pliku pdf
Transkrypt
pliku pdf
WASKO S.A. – przedsiębiorstwo oparte na wiedzy. Implementacje systemów WASKO S.A. opartych na biometrycznym uwierzytelnieniu Łukasz Hoppe [email protected] WASKO S.A. ul. Berbeckiego 6, 44-100 Gliwice Abstrakt Polskie uczelnie dysponują olbrzymim potencjałem naukowym i coraz lepiej wyposażonymi laboratoriami do badań naukowych. Jednak aby można powiedzieć o pełnym sukcesie szkolnictwa wyższego trzeba by zobaczyć jak osiągnięcia naukowe przekuwają się na przemysł i gospodarkę kraju. I z tym niestety jest gorzej. Na szczęście dzięki licznym programom mającym na celu dofinansowanie projektów badawczo rozwojowych oraz współpracy po między nauką, a przemysłem ta sytuacja zaczyna zmieniać się na lepsze. Dobrym przykładem może być działalność giełdowej spółki WASKO S.A. Spółka realizując projekty przy współpracy z największymi polskimi ośrodkami naukowymi takimi jak Politechnika Śląska, Uniwersytet Ekonomiczny w Katowicach, Akademia Górniczo Hutnicza czy Wojskowa Akademia Techniczna wdraża na rynek innowacyjne produkty z dziedziny telekomunikacji, telemetrii czy bezpieczeństwa. Poniższy artykuł skupia się na jednym z tematów projektów innowacyjnych prowadzonych przez WASKO S.A. – biometrii. Jeszcze do niedawna technologie biometryczne stanowiły bardziej ciekawostkę niż narzędzie wykorzystywane w rozwiązaniach informatycznych. Jednak ta sytuacja stale się zmienia i biometria staje się coraz bardziej powszechna. Na dzień dzisiejszy już w każdym nowym paszporcie zapisane są dwie cechy biometryczne jego właściciela, prawie każdy nowy komputer przenośny wyposażony jest w czytnik biometryczny, wiele firm i instytucji zdecydowało o zastosowaniu czytników biometrycznych w swoich systemach kontroli dostępu. W obecnych rozwiązaniach najczęściej wykorzystywaną technologią biometryczną jest odcisk palca (finger print), ta cecha znajduje się w naszym paszporcie, jednak nie jest ona uważana za całkowicie bezpieczną ze względu na dużą łatwość pozyskania czyjegoś odcisku oraz ciągle wysokie możliwości podszycia się za pomocą „sztucznego palca”. W tej chwili kluczowe staje się wybranie optymalnego rozwiązania biometrycznego to znaczy takiego, które będzie dawało gwarancję wysokiego poziomu bezpieczeństwa przy jednoczesnym zachowaniu wygody użytkowania no i szybkości działania. Niniejszy artykuł opisuje przeprowadzoną przez WASKO S.A. analizę stosowanych biometryk i opisuje jedną z najbardziej dynamicznie rozwijających się technologii – Finger Vein (układ naczyń krwionośnych palca). Według WASKO S.A. bowiem to właśnie ta technologia zdominuje rynek rozwiązań biometrycznych co znajduje swoje odzwierciedlenie w już działających produktach tej firmy wykorzystujących technologie biometryczne. Słowa kluczowe: WASKO S.A., przemysł, przedsiębiorstwo oparte na wiedzy, biometria, finger print, finger vein, identyfikacja, uwierzytelnienie, bezpieczeństwo Wstęp Już około 30 tysięcy lat temu artyści tworzący naścienne malowidła w jaskiniach opatrywali je odciskami swoich dłoni. Wielu naukowców sądzi, że były to pierwsze podpisy składane przez człowieka. W V wieku p.n.e. babilońscy kupcy odciskali swoje dłonie na glinianych tabliczkach, które miały pełnić funkcję potwierdzenia transakcji. Jak widać potrzeba udowadniania swojej tożsamości towarzyszy człowiekowi niemal od początku istnienia ludzkości. Dzisiaj, w dobie wszechobecnych systemów informatycznych, które dają dostęp do coraz większych ilości usług i zasobów danych, potrzeba uwierzytelniania, a więc potwierdzania swojej tożsamości przez użytkownika, stała się ważniejsza niż kiedykolwiek wcześniej. Od skuteczności metod uwierzytelniania zależy często bezpieczeństwo naszych oszczędności, poufność przechowywanych przez nas danych czy wreszcie nasza prywatność. Wiele spośród spektakularnych ataków hackerskich na systemy komputerowe światowych koncernów lub instytucji rządowych, opierała się na słabości metod uwierzytelniania. Na dzień dzisiejszy technologie biometryczne są