SLOŽENÉ
IDENTIFIKAČNÍ ZNAKY
 
 

Základy teorie spojování identifikačních znaků

Matematický model

Abychom problematiku spojování identifikačních znaků mohli prozkoumat podrobněji, vybavíme se nejprve užitečným matematickým aparátem - modelem postaveným na bázi výrokové logiky.

V našem modelu uživatel předkládá identifikační znak jako důkaz identifikace. Jestliže ověřovatel znak pozná, pak důkaz přijme; jestliže znak nepozná, pak důkaz odmítne.

Definice 1


Jednoduchý znak je jediný identifikační znak předkládaný uživatelem. Jestliže jej ověřovatel pozná, pak je důkaz identifikace přijat, v opačném opřípadě je důkaz odmítnut.

Definice 2


Složený znak se skládá z alespoň jednoho jednoduchého znaku a alespoň jedné operace. Uvažovat budeme následující operace:

Negace - vytváří z jednoduchého znaku složený znak, který je poznán, když jednoduchý znak není poznán a naopak.

Konjunkce - vytváří ze dvou (či více) jednoduchých znaků složený znak, který je poznán, jsou-li poznány všechny jednoduché znaky, jinak není poznán.

Disjunkce - vytváří ze dvou (či více) jednoduchých znaků složený znak, který je poznán, je-li poznán alespoň jeden jednoduchý znak, jinak není poznán.

Poznámka 1

Souvislost s výrokovou logikou je zřejmá, interpretujeme-li "je poznán" jako hodnotu "pravda" a "není poznán" jako hodnotu "nepravda".

Příklady operací

Operaci negace provádí stráž, která propustí kohokoliv, kdo nemá vzhled některého z hledaných zločinců.

Příkladem konjunkce je primární a sekundární heslo. V prostředí počítačových sítí se identifikační znak obvykle používá v konjunkci s atributem, vytvářejícím šifrovaný kanál. Ke konjunkci identifikačních znaků dochází v případech, kdy se kombinuje více typů identifikace (současné ověření totožnosti a skupinové příslušnosti, totožnosti a schopnosti). Dynamikou psaní na klávesnici je sice možné ověřit totožnost i schopnost zároveň, ale v prakticky realizovaných systémech zadává uživatel kromě svého jména a příjmení také heslo.
    Disjunkce umožňuje předložit alternativní identifikační znak v případě, když dosud předložené znaky nebyly poznány jako důkaz identifikace. Předkládání obvykle probíhá postupně a prvním poznaným znakem končí. Také rozdílné znaky používané v bezpečné zóně a při vzdáleném přístupu, v pracovní dny a v sobotu apod., jsou příkladem disjunkce.

Poznámka 2

Negací znaku "otisk prstu hledaného zločince" je "jakýkoliv otisk prstu, který není shodný s otiskem prstu hledaného zločince". V konkrétní implementaci může mít první znak, dokazující totožnost, vlastnosti "je trvanlivý", "je vysoce specifický, rozlišuje jednovaječná dvojčata". Druhý znak, dokazující skupinovou příslušnost, může mít ale také vlastnost "je trvanlivý". Neexistuje žádný formální postup, kterým by bylo možné odvodit z vlastností znaku vlastnosti jeho negace. Následující pravidla proto budou odvozena jen pro konjunkci a disjunkci.

Poznámka 3

Jeden nebo dva jednoduché znaky vytváří složený znak a ten může být dílčím znakem ještě složitěji strukturovaného znaku atd. V symbolickém zápise budu dávat takový složený znak do závorek. Z výrokové logiky je známo, že pomocí negace, konjunkce a disjunkce je možné vyjádřit libovolnou logickou operaci jako tzv. normální formu. V praktických úvahách předpokládám platnost komutativního, asociativního, distributivního zákona pro konjunkci i disjunkci a také platnost De Morganových zákonů. Složený znak pak může být vyjádřen jako obecná disjunktivní normální forma (Štěpán J., Hrubeš J.: Logika - Terminologický a výkladový slovník. Ateliér Milata, Ostrava 1994), tj. jako disjunkce konjunkcí jednoduchých znaků nebo jejich negací. Např. složený znak, který mi byl přidělen pro vstup do technického centra, mohu symbolicky vyjádřit zápisem (konjunkce, disjunkce jsou označeny po řadě AND, OR):


magnetická_karta OR (průkaz AND klíč AND číselný_kód)

Vlastnosti složeného znaku.

