BIZIT 11 - prvi dan

Zaštitite identitet korisnika

Zaštita identiteta korisnika različitih informacionih sistema predstavlja veoma važnu temu, a najnovija ideja na ovom polju je SIO – model koji služi za bezbedno skladištenje i transport svih podataka o identitetu korisnika unutar jedinstvenog programskog objekta.

slika1Krađa identiteta je veoma opasna stvar. Da biste se uverili u to, ne morate da bude ekspert na polju bezbednosti – dovoljno je da se prisetite gde se sve od vas redovno traži da dokazujete ko ste i šta ste, kao i kako ste razmišljali o posledicama koje bi nastupile ako ne dokažete svoj identitet ili, što je još gore, ako bi se neko uspešno predstavio kao vi.

Ako želite da podignete novac iz banke ili da nešto kupite, koristite platnu karticu sa čipom ili magnetnom trakom, sve češće i beskontaktne kartice i unosite PIN broj, što treba da dokaže vaš identitet. Pri svakom susretu sa administracijom tu je čitač lične karte, a ako putujete u inostranstvo, identitet dokazujete pasošem koji se očitava na automatskom terminalu. U poslovnom svetu se odavno koriste korporativne kartice kao dokaz identiteta zaposlenih, elektronska korespondencija se potpisuje digitalnim potpisom kao dokaz identiteta pošiljaoca, a vrata u firmama se otvaraju (ili ne otvaraju) u zavisnosti od toga da li raspolažete odgovarajućim RFID tagom, tokenom ili nekim drugim gedžetom za kontrolu pristupa.

com4t logoHID_logoSve češće se, kako u poslovnom svetu, tako i u bezbednosnim ustanovama, vladinom sektoru i raznim drugim oblastima ljudske delatnosti, pribegava biometrijskim čitačima koji se oslanjaju na neizmenjive lične atribute, kao što su otisak prsta ili izgled šare mrežnjače oka. Da ne dužimo više – identitet je veoma važan i danas postoji mnogo tehničkih rešenja koja se koriste za skladištenje i transport podataka o identitetu korisnika. I tu dolazimo do problema, jer mnogo rešenja komplikuje stvari pošto svako od njih ima usku oblast primene. Primera radi, vaš PIN za platnu karticu vam neće pomoći da otvorite vrata u kompaniji u kojoj radite, već ćete morati da nosite sa sobom korporativnu RFID karticu. Zvuči logično, ali zapravo nije – i PIN i RFID kartica služe isključivo za dokaz vašeg identiteta, a ipak ne mogu da zamene jedno drugo.

Analogija s muzikom

Specifičnost današnjih čitača i kredencijala kojima se dokazuje identitet najlakše je shvatiti ako napravimo analogiju s nosačima zvuka koji su se koristili kroz istoriju. Jedan od prvih nosača zvuka je vinilska ploča u koju je zvučna informacija fizički urezana u brazde i za čiju je reprodukciju neophodan stari dobri gramofon. Magnetna traka sadrži iste ove podatke o zvuku u obliku magnetnog zapisa, a za reprodukciju je neophodan magnetofon ili, u slučaju drugog formata, kasetofon. Jasno je da iako je podatak snimljen na ove medije semantički isti, oni međusobno nisu kompatibilni.

Kompakt‑disk je još jedan format koji nije kompatibilan s drugima, ali i prvi korak u rešenju problema kompatibilnosti, jer je na njemu informacija o zvuku digitalna. Prevođenje u digitalni domen otvorilo je mogućnost kompresije, zaštite podataka (u ovom slučaju se to uglavnom odnosi na autorska prava) i prenošenje na računar, a zatim i druge medije, što je brzo dovelo do širenja sredstava za reprodukciju – muzički fajl koji je jednom smešten na računar može se vrlo lako prebaciti na kućni stereo‑sistem, prenosivi muzički plejer, mobilni telefon, televizor, ozvučenje u automobilu itd. Isti ovaj fajl se može uskladištiti i na bilo koji nosač podataka – narezati na disk, snimiti na prenosivu fleš‑memoriju i poneti sa sobom ili poslati nekome posredstvom Interneta.

Kada su zaživeli MP3 i drugi digitalni kompresovani formati, sredstva za reprodukciju, transport i skladištenje zvučne informacije postala su nebitna jer je muzika odvojena od medijuma. Uvođenjem tzv. SIO objekata sličan efekat se može postići i s podacima kojima se dokazuje identitet, što otvara mogućnost za slobodan prenos podataka o identitetu između različitih medija i čitača i donosi veliku fleksibilnost u ovoj važnoj oblasti.

Šta je HID SIO?