już obecne w codziennym zastosowaniu, a najlepszym dowodem na to są działające produkty firmy WASKO S.A. WASKO S.A. jest jedną z największych polskich firm teleinformatycznych. Siedziba spółki mieści się w Gliwicach. Ponadto posiadamy na terenie kraju 15 oddziałów, m.in. w Krakowie, Poznaniu i Warszawie. Firma zatrudnia ponad 700 pracowników, większość z nich to osoby z wyższym wykształceniem. Spółka dostarcza rozwiązania informatyczne i telekomunikacyjne dla średnich i dużych odbiorców. Zajmujemy się projektowaniem i produkcją oprogramowania oraz realizujemy kompleksowe usługi związane wdrażaniem, utrzymaniem i eksploatacją systemów informatycznych, w tym audyty informatyczne, szkolenia, instalacje oprogramowania i integracje systemów informatycznych. Jako autoryzowany partner największych producentów sprzętu komputerowego i telekomunikacyjnego realizujemy również dostawy i instalacje urządzeń oraz świadczymy usługi serwisowe. Nasza działalność obejmuje również projektowanie i montaż aparatury kontrolno-pomiarowej i teletransmisyjnej oraz budowę sieci transmisji danych. Inny obszar wykonywanych przez nas usług stanowią ekspertyzy z zakresu ochrony środowiska, przeglądy ekologiczne oraz audyty projektów finansowych ze środków pomocowych. Firma WASKO jest jedynym polskim producentem urządzeń do transmisji bezprzewodowej pracujących w standardzie WiMAX oraz twórcą szerokopasmowej platformy WAMAX pracującej w tym standardzie, będącej krajową konkurencją dla najlepszych światowych rozwiązań. WASKO jest również wiodącym producentem oprogramowania z dziedziny Bezpieczeństwa. Świadczy usługi audytu i oferuje kompleksowe rozwiązania zapewniające bezpieczeństwo instytucji samorządowych, instytutów badawczych oraz przedsiębiorstw, dla których posiadany dorobek intelektualny o przetwarzane informacje stanowią najcenniejszą wartość. Uwierzytelniania – różne podejścia Najpopularniejsze obecnie sposoby uwierzytelniania użytkowników względem systemów informatycznych opierają się na jednej z dwóch koncepcji – „coś, co wiesz” lub „coś, co masz”. W pierwszym przypadku zakłada się, że tylko uprawniona osoba zna pewien przypisany do niej sekret. Zwykle jest to hasło lub kod dostępu, które wraz z identyfikatorem użytkownika tworzy nierozerwalną parę. Jak wiemy z codziennej praktyki, założenie to jest w wielu przypadkach nieprawdziwe. Hasło może zostać odgadnięte, jeśli jest zbyt proste. Może być także przechwycone. Istnieje mnóstwo metod przechwytywania hasła – od prostego podglądania osoby, które je wpisuje po zaawansowane urządzenia podsłuchowe analizujące sygnały elektromagnetyczne generowane przez klawiaturę. Krótko mówiąc, nikt z nas nie może mieć nigdy pewności, że jest jedyną osobą, która ma dostęp do konta zabezpieczonego hasłem. Znacznie bezpieczniejsze są systemy uwierzytelniania oparte o koncepcję „coś, co masz”. W tym przypadku użytkownik jest w posiadaniu pewnego tokenu uwierzytelniającego. Dodatkowym zabezpieczeniem jest najczęściej połączenie tej techniki z koncepcją „coś, co wiesz”. Uwierzytelnienie polega w takim przypadku na przedstawieniu ważnego tokenu uwierzytelniającego oraz wprowadzeniu hasła lub kodu dostępu. Najpopularniejszym przykładem tego typu systemu są karty płatnicze. W tym przypadku karta wydana przez bank jest tokenem uwierzytelniającym a kod PIN przypisany do tej karty jest sekretem, który powinien być znany tylko jej użytkownikowi. Podszycie się pod użytkownika takiego systemu wymaga nie tylko przechwycenia tokenu, ale także znajomości kodu dostępu. Mimo, że jest to trudniejsze niż samo przechwycenie hasła to systemy tego typu są również podatne na szereg ataków. Najprostszy atak polega na obserwacji osoby wprowadzającej hasło a następnie kradzieży samej karty. Jednym ze sposobów obrony może być zablokowanie dostępu do usług (np. konta bankowego) po stwierdzeniu kradzieży bądź zagubienia karty. Jednak w przypadku zaawansowanych metod ataków polegających na kopiowaniu tokenu (np. zeskanowanie paska magnetycznego