Jednoduche identifikacni znaky



	JEDNODUCHÉ IDENTIFIKAČNÍ ZNAKY

Klíčem k výběru vhodného znaku jsou jeho vlastnosti, v mnohém ovlivněné faktory procesu identifikace a autentizace. Cílem výběru je vyloučit v požadované míře jak hrozbu chyby odmítnutí, tak i hrozbu chyby přijetí.
Úvod
Jaký identifikační znak je průkaznější, spolehlivější, bezpečnější? Literatura obvykle upřednostňuje "to, jaký jsem" před "tím, co vlastním" a to zase před "tím, co znám". Podle práce [2] můžeme očekávat, že kombinace dvou posledně jmenovaných principů bude průkaznější než jejich samostatné užití, ne však tak průkazná jako princip první.
Článek K základům identifikace a autentizace rozlišuje tři typy identifikace - tvrzení o totožnosti, o skupinové příslušnosti, o schopnosti. Následně uvádí čtyři druhy identifikačních znaků - signály, parametry, akce, emoce -, z nichž každý je předurčen k ověření jistého typu (případně jistých typů) identifikace - např. parametr pro ověření totožnosti, ne však schopnosti. Zobecnit tento poznatek znamená přihlédnout při výběru vhodných identifikačních znaků nejen k typu identifikace, ale i k ostatním důležitým činitelům.
Chyba odmítnutí a chyba přijetí
Předložením identifikačních znaků entita předkládá důkaz své identifikace. Ověření důkazu provádí ověřovatel. Na základě jisté ověřovací informace důkaz buď přijme a umožní entitě přístup k chráněnému zdroji, nebo důkaz odmítne. Bezpečnostní hrozby, související s procesem identifikace a autentizace entit, můžeme rozdělit do dvou základních skupin:

Odmítnutí důkazu identifikace předloženého entitou (chyba odmítnutí).
Přijetí důkazu identifikace entity předloženého jinou entitou - vetřelcem (chyba přijetí).

Poznámka
Termíny ověřovatel, ověřovací informace, vetřelec uvádí norma [3].
Chyba přijetí může mít za následek chybu odmítnutí, jestliže vetřelec identifikační znak změní. Zvláštní případ chyby přijetí nastane, když ověřovatel přijme důkaz schopnosti entity, která ve skutečnosti není schopná správně provádět předepsanou činnost.
K chybě odmítnutí, přijetí a stavům, které z hlediska entity nejsou ani přijetím ani odmítnutím, může dojít působením jiných hrozeb. Stanovit vhodná protiopatření, implementovat je, to je úkol procesu analýzy a zvládání rizik. Nicméně stále jsou tu jistá protiopatření specifická jen pro proces identifikace a autentizace. Obrazně řečeno: Chybu odmítnutí vylučují otevřené dveře bez zámku; chybu přijetí zase zamčené dveře, od kterých chybí klíč. Prakticky využitelným kompromisem mezi těmito limitami jsou identifikační znaky vybrané, chráněné a používané tak, aby v požadované míře byly eliminovány konkrétní hrozby chyby odmítnutí a chyby přijetí. Karta může mít vlastnost "její čip nebude zničen elektrostatickým výbojem", protože je tak navržena (viz [1]), ale také "nebude zapomenuta doma", prostě proto, že ji používá odpovědná osoba. Obdobně heslo může mít vlastnosti "nemůže být uhádnuto ani zapomenuto" a "nelze je odpozorovat", protože:

je sestaveno náhodně a v dostatečné délce ze znaků minimálně dvouprvkové množiny;
zná je jediný uživatel a frekvence předkládání hesla je taková, že si je neustále oživuje v paměti a nemusí si je proto nikdy nikam zapisovat;
znalost hesla dokazuje uživatel, vybavený odpovídajícím programovým a technickým vybavením, výběrem jen některých znaků (objektů stanovené barvy, povrchu, atd.) z mnoha náhodně vygenerovaných, které míjí za letu virtuálním prostorem.

