Fot. D. Stańda

Od samego początku systemy informatyczne narażone były na niebezpieczeństwa związane z dostępem do nich osób nieupoważnionych. Problem ten stał się jeszcze bardziej uciążliwy od momentu stosowania sieci komputerowych i łączenia, za ich pomocą, wielu maszyn. Dzięki rozwojowi Internetu intruz zyskał dostęp już nie tylko do danych umieszczonych w jednym komputerze, ale także do informacji i dokumentów udostępnionych zdalnie w całej sieci. Co więcej, osoba taka może wykraść materiały, będąc na "drugim końca świata".

Podstawowym, stosowanym już od lat 60. ubiegłego wieku, sposobem ochrony danych i udostępnionych zasobów przed nieuprawnionymi osobami jest wprowadzenie haseł. Rozwiązanie to polega na stworzeniu bazy użytkowników, z których każdy, aby uzyskać dostęp do danych zasobów, musi posłużyć się swoim identyfikatorem i tajną frazą.

We współczesnych systemach IT loginy i hasła mają jeszcze jedną funkcję. Odpowiadają one za przydzielenie użytkownikowi (na podstawie podanego identyfikatora) uprawnień do korzystania tylko z części zasobów. Dzięki temu osoby, które mają na danej stacji roboczej konto, nie mają korzystać z prywatnych materiałów innych użytkowników. W ten sposób ogranicza się też uprawnienia do administrowania komputerem oraz do uruchamiania procesów i korzystania z pewnych zainstalowanych programów. Jest to powszechnie stosowany system przydzielania kompetencji użytkownikom i grupom roboczym.

Oczywiście, jeden i ten sam login oraz hasło mogą służyć do uzyskiwania dostępu do różnych zasobów infrastruktury IT. W codziennej praktyce - zarówno w firmach, jak i w urzędach - powszechnie stosuje się systemy, w których wprowadzone dane (tzn. login i hasło) pozwalają pracownikowi korzystać jednocześnie ze stacji roboczej, zasobów firmowego serwera, Internetu, sieci LAN, a także drukarek.

Identyfikacja, uwierzytelnienie i autoryzacja

Z loginem i hasłem ściśle wiążą się takie pojęcia jak identyfikacja i uwierzytelnienie (zwane też autentykacją). Identyfikacja to proces rozpoznania danej osoby po przypisanych tylko jej cechach - w wirtualnym świecie procedura ta najczęściej polega na podaniu loginu i hasła, a w życiu codziennym chodzi np. o przedstawienie się i wylegitymowanie dokumentem tożsamości.

Z kolei uwierzytelnienie jest procesem, który ma na celu upewnienie się co do tożsamości drugiej strony. Innymi słowy - autentykacja to proces identyfikacji, który pozwala na przyznanie odpowiednich uprawnień osobie pozytywnie zweryfikowanej. W systemach informatycznych uwierzytelnienia dokonuje się zazwyczaj przez porównanie wprowadzonego przez użytkownika hasła z tym znajdującym się w systemie. W realnym świecie, wracając do przytoczonego wcześniej przykładu, może to być sprawdzenie zgodności naszego wyglądu z wizerunkiem znajdującym się na fotografii w dowodzie tożsamości.

Po identyfikacji i uwierzytelnieniu następuje autoryzacja, która jest już ostatnim procesem. Jest to operacja przyznania danej osobie upoważnienia do dostępu lub do korzystania z zasobów związanych z uwierzytelnionym obiektem. Po poprawnej autoryzacji użytkownik może otrzymać np. prawo do używania służbowego komputera, a w realnym świecie np. prawo do odbioru listu poleconego, który może być wydany jedynie adresatowi.

Metody uwierzytelniania

Definicje terminów oraz algorytmy identyfikacji, uwierzytelniania i autoryzacji znajdują się w normie kryptograficznej ISO/IEC CD 9798-1. Przy ochronie dostępu do zasobów - zgodnie ze wspomnianym standardem - uwierzytelnianie niemal zawsze odbywa się na tzw. zasadzie "co wiesz" - czyli na podstawie wiedzy o sprawdzanej osobie. Oznacza to, że weryfikujący daną osobę system informatyczny rozpoznaje każdego użytkownika po wpisanym przez niego haśle lub też analizuje zgromadzone w bazie danych informacje biometryczne - np. odciski palców, zdjęcie siatkówki oka itp. Biometryczne procesy uwierzytelnienia klasyfikowane są czasem jako metody typu "kim jesteś". Jednakże z formalnego punktu widzenia są one odmianą zabezpieczenia "co wiesz".