w zmodyfikowanym bankomacie) użytkownik nie ma świadomości, że padł ofiarą ataku i nie może podjąć żadnych kroków obronnych. Wprowadzenie kart inteligentnych oraz szeregu zabezpieczeń związanych z ich wykorzystaniem spowodowało, że ta metoda uwierzytelniania staje się coraz bezpieczniejsza i ryzyko z nią związane jest wielu sytuacjach akceptowalne. Ciągle jednak nie daje ona stuprocentowej pewności, że jesteśmy jedyną osobą, która może uzyskać dostęp do chronionego w ten sposób zasobu. Po co nam biometria? Istnieje jednak trzecia koncepcja wykorzystywana w systemach uwierzytelniania – „to, kim jesteś”. Realizacja tej metody opiera się na wykorzystaniu biometrii. Biometria jest nauką zajmującą się dokonywaniem pomiarów cech fizycznych i behawioralnych istot żywych w celu dokonania automatycznego rozpoznania danego osobnika. Pojęciem biometryka określa się z kolei konkretną cechę biometryczną lub metodę uwierzytelniania opartą o wykorzystanie tej cechy. Przewaga biometrii nad wspomnianymi wcześniej metodami uwierzytelniania polega na tym, że cechy fizyczne trudno jest ukraść lub skopiować. Oczywiście zależy to od doboru odpowiedniej biometryki. Nie wszystkie cechy nadają się tak samo dobrze do automatycznego rozpoznawania osób. Na przykład wzrost jest cechą, którą łatwo zmierzyć, lecz zbyt powtarzalną, aby dawała jednoznaczne wyniki. Z kolei kod DNA można uznać za niepowtarzalny jednak jego analiza jest niezwykle czasochłonna i kosztowna i nie można jej przeprowadzić w pełni automatycznie. Przegląd biometryk Do najpopularniejszych biometryk należy układ linii papilarnych palca (tzw. odcisk palca). Daktyloskopia, bo o niej mowa, stosowana jest już od lat siedemdziesiątych XIX wieku w kryminalistyce. Odciski palca uznano za cechę umożliwiającą skuteczną identyfikację osób, dlatego, że jest ona niepowtarzalna, niezmienna i nieusuwalna. Ponadto stosunkowo łatwo jest uzyskać próbki do wykonania analizy (ślady pozostawione przez sprawców, wzorce pobrane od podejrzanych). Początkowo analizę tę wykonywano ręcznie jednak współcześnie znane są liczne algorytmy umożliwiające automatyczne przetwarzanie i porównywanie wzorców linii papilarnych przez komputery. Dzięki temu, że technika ta rozwijana jest od wielu lat stała się ona najpopularniejszą z biometryk stosowaną do uwierzytelniania użytkowników systemów informatycznych. Wiele współczesnych laptopów jest wyposażonych w proste skanery odcisków palców używane do logowania. Jest ona także jedną ze skuteczniejszych metod obarczonych stosunkowo małym błędem. To, co przyczyniło się do rozwoju tej metody stało się niestety także powodem niechęci użytkowników do jej stosowania. Weryfikacja odcisków palców jednoznacznie kojarzy się z kryminalistyką, dlatego użytkownicy niechętnie zgadzają się na zeskanowanie własnych linii papilarnych. Ponadto technika ta przez niektórych użytkowników postrzegana jest za niezbyt higieniczną, ponieważ wiąże się z dotykaniem tego samego czytnika przez dużą liczbę osób. Bezpieczeństwo uwierzytelniania przy użyciu linii papilarnych jest także często kwestionowane. Krótko po wprowadzeniu na rynek urządzeń do cyfrowego skanowania odcisków palców pojawiły się artykuły na temat możliwości ich oszukania poprzez wykonanie kopii odcisku przy pomocy drukarki laserowej lub wykonaniu odlewu całego palca. Niektórzy obawiają się także nowego rodzaju przestępstw polegającego na odcinaniu palca w celu uzyskania dostępu np. do konta bankowego. Nowoczesne urządzenia coraz lepiej radzą sobie oszustwami, niemniej udowodniono, że tego typu ataki są możliwe i prawdopodobne. Metodą znacznie mniej podatną na próby oszustwa jest weryfikacja obrazu siatkówki oka. Charakteryzuje się ona bardzo dobrą dokładnością (bardzo niski współczynnik błędu). Nie są znane metody pozwalające na wykonanie kopii wzoru siatkówki. Także jego kradzież nie jest możliwa – siatkówka ulega zniszczeniu po śmierci człowieka. Podstawową wadą tej metody jest jej inwazyjność. Zeskanowanie wzoru siatkówki