CC BY
154
Волчихин В.И. , Иванов А.И. , Малыгин А.Ю. К ПРОБЛЕМЕ ПОВЫШЕНИЯ НАДЕЖНОСТИ АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЯ
В последние десятилетия достижения науки и новейших технологий как никогда прежде начали определять динамику экономического роста, уровень благосостояния населения, конкурентоспособность государства в мировом сообществе, степень обеспечения его национальной безопасности и равноправной интеграции в мировую экономику. Стремительное развитие и широкое использование современных информационно-телекоммуникационных систем ознаменовали собой переход человечества от индустриального общества к обществу информационному, в основе которого лежат новейшие системы коммуникации.
Количество, технический уровень и доступность информационных систем уже сейчас определяют уровень развития страны и ее статус в мировом сообществе и, несомненно, станут решающим показателем этого статуса в ближайшем будущем.
Вместе с тем, развитие процесса информатизации мирового сообщества порождает целый комплекс негативных последствий. Действительно, высокая сложность и одновременно уязвимость всех систем, на которых базируются региональные, национальное и мировое информационные пространства, а также фундаментальная зависимость от их стабильного функционирования инфраструктур государств, приводят к возникновению принципиально новых угроз. Эти угрозы связаны, прежде всего, с потенциальной возможностью использования информационно-телекоммуникационных систем в целях, несовместимых с задачами поддержания международной стабильности и безопасности, уважения прав и свобод человека.
Поэтому в настоящее время все более актуальным становится проблема аутентификации пользователей, имеющих доступ к общественным и личным информационным ресурсам.
Наиболее подходящей и получившей широкое распространение в последние годы технологией является аутентификация личности по его биометрическим данным.
Одной из важнейших задач биометрии является создание технических устройств, способных узнавать конкретного человека по его неповторимым биометрическим характеристикам и с еще более высокой вероятностью распознавать злоумышленников, пытающихся маскироваться под легальных пользователей.
На сегодня признанным лидером разработки и внедрения биометрических технологий являются США. Толчком к их бурному развитию и внедрению дали трагические события 11 сентября 2001 г., хотя
начало исследований в данной области было положено еще в середине 80-х годов ХХ века. С целью поддержки программ по биометрии правительством США в 1995 году был создан биометрический консорциум [www.biometrics.org], куда вошли государственные и частные организации, университеты, исследовательские центры, центры тестирования и сертификации продуктов биометрических технологий. В настоящее время в него входят примерно 500 различных организаций.
Параллельно с государственным биометрическим консорциумом США при поддержке правительств ведущих стран образована Международная ассоциация производителей средств биометрии [International Biometric Industry Association, www.IBIA.org], куда входят 26 крупнейших производителя биометрических устройств.
При поддержке правительства США в 1998 году создан BioAPI Consortium для разработки промышленного стандарта интерфейсов связи (API) различных биометрических программно-аппаратных приложений.
Правительством США создан Национальный биометрический тестовый центр при университете Сан-Хосе (Калифорния, Силиконовая долина, [www.engr.sjsu.edu/biometrics]. Национальные институты стандартизации США (NIST и ANSI) за последние 10 лет разработали порядка 4 0 национальных биометрических стандартов, большинство из которых в данный момент используется как основа при разработке международных биометрических стандартов специально созданным подкомитетом ISO/IEC JTC1 SC37.
Правительством США в период с 1998 по настоящее время организована подготовка специалистов по биометрии в пяти различных университетах страны.
Все вышеперечисленное свидетельствует о значительном внимании к биометрии и развитию биометрических технологий. Столь значительное общественное внимание к биометрии привело к тому, что Международная организация по стандартизации ISO (International Organization) of Standartization) в лице ее подкомитета SC37 по вопросам биометрии при первом объединенном комитете - JTC1 (joint technical committee 1) официально рассматривает усиление паролей и персональных кодов биометрией как одну из основных тенденций развития систем информационной безопасности [www.din.de/ni/sc3 7]. Необходимость в создании нового специального подкомитета ISO/IEC JTC1 SC37 продиктована тем, что после решения лидеров ГРУППЫ ВОСЬМИ ведущих стран в 2002 возникла необходимость унификации биометрических данных в национальных электронных паспортах разных стран. По сути дела именно это обстоятельство и форсировало работу недавно созданного биометрического подкомитета ISO/IEC JTC1 SC37.
