Пайдаланушыларды аутентификациялау

 Пайдаланушылардың ақиқаттығын дәлелдеудің мүмкін болатын әдістері:

- пайдаланушы тек қана ресми пайдаланушы білетін ақпаратты (парольді) біледі;

- пайдаланушының сипатты индивидуалды ерекшеліктері бар болады (саусақтарының ізі, көз торының суреті);

- жабдықтық қамтамасыздандырудың элементтері (кілттер, магнитті карточкалар, микросхемалар);

- пайдаланушының жүріс-тұрысының сипатты амалдары мен ерекшеліктері (клавиатурадағы жұмыс істеу ерекшеліктері, манипулятормен жұмыс істеу амалдары);

- пайдаланушының дағдылары мен білімдері.

          Осы әдістердің көбісі пайдаланушыны бастапқы тексеруге, кейбіреулері оны жұмыс кезінде ағынды тексеруге жарайды.

 Парольдік аутентификациялау. Парольдік аутентификациялаудың негізгі артықшылығы қарапайымдылық пен үйреншіктік болып табылады. Парольдер операциялық жүйелер мен басқа сервистерге баяғыдан бері ендірілген. Дұрыс пайдаланған кезде парольдер қауіпсіздіктің көптеген мекемелерге жарамды деңгейін қамтамасыздандыралады. Бірақта сипаттарының жиыны бойынша парольдерді ақиқаттықты тексерудің ең әлсіз құралы деуге болады:

- жиі жағдайда парольді ұмытпас үшін, оны қарапайым таңдайды;

- кейбір кезде парольдер басынан құпия сақталмайды, себебі оларда құжаттарда көрсетілген стандартты мәндері болады, жүйені орнатқанда оларды өзгерте қоймайды;

- парольді енгізген кезде оны қарап алуға болады, кейбір кезде ол үшін оптикалық аспаптар қолданылуы мүмкін;

- кей кезде пароль иесінің орын басу мақсатымен парольдерді жиі жағдайда қызметтес адамдарға айтып қояды. Осындай жағдайда қол жеткізудің құралдарын қолдану дұрыс болатын еді, бірақ практикада ешкім оны пайдаланбайды;

- парольді "өрескел күш әдісімен" ойлап табуға болады, мысалы, сөздікті қолданып. Егер де парольдер файлы шифрленген болса, оны өз компьютерге көшіріп толығымен іріктеуді программалап, парольді ойлап табуға тырысуға болады (шифрлеу алгоритмі белгілі деп есептеледі).

Сонда да келесі шаралар парольдік қорғаудың сенімділігін едәуір жоғарлатуға мүмкіндік береді:

- техникалық шектеулерді қолдану (пароль өте қысқа болмауы керек, оның құрамында әріптер, цифрлар, тыныс белгілері, т.с. болуы керек);

          - паролдерді қолдану мерзімін басқару, оларды уақытысында алмастыру;

          - парольдер файлына қол жеткізуді шектеу;

          - жүйеге кірудің сәтсіз талаптар санын шектеу (сонда "өрескел күш әдісін" қолдану қиындайды);

          - пайдаланушыларды оқыту;

          - парольдерді программалық генерациялауын қолдану.

Парольдермен бірге басқа аутентификациялау әдістері қолданылса да, әр кезде аталған шараларды пайдаланған дұрыс болады.

         Дәстүрлі парольдік жүйелердің келесідей кемшілігі бар: аутентификация бір жақтан орындалады, басқа сөзбен айтқанда, тек қана пайдаланушы жүйеге өзінің құқықтарын дәлелдеуге тырысады. Осындай жағдай кәзіргі кездегі криптожүйелерге жарамайды, себебі алмасу процесіне қаскүнемнің кіріп кету мүмкіндігі бар болады. Сондықтан оларда өзара аутентификациялау немесе мәліметтерді бермей аутентификациялау хаттамаларын қолдану керек.

         Пайдаланушыларды аутентификациялаудың кейбір процедураларын қарастырайық.

         Пайдаланушының ақиқаттығын дәлелдеуге парольді қолдану.

         Пайдаланушының ақиқаттығын пароль көмегімен дәлелдеудің қарапайым әдісі пайдаланушы ұсынған Р_А парольді компьютерлік орталықта сақталатын парольдің бастапқы Р^’_A  мәнімен салыстыруда негізделген.

Кейбір кезде пайдаланушы парольдің бастапқы ашық түрін ашпауы керек. Ол кезде жіберуші парольдің ашық түрінің орнына парольге қолданылатын бір бағыттағы функция көмегімен оның бейнесін жібереді, мысалы, осындай функцияны келесідей анықтауға болады:

мұнда P – жіберушінің паролі, ID – жіберушінің идентификаторы,  E_P – кілт ретінде P парольді қолданып орындалатын шифрлеу процедурасы.

   Білімдерді жібермей аутентификациялау хаттамасы.

   Әртүрлі қолдануға интеллектуалды карталардың көп тарағандығы  (кредитті карталар, қорғалатын бөлмелерге қол жеткізу карталары, компьютерлік парольдер, кілттер, т.б.) олардың өзін және иелерінің қауіпсіз идентификациялауын қамтамасыздандыруды талап етеді.

  Интеллектуалды карталарды қауіпсіз қолдану үшін білімдерді жібермей  идентификациялау хаттамалары өңделген (zero-knowledge proofs). Талапкерде құпия ақпарат бар болатындығы верификатормен ол ақпаратты білмей-ақ тексерілуі осы хаттаманың мағынасы болып табылады. Жиі жағдайда осындай сұлбаларда верификатор талапкерге  сұрақтар тізбегін қояды, оларға жауаптор бір мағыналы болуы керек (0 немесе 1). Дұрыс жауаптардың  N  саны өскен сайын верификатордың талапкерге сенімділігі P=(1 – 0,5^N) формуласы бойынша өседі. 

  Көптеген ақпараттық тасымалдау себебінен жүйенің жұмысы едәуір ақырындауы осындай жүйелердің кемшілігі болып табылады.

  Мысал ретінде келесіні қарастырайық: А талапкер (кредитті карточка) В жағына (ақша беру жүйеге) Х  санын білетіндігін (ол санның өзін атамай) дәлелдейді; сонымен бірге В жағы құпия  Х санын білмейді:

- А мен В жақтары ашық параметрлер ретінде жалпы қол жеткізу жүйелік жерден алып жәй N саны мен келесі V < (N-1) шартты қанағаттандыратын бүтін V  мәнін қолданылатынын біледі; V және N  сандар ашық кілттер болып, сеанстан сеансқа өзгермейді. Олардың ұзындығы 512-ден 4096 разрядқа дейін болуы мүмкін;

- ақпараттық өзара алмасудың алдында тек қана А талапкер ресми жасырын Х  кілтті біледі. Сонымен бірге А талапкерде

шартты қанағаттандыратындай Y  саны бар, ол оның жеке  идентификаторы болып табылады;

- А талапкер кездейсоқ бүтін  r < (N-1) санын таңдап,  

есептейді және Y  пен T  сандарын  В-ға жібереді;

- В верификаторы кездейсоқ бүтін d < (N-1) санын таңдап, оны А талапкерге жібереді;        

- А талапкер  

есептеп, оны В-ға жібереді;

- В верификатор өз бетімен

функциясын есептеп, нәтижесін алынған T мәнімен салыстырады.

Егер де  болса, онда талапкер шынында да жасырын Х  мәнін біледі, оған сенуге болады.