Аутентификация контрагентов в электронной коммерции
– Почерк обвиняемого? – спросил другой присяжный.
– Нет, – отвечал Белый Кролик. – И это всего подозрительней.
(Присяжные растерялись)
– Значит, подделал почерк, – заметил Король.
(Присяжные просветлели)
Английский писатель Луис Кэрролл
Все любят разгадывать других, но никто не любит быть разгаданным.
Французский писательФ. Ларошфуко
Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений.
Конституция РФ, статья 23, п. 2
Аутентификация – процесс идентификации, позволяющий удостовериться в личности стороны, желающей получить интерактивный доступ к информации, услугам, заключить сделку и т.п. Аутентификация даёт гарантию того, что стороны впоследствии не смогут отрицать своего участия в сделке. Выполняется для обеспечения безопасности и гарантирования исполнения сделок, основывается на использовании паролей, специальных карточек, алгоритмах электронной цифровой подписи (ЭЦП) и др.
Самый распространенный вид аутентификации – использование некоего идентификатора, например, имени пользователя и его пароля.
В качестве пароля может использоваться некая секретная информация:
1) Общий многоразовый ключ: сервер электронной коммерции хранит некий ключ, пользователь при обращении к серверу указывает свой пароль (ключ), сервер электронной коммерции сверяет его со своей записью и в случае совпадения считает, что у пользователя есть права, ассоциированные с данным ключом.
Легкость реализации данного метода способствует его широкому применению, однако пароль необходимо передавать с места, где находится пользователь, на компьютер, где установлена система аутентификации, и если канал передачи не обеспечивает механизмов защиты, то при пересылке пароль может быть перехвачен.
Чтобы не допустить этого, используется механизм, основанный на принципе «запрос-ответ». Суть данного метода состоит в том, что пользователю посылается случайная последовательность данных, которую пользователь шифрует своим паролем (естественно, эти операции пользователь делает не непосредственно, а при помощи некой программы-клиента). Результирующие данные отправляются на сервер, который их расшифровывает, после чего сверяет полученный результат с отправленными данными.
Основной недостаток парольной аутентификации, основанной на методе «запрос-ответ», состоит в том, что идентификационные данные пользователей должны храниться на сервере аутентификации в открытом виде, что создает возможность получения к ним доступа злоумышленников.
Аутентификация на базе аппаратных средств – надежное, но более дорогое и потому менее распространенное решение. Для удостоверения личности используются специализированные аппаратные средства хранения и генерации идентификационных данных пользователя. Наиболее распространены смарт-карты, токены и устройства генерации одноразовых паролей. По сравнению с парольной данный вид аутентификации является более защищенным за счет того, что аутентифицироваться может только тот пользователь, который обладает аппаратным носителем идентификационной информации. Кроме того, отпадает необходимость в запоминании (записывании) сложных для пользователей паролей, что создает возможность несанкционированного доступа.
Смарт-карты представляют собой пластиковые карты, оснащенные микросхемой с микропроцессором и способные хранить данные пользователя. При аутентификации пользователь вставляет карту в специальное устройство, считывающее данные с нее (устройство подключается к компьютеру). Информация на карте может быть защищена паролем, что обеспечивает повышенный уровень безопасности.
Токены – аппаратные средства, состоящие из микросхемы на некоем компактном носителе, предназначенные для хранения идентификационных данных. Данные, записанные на токене, считываются с помощью адаптера, который подсоединяется к компьютеру пользователя или непосредственно через USB-порт компьютера. Во время аутентификации пользователь должен подключить токен к USB-порту (или адаптеру) своего компьютера и ввести пароль доступа к токену. Применение токенов, работающих через USB-порт экономически более выгодно, поскольку не требует приобретения дополнительного оборудования для чтения информации.
Методы биометрической аутентификации наименее распространены. Они сложны и дорогостоящи, но обеспечивают очень высокую надежность. При использовании данных методов аутентификация осуществляется по определенным физическим характеристикам индивидуума, например, по отпечаткам пальцев или сетчатке глаза.
Такие средства очень удобны и надежны с точки зрения информационной безопасности и администрирования, так как пароль может быть утерян или стать легкодоступным злоумышленникам, а биометрические признаки уникальны.
В подобных решениях основная опасность заключается в возможности кражи цифрового варианта биометрической информации, что позволяет обойти систему безопасности. По этой причине данный метод практически не применяется для аутентификации в интернет-коммерции. Другой недостаток – ограниченность сферы применения. Методы биометрической аутентификации не подходят для юридических лиц и виртуальных агентов.
2) Общие одноразовые ключи. Большой срок жизни пароля приводит к опасности его раскрытия. Поэтому часто вместо одного ключа выдаётся целый список. Этот список может иметь форму бумажного блокнота, программы или быть выполненным аппаратно, в виде маленького калькулятора – устройства генерации одноразовых паролей. В последнем случае сервер электронной коммерции присылает запрос, который вводится в устройство генерации одноразовых паролей (в некоторых случаях такое устройство оснащается считывающим устройством штрих-кодов, которое считывает закодированный в штриховую последовательность запрос с экрана компьютера), а на выходе, по некоторому алгоритму, генерируется ответ, вводимый в компьютер вручную. Существуют также устройства генерации одноразовых паролей, непосредственно подключающиеся к компьютеру.
3) Принципиальной проблемой одноразовых и многоразовых симметричных ключей является недоказуемость факта совершения операции пользователем, а не третьим лицом. Так как при использовании симметричного шифрования оба контрагента должны знать ключ, возникает возможность фальсификации одной из сторон сообщений, присланных от другой стороны. Решение данной проблемы – использование алгоритмов с разделяемыми секретами (ключами), на основе цифровых сертификатов и цифровой подписи.
Цифровая подпись – код, который однозначно идентифицирует автора и является электронным эквивалентом собственноручной письменной подписи, Используется для аутентификации автора документа, к которому приложена цифровая подпись, а также удостоверяет отсутствие изменений в документе с момента его подписания. Механизм применения ЭЦП включает два криптографических преобразования: формирование ЭЦП под документом и проверка её подлинности.
Цифровая подпись реализуется так называемой криптографией с открытым ключом (асимметричной криптографией).
Криптография с открытым ключом– класс асимметричных криптографических методов, использующих двуключевые шифры: открытый и закрытый ключи. Открытый ключ владелец пары сообщает всем своим корреспондентам для декодирования получаемых от него сообщений, кодирования направляемых ему сообщений и проверки подлинности его ЭЦП под сообщениями. Закрытый ключ известен только его владельцу и используется для создания ЭЦП под документами и сообщениями и расшифровки сообщений, зашифрованных открытым ключом.
Таблица 8
Дата добавления: 2015-08-26; просмотров: 1464;