Производители биометрических устройств и технологий объединены в рамках международной ассоциации IBIA (International Biometric Industry Association), которая активно влияет на процессы подготовки новых стандартов. Через IBIA производители регистрируют свои форматы представления биометрические данных, которые далее гармонизируются и обобщаются в виде международных стандартов и рекомендаций. На данный момент зарегистрировано 27 форматов данных, используемых в биометрических устройствах и технологиях различных компаний.
Естественно, что Россия не может оставаться в стороне от наметившихся процессов объединения международных усилий и стандартизации биометрических технологий, в лице Госстандарта она является полноправным членом ISO/IEC, в феврале 2003 при ГОСТ Р ТК355 (технический комитет «Автоматическая идентификация») был создан 7 подкомитет, занимающийся только вопросами биометрической идентификации. На ГОСТ Р ТК355/ПК7 возлагается работа по переводу международных биометрических стандартов на русский язык и их гармонизации.
Стандарты, разработанные ISO/IEC JTC1 SC37, относятся к относительно «слабой биометрии», способной выполнить «полицейские функции» и идентифицировать личность человека только локально, под прямым контролем проверяющего. Проверяющий (например, пограничник) должен обязательно контролировать действия того, кого он проверяет в автоматизированном режиме биометрической идентификации. Присутствие проверяющего гарантирует то, что предъявлен образ именно контролируемого человека, не используется физический муляж.
Большинство существующих технологий используют статические (неизменяемые по воле человека и данные ему от рождения) биометрические образы [1,2]. К ним относятся аутентификация по:
рисунку радужной оболочки глаза;
рисунку кожи кончиков пальцев (по узору папиллярных линий;
параметрам 2D и 3D геометрии кисти руки;
параметрам 2D и 3D геометрии лица человека;
рисунку кровеносных сосудов: глазного дна, глазного яблока, тыльной стороны кисти руки;
геометрии ушных раковин;
электрокардиограмме сердца;
запаху тела;
генотипу;
ионному спектру следов пота.
Для аутентификации мобильных пользователей в открытом информационном пространстве все перечисленные методы оказываются малоэффективны. Основная причина этого в высокой уязвимости биометрической защиты, построенной на статических (неизменяемых) биометрических образах. На рисунке 1 приведена блок схема типовой биометрической защиты, построенной на использовании статической биометрии и классического решающего правила, а так же помечены цифрами точки реализации типовых атак на биометрическую защиту.
ТОЧКОЙ «1» является окно датчика системы защиты, предназначенное для наблюдения предъявляемого биометрического образа. Предположим, что это окно сканера отпечатка пальца некоторого биометрического замка. Очевидно, что злоумышленник, находящийся перед окном сканера может реализовать несколько типовых атак:
атака случайного подбора (предъявляется несколько образцов рисунков в надежде обнаружить коллизию совпадения параметров зарегистрированного и предъявленного рисунков);
атака компрометации предшествующего рисунка (с поверхности сканера снимается отпечаток пальца человека, только, что прошедшего положительную идентификацию);
атака на анонимность легальных пользователей (выясняется имя, адрес, иные данные легального пользователя биометрической защиты для последующей реализации атаки компрометации 1.2);
атака предъявления муляжа (после реализации атаки компрометации биометрического образа изготовляется и предъявляется системе защиты его муляж).
Рисунок 1 - Точки типовых атак на блок-схеме процедур биометрической идентификации, выполненной с
классическим решающим правилом Да/Нет
ТОЧКИ «2», «3», «4», «5», «6» для атак появляется в том, случае, когда злоумышленник имеет доступ к программному обеспечению того или иного средства биометрической защиты. Эта ситуация характерна для средств биометрической защиты информации (например, защиты доступа к информации). Защищая свою информацию на компьютере, работающем под широко используемой операционной системой, никто не может гарантировать отсутствие в вычислительной среде новой программы шпиона и нового вируса.
