eufoniche e abbastanza memorabili.

Tutte queste misure sono comunque utilizzabili, anche se oltre alle password vengono utilizzati anche altri mezzi di autenticazione.

Password monouso

Le opzioni discusse sopra sono riutilizzabili e, se la combinazione viene divulgata, l'attaccante è in grado di eseguire determinate operazioni per conto dell'utente. Ecco perché le password monouso vengono utilizzate come mezzo più forte e resistente alla possibilità di intercettazioni passive della rete, grazie alle quali il sistema di identificazione e autenticazione diventa molto più sicuro, anche se non così conveniente.

Attualmente uno dei generatori di software più popolari password usa e gettaè un sistema chiamato S/KEY, pubblicato da Bellcore. Il concetto di base di questo sistema è che c'è funzione specifica F, noto sia all'utente che al server di autenticazione. Quella che segue è la chiave segreta K, nota solo a un utente specifico.

Durante la prima amministrazione dell'utente, questa funzione viene utilizzata per la chiave un certo numero di volte, dopodiché il risultato viene salvato sul server. In futuro, la procedura di autenticazione sarà simile a questa:

  1. Sul sistema personalizzato il server riceve un numero inferiore di 1 al numero di volte in cui la funzione viene utilizzata per la chiave.
  2. L'utente utilizza la funzione per la chiave segreta esistente il numero di volte che è stato impostato nel primo paragrafo, dopodiché il risultato viene inviato via rete direttamente al server di autenticazione.
  3. Il server utilizza questa funzione per il valore ricevuto, dopodiché il risultato viene confrontato con il valore precedentemente salvato. Se i risultati corrispondono, l'utente viene autenticato e il server memorizza il nuovo valore, quindi decrementa il contatore di uno.

In pratica, l'implementazione di questa tecnologia ha una struttura leggermente più complessa, ma al momento non è così importante. Poiché la funzione è irreversibile, anche in caso di intercettazione della password o di accesso non autorizzato al server di autenticazione, non offre l'opportunità di ottenere la chiave segreta e in alcun modo prevedere come sarà la prossima password monouso.

In Russia, un portale statale speciale viene utilizzato come servizio unificato - " un sistema identificazione/autenticazione" ("ESIA").

Un altro approccio a un sistema di autenticazione affidabile è generare una nuova password a brevi intervalli, implementata anche tramite l'uso di programmi specializzati o varie smart card. In questo caso, il server di autenticazione deve accettare il corrispondente algoritmo di generazione della password, così come alcuni parametri associati, e inoltre, deve esserci anche una sincronizzazione degli orologi del server e del client.

Kerberos

Il server di autenticazione Kerberos è apparso per la prima volta a metà degli anni '90 del secolo scorso, ma da allora è già riuscito a ottenere numero enorme cambiamenti fondamentali. Attualmente singoli componenti questo sistema è presente in quasi tutti i moderni sistemi operativi.

Lo scopo principale di questo servizioè la soluzione al seguente problema: esiste una certa rete non protetta e nei suoi nodi sono concentrati vari soggetti sotto forma di utenti, oltre a sistemi software server e client. Ciascuno di questi soggetti ha una chiave segreta individuale e affinché il soggetto C abbia l'opportunità di dimostrare la propria identità al soggetto S, senza la quale semplicemente non lo servirà, dovrà non solo nominare se stesso, ma anche mostrare che conosce una certa chiave segreta. Allo stesso tempo, C non ha la possibilità di inviare semplicemente la sua chiave segreta verso S, poiché, prima di tutto, la rete è aperta, e inoltre S non lo sa e, in linea di principio, non dovrebbe saperlo. In tale situazione, viene utilizzata una tecnica meno diretta per dimostrare la conoscenza di queste informazioni.

L'identificazione/autenticazione elettronica tramite il sistema Kerberos prevede il suo utilizzo come terza parte fidata che dispone di informazioni sulle chiavi segrete degli oggetti oggetto di assistenza e, se necessario, li assiste nell'esecuzione dell'autenticazione a coppie.

Pertanto, il client invia prima una richiesta al sistema, che contiene informazione necessaria su di lui, nonché sul servizio richiesto. Successivamente, Kerberos gli fornisce una sorta di ticket, che viene crittografato con la chiave segreta del server, nonché una copia di una parte dei dati da esso, che viene classificata con la chiave del client. In caso di corrispondenza, si stabilisce che il cliente ha decifrato le informazioni a lui destinate, cioè ha potuto dimostrare di conoscere veramente la chiave segreta. Ciò suggerisce che il cliente è esattamente la persona che afferma di essere.

Particolare attenzione dovrebbe essere prestata qui al fatto che il trasferimento di chiavi segrete non è stato effettuato tramite la rete e sono state utilizzate esclusivamente per la crittografia.

