О проблеме достоверности идентификации пользователя при удалённом электронном взаимодействии

Рассмотрена задача исследования достоверности идентификации пользователя при удалённом электронном взаимодействии. Разработана методика определения ошибок идентификации. Показана необходимость использования биометрических методов идентификации для снижения уровня ошибок идентификации. Обоснована задача доработки нормативной базы в части регулирования идентификации пользователя при удалённом электронном взаимодействии.

Вопросы идентификации сторон при удалённом электронном взаимодействии (УЭВ) в связи с развитием информатизации общества [1] занимают одно из первых мест по актуальности. К числу особенно сложных и до сих пор не до конца решённых проблем безопасности относится надёжная идентификация субъектов и объектов при УЭВ. Действительно, в целях противодействия нарастающему мошенничеству весьма важно знать, какой именно субъект находится на другой стороне сеанса взаимодействия. Несмотря на обилие западных нормативных документов, регулирующих процессы идентификации и аутентификации, рассмотренных в работе [2], вопросы достоверности идентификации до конца не решены. Под достоверностью идентификации будем понимать общую точность и полноту идентификационной информации об объекте. Достоверность идентификации обратно пропорциональна вероятности возникновения ошибок в информационной системе.

Схема идентификации должна быть удобной для применения пользователями и простой для организации онлайн-сервисов. Общие вопросы идентификации и аутентификации рассмотрены в работе [3], однако вопросы достоверности идентификации не вошли в данное исследование. В работе [4] изучены общие методы анализа надёжности применительно к процессам аутентификации, которые были применены к задаче идентификации рисков в работе [5]. Одним из выводов перечисленных работ явилось установление факта отсутствия типовых схем, математических моделей и подходов к анализу надёжности и достоверности идентификации при УЭВ. Мало того, как показано в работе [1], отечественная нормативная база по вопросам идентификации субъектов при УЭВ и доступе к онлайн-сервисам нуждается в серьёзной доработке. Целью данной работы является разработка модели и методики оценки достоверности идентификации пользователя при УЭВ.

Модель исследования электронной идентификации. Формализуем процесс идентификации. Существующие системы идентификации (СИ), как правило, используют последовательные запросы на соответствие предъявленного субъектом идентификатора Idi с занесенным ранее в базу данных. Типовая схема идентификации представлена на рис.1.

Предъявленный субъектом идентификатор принимается системой идентификации и аутентификации (СИА), которая высылает автоматический запрос в базу данных идентификаторов. Если предъявленный идентификатор Idi совпадает с находящемся в базе Idj , т.е. Idi=Idj , то идентификация считается пройденной успешно. В агрессивной к атакам среде сравниваться могут не сами значения Idi , а их свертки (хеши). Современные СИА могут быть настроены на использование не одного, а нескольких идентификаторов – избыточность числа идентификаторов делается с целью повышения надёжности процесса идентификации. Рассмотрим СИ - подсистему СИА, отвечающую только за процесс идентификации.

Количество идентификаторов в процессе их предъявления взаимодействующей стороне (чаще всего это информационной ресурс - сервер) может быть n = 1,2,3. Случаи n>3 на практике встречаются весьма нечасто, однако покажем, что предлагаемые в данной работе подходы легко могут быть распространены на любое n. Предположим, что в базе данных находится N зарегистрированных идентификаторов:

В такой системе критерием успешной идентификации будет совпадение не одного, а заданного числа n предъявленных идентификаторов. Рассмотрим эту типовую модель процесса последовательного предъявления и проверки идентификаторов с точки зрения теории надёжности информационных систем.

Согласно основным положениям теории структурной надёжности [6] сначала определим условия работоспособности системы и сформулируем критерии отказа. Предполагается, что элементы (в рассматриваемом случае ci – процедуры идентификации по Idi, i=1,2,3.) отказывают независимо друг от друга, т. е. отказ любых элементов не изменяет надёжности остальных элементов.

Другими словами, вероятность безотказной работы системы идентификации в данном случае всегда меньше, чем вероятность отсутствия отказов самого ненадёжного элемента. Она существенно возрастает при увеличении надёжности самого ненадёжного элемента.