Jak se promítají vlastnosti identifikačních znaků do vlastností konjunkce nebo disjunkce? Jestliže se složený znak bude skládat ze znaků, které všechny mají v konkrétní implementaci vlastnost "nemění se s náladou, prostředím, fyzickým stavem", pak tuto společnou vlastnost bude mít zřejmě jak jejich konjunkce, tak i jejich disjunkce. Nemusí to však platit obecně, jak dokazuje příklad konjunkce velkého počtu znaků s vlastností "jeho předložení je časově nenáročné". Co se ale stane, má-li jen jeden znak určitou vlastnost, a druhý znak ji nemá? V odpovědi na tuto otázku se zaměřím na vlastnosti eliminující hrozbu chyby odmítnutí či přijetí.

Chyba odmítnutí

Pokud složený znak, předložený entitou, bude poznán, nedojde k chybě odmítnutí. Uvažme zcela konkrétní hrozbu - zapomenutí identifikačního znaku doma. Např. použití otisku prstu ji eliminuje. Samozřejmě, že ji eliminuje jen částečně, dáme-li spojení "nechat doma" poněkud morbidní význam, ale to nebudu neustále zdůtazňovat - eliminuje ji v požadované míře. Takový znak tedy má (v požadované míře) vlastnost "nelze jej zapomenout doma". Ale atribut, jako je doklad, tuto vlastnost nemá. Pak konjunkce dokladu a otisku prstu nevylučuje v požadované míře hrozbu zapomenutí identifikačního znaku doma a obecně platí:

Věta 1


Aby měla konjunkce znaků jistou vlastnost, eliminující konkrétní hrozbu chyby odmítnutí, musí ji mít každý znak v konjunkci.

Naopak disjunkce bude tuto hrozbu eliminovat. Člověk, který zapomněl doklad doma, může předložit, jako alternativní znak, otisk prstu. Proto:

Věta 2


Aby měla disjunkce znaků jistou vlastnost, eliminující konkrétní hrozbu chyby odmítnutí, stačí, když ji bude mít alespoň jeden znak v disjunkci.

2.2 Chyba přijetí.

Pokud složený znak, předložený vetřelcem, nebude poznán, pak k této chybě nedojde. Konjunkce znaku, který má v konkrétní implementaci vlastnost "je imunní k okopírování nebo ke krádeži mimo proces autentizace" (odpovědně používané tajemství), se znakem, který tuto vlastnost nemá (parametr nebo atribut), má vlastnost "je imunní k okopírování nebo ke krádeži mimo proces autentizace". I když vetřelec relativně snadno okopíruje či ukradne druhý ze znaků, nebude to stačit k tomu, aby byl chybně poznán. Obecně platí:

Věta 3


Aby měla konjunkce jistou vlastnost, eliminující konkrétní hrozbu chyby přijetí, stačí, když ji bude mít alespoň jeden znak konjunkce.

V případě disjunkce, neuspěje-li vetřelec např. s heslem, předloží ukradený atribut a ten bude poznán. Proto:

Věta 4


Aby měla disjunkce jistou vlastnost, eliminující konkrétní hrozbu chyby přijetí, musí ji mít každý znak v disjunkci.

Můžete sami prověřit platnost výše uvedených vět na jiných příkladech vlastností eliminujících chybu odmítnutí ("stresem se nemění", "jeho předkládání se dá snadno naučit", "je trvanlivý") nebo chybu přijetí ("je vysoce specifický", "nemůže být předán", "lze ho kdykoliv snadno změnit").

Poznámka 4

Vlastnost znaku "může být používán i neodpovědnou osobou" má účinek jak na chybu odmítnutí tak i na chybu příjetí. Chceme-li tedy využít věty 1. až 4., musíme místo této komplexní vlastnosti uvažovat elementární vlastnosti "nemůže být zapomenut ani ztracen" (sféra vyloučení chyby odmítnutí) a "nelze ho ukrást, okopírovat nebo předat" (sféra vyloučení chyby přijetí).

Výběr znaku

Prokládání analýzy (jaké vlastnosti má složený znak?) a syntézy (jaké znaky spojit, aby měl složený znak požadované vlastnosti?), přihlédnutí k důležitým činitelům identifikace a autentizace a praktické užití uvedených vět při výběru identifikačního znaku si ukážeme na příkladě.