Používá-li tentýž znak jiná osoba v jiném prostředí, může mít heslo právě opačné vlastnosti: "dá se uhádnout", "lze je při předkládání odpozorovat".
Jak vidíme, faktory procesu identifikace a autentizace působí na vlastnosti identifikačních znaků obecně a na vlastnosti související s chybou odmítnutí či přijetí zvlášť. Následující příklady tento efekt ilustrují podrobněji.
Příklady vlivu hlavních faktorů

Entita
Příliš obtížné, stresující, časově náročné předkládání identifikačního znaku může vést k úmyslnému vyvolání chyby odmítnutí. Mnozí lidé mají obavy z poškození oka při snímání struktury sítnice; jiní pak nejsou ochotni akceptovat zpřístupnění obrazu sítnice, protože z něj lze vyvodit doplňující informace o zdravotním stavu. K chybě odmítnutí povede ověření totožnosti podpisem u člověka, který má podpis nevyhraněný; k chybě přijetí u jednovaječných dvojčat může vést užití nevhodného parametru. Totožnost jednovaječných dvojčat nelze rozlišit, a to ani nejcitlivějším přístrojem, podle dědičně podmíněných znaků (struktury DNA, pachu).

Chráněný zdroj
Ztráty způsobené jeho nedostupností by měly rozhodovat o opatřeních proti chybě odmítnutí. Hodnota chráněného zdroje může iniciovat útok vetřelce - obrazně "pancíř probíjející střelu"; ztráty způsobené chybou přijetí by měly určovat protiopatření - obrazně "ochranný pancíř". Matematik R.M.Smullyan v knize logických šarád Jak se jmenuje tahle knížka? dokázal, že je nemožné, aby současně existovaly neprůstřelný pancíř i všeprobíjející střela. Najít optimální poměr mezi možnými ztrátami a náklady je cílem analýzy rizik.
    Chráněný zdroj může ovlivnit výběr typu identifikace, druhu identifikačního znaku a následně i výběr samotného identifikačního znaku. Dokazuje to příklad velitele obsluhy zbraňového systému, u nehož by měla být ověřena jak jeho totožnost, tak i jeho schopnost. Z akcí, které připadají v úvahu, není vhodná dynamika psaní na klávesnici, protože k chybě odmítnutí povede obyčejné říznutí do prstu. Příhodnější je použít akci související s vnímáním, zapamatováním, rozhodováním.

Typ identifikace
    Z kriminalistické praxe vyplývá, že totožnost těles resp. živých bytostí resp. lidí lze dokázat (u lidí i proti jejich vůli) s dostatečnou, mohli bychom říci absolutní, přesností parametry resp. akcemi resp. emocemi. Příkladem mohou být vysoce specifické znaky osob, jako jsou papilární linie (parametry), nebo uznávaná serióznost fyziodetekčního vyšetření (emoce). Akce může současně ověřit totožnost i schopnost (změna v dynamice písma působením alkoholu nebo drog). Pro ověření skupinové příslušnosti se používají nejčastěji signály; u osob je možné využít i emocí. Signály slouží také k ověření totožnosti.

Prostředí a ověřovatel
Zaprášené nebo vlhké prostředí může zapříčinit chybu odmítnutí při předkládání parametru otisk prstu.
    Vliv na chybu odmítnutí i chybu přijetí má přítomnost osoby - experta, strážného. Fyziodetekční vyšetření dokáže s uspokojivou přesností ověřit totožnost i skupinovou příslušnost osob, ale vyžaduje přítomnost experta. Ta je nutná, při současných technických možnostech snímačů, i v případě parametrů a akcí, které se mění s náladou, prostředím, fyzickým stavem. Strážný, přítomný předkládání znaku, by vyloučil úskoky vetřelce: zneužití těla uživatele pro předložení parametru; použití robota napodobujícího do všech podrobností akci; hádání signálu - tajemství.
    Pokud je vetřelec přítomný v prostředí, ve kterém dochází k předložení znaku, může zachytit komunikaci entity s ověřovatelem. V prostředí počítačových sítí má proto výjimečný význam šifrování. Potřebný šifrovací algoritmus nemůže provádět člověk zpaměti. Pro identifikaci a autentizaci v počítačových sítích mají proto výjimečný význam atributy - čipové karty nebo počítače. Šifrováním se také chrání ověřovací infomace.
    Chyba odmítnutí i přijetí závisí na ověřovateli. Uvádí se, že při snímání struktury sítnice (jeden pokus) dochází k chybě odmítnutí vinou snímače v 12.4 % případů.