При этом априори должны выполняться 2 условия:

• "Доверенный" источник (база данных идентификаторов);
• "Доверенные" процедуры идентификации.

На практике оба условия выполняются не в полной мере, лишь с какой-то долей вероятности.

В теории идентификации рассматривают ошибки первого и второго рода.

Ошибка первого рода состоит в том, что в результате проведенной идентификации пользователя не идентифицировали как легального зарегистрированного пользователя в системе. Это может случиться, например, в результате наличия "двойника" и/или сбоя при сравнении отдельного идентификационного параметра (параметров), превышения заданного уровня ошибок и сбоев в работе самой системы. В терминах теории надёжности такое событие может трактоваться как отказ системы идентификации.

Ошибка второго рода применительно к задаче идентификации может быть сформулирована как идентификация злоумышленника под видом легального пользователя системы. Применительно к задаче оценки надёжности системы такое событие определим как опасный отказ.

Оценки вероятности наступления отказа и опасного отказа лучше проводить для конкретной системы с заданными характеристиками. При этом можно воспользоваться математическими моделями надёжности, разработанными в работе [7].

Приведём пример идентификации субъекта взаимодействия по двум представленным документам (идентификаторам). Предположим, что вероятность ошибки идентификации по первому идентификатору составляет 10 в -4 степени, по второму - 10 в -6 степени. Тогда суммарная вероятность ошибки идентификации составит Р = 10 в -10 степени. С учётом того, что население Российской Федерации оценивается в 140 млн. человек, т.е.1,4×10 в 8 степени, вероятная суммарная ошибка идентификации составит 1,4%. Однако эти примитивные оценки справедливы при условии так называемых "доверенных" источников и процессов идентификации. При недостаточной степени достоверности идентификации по выбранным параметрам необходимо вводить дополнительные идентификационные признаки, а в приведенную формулу добавлять поправочные коэффициенты. Для проведения практических оценок этот процесс проще всего свести к рассмотрению вероятностных интервалов ожидаемых значений для всех (в том числе добавленных) pi. Например, в условиях недостаточной достоверности в рассмотренном примере вероятность ошибки по первому идентификатору может оцениваться в пределах 10 в -4 степени - 10 в -3 степени или в более широких пределах в зависимости от степени "доверенности". Тогда суммарная ошибка может быть оценена как граница произведений наибольших значений pi. Математически можно добиться желаемой (или заданной) точности идентификации введением одного или нескольких дополнительных идентификаторов даже в условиях недостаточной достоверности идентификации по каждому из рассматриваемых идентификационных признаков. На практике желательно в качестве идентификационных признаков вводить идентификаторы, зарегистрированные в различных ведомственных базах данных (например, ФМС, ФНС, ПФР). Для снижения рисков злоупотреблений также рекомендуется введение хотя бы одного неотчуждаемого от пользователя (например, биометрического) идентификатора. По логике общественной безопасности база данных биометрической идентификации граждан должна находиться в ведении МВД России. При этом эта база данных нуждается в современной системе управления доступом и должна быть обеспечена высокотехнологичным средством защиты конфиденциальности данных, например, представленном в работе [8].

Применение сертификата ключа проверки квалифицированной электронной подписи для идентификации субъектов. Одним из развивающихся способов идентификации сторон удалённого электронного взаимодействия является идентификация субъекта по его сертификату ключа проверки подписи (СКПП). Субъект получает свой СКПП по запросу в центре регистрации (ЦР) удостоверяющего центра (УЦ). На УЦ возлагаются следующие основные задачи:

• установление личности заявителя – будущего владельца СКПП,
• формирование по установленному алгоритму цифрового сертификата проверки подписи и заверение его электронной подписью УЦ,
• выдача под личную собственноручную подпись СКПП его владельцу,
• поддержка выданного сертификата на весь срок его действия.

