Формирование доверительных моделей при информационном обмене


Охрименко С.А., д.э.н., профессор (Экономическая Академия Молдовы)
Черней Г.А., к.э.н. (Национальный Банк Молдовы)



     Процесс взаимодействия субъектов, как с информационной системой, так и между собой основывается на такой категории как доверие. Дать полное и четкое определение доверия сложнее, чем может показаться на первый взгляд, а в случае его применения по отношению к формализованной структуре, коей является информационная система (ИС), это становится еще проблематичней.

     Роль доверия с точки зрения безопасности вряд ли можно переоценить ввиду того, что именно с его помощью осуществляется совмещение несовместимых, на первый взгляд, вещей: неподдающееся формализации поведение людей и строго формализованная логика информационной работы системы.

     Ввиду того, что ИС основываются на строго определенных алгоритмах и правилах функционирования, их эксплуатация обуславливает соблюдение этих правил. Пользователи, соблюдая эти правила, обеспечивают функционирование ИС в заданных режимах. Если условия эксплуатации не выполняются, в ИС происходит нештатная ситуация, возникает сбой и необходимость вмешательства персонала для приведения ее в штатный режим. Чтобы исключить человеческий фактор, применяются разные механизмы контроля, дублирования, обработки ошибок и т.п.

     Таким образом, функционирование ИС основывается на условии, что пользователи будут выполнять требования инструкций по эксплуатации. Это и есть нечеткое понятие, которое называется доверием. Таким образом, доверие есть уверенность, что субъекты информационного процесса будут действовать именно таким образом, как от них того ожидают или им предписано.

     Представленное определение достаточно размыто определяет категорию доверия, что, в принципе, является также результатом размытости области его применения. В случае применения к процессам аутентификации, доверие означает, что один субъект может доверять другому в том, что тот будет соблюдать все требования и процедуры, предписанные процессом аутентификации. Уровень доверия между участниками информационного обмена, а также условия выполнения доверительных отношений называется доверительной моделью. По причинам, высказанным ранее, сложно представить обобщенную доверительную модель, которую можно было бы применить как ко всем ИС вообще, так и к моделям безопасности, в частности.

     Представляется возможным рассмотреть доверительную модель, имеющую место при применении простой схемы аутентификации с помощью пароля. При подобной схеме предполагается следующее:

И последнее, оба участника информационного обмена уверены в том, что канал передачи пароля защищен.

     Если рассматривать достоинства и недостатки рассмотренной модели, то можно отметить, что к достоинствам следует отнести только простоту. К недостаткам же относится следующее:

  1. Модель предполагает полное доверие пользователя к серверу, что обуславливает возможность злоупотреблений со стороны последнего.
  2. Пользователю оказано минимальное доверие.
  3. Пользователь никогда не может быть уверен в том, что подключился именно к тому серверу, который ему нужен.

     Следует отметить, что в рассмотренной модели ничего не предполагается относительно доверия к правильности операций субъектов, аутентичности передаваемых сообщений и т.п. Данную модель можно назвать моделью максимального доверия, так как она допускает минимум ограничений, с одной стороны, и максимальную возможность для злоупотреблений, с другой. И естественно, что при реализации в ИС подобной модели говорить о положительном решении проблем получателя не приходится.

     Для решения всех проблем получателя, а также выполнения ряда требований аутентичности участников обмена данных необходимо выделять дополнительные условия ее применения. Естественно, что если в ИС участники не доверяют вообще никому, то говорить о каких-либо возможностях односторонней   или взаимной аутентификации также не приходится. Любая ИС предполагает минимальный уровень доверия между участниками.

     В реальной жизни этот уровень определяется степенью проработки юридических соглашений между участниками. Это могут быть законы, стандарты, соглашения и другие нормативные акты, регламентирующие порядок обмена данными, права и обязанности участников. И чем лучше разработана юридическая сторона, тем больше технологических допущений можно сделать при реализации систем аутентификации. И именно юридическая компетентность участников обмена и определяет их понятие и уровень доверия как к ИС, так и друг другу.

     В настоящее время благодаря применению технологий цифровой подписи и средств обеспечения конфиденциальности, с одной стороны, и развитию законодательной базы в области обмена данными и защиты информации, с другой, пользователи получают абсолютно новое качество доверительных отношений в рамках аутентифицированного обмена данными.

