Учебники 80287
.pdfФГБОУ ВПО «Воронежский государственный технический университет»
Ю.К. Язов О.А. Остапенко А.И. Иванов В.А. Фунтиков
ОСНОВЫ ТЕОРИИ БЕЗОПАСНОГО ПРЕОБРАЗОВАНИЯ БИОМЕТРИЧЕСКИХ ДАННЫХ В КОД ЛИЧНОГО
КЛЮЧА ДОСТУПА
Утверждено Редакционно-издательским советом университета в качестве учебного пособия
Воронеж 2014
УДК 004.056.5
Основы теории безопасного преобразования биометрических данных в код личного ключа доступа: учеб. пособие [Электронный ресурс]. – Электрон. текстовые, граф. данные (1,47 Мб) / Ю.К. Язов, О.А. Остапенко, А.И. Иванов, В.А. Фунтиков. Воронеж: ФГБОУ ВПО «Воронежский государственный технический университет», 2014. – 1электрон.опт. диск (CD-ROM). – Систем. требования: ПК
500 и выше ; 256 Мб ОЗУ ; WindowsXP; Adobe Reader; 1024x768 ; CD-ROM ; мышь. – Загл. с экрана. – Диск и сопровод. материал помещены в контейнер 12x14 см.
Учебное пособие помогает освоить основы биометрической аутентификации личности в сети Интернет и иных открытых информационных пространствах. Изложение материала ведётся в общедоступной форме, ориентированной на уровень знаний студентов и аспирантов, изучающих искусственные нейронные сети самостоятельно или в рамках университетского курса по применению искусственных нейронных сетей для защиты информации.
Издание соответствует требованиям Федерального государственного образовательного стандарта высшего профессионального образования по специальностям 090301 «Компьютерная безопасность», дисциплине «Информационно-психологическая безопасность», 090302 «Информационная безопасность телекоммуникационных систем», дисциплине «Проектирование защищенных телекоммуникационных систем», 090303 «Информационная безопасность автоматизированных систем», дисциплине «Информационная безопасность распределенных информационных систем».
Табл. 6. Ил. 41. Библиогр.: 21 назв. Рецензенты: ОАО «Концерн «Созвездие»
(канд. техн. наук, ст. науч. сотрудник О.В. Поздышева); д-р техн. наук, проф. О.Н. Чопоров
©Язов Ю.К., Остапенко О.А., Иванов А.И., Фунтиков В.А., 2014
©Оформление. ФГБОУ ВПО «Воронежский государственный
технический университет», 2014
ВВЕДЕНИЕ
Внастоящее время активно идут процессы информатизации современного общества. Практически все государства декларируют свое стремление создавать электронные правительства для оказания электронных услуг своим гражданам. Интернетпортал электронного правительства страны, области, района, города, поселка будет отличаться от обычных веб-сайтов только тем, что к ним должно быть обеспечено высокое доверие. Гражданин должен быть уверен в том, что он обращается именно к своему электронному правительству, а электронное правительство должно быть уверено в том, что оно отсылает свои ответы не роботу, а именно тому гражданину, который ранее обратился. Эта задача не является тривиальной.
Вобычном мире представитель правительства проверяет полномочия гражданина, пользуясь его паспортом.
Ввиртуальном мире все оказывается сложнее: там пользоваться сканированной копией паспорта нельзя, даже если это биометрический паспорт с «радиочитаемой» микросхемой. Персональные биометрические данные человека, записанные в микросхеме, нельзя применять в Интернетпространстве. Для Интернета и других открытых сетей необходимо создавать специальные Интернет-паспорта или иные «электронные удостоверения личности», которые, с одной стороны, будут содержать биометрические данные, а с другой стороны – представлять собой некоторые криптографические конструкции, защищающие конфиденциальность персональных биометрических данных своих хозяев.
Одной из важнейших особенностей всех электронных документов является то, что они могут иметь неограниченное число равноценных копий. Такое понятие как
3
«оригинал» электронного документа является анахронизмом. Любая копия электронного документа – это его оригинал, который может быть проверен по содержащейся в нем цифровой подписи. То есть в ближайшем будущем мы столкнемся с огромным числом электронных Интернетпаспортов (электронных удостоверений личности), созданных для авторизованного взаимодействия гражданина
сгосударственными и негосударственными средствами предоставления ему значимых услуг по сети Интернет.