wymaga od użytkownika skupieniu wzroku na urządzeniu skanującym oraz pozostanie w bezruchu przez dłuższy czas. Z tego względu metoda ta jest niepraktyczna w codziennym stosowaniu i nie ma szans zyskania dużej popularności. Podobną metodą do opisanej powyżej jest weryfikacja tożsamości na podstawie obrazu tęczówki oka. Jest ona jednak znacznie bardziej praktyczna – skanowanie może odbywać się z większej odległości a użytkownik nie jest zmuszany do pozostawania w całkowitym bezruchu. Najmniej inwazyjną biometryką jest metoda oparta o analizę geometrii twarzy. Pobrania wzorca polega na wykonaniu zdjęcia twarzy aparatem lub kamerą cyfrową. Metoda ta spotkała się ze stosunkowo dobrym odbiorem społecznym – ludzie przyzwyczajeni są do tego, że wielu sytuacjach są fotografowani lub znajdują się w zasięgu kamer. Niestety technika ta jest obarczona dość dużym błędem wynikającym z trudności w uzyskaniu dobrego wzorca. Czynniki takie jak zmienne oświetlenie, wyraz twarzy czy kąt fotografowania powodują, że analiza uzyskanych fotografii jest bardzo trudna. Ponadto technika ta jest podatna na proste oszustwa (charakteryzacja, okulary, nakrycia głowy, itp…). FingerVein – rewolucja? Do najmłodszych biometryk należy opracowana w 1997 r. przez firmę Hitachi technika analizy układu naczyń krwionośnych palca – FingerVein. Jej zasada działania opiera się prześwietleniu palca promieniami bliskiej podczerwieni. Emitowane światło jest częściowo pochłaniane przez hemoglobinę znajdującą się w naczyniach krwionośnych. Pozostała część promieniowania rejestrowana jest przez skaner. Powstały w ten sposób obraz układu naczyń krwionośnych poddawany jest następnie obróbce w wyniku, której otrzymuje się gotowy wzorzec biometryczny. Metoda ta charakteryzuje się kilkoma cechami, które sprawiają, że wyróżnia się ona na tle wspomnianych wcześniej biometryk. Po pierwsze jest to technika nieinwazyjna. Nie wymusza ona na użytkowniku przykładania palca do powierzchni skanera – wystarczy zbliżyć palec na niewielką odległość. Szybkość weryfikacji sprawia, że jest to także technika bardzo praktyczna. Dostępne są skanery niewielkich rozmiarów, które umożliwiają wbudowanie ich w praktycznie dowolne urządzenia, nawet przenośne. W przypadku FingerVein nieskuteczne są także znane techniki ataku na czytniki odcisków palców. Podczas gdy odciski palców zostawiamy praktycznie na wszystkich dotykanych przedmiotach umożliwiając tym samych ich skopiowanie, obraz układu naczyń krwionośnych pozostaje niedostępny i niemożliwy do skopiowania. Ponadto czytnik FingerVein zadziała tylko z „żywym” palcem, tzn. takim, w którym płynie krew nasycona hemoglobiną. Przestępstwa polegające na odcięciu palca są w tym przypadku bezcelowe. Technologia FingerVein charakteryzuje się także bardzo dużą dokładnością (mały współczynnik błędu). Prawdopodobieństwo, że osoba niezarejestrowana w systemie zostanie poprawnie zweryfikowana wynosi 1 do miliona. Łatwość stosowania oraz skuteczność i wysoki poziom bezpieczeństwa tej metody sprawiły, że zyskała ona dużą popularność w Japonii, gdzie jest wykorzystywana do autoryzacji transakcji bankowych. Obecnie technologia ta stosowana jest przez 80% oddziałów banków a czytniki FingerVein zainstalowane są w ponad 20 tysiącach bankomatów. FingerVein w praktyce Technologia FingerVein od niedawna dostępna jest również w Polsce. WASKO dzięki ścisłej współpracy z firmą Hitachi od dwóch lat opracowuje rozwiązania wykorzystujące tę nowoczesną technikę uwierzytelniania. Powstało kilka nowatorskich produktów, które dzięki zastosowaniu technologii biometrycznych wyznaczają nowe standardy w dziedzinie bezpieczeństwa teleinformatycznego. Kupuj „na palec” Elektroniczne formy płatności powoli wypierają transakcje gotówkowe. Coraz częściej dokonujemy zakupów w sieci dokonując płatności przelewem elektronicznym lub płacimy kartą. Wybieramy te formy płatności z wygody – nie musimy pamiętać by mieć odpowiednią ilość gotówki w portfelu i nie narażamy się na ewentualną kradzież