Аутентификация

Секретность и анонимность могут быть важны для нашего общественного и дело­вого благосостояния, но аутентификация необходима для выживания. Аутенти­фикация, давая информацию о том, кому можно и кому нельзя доверять, служит непрерывному возобновлению отношений, придающих смысл сложному миру. Даже животные нуждаются в аутентификации запаха, звука, касания. Возможно, сама жизнь — это распознавание молекулярного состава ферментов, антител и т. д.

Люди аутентифицируют себя огромное количество раз в день. При входе в ком­пьютерную систему, вы подтверждаете свою подлинность компьютеру. В 1997 году управление социального обеспечения пробовало ввести данные людей в сеть; они прекратили это после жалоб на то, что номер социального обеспечения и девичья фамилия матери не являются достаточно хорошими опознавательными средства­ми и что у людей будет возможность читать данные других людей. Компьютер так­же должен подтвердить свою подлинность вам; в противном случае как вы узнае­те, что это ваш компьютер, а не какой-нибудь самозванец?

Посмотрите на среднего человека на улице, собирающегося купить пирог. Он рассматривает витрину за витриной, ища тот магазин, в котором продают пироги. Или, возможно, он уже знает свою любимую булочную, но еще только идет туда. В любом случае, когда он добирается до магазина, он подтверждает подлинность того, что это — правильный магазин. Аутентификация сенсорная: он видит пироги в меню, чувствует их запах в воздухе, магазин выглядит точно так же, как тогда, когда он последний раз был в нем.

Человек говорит с продавцом магазина и спрашивает о пироге. В некоторой степени оба аутентифицируют друг друга. Продавец хочет знать, способен ли кли­ент заплатить. Если клиент одет в тряпье, продавец может попросить, чтобы он ушел (или, по крайней мере, заплатил сразу). Если клиент носит лыжную маску и размахивает АК-47, продавец, скорее всего, убежит сам.

Клиент также аутентифицирует подлинность торговца. Он на самом деле про­давец? Он продаст мне пирог или даст мне только кучу опилок в булочке? Что сказать о булочной? В наличии есть некое свидетельство о чистоте, подписанное местным санитарным инспектором, оно висит где-то на стене, если вдруг клиент захочет проверить. Но чаще клиент доверяет своим инстинктам. Мы все уходим из булочной, если нам не понравилось «ощущение» этого места.

Торговец вручит пирог, а клиент заплатит 5 долларов по счету. Еще большая аутентификация. Действительно ли этот счет подлинный? Выглядит ли этот пи­рог съедобным? У нас настолько хорошо развита зрительная (и обонятельная) аутентификация, что мы не задумываемся об этом, но поступаем так все время. Клиент получит сдачу, посмотрит на чек, чтобы удостовериться, что он пробит за­конным предпринимателем, и положит его в карман.

Если бы клиент платил по кредитной карте, за этим последовало бы еще боль­ше аутентификации. Торговец прогнал бы карту через считывающее контрольное устройство, которое связалось бы с центральным сервером, и убедился бы, что счет действителен и кредита на нем достаточно для покупки. Торговец исследовал бы карту, чтобы убедиться, что это не подделка, и проверил бы подпись на ее оборот­ной стороне. (Большинство торговцев, правда, не будут так беспокоиться, особен­но если сделка незначительна по сумме.)

Если бы клиент платил чеком, был бы другой опознавательный ритуал. Торго­вец посмотрел бы на чек и, возможно, спросил бы клиента о некоторых идентифи­кационных данных. Он мог бы записать номер водительского удостоверения клиен­та и номер его телефона на обороте чека или, допустим, номер кредитной карточки клиента. Ни одно из этих ухищрений фактически не позволяет сделать вывод, что чек действителен, но помогает проследить за клиентом в случае, если возникнут проблемы.

Подделка аутентификации может быть очень выгодна. В 1988 году Томпсон Сандерс был осужден за обман Чикагского управления торговли. Он изображал торговца — полного, в парике, с бородой и поддельными документами. Этот под­дельный торговец разместил большие рискованные заказы, затем заявил свои пра­ва на те, которые были выгодны, а от тех, с кем сделки оказались убыточными, просто скрылся. Брокеры, участвовавшие в этих сделках с другой стороны, были не способны определить, кто участвовал в торге, и понесли ответственность за ущерб.

Вернемся к нашему торговцу. Приходит другая клиентка. Она и торговец — старые друзья. Каждый из них знает другого в лицо. Это — здравая система под­тверждения: они узнают друг друга даже при том, что у нее новая прическа, а он носит новый парик и очки. Супергерои понимают это и носят маски, чтобы сохра­нить свою личность в секрете. Это больше подходит для комиксов, чем для реаль­ной жизни, потому что аутентификация — это не только распознавание лица (ина­че слепой никогда никого не узнал бы). Люди помнят голос друг друга, фигуру, особенности и т. д. Если торговец говорит со своим другом по телефону, они могут подтвердить личности друг друга вообще без визуального контакта. Специальный уполномоченный Гордон должен был понять, что Брюс Уэйн — на самом деле Бэт-! ман, просто потому, что они так часто разговаривали по телефону.

В любом случае наш клиент, купивший пирог, закончил его есть. Он произно­сит «до свидания», будучи уверенным в том, что говорит это тому же самому про­давцу, который обслуживал его. Он выходит через ту же самую дверь, в которую вошел, и идет домой.

Все достаточно просто, потому что каждый бывал в таких магазинчиках. Пла­тон не доверял написанному, потому что не мог определить, что является правдой, если человек не находится прямо перед ним. Что бы он сказал о Всемирной Сети: никакого голоса, никаких лиц... только биты.