Скорее всего, роль электронных паспортов (электронных удостоверений личности) будут играть личные электронные кабинеты, созданные взаимными усилиями гражданина и организаций, предоставляющих ему значимые Интернет-услуги. Каждый из нас имеет банковскую карту и счет в банке. С января 2014 все банки России должны авторизовано оповещать своих клиентов о снятых
сих счета платежах. Сделать это безопасно можно только через личный электронный кабинет. Оперативно оповестить о факте списания (поступления) денег можно SMSсообщением или электронным письмом, но по этим открытым каналам связи нельзя указывать суммы списаний (поступлений) и адреса получателей (источников) денежных средств.
То же самое относится к «Федеральной налоговой службе» и «Службе судебных приставов»: эти государственные структуры обязаны своевременно оповещать граждан, попавших в их поле зрения, о всех значимых для них правовых действиях в ближайшее время и уже существующих претензиях. Сделать это проще всего через личные кабинеты каждого налогоплательщика или должника.
Все изложенное выше относится к любому значимому источнику информации, будь то городское или поселковое «электронное правительство», избирательная ко-
4
миссия, поликлиника, отделение ГИБДД, военкоматы, университеты или обычные школы. Все источники значимой для личности, оперативно меняющейся информации вынуждены будут создавать виртуальные личные электронные кабинеты гражданина и отвечать за их информационную безопасность. Там, где сегодня мы получаем кассовый чек при каждой покупке, завтра мы будем извещаться о всех действиях, касающихся каждого из нас, проведенных банком, медицинским учреждением, налоговым органом или ГИБДД. Возникает некоторая специфическая информационная система множества личных электронных кабинетов, отображенная ниже (рис. 1).
Личный кабинет в |
Личный кабинет в |
Личный кабинет в |
Пенсионном фонде |
БАНКЕ-1 |
ГИБДД |
Личный кабинет в |
|
Личный кабинет |
Налоговой инспекции |
|
«Службы судебных |
|
|
приставов» |
Личный кабинет в |
|
Личный кабинет |
Университете |
|
|
|
в БАНКЕ-2 |
|
|
|
|
Личный кабинет |
|
Личный кабинет |
|
|
|
успеваемости детей |
|
коммунальных |
|
|
|
в школе |
|
платежей |
|
|
|
|
Личный кабинет |
|
Личный кабинет в |
контроля оплаты |
Личный кабинет в |
поликлинике |
Интернет связи |
электронном БАНКЕ-3 |
Рис. 1. Множество правительственных и частных личных электронных кабинетов, поддерживающих оперативную авторизованную Интернет-связь с личностью потребителя значимых виртуальных услуг
5
Основной проблемой системы электронных кабинетов является их слабая защита: как правило, они защищены короткими легко запоминаемыми паролями. Такие пароли легко подбираются злоумышленниками. Короткие пароли удобны для запоминания, однако они порождают только иллюзию защищенности, не являясь на самом деле серьезным препятствием для хакеров.
Таким образом, традиционных мер защиты для указанных электронных кабинетов сегодня оказывается недостаточно. Одним из наиболее перспективных направлений совершенствования такой защиты является применение высоконадежной биометрической аутентификации.
Данное учебное пособие помогает освоить основы биометрической аутентификации личности в сети Интернет и иных открытых информационных пространствах. Дан общий обзор проблем, связанных с быстрым автоматическим обучением нейронных сетей по ГОСТ Р 52633.5 и их тестированием по ГОСТ Р 52633.3. Пособие построено в форме комментариев к лабораторным работам, которые выполняются в среде моделирования «БиоНейроАвтограф» [1], бесплатно предоставляемой учебным заведениям Белоруссии, России, Казахстана. Изложение материала ведётся в общедоступной форме, ориентированной на уровень знаний студентов и аспирантов, изучающих искусственные нейронные сети самостоятельно или в рамках университетского курса по применению искусственных нейронных сетей для защиты информации.