Autenticazione tramite dati biometrici

La biometria include una combinazione strumenti automatizzati identificazione/autenticazione delle persone in base alle loro caratteristiche comportamentali o fisiologiche. I mezzi fisici di autenticazione e identificazione includono la verifica della retina e della cornea degli occhi, impronte digitali, geometria del viso e della mano e altre informazioni individuali. Le caratteristiche comportamentali includono lo stile della tastiera e le dinamiche della firma. I metodi combinati sono analisi varie caratteristiche la voce di una persona, così come il riconoscimento del suo discorso.

Tali sistemi di identificazione/autenticazione e crittografia sono onnipresenti in molti paesi del mondo, ma per molto tempo sono stati estremamente diversi. costo alto e la complessità dell'applicazione. Recentemente, la domanda di prodotti biometrici è aumentata in modo significativo a causa dello sviluppo e-commerce, poiché, dal punto di vista dell'utente, è molto più conveniente presentarsi che ricordare alcune informazioni. Di conseguenza, la domanda crea offerta, quindi sul mercato hanno iniziato a comparire prodotti relativamente economici, che si concentrano principalmente sul riconoscimento delle impronte digitali.

Nella stragrande maggioranza dei casi, la biometria viene utilizzata in combinazione con altri autenticatori come.Spesso, l'autenticazione biometrica è solo la prima linea di difesa e funge da mezzo per attivare smart card che includono vari segreti crittografici. Quando si utilizza questa tecnologia, il modello biometrico viene salvato sulla stessa carta.

L'attività nel campo della biometria è piuttosto elevata. Esiste già un consorzio corrispondente e sono in corso anche lavori piuttosto attivi per standardizzare vari aspetti della tecnologia. Oggi puoi vedere molti articoli pubblicitari in cui le tecnologie biometriche sono presentate come rimedio ideale garantendo una maggiore sicurezza e allo stesso tempo accessibile alle masse.

ESIA

Il sistema di identificazione e autenticazione ("ESIA") è servizio speciale, creato al fine di garantire l'attuazione dei vari compiti relativi alla verifica dell'autenticità dei richiedenti e dei partecipanti all'interazione interagenziale in caso di fornitura di qualsiasi amministrazione comunale o servizi pubblici in forma elettronica.

Per poter accedere al “Portale unico delle strutture statali”, nonché ad eventuali altri sistemi informativi dell'infrastruttura delle esistenti governo elettronico, per prima cosa dovrai registrare un account e, di conseguenza, ottenere un PEP.

livelli

Il portale fornisce tre livelli principali di account per le persone fisiche:

  • Semplificato. Per registrarlo, è sufficiente indicare il proprio cognome e nome, oltre a un canale di comunicazione specifico sotto forma di indirizzo e-mail o telefono cellulare. Questo è il livello principale attraverso il quale una persona ha accesso solo a un elenco limitato di vari servizi governativi, nonché alle capacità dei sistemi informativi esistenti.
  • Standard. Per ottenerlo, è necessario inizialmente emettere un conto semplificato, quindi fornire anche dati aggiuntivi, inclusi i dati del passaporto e il numero del conto personale assicurativo individuale. Le informazioni specificate vengono verificate automaticamente attraverso i sistemi informativi della Cassa pensione, nonché il Servizio federale di migrazione e, se la verifica ha esito positivo, l'account viene trasferito a livello standard, che apre l'utente a un elenco esteso di servizi governativi.
  • Confermato. Per ottenere questo livello di account, un sistema unificato di identificazione e autenticazione richiede agli utenti di avere un account standard, nonché la conferma dell'identità, che viene eseguita tramite una visita personale a un reparto di assistenza autorizzato o ricevendo un codice di attivazione tramite lettera ordinata... Nel caso in cui la verifica dell'identità abbia esito positivo, l'account verrà trasferito a nuovo livello e l'utente avrà accesso all'elenco completo dei servizi governativi necessari.

Nonostante le procedure possano sembrare piuttosto complicate, infatti, è possibile conoscere l'elenco completo dei dati necessari direttamente sul sito Web ufficiale, quindi una registrazione a tutti gli effetti è del tutto possibile in pochi giorni.

Creando un account sul sito web ufficiale di gosuslugi.ru, una persona diventa contemporaneamente un utente dell'ESIA. Questa abbreviazione sta per Unified Identification and Authentication System. In realtà, questa è una chiave di accesso che si adatta a tutte le risorse che forniscono servizi federali e comunali. Quali sono i vantaggi di questo sistema e come registrarsi all'ESIA attraverso il portale dei Servizi dello Stato, verranno descritti in questo articolo.

Cos'è l'ESIA?

