Криптографические и биометрические средства для обеспечения информационной безопасности*

Сергей Грибков
Руководитель проектов компании “Аладдин Р.Д."

Современные технологии способны обеспечить удостоверение личности человека, используя свойственные только ему одному характеристики. Так, отпечатки пальцев, радужная оболочка глаза, голос и т.д. называются "биометрическими характеристиками".

Поскольку отпечаток пальца у каждого человека уникален, его можно использовать в качестве одного из факторов аутентификации в PKI-системах. Биометрический параметр можно использовать совместно с паролем и с устройством аутентификации (смарт-картой) для обеспечения двух- или трехфакторной аутентификации.

Решение, построенное с использованием биометрической аутентификации, максимально комфортно для пользователя, вероятность ошибок минимальна, а время, необходимое для сканирования отпечатка, не превышает секунды. Современные сканеры невозможно обмануть, предъявляя муляж или оттиск.

Биометрическая система идентификации, либо аутентификации реализует функции фиксации биометрических характеристик, выборки предварительно сохраненных биометрических данных (эталонов), сравнения биометрических характеристик с одним эталоном или большим количеством эталонов, принятия решений о соответствии предъявленных данных эталонным, формирования заключения об установлении личности, либо ее подлинности, принятия решений о повторении, окончании или изменении процесса идентификации или аутентификации.

Любая биометрическая система включает, по меньшей мере, одно устройство регистрации биометрической характеристики – считыватель или сканер отпечатков пальцев, сетчатки глаза, и т.п. Полученная устройством информация анализируется и сравнивается с личной информацией человека, записанной ранее. Если данные совпадают, происходит идентификация, либо аутентификация человека.

Основные преимущества, которые предлагают биометрические системы в PKI-инфраструктуре:

• биометрический параметр можно использовать для однофакторной аутентификации пользователя, а также, совместно с паролем или с аутентификационным устройством (таким как смарт-карта) – для усиления аутентификации (до двухфакторной или до трехфакторной);
• для пользователя биометрическая аутентификация обычно является самым легким и простым способом прохождения аутентификации;
• физиологические биометрические характеристики обычно неизменны в течение жизни человека и не могут быть изменены без существенного воздействия на человека;
• все вычисления происходят "на борту" смарт-карты.

Существуют следующие комбинации аутентификационных факторов: смарт-карта + PIN-код; смарт-карта + отпечаток пальца; смарт-карта + PIN-код + отпечаток пальца.

Биометрическую аутентификацию можно совместить с требованием ввода пользователем пароля для смарт-карты (PIN-кода). Совместное использование биометрических данных и пароля обеспечивает надежную трехфакторную аутентификацию. Для усиления безопасности рекомендуется использовать пароль, не ограничиваясь только отпечатком пальца.

В основе технологии лежит архитектура Match-on-Card, при которой все вычисления производятся на смарт-карте. Важным преимуществом такой архитектуры является то, что хранение цифровых образцов отпечатков и принятие решения свой/чужой выполняются в защищенной области смарт-карты, а не на сервере биометрической идентификации. Цифровые образы отпечатков никуда не пересылаются. Кроме этого, не создаются биометрические базы данных пользователей. Таким образом, даже администраторы системы не имеют доступа к биометрической информации сотрудников.

В настоящее время решения биометрической аутентификации Match-on-Card успешно внедряются крупнейшими мировыми компаниями.

В числе ключевых особенностей биометрической технологии Match-on-Card можно выделить:

• Биометрические данные используются только для получения доступа к смарт-карте. Для доступа к информационным ресурсам используются данные, хранящиеся в памяти смарт-карты (например, цифровые сертификаты и закрытые ключи пользователя).
• В процессе эксплуатации не используются, не создаются, не сохраняются и не обрабатываются биометрические персональные данные пользователей. Рисунок отпечатка пальца не хранится. В памяти смарт-карты сохраняется только результат его необратимого одностороннего математического преобразования – эталонный шаблон. По эталонному шаблону невозможно восстановить рисунок отпечатка пальца.
• Нет серверов хранения эталонных шаблонов: эталонные шаблоны каждого пользователя хранятся только в его смарт-карте.
• Нет серверов биометрической аутентификации: сравнение предъявленного отпечатка пальца (контрольного шаблона) с эталонным шаблоном происходит в самой смарт-карте.

"Аладдин Р.Д." является компанией-экспертом, специализирующимся на решении задач аутентификации и защиты персональных данных. Компания стремится к тому, чтобы предлагаемые продукты и решения шли в "ногу со временем", становясь лидерами своих сегментов. Отвечая потребностям и реалиям рынка, "Аладдин Р.Д." имеет в своем арсенале смарт-карты с биометрической технологией Match-on-Card, отвечающие всем требованиям и стандартам.