Druga metoda weryfikacji wiąże się bezpośrednio z zasadą "co masz". Bazuje ona na dodatkowym, posiadanym przez użytkownika, elemencie uwierzytelniającym. Może być nim np. token, klucz kryptograficzny - czyli np. chipowa karta elektronicznego podpisu - lub wydany przez system uwierzytelniający jednorazowy kod. Ważne, że dysponowany przez użytkownika element autentykacji jest zmienny. Token podaje zawsze inny numer, karta kryptograficzna generuje zmienny cyfrowy podpis zależny od wprowadzonych do systemu informacji, a jednorazowy kod, jak wskazuje sama jego nazwa, służy do jednorazowego wykorzystania. Tego warunku zmienności nie spełniają wspomniane przed chwilą metody biometryczne.

Obraz siatkówki czy odcisk palca jest niezmienny, stąd też nie można ich zaliczyć do kategorii "co masz".

Systemy z tokenem lub jednorazowymi kodami spotyka się przede wszystkim w bankach. Jeśli złodziej jakimś sposobem przechwyci nasze hasło, to i tak nie będzie mógł wygenerować kolejnego numeru, zgodnego z cyframi podanymi przez token. Jeśli zaś skradziony zostanie sam token, to przestępca i tak nie będzie znał hasła potrzebnego do jego uruchomienia. Aby dostać się do naszego konta, intruz musiałby jednocześnie podsłuchać hasło do tokena oraz go skraść. Powiedzmy sobie szczerze - takie zdarzenie jest bardzo mało prawdopodobne.

Karty chipowe stosowane są przede wszystkim w systemach obsługujących podpis elektroniczny. Metoda ta wykorzystuje algorytmy kryptografii asymetrycznej (certyfikaty, klucze SSH itp.). Serwer uwierzytelniający dysponuje kluczem publicznym danej osoby. Za jego pomocą szyfruje pakiet danych, który następnie wysyła do użytkownika. Jeśli ten potrafi go rozszyfrować, oznacza to, że jest on dysponentem klucza prywatnego i jest osobą, za którą się podaje. Systemy z kryptograficzną kartą chipową możemy spotkać w rządowych instytucjach przetwarzających informacje niejawne, w agencjach wywiadu wojskowego i tych związanych z bezpieczeństwem narodowym. W większości wypadków, tam gdzie do uwierzytelniania stosowane są czytniki kart chipowych, wykorzystuje się znacznie tańsze karty (i systemy) ze stałym numerem identyfikacyjnym. W takiej sytuacji rozwiązanie to zaliczymy do metod typu "co wiesz", a nie znacznie bardziej skomplikowanych "co masz".

Uwierzytelnianie w praktyce

Tyle teorii. Przyjrzyjmy się teraz praktycznym metodom stosowanym do uwierzytelniania i wybierzmy spośród nich te, które można wykorzystać w urzędzie. Najpopularniejszy obecnie sposób uwierzytelniania opiera się na wykorzystaniu czytników linii papilarnych. Jak można się domyślić, dostęp do komputera uzyskujemy wówczas, gdy przeskanowany odcisk palca zgadza się z wprowadzonym wcześniej przez użytkownika wzorcem. W taki sprzęt wyposażonych jest wiele biznesowych i bardziej zaawansowanych notebooków, jak np. multimedialny laptop MSI EX620 (cena 3400 zł). Warto zatem podczas zakupu komputerów do urzędu zdecydować się na model, który ma wspomnianą funkcjonalność.

W wypadku maszyn stacjonarnych najlepiej zdecydować się na kupno zewnętrznego czytnika - najczęściej w postaci autonomicznego urządzenia USB, wraz z odpowiednim oprogramowaniem zabezpieczająco-weryfikującym. Tego typu czytnikiem jest np. Identix BioTouch USB, kosztujący 850 zł i rozprowadzany wraz z oprogramowaniem BioLogon for Windows Desktop Client/Server, które współpracuje z systemami operacyjnymi Microsoft Windows 95/98/NT/2K/ME/XP/Server 2003/Vista. Tańszym, bo kosztującym 100 zł, ale też i nieco mniej zaawansowanym systemem jest np. czytnik biometryczny Bluefish A108, sprzedawany z oprogramowaniem Security Pack dla Windows XP/2000/Vista.