Остановимся на первой задаче, которая на момент написания статьи фактически не регулируется. Из выданных на сегодня СКПП значительную часть представляют собой сертификаты должностных лиц предприятий и организаций. Заполненные без ошибок заданные поля СКПП (O, S, C, STREET, OID=1.2.643.3.131.1.1 и 1.2.643.100.1) в абсолютном большинстве случаев позволяют однозначно идентифицировать юридическое лицо, в котором работает владелец сертификата. При этом, однако, для идентификации субъекта – владельца СКПП заполняются всего 3 поля: CN (ФИО), E (электронный адрес в произвольном формате), СНИЛС. Фактически для идентификации субъекта относительно пригодны только ФИО (вспомним число полных однофамильцев в крупных организациях) и СНИЛС, который является единственным уникальным идентификатором.

Поскольку СКПП является своего рода аналогом электронного паспорта, первая из перечисленных задач УЦ (установление личности заявителя) является одной из важнейших. Однако на текущий момент несмотря на наличие ряда методических указаний по заполнению полей сертификата процесс установления личности не регламентирован. ЦР, действуя от лица УЦ, не протоколирует этапы представления заявителем идентификаторов и результаты их проверок, и не хранит эти записи в своем защищённом архиве. Заметим, что в развитых странах ЦР обязан выполнять эти элементарные требования для разбора конфликтных ситуаций.

К сожалению, при выдаче СКПП физическим лицам дело с идентификацией владельца сертификата обстоит не лучше. Правила аккредитования УЦ (на момент написания данной статьи при Минкомсвязи России аккредитовано 317 УЦ) позволяют выдавать СКПП в удалённом режиме. Имеются УЦ, в рекламе которых говорится о выдаче СКПП за 15 минут в режиме удалённого электронного взаимодействия. Вопросы доверия к СКПП, выданным таким способом, остаются без ответа.

Заключение. Разработанная методика позволяет проводить оценки достоверности идентификации пользователя при УЭВ. Установлено, что вопросы идентификации участников электронного взаимодействия, в том числе, по СКПП, нуждаются в дальнейшем исследовании и регулировании. Возможно, одним из путей решения проблемы станет принятие федерального закона об идентификации и аутентификации пользователей информационных систем. Однако обсуждение и принятие законов обычно длится достаточно долгое время. Независимо от появления такого закона Минкомсвязи России необходимо сформулировать и установить правила регистрации новых пользователей ИС и владельцев СКПП.

Литература

1. Распоряжение Правительства Российской Федерации от 20 октября 2010 г. № 1815-р "О государственной программе Российской Федерации "Информационное общество (2011 - 2020 годы)". [Электронный ресурс]. Режим доступа: http://www.rg.ru/2010/11/16/infobschestvo-site-dok.html свободный, дата проверки: 17.12.2013г.
2. Сабанов А.Г. Обзор иностранной нормативной базы по идентификации и аутентификации //Инсайд. Защита информации. 2013. №4(52). С.82-88.
3. Афанасьев А.А. [и др.]. Аутентификация. Теория и практика. Под ред. проф., д.т.н. Шелупанова. М.: Горячая линия-Телеком, 2009,- 552с.:ил.
4. Сабанов А.Г. Методы исследования надёжности удалённой аутентификации // Электросвязь. 2012. №10. С.20-24.
5. Сабанов А.Г. Методика идентификации рисков процессов аутентификации // Доклады Томского государственного университета систем управления и радиоэлектроники. 2013. №4 (30). С.136-141.
6. Шубинский И.Б. Структурная надёжность информационных систем. Методы анализа/ Ульяновск: областная типография "Печатный двор", 2012. – 216с.-ил.
7. Сабанов А.Г. Концепция моделирования процессов аутентификации//Доклады Томского государственного университета систем управления и радиоэлектроники, №3(29) сент. 2013. С.71-75.
8. Додохов А.Л., Сабанов А.Г. К вопросу о защите персональных данных с использованием СУБД Oracle. /А.Л. Додохов, А.Г. Сабанов// Доклады Томского государственного университета систем управления и радиоэлектроники. 2012. №2(26). С.129-133.