Bezpečnostní management vyžadoval takovou implementaci identifikačního znaku pro ověření totožnosti, aby ho nebylo možné: zapomenout doma, ukrást, duplikovat, předat, získat pouhým odpozorováním při předkládání tak, jak se dá odpozorovat třeba heslo zapisované na klávesnici. Podmínky splňoval vysoce specifický parametr. Z neprázdného průniku podmnožin potenciálně použitelných znaků, vymezeného jednotlivými činiteli z univerza všech identifikačních znaků, byl vybrán jednoduchý znak - geometrie ruky.

Publikovaný případ vetřelce, který použil tělo uživatele k předložení znaku, vedl k doplnění snímání geometrie ruky současným snímáním pulzu. Výsledný složený znak:


geometrie_ruky AND pulz

má, podle věty 3., také vlastnost "rozliší mrtvého od živého".     Použitý snímač geometrie ruky ale nebyl schopen v některých případech rozlišit rodinné příslušníky, i když se mezi nimi nevyskytovala jednovaječná dvojčata. Požadovanou vlastnost má magnetická karta a tedy, opět podle věty 3., i složený znak:


geometrie_ruky AND pulz AND magnetická karta

V literatuře, např. v [1], se setkáme běžně s neformálním popisem konjunkce identifikačních znaků různých druhů, obvykle označované jako kombinace principů (technik, metod). Vždy je však chápána jen jako protiopatření eliminující chybu přijetí. Podle věty 1. je však nutné také dokázat, že konjunkcí s dalším znakem zůstaly zachovány všechny vlastnosti eliminující konkrétní hrozby chyby odmítnutí. V tomto případě složený znak "geometrie_ruky AND pulz AND magnetická_karta" ztratil vlastnost "nelze ho zapomenout doma" (sféra vyloučení chyby odmítnutí), kterou měl znak "geometrie_ruky AND pulz". Vlastnost "nelze ho ukrást, duplikovat ani předat" (sféra vyloučení chyby přijetí) ovšem zůstává, opět podle věty 3., zachována. Hledal se proto alternativní znak, který by uživatel předložil ve výjimečném případě zapomenutí karty. V konkrétní implementaci (působení faktorů chráněný zdroj, prostředí, ověřovatel) vyhovovala konjunkce vzhledu uživatele (parametr), jeho hlasového zabarvení (parametr), způsobu mluvy (akce), společných zážitků (signál) ... Tento znak označím zkráceně osoba_sama. Byl ověřován v bezpečné zóně administrátorem nebo ručitelem (nebo ručitelem ručitele), kterého administrátor znal. Identifikační znak administrátora byl ovšem vybrán podle jiných kritérií. Ideální pro toto použití by byly vysoce trvanlivé znaky z pole emocí, nevyžadující kolony ručitelů.

Protože znak osoba sama má vlastnost "nelze ho zapomenout doma", má tuto vlastnost, podle věty 2., i složený znak:


osoba_sama OR (geometrie_ruky AND pulz AND magnetická_karta)

Podle věty 4. je však neméně důležitá i analýza vlastností ze sféry vyloučení chyby přijetí. V případě uživatele, který není jednovaječným dvojčetem, mají oba operandy disjunkce vlastnosti "nelze ho: ukrást, duplikovat, předat, odpozorovat při předkládání", "rozliší mrtvého od živého" a proto je má i výsledná disjunkce.

Závěr

Tento článek je prvním pokusem formulovat teorii spojování identifikačních znaků.

Identifikační znaky jsou nástrojem obrany proti chybě odmítnutí a přijetí, ne konečným cílem. Nemá smysl je porovnávat bez přihlédnutí ke konkrétním činitelům procesu identifikace a autentizace; nemá smysl některé z nich a priori zavrhovat.

Při výběru znaku hrají značnou roli jeho vlastnosti v konkrétní implementaci. Myslím si, že v praxi je možné rozhodnout, zda daný znak má nebo nemá určitou vlastnost v požadované míře. Nicméně je možné vybudovat analogickou teorii na základě vícehodnotové resp. lingvistické logiky.

Věty 1. a 4. potvrzují to, co pociťujeme jako:

Obecně platné pravidlo


Obrana proti chybě odmítnutí může oslabit obranu proti chybě přijetí a naopak

Literatura

1.Guide to Understanding I&A. NCSC-TG-017 Library No. 5-235,479. Version 1.

hlavní stránka identifikace a autentizace rexx akvašneci zrakové klamy mail english

změněno 26. dubna 2002
Copyright © 1998-2002 Vladimír Zábrodský