Prima di tutto, va detto che ESIA è un sistema per il cui funzionamento è responsabile il Ministero delle telecomunicazioni e delle comunicazioni di massa della Russia. Qualsiasi individuo può diventare membro del sistema entità o organizzazione. La registrazione all'ESIA sul portale del Servizio di Stato è gratuita, la procedura è disponibile per tutti gli internauti. Allo stesso tempo, ogni partecipante registrato al sistema ha il diritto in qualsiasi momento.

Registrandosi, una persona riceve una password che può essere utilizzata per accedere a tutti i siti governativi che partecipano al programma. Ovvero, con una sessione attiva sui Servizi Pubblici e il passaggio, ad esempio, alla risorsa Scuola Virtuale collegata al Sistema Informativo Unificato, non sarà necessario re-identificarsi.

Oltre al singolo ingresso ai portali statali, il sistema prevede l'uscita simultanea dagli stessi. Cioè, alla fine della sessione sui servizi statali, verrà interrotto l'accesso ai conti sul sito Web del Servizio federale di migrazione, della Cassa pensione della Federazione Russa, del Servizio fiscale federale, ecc.

ESIA prevede la possibilità di inserire e modificare in autonomia i dati personali del titolare dell'account tramite l'Account Personale. L'autenticità del numero SNILS viene verificata utilizzando il servizio PFR, la correttezza dell'INN viene verificata utilizzando il servizio fiscale e i dati del passaporto e le informazioni dalle carte di migrazione (per cittadini stranieri) - dal servizio FMS.

Cosa offre l'ESIA?

La registrazione all'ESIA per un individuo è un'opportunità per utilizzare le funzionalità del sito Web del servizio statale e altri servizi di informazione collegati al programma. Questo apre grandi opportunità per il proprietario dell'account, consentendo:

  • rilasciare vari documenti via Internet, ad esempio un passaporto, una patente di guida;
  • fissare un appuntamento con un medico via Internet, scegliendo una data e un'ora convenienti per la visita;
  • mettere in riga il bambino Asilo, iscriverlo a scuola, circoli e sezioni, colonie estive;
  • conoscere multe e debiti fiscali;
  • presentare domande per la fornitura di vari servizi, ad esempio registro di matrimonio, cambio di nome, registrazione di un certificato CIF;
  • pagare le bollette per servizi pubblici, telefono;
  • richiedere benefici e prestazioni sociali, ricevere benefici;
  • impara al riguardo risparmio pensionistico, controlla il tuo conto personale presso la FIU, ecc.

Come diventare un membro del sistema?

Creando un account sul portale dei Servizi Statali, l'utente diventa membro dell'ESIA. Per accedere, devi andare su gosuslugi.ru e indicare il tuo vero nome e numero di telefono o e-mail in un modulo speciale. Le informazioni devono essere aggiornate, poiché sarà necessario aggiungere al profilo ulteriori informazioni dal passaporto e dati personali da altri documenti importanti (SNILS, TIN).

Per completare la procedura di registrazione di un account sul portale ESIA è necessario inserire il codice di attivazione inviato dal sistema al numero di telefono inserito nel passaggio precedente. La seconda opzione per attivare il tuo account è confermare il tuo account seguendo il link nell'e-mail che hai ricevuto via e-mail.

Importante: durante la registrazione, l'utente deve avere accesso a cellulare o cassetta postale utilizzato durante la creazione di un account.

Come verifico il mio account?

Dopo aver eseguito una semplice procedura per la creazione di un account sul sito Web del Servizio di Stato, una persona diventa membro dell'ESIA con un account semplificato. Vale la pena capire di cosa si tratta.

La contabilità semplificata dà il diritto di accedere al portale e visualizzare le informazioni su vari servizi che sono forniti su di esso. Tuttavia, l'utente non potrà ricevere questi servizi, poiché le azioni sul sito saranno limitate.

I proprietari di registri semplificati possono controllare i debiti e le multe online e ricevere avvisi al riguardo. Ma ogni utente può "aumentare" il suo account aggiungendo informazioni su se stesso.

Specificando il numero SNILS e i dati del passaporto, il titolare del conto, dopo aver verificato le informazioni da parte del sistema, riceve un conto standard. Per assegnare lo stato di un account standard, sarà necessario specificare nel profilo:

  • il tuo nome completo;
  • sesso, luogo di nascita e data;
  • cittadinanza;
  • serie/numero di passaporto o altro documento di identità;
  • numero SNILS.

Importante: i cittadini stranieri sprovvisti di numero SNILS non potranno aggiornare lo stato di iscrizione a standard.

La contabilità standard consente di pagare multe e bollette online utilizzando carte bancarie e portafogli elettronici, fissare un appuntamento con un medico, registrare un marchio.

Il passo successivo, che apre l'accesso a tutte le funzionalità del sito, è ottenere un record confermato. I proprietari di un account verificato possono redigere vari documenti (passaporto, passaporto internazionale, certificati, certificati, ecc.) Via Internet, iscrivere un bambino in coda per un asilo nido, accedere agli account personali e così via.