Druh identifikačního znaku
Heslo předkládané střelbou ve virtuálním prostoru a heslo psané na klávesnici mají společnou vlastnost: "nemůže je používat neodpovědná osoba". Společné vlastnosti identifikačního znaku v různých implementacích jsou především druhově specifické vlastnosti:
    Parametry si člověk nosí sebou a chrání je, mnohdy doslova, jako oko v hlavě. Prakticky každý parametr lze však nasnímat mimo dobu jeho předkládání, třeba při lékařské prohlídce. Osoba může vetřelci toto nasnímání dovolit sama a např. otisky prstů kolem sebe trousíme neustále. U některých parametrů se v současnosti možnost duplikátu připouští (otisk prstu) u jiných vylučuje (struktura sítnice).
    Akci lze nasnímat téměř jen při jejím předkládání. Každá akce má v sobě něco z tajemství. Neuhádnete sledováním člověka, jak ji v podrobnostech provádí. Je možné povolit vetřelci nasnímání akce a umožnit tak její následné provedení třeba robotem, pokud není akce reakcí na jedinečnou výzvu ověřovatele.     Emoce nemohou být ani předány ani duplikovány.
    Signály lze jak sdílet, tak i předávat. Z tohoto rysu jejich povahy vyplývá obecně, že u nich nemůžeme vyloučit ani chybu odmítnutí (tajemství zapomenuto, atribut ztracen) ani chybu přijetí (tajemství prozrazeno, atribut ukraden nebo předán).

Vetřelec
Odhalení jeho útoku vede k přehodnocení vlivu ostatních faktorů na proces identifikace a autentizace, ke změnám v těchto faktorech (např. prostředí, ověřovatel) a může proto vést k novému výběru identifikačního znaku. Toto přehodnocení se netýká jen napadeného informačního systému. Mělo by k němu dojít všude tam, kde působí souměřitelní činitelé. Proto je tak důležitá široká publicita bezpečnostních incidentů.

Čas
Změna kteréhokoliv z dříve uvedených činitelů v čase může vyvolat změnu vlastností identifikačního znaku v dané implementaci a může proto vést i k nové volbě identifikačního znaku.
    Důležitým, s časem souvisejícím, činitelem je frekvence předkládání identifikačního znaku. Chyba odmítnutí u parametrů a akcí je mnohdy závislá na zkušenosti člověka s předkládáním znaku. Je-li dobře trénován, nedochází k chybě odmítnutí tak často, jako když ho užije jen příležitostně. Znak, který bude používán ve velkých časových odstupech, musí být vysoce trvanlivý. Z parametrů osob mají tuto vlastnost papilární linie, tvar ušního boltce, kresba a tvar oční duhovky. Co se týká trvanlivosti, jsou ideálními znaky osob emoce.
Jednoduché a složené znaky.

V zásadě můžeme uvažovat dva strategické přístupy. V prvním se jednoduchý identifikační znak vybere z neprázdného průniku podmnožin potenciálně použitelných znaků, vymezeného jednotlivými činitely z univerza všech možných identifikačních znaků. Ve druhém se (obvykle) spojí více jednoduchých znaků, z nichž žádný nemá "dokonalé" vlastnosti, do jediného znaku tak, že výsledný složený znak má vhodné vlastnosti. O problematice složených znaků pojednám podrobně ve druhé části článku.

Literatura

1. Annoucing the Guideline for the use of Advanced Authentication technology alternatives. Federal Information Processing Standards Publication 190
2. Guide to Understanding I&A. NCSC-TG-017 Library No. 5-235,479. Version 1.
3. Struktura autentizace. ČSN ISO/IEC 10181-2 369694 ČNI, 1998