banknotów. Wciąż jednak musimy mieć dostęp do komputera (w przypadku e-bankingu) lub nosić przy sobie kartę i pamiętać kod PIN. Czy da się wyeliminować te niedogodności? Dzięki biometrii odpowiedź brzmi, tak. Wyobraźmy sobie, że po dokonaniu zakupów po prostu umieszczamy palec w czytniku biometrycznym i potwierdzamy transakcję. Płatność jest później pobierana z naszego konta. Nie ma przy tym ryzyka, że ktoś podszyje się pod nas lub użyje naszej karty powodując nieoczekiwane wyczyszczenie konta. Pomysł, aby w ten sposób wyglądały płatności w sklepach i punktach usługowych jest na razie wizją przyszłości. Firma WASKO zrobiła jednak pierwszy krok w tym kierunku wdrażając system eBistro. Realizuje on w niewielkiej skali on opisaną wyżej koncepcję. System eBistro wdrożony w bufecie pracowniczym w siedzibie firmy już od dłuższego czasu ułatwia pracownikom codzienne kupowanie posiłków i przekąsek oszczędzając ich czas. Już od wejścia do bufetu można zauważyć, że różni się on od tradycyjnego – w oczy rzuca się ekran dotykowy skierowany w stronę klienta, na którym wyświetlone jest menu na dziś oraz niewielki czytnik biometryczny FingerVein. Wystarczy wybrać z menu produkty, na które mamy ochotę a następnie zatwierdzić transakcję i uwierzytelnić ją umieszczając palec w czytniku biometrycznym. Nie trzeba szukać gotówki w portfelu ani czekać na wydanie reszty. Cała transakcja odbywa się bardzo sprawnie i w pełni automatycznie. Pod koniec miesiąca odpowiednia kwota za zakupy w bufecie pobierana jest z wypłaty pracownika. Oczywiście pracownik ma pełną kontrolę nad swoimi wydatkami. Dzięki modułowi aplikacji eBistro dostępnemu przez interfejs WWW, każdy pracownik może zobaczyć historię swoich zakupów, obejrzeć szczegóły transakcji, zobaczyć menu na następny dzień a nawet dokonać zamówienia z wyprzedzeniem. Uruchomienie działającego w ten sposób punktu gastronomicznego wymaga oczywiście wcześniejszego zarejestrowania klientów oraz ich wzorców biometrycznych. Należy także sporządzić umowę regulującą sposób płatności – np. zgodę na pobranie określonej kwoty z wynagrodzenia. Entuzjazm, z jakim pracownicy przyjęli nowy sposób płatności pozwala sądzić, że systemy typu pay by finger („kupuj na palec”) mają szansę zyskać większą popularność. Być może tego typu małe systemy płatności elektronicznych są pierwszym krokiem ku zakupom bez portfeli i kart… To tylko kwestia czasu. Ochrona dostępu do pomieszczeń Bardzo wiele firm i instytucji spotyka się z problemem wdrożenia skutecznej i niezawodnej kontroli dostępu do pomieszczeń. Popularne karty zbliżeniowe wraz z zestawem czytników zamontowanych przy drzwiach chronionych pomieszczeń w wielu przypadkach spełniają bardzo dobrze to zadanie. Są jednak pomieszczenia, do których dostęp musi być chroniony w sposób szczególny tak, aby zminimalizować prawdopodobieństwo wtargnięcia osób nieuprawnionych. Są to na przykład pomieszczenia, w których przechowuje się lub przetwarza informacje poufne lub przedmioty dużej wartości. W takim przypadku zagubienie karty dostępu przez roztargnionego pracownika lub jej kradzież mogłoby zaważyć na bezpieczeństwie przedsiębiorstwa. Firma WASKO, która od dłuższego czasu zajmuje się rozwijaniem i wdrażaniem systemów kontroli dostępu opracowała moduł biometrycznej kontroli dostępu do pomieszczeń oparty o technologię FingerVein. Stanowi on uzupełnienie tradycyjnego systemu opartego o karty zbliżeniowe i umożliwia zabezpieczenie dostępu do pomieszczeń i stref budynku wymagających szczególnej ochrony. Podstawowym elementem systemu jest czytnik FingerVein w wersji EGO, przeznaczonej specjalnie do kontroli dostępu. Czytnik ten jest zaawansowanym urządzeniem, składającym się z kilku modułów – samego czytnika układu naczyń krwionośnych, repozytorium wzorców, modułu porównywania wzorców, interfejsu do komunikacji ze stacją zarządzającą oraz interfejsu kontrolera drzwi. Urządzenie to może pracować praktycznie samodzielnie i wymaga połączenia ze stacją zarządzającą tylko w celu zasilenia