Importante: per ricevere alcuni servizi è necessario disporre di una firma digitale elettronica.

Per verificare il tuo account, devi presentarti personalmente all'MFC o ordinare un codice di conferma per posta, o avere. L'opzione più popolare è il contatto personale con Centro Multifunzionale con passaporto e carta.

Protezione dei dati personali dell'utente

Il sistema memorizza un importante informazione personale sugli utenti registrati:

  • dati del passaporto;
  • numero SNILS;

Pertanto, il portale del Servizio dello Stato deve avere un elevato livello di sicurezza. Solo il proprietario ha accesso a tutte le informazioni personali. I dati trasferiti al sistema dai titolari di account sono archiviati su server governativi che hanno alta protezione... I dati nel sistema vengono trasmessi su canali sicuri con un alto livello di crittografia.

A sua volta, il titolare dell'account deve comprendere che la password dell'account ESIA è l'accesso ai suoi dati personali, pertanto, non può essere divulgato a terzi. Il titolare sceglie in autonomia la modalità di memorizzazione della password per l'accesso all'account, mentre tutta la responsabilità per la sicurezza di tali dati è a suo carico.

Il sito Web del servizio statale è stato lanciato nel 2010, ma per i primi anni non vi è stata praticamente alcuna attività. Tuttavia, oggi il portale si sta sviluppando rapidamente, aprendo ampie opportunità per i suoi utenti. Sul sito web del Servizio statale, puoi ottenere facilmente e rapidamente centinaia di servizi di importanza municipale e federale. Per fare ciò, è sufficiente compilare una domanda via Internet e confermare l'operazione con la password dell'account ESIA. Ciò elimina le code, lo stress non necessario e i costi finanziari aggiuntivi.

Sistema unificato di identificazione e autenticazione ( ESIA) è un sistema di informazione nella Federazione Russa che fornisce l'accesso autorizzato ai partecipanti comunicazione(cittadini richiedenti e funzionari autorità esecutive) alle informazioni contenute nello stato sistemi di informazione e altri sistemi informativi.

ESЍA è una password per tutte le occasioni.

Cos'è ESЍA?

ESЍA è il sistema unificato di identificazione e autenticazione. Una password per accedere a tutti i siti web del governo.

Perché è necessaria l'ESIA?

Con la password ESIA, non è necessario registrarsi ogni volta su tutti i siti Web statali.

ESIA è una password per tutte le occasioni. Grazie a lui, puoi direttamente da casa usando Internet:

Fissa un appuntamento con un medico via Internet

Scopri le tue multe stradali

Richiedi la registrazione del matrimonio

· Pagare "l'appartamento comune"

Immatricolare un'auto

Richiedere un'indennità di gravidanza

· Segnala un problema in città e ottieni una soluzione in 10 giorni

E tanti altri servizi e servizi attraverso un'unica credenziale!

Come vengono protetti i dati personali? Chi ha accesso ad essi?

Solo il titolare della password ha accesso ai dati personali.

I dati vengono trasmessi esclusivamente su canali sicuri con il più alto livello di crittografia

Il sistema di sicurezza delle informazioni è conforme al più alto standard di protezione dei dati K1

Tutte le informazioni sono archiviate su server governativi sicuri

Di cosa hai bisogno per registrare un ESIA?

1. Passaporto e SNILS - per confermare l'identità,

2. Numero di cellulare- per confermare la registrazione.

Come ottengo una password?

1. Vai alla pagina di registrazione, inserisci il tuo Cognome, Nome e numero di telefono di contatto. Quindi fare clic sul pulsante "Registrati"

2. Verrà inviato un codice di conferma al telefono. Inseriscilo e fai clic sul pulsante "Conferma"

3. Imposta la password e fai clic sul pulsante "Salva"

4. Accedi a ESIA utilizzando il tuo numero di telefono e la password.

5. Inserisci i tuoi dati personali (non dimenticare di indicare il tuo secondo nome) e attendi la conferma entro cinque minuti!

Cosa significano "Confermato" e "Non confermato" Account?

· password non confermataopportunità limitate, come l'accesso ai servizi di informazione, ad esempio, la visualizzazione di debiti e multe.

· Con con una password verificata puoi ottenere uno qualsiasi dei 119 servizi elettronici disponibili sui portali federali e regionali dei servizi pubblici e utilizzare tutti i servizi disponibili senza restrizioni.

Principali articoli correlati

Diversi movimenti del mouse in verticale e in orizzontale
Diversi movimenti del mouse in verticale e in orizzontale
Come comprimere le trame in fallout 4
Come comprimere le trame in fallout 4
Resta solo da capire il livello richiesto
Resta solo da capire il livello richiesto
Categorie:
© 2021 bumotors.ru. Come configurare smartphone e PC. Portale informativo.