Основной атакой в ТОЧКЕ «2» является атака перехвата (компрометации) электронного биометрического образа пользователя. Злоумышленникам много выгоднее иметь электронный вариант реальных биометрических образов пользователя, в сравнении с биометрическими отображениями в физическом пространстве. Для преступного использования биометрического отображения в физическом пространстве требуется изготовление физического муляжа, что занимает от нескольких минут до нескольких часов. Технически невозможно изготовить сотни тысяч и миллионы физических муляжей, для электронных муляжей это сделать не трудно. Как следствие преступные сообщества будут пытаться похищать базы реальных биометрических образов и незаконно собирать биометрию добропорядочных граждан с целью последующей организации атак подбора. Естественно, что биометрические базы образов преступными сообществами будут формироваться и применяться в электронной форме. То есть в точке 2 возможны три типа атак:
атака компрометации электронного биометрического образа;
атака случайного подбора электронного образа и ли перебора заранее заготовленной базы электронных биометрических образов;
атака подстановки ранее скомпрометированного биометрического образа легального пользователя.
ТОЧКОЙ «3» атаки на биометрическую защиту является биометрический шаблон. Очевидно, что достаточно подменить биометрический шаблон легального пользователя на шаблон злоумышленника и система биометрической защиты перестанет выполнять свою основную функцию. В этой точке возможны два типа атак:
атака компрометации биометрии для незаконного формирования баз реальных биометрических образов;
атака подмены биометрии реальных пользователей на биометрию злоумышленников.
Наиболее уязвимым в биометрической защите является классическое решающее правило. Его можно атаковать с трех точек: со входа (ТОЧКА «4»), с выхода (ТОЧКА «6»), так же может быть атаковано
само тело решающего правила (ТОЧКА «5»).
В ТОЧКЕ «4» могут быть реализованы:
атака компрометации вектора биометрических параметров;
атака подмены вектора биометрических параметров на ранее перехваченный;
атака случайного подбора.
В ТОЧКЕ «5» могут быть реализована атака искажения приемлемых допусков решающего правила. Достаточно в несколько раз расширить допуска решающего правила, что бы сделать биометрическую защиту практически бесполезной. Как «Своего» она будет воспринимать любого.
Наиболее распространенной является атака, реализуемая в ТОЧКЕ «6» на «последний бит» решающего правила. Если в программе защиты найден «последний бит» решающего правила, то достаточно его из-
менить и защита будет снята. Возможность тиражирования средств автоматического взлома является существенной угрозой для классической биометрической защиты. Исследовать новую программу для того, что бы атаковать только одного человека нет смысла. Иное дело, когда эффект удачной атаки удается тиражировать. Хакер, исследующий программу защиты, фактически надеется на возможность тиражирования результатов своего исследования, только в этом случае затраты окупаются.
Приведенный выше перечень уязвимостей и возможных атак на статическую биометрическую защиту с классическим решающим правилом порождает ряд проблем, которые необходимо решать:
проблема незаконного массового сбора биометрических данных преступными сообществами;
проблема безопасного хранения биометрических данных в системах и устройствах;
проблема атаки на коллизии слабой биометрии;
проблема синтеза физических и электронных муляжей и обмана биометрии с их использованием;
проблема обеспечения анонимности биометрии;
проблема ликвидации последствий компрометации статических, неизменяемых биометрических образов;
проблема индивидуального тестирования обученных узнавать конкретного человека средств биометрии.
Всю группу перечисленных выше проблем для биометрии статических, неизменяемых образов одновременно решить не удается. Это делает применение подобных технологий для защиты персональной информации бесперспективным. То есть, эти технологии будут широко применяться в государственных и корпоративных системах, где дополнительный контроль специальных служб будет обязателен.