bazy wzorców i użytkowników. Dzięki temu, że wszystkie skomplikowane operacje związane przeprowadzeniem uwierzytelnianie biometrycznego realizowane są wewnątrz urządzenia, posiada ono prosty interfejs komunikacyjny umożliwiający integrację z dowolnym systemem kontroli dostępu posługującym się protokołem WIEGAND. Aby przydzielić pracownikowi dostęp do pomieszczenia należy najpierw zarejestrować w bazie danych jego wzorce biometryczne. Dla bezpieczeństwa rejestrowane są co najmniej dwa wzorce – np. jeden palec lewej i jeden palec prawej dłoni. Zmniejsza to ryzyko utknięcia pracownika przed zamkniętymi drzwiami w przypadku, gdy próba uwierzytelniania przy użyciu jednego z palców z jakiegoś powodu nie udaje się. Nie jest przy tym konieczne stosowanie dodatkowego czytnika do rejestracji danych – czytnik zainstalowany przy drzwiach znakomicie spełnia to zadanie. Następnie zebrane wzorce biometryczne przypisywane są do istniejącego w systemie kontroli dostępu konta użytkownika. Kolejnym etapem jest synchronizacja wzorców – polega ona na załadowaniu bazy czytnika biometrycznego wzorcami oraz powiązanymi z nimi numerami kart użytkowników. Wzorce przechowywane są wewnątrz urządzenia ze względu na wydajność procesu uwierzytelniania i autoryzacji. Pozwoliło to skrócić czas, potrzebny na odnalezienie pasującego wzorca biometrycznego i otwarcie drzwi. Jedną z chronionych w ten sposób stref jest skrzydło budynku, w którym trwają prace nad produktami w sposób szczególny objętymi tajemnicą przemysłową. Pracuje w niej ok. 30 osób, które co najmniej klika razy dziennie przechodzą przez śluzę bezpieczeństwa chronioną czytnikiem biometrycznym. W takich warunkach wymaga się od czytnika szczególnej sprawności i niezawodności. Nie można przecież pozwolić, aby pracownicy marnowali czas ustawiając się w kolejce przed wejściem do strefy. Na szczęście czytnik EGO spełnia dobrze swoje zadanie. Czas uwierzytelniania na poziomie 2 sekund i wysoki poziom niezawodności sprawia, że przechodzenie przez śluzę bezpieczeństwa odbywa się bardzo sprawnie. Pracownicy, którzy początkowo mieli mieszane uczucia związane z koniecznością każdorazowego uwierzytelnienia przed wejściem do pomieszczenia w tej chwili praktycznie go nie zauważają - stało się ono czynnością tak powszednią jak naciśnięcie klamki. W ten sposób instalacja czytników pracujących w technologii FingerVein znacząco podniosła bezpieczeństwo firmy nie wymuszając przy tym rewolucji w istniejącym systemie kontroli dostępu. Ochrona informacji Równie ważnym elementem, co kontrola dostępu do pomieszczeń jest zabezpieczenie dostępu do informacji przetwarzanych w systemach informatycznych. Informacja jest dla wielu firm podstawą działania i jedną z najcenniejszych wartości, dlatego w szczególny sposób należy chronić ją przed dostępem osób niepowołanych. Bezpieczeństwo informacji zaczyna się od stanowiska roboczego użytkownika. Popularne logowanie do konta w systemie operacyjnym wykorzystujące nazwę użytkownika i hasło obarczone jest licznymi zagrożeniami, o których wspomniano na początku tego artykułu. Dlatego firma WASKO postanowiła opracować rozwiązanie, wykorzystujące technologię biometryczną w celu podniesienia poziomu zabezpieczenia stacji roboczych. Rozwiązanie FRGina, o którym mowa, to moduł logowania (ang. GINA – Graphical Identification and Authentication) dla systemów z rodziny MS Windows umożliwiający logowanie użytkownika przez przyłożenie palca do czytnika FinigerVein. W tym przypadku wykorzystywany jest model H1 – niewielki czytnik podłączany przez port USB. (ten sam czytnik wykorzystywany jest w rozwiązaniu eBistro). Oczywiście jak zawsze w przypadku uwierzytelniania biometrycznego konieczne jest wcześniejsze zebranie wzorców biometrycznych od użytkownika i zarejestrowanie ich w centralnej bazie danych. System FRGina posiada pewną unikalną cechę – integruje w jednym rozwiązaniu technologię biometryczną i uwierzytelnianie oparte o infrastrukturę klucza publicznego. Jako uzupełnienia logowania