6
1. ОБЩИЕ ПОЛОЖЕНИЯ БИОМЕТРИЧЕСКОЙ АУТЕНТИФИКАЦИИ
1.1. Необходимость в биометрической авторизации значимых действий в сети Интернет
Безопасность личной информации электронных кабинетов может быть обеспечена только совместными усилиями владельца кабинета и владельца сервера, на котором этот кабинет размещен. Для того чтобы обезопасить свою информацию от посягательств злоумышленников, владелец личного кабинета должен использовать длинный пароль доступа, состоящий из 32 случайных знаков. Запоминать длинный пароль из 32 случайных знаков не обязательно, можно его записать в хранителе паролей, который хранится на локальной машине и закрыт коротким паролем. Можно пойти по другому пути: дополнительно закрыть доступ к хранителю паролей средствами биометрической аутентификации. При этом в программном хранителе длинных паролей могут быть использованы уже имеющиеся в компьютере средства ввода биометрических данных (чувствительный экран компьютера, встроенная видео-камера, манипулятор «мышь», встроенный микрофон).
При этом важно осознать, что имеется возможность организации биометрической защиты личной информации даже с использованием манипулятора «мышь». Такое осознание придет после выполнения соответствующей лабораторной работы (раздел 4.2 данного учебного пособия). Даже один рукописный символ «а» удается связать с любым случайным паролем из 32 символов. Если написать своей рукой нужный графический символ, можно получить свой пароль. Если Вы не знаете, какой графический
7
образ следует воспроизвести, создать правильный пароль не получится. Эта ситуация отображена на рис. 1.1 и 1.2. В верхней части этого рисунка отображена ситуация ввода манипулятором «мышь» верного мини-пароля из одного графического символа. В нижней части рисунка отображена ситуация ввода случайного графического символа, приводящая к ошибке, оставляющей 80 бит из 256 бит.
Рис. 1.1. Пример нейросетевого связывание графики простейшего рукописного образ «а» со случайным паролем длинной 256 бит (32 случайных знака)
8
Рис. 1.2. Пример нейросетевого связывание графики простейшего рукописного образ «а» со случайным паролем длинной 256 бит (32 случайных знака)
Получается, что простейшей биометрической защиты длинных паролей доступа вполне достаточно для защиты своих личных кабинетов от хакеров в сети Интернет. Хакеры атакуют пароли доступа, ожидая, что они короткие. Если хакеру известно, что пароль длинный или защита данных осуществлена на длинном криптографическом ключе, атаки на них прекращаются.
Стойкость биометрической защиты не имеет значе-
9
ния, если Вы доверяете, окружающим Вас людям. Когда такого доверия нет, должна применяться биометрическая защита, в ходе которой используются специальные средства ввода биометрического образа «Свой». Например, могут применяться сканеры рисунка отпечатка пальца, сканеры кровеносных сосудов руки, сканер радужной оболочки глаза, специальный графический планшет, сканер геометрии трехмерной маски лица человека.
1.2. Корпоративные биометрические удостоверяющие центры и центры биометрической авторизации шаговой доступности
Банк или медицинское учреждение должны быть уверены в том, что свой личный кабинет на их сайтах посещает только его подлинный хозяин. Та же самая уверенность должна быть и у «электронного правительства», например, в лице чиновников Министерства здравоохранения и социального развития. Однако, у человека должна оставаться возможность зайти на сайт своей региональной пенсионной службы и на калькуляторе этого сайта вычислить размер своей будущей пенсии, несмотря на то, что формула для вычисления будущей пенсии усложняется. Технологически гарантированная авторизация доступа к информации личного электронного кабинета осуществима, если при заключении договора с банком его клиент выполнил биометрическую регистрацию своего образа в удостоверяющем центре банка.
Не следует путать корпоративный биометрический удостоверяющий центр банка с обычным удостоверяющим центром. У них совершенно разные функции. Обычный удостоверяющий центр компенсирует свои будущие расходы заранее, взимая авансом платеж за свои услуги по
10