     Рассмотренная модель доверительных отношений обладает рядом недостатков и является «однобокой». Хотя она и получила наибольшее распространение из-за простоты, но ее применение нецелесообразно. Особенно опасно использование такой доверительной модели в условиях, ввиду того, что большое распространение получили атаки, основанные на подмене сервера, в итоге которой пользователь ведет сеанс связи совсем с другим сервером, чем тот, к которому обращался.

     Самой логичной и практичной в большинстве случаев доверительной моделью является модель обоюдного доверия, которая состоит в том, что две стороны доверяют друг другу в случае, если они взаимно аутентифицированы. Например, если есть два пользователя сети, то они могут доверять друг другу только в случае, если они взаимно аутентифицированы. Существует множество протоколов, которые реализуют данное условие, позволяющее обеспечить, кроме всего прочего, обоюдную аутентификацию сторон. Эти криптографические протоколы могут основываться на шифровании, как с секретными, так и с публичными ключами.

     С увеличением количества участников в системе необходимо поддерживать соответствующие ключи шифрования, с помощью которых будет реализован протокол. Это значительно усложняет количество доверительных связей, которые необходимо устанавливать.

     В данных условиях целесообразно возложить функции централизованного установления доверительных связей на одного из участников, которому будут доверять все в рамках установленных норм. Соответственно каждый раз перед установлением связи участники будут по очереди обращаться к данному центру с просьбой проверить аутентичность другой стороны. Центр соответствующим образом проверяет аутентичность каждого участника и сообщает о результатах другой стороне. В случае успешной аутентификации сеанс связи устанавливается между участниками. Данная доверительная модель получила название трехсторонней доверительной модели, а доверенная сторона, которая подтверждает аутентичность участников, называется центром аутентификации.

     Таким образом, для уменьшения количества доверительных связей целесообразно возложить их реализацию на третью, доверительную сторону. Но в реальной жизни каждое обращение к центру аутентификации не всегда возможно.

   С распространением криптографии с публичными ключами стало возможным применение цифровых сертификатов публичных ключей, однозначно гарантирующих аутентичность пользователей, сумевших реализовать криптографическую операцию на секретном ключе, соответствующем публичному ключу, зафиксированному в сертификате. Соответственно, любой пользователь, получивший сертификат своего публичного ключа, имеет возможность впоследствии использовать свой секретный ключ и доказывать свою аутентичность. В контексте аутентификации сертификаты необходимы для предупреждения подмены или модификации публичного ключа пользователя. Центр, сертифицирующий публичные ключи, обладает доверием всех участников системы, и, соответственно, его цифровая подпись признается всеми участниками и проверяется его публичным ключом. Данная модель называется трехсторонней доверительной моделью с центром сертификации. С точки зрения доверительных связей модель с центром аутентификации и модель с центром сертификации идентичны.   Но они отличаются по сути доверительных функций, возложенных на соответствующие центры.

     Такая доверительная связь гораздо эффективнее, чем трехсторонняя доверительная модель с центром аутентификации. Это связано с тем, что, если центру аутентификации необходимо часто знать сеансовые ключи (он или служит каналом передачи или генерирует этот ключ), и он сам принимает решение об аутентичности сторон, то в случае его компрометации результатом оказывается крах всей системы, центру сертификации публичных ключей необходимо обеспечить только безопасность своего секретного ключа.

     В таком случае количество необходимых доверительных предпосылок гораздо меньше. Это упрощает и необходимое организационно-административное обеспечение пространства доверительных отношений.

     В реальной жизни необходима реализация более сложных конструкций доверительных отношений. Для этого применяется ряд преобразований над одно-, двух- и трехсторонними доверительными отношениями, в результате чего возможно получение необходимой структуры доверительных отношений.

     Необходимо обратить внимание также на категорию риска в контексте доверительных отношений. Риск как организационно-техническая категория присутствует в любых ИС. Для уменьшения риска используются модели его управления. В рамках доверительных отношений риск присутствует и выражается следующими показателями:

     Для минимизации риска в ИС применяются организационно-административные методы и мероприятия, цель которых определить права и обязанности участников. Самым распространенным на практике методом фиксации прав и обязанностей участников системы обмена данными – контрактные отношения, которые регламентируют решение указанных проблем.