Ожидать широкого распространения подобных технологий для аутентификации мобильного пользователя, видимо, не следует. Свой криптографический ключ нельзя связывать со своим отпечатком пальца, так как мы оставляем свои отпечатки пальцев где угодно (оставлять где угодно свой ключ или пароль нельзя). Рано или поздно все наши отпечатки пальцев окажутся в одной из баз, незаконно сформированных или добытых преступным сообществом. Это вполне реальная угроза, причем она куда более реальна и близка, чем угроза «ПЕЧАТИ ЗВЕРЯ», описанной в Апокалипсисе. Вшивание под кожу микрочипа с номером или татуировка его на теле технологически эквивалентны формированию полной базы отпечатков пальцев всего населения «ЗВЕРЕМ».
Снять угрозу «ПЕЧАТИ ЗВЕРЯ» удается только при переходе к новым высокоинтеллектуальным технологиям применения тайных, изменяемых самим человеком биометрических образов. К ним относятся динамические биометрические образы человека, которые имеют неограниченно высокую информативность и могут быть легко изменены по воле человека. Динамические биометрические образы могут быть получены механизмами анализа особенностей голоса, рукописного почерка, клавиатурного почерка [2,3].
Для того, что бы обеспечить дистанционную аутентификацию личности необходимо привлекать биометрические технологии способные безопасно взаимодействовать с другими высоконадежными механизмами по стойкости сопоставимыми с криптографическими. При этом система должна быть дружественной к пользователям, данные механизмы защиты должны быть невидимыми для них. Стойкость защиты, в зависимости от поставленной задачи и сферы применения, может быть ниже криптографической, но она должна быть повсеместной для легитимных пользователей.
Однако при массовом использовании данных высоконадежных механизмов возникают проблемы распределения и хранения личных ключей доступа миллионов пользователей. Эту задачу не удается решить традиционными методами. Сегодня все системы, использующие криптографические механизмы, обладают одной весьма существенной уязвимостью - это длинный, практически неподдающийся запоминанию обычным человеком, ключ. Поэтому ключи записываются на какой-либо физический носитель - специальным образом учтенные бланки, дискеты, Tech Memory, пластиковые карточки и т.д. До тех пор, пока криптографические протоколы использовалась только в интересах государственных структур, такие способы сохранения ключей в тайне, как организация специальной охраны, использования сейфов и др. были приемлемы.
Однако, с расширением круга лиц, пользующихся криптографическими технологиями, такие решения стали слишком дорогими и «тяжелыми». При этом остается проблема полной дистанционной аутентификации личности, так как кража (компрометация) ключа не исключается и тем самым пользователем может оказаться совсем не то лицо, которое должно иметь доступ к информационным ресурсам.
В настоящее время практически все страны, имеющие значимый национальный научно-технический потенциал пытаются решать задачи безопасного хранения криптографических ключей доступа.
Россия и США, являясь лидерами технологий защиты информации, открыто публикуют результаты своих исследований. США идут по пути использования нечеткой математики [4], американские ученые предлагают мировому сообществу специализированные «fuzzy» обогатители (экстракторы) превращающие бедную неоднозначную размытую биометрическую информацию в сильный личный ключ пользователя.
Россией предложено использование системы полностью автоматической высоконадежной биометрико-нейросетевой аутентификации личности, как локальной, так и дистанционной, в открытом информационном пространстве. Ее принцип основан на использовании больших и сверхбольших искусственных нейронных сетей, которые заранее обучаются преобразовывать размытые биометрические данные пользователя в его личный высоконадежный ключ по стойкости сопоставимой с криптографическим ключом [3].
На рисунке 2 представлена блок-схема процедур биометрической аутентификации, с многослойным нейросетевым преобразованием личной биометрии пользователя в криптографический ключ.
Рисунок 2. Блок-схема процедур биометрической аутентификации, выполненных с нейросетевым преобразованием биометрии в ключ
Теория создания преобразователей биометрия/код [2,3,5] позволяет рассчитывать на их высокую стойкость к атакам подбора ключа и попыткам изучения программ. Правильно построенный преобразователь биометрия/код ведет себя как классическая необратимая хэш-функция. Случайные входные биометрические образы нейросетевой преобразователь биометрия/код «хэширует», а заранее заданное множество нечетких образов «Свой» преобразователь свертывает в единственное значение личного криптографического ключа. При этом достаточно сложная многослойная нейронная сеть с 416 входами и 256 выходами позволяет обеспечивать стойкость к атакам случайного подбора на уровне 1022 (22 степень)
попыток.