Bardzo popularne są również klawiatury oraz myszki z wbudowanymi czytnikami linii papilarnych. Przykładami takich urządzeń są U.are.U Fingerprint Keyboard firmy Digital Persona (400 zł) oraz Personal Security Mouse GMEFP1W6 firmy Iogear (280 zł). W wypadku korzystania z systemów biometrycznych, odczytujących linie papilarne, trzeba jednak pamiętać, że mogą pojawić się błędy odczytu. Wystarczy bowiem, że będziemy mieli lekko wilgotną rękę lub krzywo położymy palec na czytniku i kłopot gotowy - nie będziemy mogli zalogować się do systemu. Aby uniknąć takich sytuacji, należy podczas wprowadzania wzorca bardzo dokładnie przeskanować palce oraz wprowadzić do bazy programu biometrycznego możliwie jak najwięcej odcisków, które będą pochodzić z różnych palców - zwiększa to niezawodność systemu. Warto też pozostawić sobie możliwość (przynajmniej dla jednego użytkownika z uprawnieniami administratora) zalogowania się do danej maszyny bez konieczności użycia czytnika. Część biometrycznych programów uwierzytelniających udostępnia również opcję logowania, która polega na podaniu hasła, dodatkowo potwierdzanego odczytem linii papilarnych - w wielu wypadkach warto skorzystać z tej funkcji.

Drugą, lecz już znacznie mniej popularną, ze względu na cenę urządzeń dochodzących nawet do 10 tys. dolarów, biometryczną metodą uwierzytelniania użytkowników są mechanizmy sprawdzające tęczówkę oka. Tego typu urządzeniem jest m.in. niedostępna już w Polsce kamera Panasonic BM-ET-120. Dwa lata temu kosztowała ona ok. 3500 zł. Jak na warunki urzędowe wydaje się, że jest to jednak cena zaporowa.

Karty procesorowe i tokeny USB

Kolejnym często stosowanym zabezpieczeniem uwierzytelniającym pracownika są karty procesorowe - w tym karty szyfrujące. Najczęściej ich czytnik podłącza się do komputera za pośrednictwem złącza USB. W wypadku notebooków można posłużyć się urządzeniami, współpracującymi z gniazdem PCMCIA lub Express Card. Najtańsze mechanizmy, obsługujące karty chipowe chińskiej lub tajwańskiej produkcji, dostępne są na rynku za 50-100 zł. Jednak pamiętajmy, że jest to tylko hardware, bez oprogramowania uwierzytelniającego.

Tego typu aplikacje są jednak dostępne oddzielnie. Przykładowo, program OmniPass (cena 250 zł) pozwala użytkownikom bezpiecznie zalogować się do systemu za pomocą czytników linii papilarnych, kart mikroprocesorowych lub tokenów USB. Natomiast jeśli chodzi o karty mikroprocesorowe, to trzeba je zwykle zamawiać (po 100 sztuk) w firmach specjalizujących się w ich sprzedaży.

Ostatnią grupą urządzeń wykorzystywanych do uwierzytelniania użytkownika są tokeny USB. Zastępują one zestawy kart elektronicznych wraz z czytnikami. Ponadto pozwalają na magazynowanie zaszyfrowanych danych. Tokeny USB pracują na zasadzie "zapytanie-odpowiedź" (challenge-response) oraz dodatkowo przechowują hasła i klucze szyfrujące, które chronią osobistymi kodami PIN użytkownika. Bardziej zaawansowane modele wykonują dodatkowo operacje kryptograficzne na zgromadzonych danych, wewnątrz samego tokenu. Logowanie następuje po podłączeniu urządzenia do gniazda USB, a oprogramowanie uwierzytelniające sprawdza, czy jest to token zgodny z tym, który został przypisany danemu użytkownikowi. Koszt zakupu tego rodzaju sprzętu waha się 150-300 zł - np. Aladdin eToken Pro kosztuje 170 zł.

Jak widać, nie tylko login użytkownika i hasło mogą służyć do identyfikacji i uwierzytelniania użytkownika. W urzędowej praktyce najlepiej sprawdzą się czytniki linii papilarnych, tym bardziej że wiele notebooków jest w nie od razu wyposażonych. Taki system logowania, w którym dostęp do komputera uzyskujemy od razu po przyłożeniu palca do czytnika jest lepszy niż identyfikator i hasło zanotowane przez pracownika na spodniej stronie klawiatury czy, jak to się niekiedy zdarza, na żółtej karteczce przyklejonej do obudowy monitora.

Autor jest niezależnym dziennikarzem zajmującym się propagowaniem nauki i techniki.