Тот же самый клиент, купивший пирог, теперь возымел желание купить что-нибудь менее скоропортящееся — рецепт приготовления пирога, например. Для этих поисков он заходит в Сеть, пользуется своим испытанным поисковым серве­ром и находит несколько веб-сайтов, где продаются рецепты пирогов. Все они при­нимают к оплате кредитные карточки через Интернет или позволяют сделать за­каз по почте. Все они обещают доставку в три-четыре дня. Что теперь?

Как бедный клиент узнает, можно ли им доверять? Потребуется немного уси­лий, чтобы просмотреть предложения: в Сети любой может сделать это в течение нескольких минут. Но какие из продавцов честны, а какие занимаются жульниче­ством? URL — указатель информационного ресурса (строка символов, указываю­щая на местонахождение документа в Интернете) мог бы быть именем продавца рецептов, которому можно доверять, но где гарантия, что сайт действительно со­ответствует тому самому доверенному имени? У Северо-Западных авиалиний есть веб-сайты, где можно купить авиабилеты: www.nwa.com. До недавнего времени у туристических агентов был веб-сайт www.northwest-airlines.com. Сколько людей купили билеты у последних, думая, что покупают их у первых? (Многие компа­нии не знают доменных имен своих тезок.) Некоторые компании помещают имена своих конкурентов в описание своих веб-сайтов (обычно скрытые) в надежде об­мануть поисковые серверы. Internic.net. где вы собираетесь зарегистрировать до­менное имя, — не то же самое, что Internic.com. Последний возник как надуватель­ство, сформировавшись внутри Internic Software, и в настоящее время якобы регистрирует имена доменов. Хозяева, вероятно, сделают значительный бизнес за счет создания путаницы. Есть даже более мрачное предположение: кто может ска­зать, что некий незаконный хакер не убедил программу просмотра отображать один URL вместо другого?

Клиент находит веб-сайт, который выглядит подходящим, и выбирает рецепт пирога. Теперь он должен заплатить торговцу. Если он покупает что-либо цен­ное, то в этом случае нужна серьезная аутентификация. (Если он тратит 25 цен­тов на виртуальную газету, все немного проще.) Действительны ли эти элект­ронные деньги? Действительна ли эта кредитная карточка и есть ли у клиента право выписывать электронный чек? Некоторые торговцы, работающие непос­редственно с клиентом, просят показать водительские права перед тем, как при­нять чек; а что же может проверить цифровой торговец перед принятием элект­ронного чека?

Наиболее важной проблемой безопасности является аутентификация через цифровые сети. Здесь может быть также много различных решений, как и различ­ных требований. Некоторые решения должны быть сильными и весомыми, чтобы защитить миллионы долларов. Для других это не обязательно: например, аутенти­фикация дисконтной карты торговца. Некоторые решения подразумевают аноним­ность — наличные деньги или карту, которая пускает вас в специфическую область сети, не требующую обязательного раскрытия вашего имени, — в то время как дру­гие нуждаются в строгой системе аутентификации. Большинство будут стремить­ся к интернациональности: сетевой паспорт, системы, используемые для междуна­родной торговли, цифровые подписи или международные контракты и соглашения.

Часто аутентификация осуществляется невидимо для пользователя. Когда вы используете свой телефон (или платный телевизионный канал), то аутентифици-' руете себя в сети так, чтобы было известно, кому выставлять счет. Военная авиа­ция имеет системы IFF (позволяющие узнать — друг перед вами или враг) для опознавания своих собственных и союзных самолетов системами ПВО. Тахогра­фы, применяемые повсюду в грузовиках в Европе, чтобы заставить водителей соблюдать правила — такие, как принудительный отдых, — используют методы аутентификации, чтобы предотвратить мошенничество. Предоплата электричества в Великобритании — другой пример.

Когда думаете об аутентификации, держите в уме два ее различных типа. Они могут выглядеть похожими, но техника их использования очень различна. Пер­вый — это аутентификация сеанса: беседа лицом к лицу или по телефону, или через IRC (международную линию передачи документальной информации). Се­ансами также могут быть разовые посещения интернет-магазина. Метод аутенти­фикации здесь — это сравнение отдельных диалогов: является ли лицо, сказавшее что-либо сейчас, тем же самым лицом, сказавшим что-либо ранее? (Это легко сде­лать при переговорах по телефону или при личной встрече — если голос и вне­шность те же самые, то, вероятно, это один и тот же человек. В Сети значительно сложнее.)

Второй — это аутентификация транзакции: покупки с использованием кре­дитной карты, частично денежное обращение. Аутентифицируется здесь действи­тельность сделки: признают ее стороны или же будет вызвана полиция. Споры при обсуждении этой стороны вопроса одни и те же, осуществляется сделка через Сеть, по телефону или же при личном контакте. Неважно, идет ли речь о проверке чека на 100 долларов торговцем, который должен удостовериться, что чек не поддель­ный, или о сопоставлении подписи на кредитной карточке с подписью в регистра­ционной карточке продаж.

Предлагаю ознакомиться с аналогичными статьями:

Защита информации

• Злонамеренные посвященные лица
• Основы парольной защиты
• Электронная цифровая подпись (ЭЦП)
• Теоретические основы криптосистем с открытым ключом
• Теоретические основы криптоалгоритмов на базе сети Фейштеля

интересное

• Интерфейс клавиатуры
• Семиотическая база знаний
• Метауровень описания
• Основная семиотическая конструкция: треугольник Фреге
• Понятие о системе оптимального проектирования. Особенности организации программного комплекса.
• Определение системных ресурсов ПЭВМ

Алгоритмы

• Метод золотого сечения
• Поиск минимума функции методами исключения интервалов.
• Изучение и практическое применение методов приближения функций.
• Динамические ОЗУ.
• Регулярные выражения. Свойства регулярных выражений