При использовании биометрико-нейросетевого контейнера исключается небезопасная операция хранения личного ключа пользователя в персональном компьютере дома или в офисе, а также при себе (на дискете или в карманном компьютере) и устраняется процедура «обезличивания» ключа: злоумышленник
не сможет свободно воспользоваться ключом (он не может извлечь ключ из биометрико-нейросетевого контейнера).
Таким образом, можно назвать основные преимущества высоконадежной биометрической аутентификации:
Исключена атака на биометрический шаблон и решающее правило;
Исключена атака на «последний бит» решающего правила, появился надежный стык с криптографией;
Сложность связей программного обеспечения искусственного интеллекта выросла примерно в 100 раз, появилась возможность использования «плохих биометрических данных»;
Вероятность ошибок второго рода снижается на 6 -:- 20 порядков.
Пользователь - сам генерирует ключ с помощью большой сети искусственных нейронов и может само-
стоятельно его изменить;
Отсутствие биометрических данных в чистом виде. В компьютере, в программе доступа, только весовые коэффициенты биометрических данных личности, обработанных нейросетью большого размера;
Использование в мобильных устройствах, высокая стойкость, низкая стоимость, и доступность широкому кругу пользователей.
Еще одним принципиально важным новым свойством новой технологии является ее анонимность. Если в программе будет лежать только обученная нейронная сеть, то по ней нельзя восстановить биометрию и имя ее владельца. Даже если спланировать и осуществить специальную атаку по компрометации анонимности владельца нейросети и по результатам атаки связать конкретную нейросеть с именем ее владельца, то по параметрам этой нейросети следить за человеком всю его оставшуюся жизнь не получится. Если человек изменит свой код ключа доступа или изменит свой биометрический образ, таблицы описания переобученной нейронной сети кардинально меняются. В свою очередь без обеспечения анонимности невозможно создавать действительно надежные системы электронной торговли, электронного банкинга, электронного голосования.
Таким образом, относительно слабая биометрия первого поколения должна иметь ограниченное применение в связи с тем, что она вынуждена хранить большие массивы реальных биометрических образов людей. Хищения подобных больших баз биометрических образов носит катастрофический характер, эта угроза практически эквивалентна «ПЕЧАТИ ЗВЕРЯ». Напротив следующее поколение высоконадежной биометрической защиты [3], фактически снимает угрозу «ПЕЧАТИ ЗВЕРЯ». Базы нейросетевых контейнеров личной биометрико-криптографической информации людей оказываются обезличенными (анонимными) и своим нейросетевым контейнером может воспользоваться только его легальный пользователь. Появляется возможность применения биометрии при защите больших и сверхбольших информационных систем с открытыми каналами связи.
Литература
1. Болл Руд и др. Руководство по биометрии. /Болл Руд, Коннел Джонатан Х., Панканти Шарат, Ратха Налини К., Сеньор Эндрю У. // Москва: Техносфера, 2007. - 368 с.
2. Волчихин В.И., Иванов А.И., Фунтиков В.А. Быстрые алгоритмы обучения нейросетевых механизмов биометрико-криптографической защиты информации. Монография. Пенза: Изд-во Пензенского госу-
дарственного университета, 2005. - 273 с.
3. ГОСТ Р 52633-2006 «Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации»
4. Fuzzy Extractors: How to Generate Strong Keys from Biometrics and Other Noisy Data /Yevgeni Dodis, Leonid Reyzin, Adam Smith // April 13, 2004. www.cs.bu.edu/~reyzin/fuzzy.html
5. Иванов А.И. ГОСТ Р 52633-2006: Россией снята угроза «печати зверя» //В сборнике статей II
Всероссийской научно-практической конференции «Антитеррористическая безопасность». - Пенза: Изд-
во ПДЗ. - 2007, с. 136-138.