biometrycznego użytkownik otrzymuję kartę inteligentną z certyfikatem cyfrowym. Od konfiguracji danej stacji zależy, czy do uwierzytelnienia wymagane jest umieszczenie karty w czytniku i wprowadzenie kodu PIN, umieszczenie palca w czytniku biometrycznym czy sekwencja tych dwóch metod. Dzięki temu, że usunięcie karty z czytnika powoduje natychmiastowe zablokowanie stacji roboczej, nie tylko przed zalogowaniem osoby nieuprawnionej, ale także przed przejęciem pozostawionej przez użytkownika sesji. Czy może być jeszcze bezpieczniej? W opisanych powyżej rozwiązaniach wzorce biometryczne przechowywane są w centralnej bazie danych lub wręcz wewnątrz urządzenia kontroli dostępu. Bezpieczeństwo przechowywanych w ten sposób wzorców jest w większości przypadków wystarczające oczywiście pod warunkiem stosowania adekwatnych technicznych i organizacyjnych środków ochrony informacji. Są jednak sytuacje, w których wymaga się szczególnej ochrony i poufności wzorców. Może to wynikać z uwarunkowań prawnych lub po prostu z wysokich standardów bezpieczeństwa przyjętych przez daną instytucję. W takich sytuacjach świetnie sprawdzi się technologia Match-on-Card. Jej nazwa („porównaj wewnątrz karty”) doskonale oddaje ideę funkcjonowania. W technologii Matchon-Card wzorzec biometryczny przechowywany jest wyłącznie wewnątrz karty inteligentnej, w której zaszyto algorytmy biometrycznego porównywania wzorców. Zamiast pobierać wzorzec biometryczny by porównać go w oprogramowaniu zainstalowanym w komputerze, próbka pobrana od osoby weryfikowanej jest przesyłana do karty. Tam następuje porównanie z przechowywanym na karcie wzorcem a wynik porównania jest zwracany do aplikacji uwierzytelniającej. Takie podejście przynosi wiele korzyści. Po pierwsze, dzięki temu, że porównywanie odbywa się wewnątrz mikroprocesora karty wzorzec biometryczny nigdy jej nie opuszcza. Konstrukcja i oprogramowanie samej karty, zapewniają, że odczytanie wzorca jest niemożliwe. Sprawia to, że posiadacz takiej karty ma pewność, że nikt poza nim nie ma dostępu do jego danych biometrycznych. Nawet w przypadku kradzieży czy zagubienia karty wzorzec biometryczny jest bezpieczny. Świadomość taka bardzo pozytywnie wpływa na stosunek użytkowników do tego typu rozwiązania. Poza tym technologia Match-on-Card zwalnia organizację wdrażającą takie rozwiązanie z obowiązku utrzymywania i zabezpieczania bazy danych biometrycznych. Drugą istotna korzyść wynika z integracji biometrii z kartami inteligentnymi. Podczas gdy sama biometria umożliwia jedynie uwierzytelnienie użytkownika to karta inteligentna pozwala realizować znacznie więcej usług takich jak płatności czy podpis elektroniczny. Aby uzyskać dostęp do tych usług wystarczy uwierzytelnić się w czytniku FingerVein. Rozwiązuje to problemy związane z zapomnianymi lub skradzionymi kodami PIN a przez to znacznie podnosi bezpieczeństwo codziennego użytkowania karty. WASKO wraz ze swoim partnerem Hitachi opracowuje rozwiązanie umożliwiające składanie bezpiecznego podpisu elektronicznego przy pomocy karty, w której kod PIN zastąpiono weryfikacją biometryczną posiadacza. Koncepcja ta spotkała się ze sporym zainteresowaniem klientów borykających się typowymi problemami związanymi z utrzymaniem tradycyjnych kart. W wielu przypadkach zapomniane PINy nie tylko generują dodatkowe koszty obsługi, ale także powodują istotne przerwy w dostępie użytkowników do danych. Zarządzanie tożsamością Opisane wyżej rozwiązania realizują uwierzytelnianie użytkowników względem zgromadzonej wcześniej bazy wzorców biometrycznych lub specjalnie spersonalizowanych kart inteligentnych. Tworzenie i utrzymywanie tych baz danych oraz wydawanie i obsługa kart jest zagadnieniem nie mniej ważnym od samego procesu uwierzytelniania. Dane osobowe wraz z uprawnieniami, wzorcami biometrycznymi i innymi atrybutami tworzącymi konto użytkownika stanowią cyfrowe odzwierciedlenie jego tożsamości. Przyjrzyjmy się zatem zadaniom mieszczącym się w pojęciu zarządzania tożsamością cyfrową