Идентификация для защищенности и безопасности

Приемы идентификации существенно зависят от целей, которые могут характеризоваться как криминалистические и технологические.

Криминалистическая идентификация выполняется как правило на доверенном оборудовании, без сотрудничества с идентифицируемым объектом. Идентификация в технической защите информации выполняется в предположении, что субъект готов к сотрудничеству.

Все исследования в области технической защиты информации до последнего времени проводились с учетом того, что мы работаем с корпоративными системами, границы которых точно известны. В этих границах всегда можно обеспечить достаточный уровень защищенности, базирующийся на доверенности СВТ, включенных в состав системы. В открытых же системах ставить вопрос об обеспечении доверенности всех средств вычислительной техники просто невозможно. Так, мобильные средства доступа пользователей ни при каких условиях нельзя сделать доверенными.

В этих условиях можно развивать систему в двух направлениях – перенести всю тяжесть защиты на центр и отказаться от использования надежной криптографической защиты при доступе к сервисам (например, банка) с мобильных устройств пользователей, или/и строить распределенную, «иммунную» систему защиты, обеспечивающую приемлемый уровень защищенности клиентских транзакций даже при недоверенном оборудовании.

Первое направление очевидно, и многие идут по этому пути, полагая, что риски пока невелики и такими же останутся в дальнейшем. Очевидно, что это не так. Брешь в защите всегда находится и эксплуатируется преступниками. Брешей в защите следует избегать.

Второе направление еще ждет своих исследователей. Основой эффективных решений могут стать системы обнаружения вредоносной активности, построенные по принципу мультиагентных систем [25], а также системы мультимодальной биометрической идентификации с использованием динамики рефлекторных реакций. Статья посвящена рефлекторной идентификации как методу и средству применения недоверенных клиентских терминалов в доверенных информационных системах цифрового общества.

Безопасность (и защищенность) всегда базируется на сложности и избыточности [3]. Так, электронный документ для фиксации волеизъявления автора дополняют электронной подписью (избыточность), а конфиденциальность обеспечивается криптографическими методами (сложность решения обратной задачи).

Особое место в последовательности операций занимают именно операции идентификации и аутентификации [26], так как еще до начала всех операций нужно понимать, с кем начинается взаимодействие – с партнером или хакером. Результат информационного взаимодействия фиксируется применением электронной подписи, придающей записи свойства документа. При использовании недоверенных клиентских терминалов (телефонов) ключи подписи должны быть отчуждены, и храниться защищенным образом. Уровень доверенности результата идентификации должен быть достаточным для доступа к отчужденным ключам подписи, что позволит обеспечить возможность применения электронной подписи, и с этим юридически значимых облачных сервисов в целом.

В рамках корпоративных систем нет проблемы обеспечить всех участников сертифицированными идентификаторами и выполнять операции по аутентификации в доверенной среде. В открытой же системе этого добиться невозможно. Обращаясь за госуслугами, телемедицинскими консультациями, услугами банков, услугами в секторе B2C граждане всегда будут пользоваться смартфонами, о доверенности которых говорить не приходится. Такой доступ всегда будет самой «легкой добычей» для всех видов атак с использованием вредоносного ПО. Поэтому решение проблемы применения облачной подписи с использованием недоверенных терминалов за счет рефлекторной идентификации является актуальной научно-технической задачей.