HID SIO (Secure Identity Object) je model podataka za skladištenje i transport informacija o identitetu korisnika unutar jedinstvenog objekta, koji je razvila kompanija HID, koja se bavi bezbednosnim rešenjima vezanim za identitet u najrazličitijim oblastima primene u celom svetu. Svaki SIO objekat se sastoji od većeg broja nezavisnih, ali povezanih objekata podataka koji služe za kontrolu fizičkog pristupa (na primer, broj kartice), biometrijskih podataka poput otiska prsta ili količine raspoloživog novca na platnoj kartici. Skup svih ovih informacija unutar jednog SIO objekta obezbeđuje uvek pravilno uparivanje podataka, odnosno garantuje da, na primer, nikada nečiji otisak prsta neće biti greškom uparen s platnom karticom koja pripada nekoj drugoj osobi.

SIO je osmišljen kao slojeviti bezbednosni model za digitalne kredencijale. Pomenuti slojevi obuhvataju enkripciju, digitalni potpis, uparivanje i diversifikovane ključeve i smešteni su povrh postojećeg bezbednosnog sistema kartice ili nekog drugog uređaja koji se koristi za obezbeđenje pristupa. U praksi to izgleda ovako: želimo da formiramo kredencijale koji mogu da se koriste za otvaranje vrata, logovanje na računar i koji sadrže biometrijske podatke. Podaci se prvo kriptuju korišćenjem uobičajenih i u praksi mnogo puta oprobanih metoda, pa ako neko i uspe da neovlašćeno dođe do podataka, oni će za njega biti beskorisna gomila slučajnih simbola.

Ovako obezbeđen objekat se zatim digitalno potpisuje, opet uz korišćenje oprobanih metoda enkripcije, što garantuje identitet potpisnika, ali i integritet, odnosno da podaci nisu u međuvremenu neovlašćeno izmenjeni. Zatim se na ovo dodaju preostali zahtevani objekti podataka – objekat koji sadrži podatke neophodne za logovanje na računar i objekat koji sadrži biometrijske podatke – oni se takođe kriptuju i digitalno potpisuju kao i prvi objekat. Na kraju se sva tri ovako pripremljena objekta međusobno spajaju, uparuju sa uređajem na kome će biti smešteni i obuhvataju novim, ovoga puta zajedničkim digitalnim potpisom. Rezultat je SIO model podataka koji je bezbedan, lako prenosiv i fleksibilan.

Bilo šta, na bilo čemu

SIO deluje kao interesantan koncept, ali treba razumeti da je praktičan aspekt njegove primene još značajniji, jer se uvođenjem bezbednosnih objekata identiteta otvaraju nove mogućnosti u ovoj oblasti. Zamislite samo da nema više sve one tehničke gnjavaže i ograničenja koja nameću RFID čitači i tagovi, već da se identitet korisnika može smestiti na sve vrste kartica. U tom slučaju možete da koristite svoj mobilni telefon (na kome su smešteni podaci o identitetu) kao ključ za otvaranje vrata ili te iste podatke možete u sekundi poslati telefonom nekom udaljenom korisniku kome želite da omogućite ulaz u obezbeđeni prostor. SIO omogućuje bezbedan pristup svim servisima koji su vam potrebni.

U primeru smo naveli podatke za otvaranje vrata, logovanje na računar i biometrijske parametre korisnika, ali SIO objekat može da sadrži bilo koju vrstu podataka, odnosno upravo one podatke od kojih se sastoji identitet korisnika za svaku konkretnu primenu koja može da vam padne na pamet. Svi ovi podaci se mogu smestiti na bezbedan način u gotovo svaki uređaj za koji želite da u sebi nosi identitet – RF kartice, smart kartice, tokene, čipove, SIM kartice, memorije mobilnih telefona… Praktično sve što raspolaže bezbednom digitalnom memorijom dolazi u obzir. I sve to zajedno može da posluži za najraznovrsnije primene: obezbeđivanje fizičkog pristupa (recimo, otvaranje vrata i kontrola obezbeđenog prostora), logičkog pristupa (na primer, pristup računarskom sistemu), kontrola prisustva na radu, bezbedno štampanje osetljivih dokumenata, kao sredstvo plaćanja u automatskoj prodaji (vending mašine), za kontrolu prometa robe i putnika, bezgotovinski promet u prodavnicama i restoranima…

Tehnologija SIO procesora se može ugraditi u gotovo bilo koji uređaj, a uređaji na koje je SIO ugrađen zajedno formiraju svojevrstan eko-sistem, frejmvork koji proizvođač, kompanija HID, naziva Trusted Identity Platform. S obzirom na to da ovaj novi model u upravljanju digitalnim identitetima mnogo obećava, ima izgleda da ćemo se u budućnosti sve više sretati s SIO platformom, pa je pravo vreme da je upoznamo.

Mladen Mijatović

(Objavljeno u časopisu PC#197)

Facebook komentari:
Računari i Galaksija
Tagovi: , , ,