użytkownika na przykładzie systemu Person firmy WASKO. Cykl życia tożsamości cyfrowej rozpoczyna się od złożenia wniosku o utworzenie konta lub wydanie karty identyfikacyjnej. W praktyce wnioski takie mogą być rejestrowane na wiele różnych sposobów. Najprostszym jest ręczna rejestracja wniosku w systemie przez operatora systemu Person na polecenie przełożonego. W dużych organizacjach szczególnie takich, które są rozproszone terytorialnie podejście takie byłoby nieefektywne. Uruchamia się wtedy tzw. zdalne punkty rejestracji. Są to stanowiska umieszczone w poszczególnych jednostkach organizacyjnych lub oddziałach przedsiębiorstwa umożliwiające zdalną rejestrację wniosków dotyczących pracowników tych jednostek przez odpowiednie osoby odpowiedzialne. Pozwala to realizować tzw. zasadę podziału obowiązków (ang. SoD – Separation of Duty) poprzez delegację uprawnień na poszczególne szczeble schematu organizacyjnego przedsiębiorstwa. Tam gdzie wdrożono zaawansowane systemy zarządzania tożsamością integrujące wszystkie systemy informatyczne w przedsiębiorstwie wnioski mogą być rejestrowane automatycznie np. na podstawie informacji dotyczących nowoprzyjętego pracownika pobranych z systemu kadrowego. Taka automatyzacja procesu zarządzania tożsamością stanowi cel, do którego powinny dążyć wszystkie większe organizacje i przedsiębiorstwa. Rejestracja nowej tożsamości cyfrowej na podstawie wniosków może składać się z wielu różnych etapów w zależności tego czy system ma służyć tylko do prostego uwierzytelniania biometrycznego czy ma również świadczyć inne usługi. W każdym przypadku osoba rejestrowana musi pojawić się w punkcie rejestracji systemu Person w celu pobrania od niej wzorców biometrycznych. Zwykle pobiera się co najmniej dwa wzorce (najlepiej z obydwu rąk) aby umożliwić uwierzytelnienie nawet w sytuacji kontuzji dłoni. W przypadku wydawania kart w technologii Match-on-Card wzorce biometryczne są instalowane bezpośrednio na karcie. Dzięki integracji z oprogramowaniem Urzędu Certyfikacji system Person może uzupełnić proces rejestracji użytkownika i personalizacji karty o wydawanie certyfikatu cyfrowego bezpośrednio na karcie. Umożliwia to realizację wspomnianych wcześniej usług PKI takich jak podpis elektroniczny. Nie wszyscy zdają sobie sprawę z tego, że istotniejszym od utworzenia tożsamości cyfrowej zadaniem jest jej dezaktywacja w momencie odejścia pracownika z organizacji lub utraty przez niego dotychczasowych uprawnień. Blokada konta i ewentualne usunięcie danych biometrycznych musi nastąpić niezwłocznie – dostęp do poufnych informacji osoby nieuprawnionej jest dużo groźniejszy niż brak dostępu przez osobę uprawnioną. Podsumowanie Opisane powyżej rozwiązania oparte o biometryczną technikę weryfikacji układu naczyń krwionośnych stanowią jedynie przykłady, które pokazują ogromny potencjał tej technologii. Wraz z przewidywaną popularyzacją biometrii, z pewnością pojawią się liczne systemy informatyczne wykorzystujące tę niezawodną i odporną na ataki metodę uwierzytelniania użytkowników. Spowoduje to z jednej strony wprowadzenie udogodnień w wielu dziedzinach życia, takich jak na przykład płatności „na palec”. Z drugiej zaś strony zwiększy poczucie bezpieczeństwa użytkowników poprzez ograniczenie tzw. cyberprzestępczości. Pokazuje to przykład Japonii, w której po wprowadzeniu technologii FingerVein odnotowano znaczny spadek przestępstw związanych z wykorzystaniem kart płatniczych. Pozostaje tylko czerpać dobre wzory z prekursorów. Bibliografia • Bolle R. M., Connell J. H., Pankanti S., Ratha N. K. Senior: Biometria. Warszawa 2008 • Internet: http://www.kryminalistyka.wortale.net/ • Internet: http://www.globalsecurity.org/security/systems/biometrics-history.htm • Internet: http://www.hitachi.com.sg/veinid • Internet: http://www.hitachi.pl/ifg/Technical%20Facts/FV_hitachi.pdf • Internet: http://www.biometrics.gov/Documents/BioHistory.pdf • Internet: http://www.biometricgroup.com/reports/public/comparative_biometric_testing.html