Электронная подпись и шифрование
Вильям Хиллисон, Карл Пачини и Дэвид Сайнасон
Начало в выпусках: #152
В кратком изложении
Технологии электронной подписи
Традиционная подпись - любая метка, заверяющая документ. Технологические изменения требуют переосмыслить подписание электронных документов. Быстрый прогресс предполагает постоянное усовершенствование средств контроля. В настоящее время существуют две категории технологий электронной подписи: криптографическая и некриптографическая.
Некриптографические методы разработаны, чтобы уменьшить риск, связанный с идентификацией и распознаванием. Криптографические - обеспечивают неоспоримость и безопасность.
Практически все некриптографические и некоторые криптографические технологии построены на принципе "общего секрета", который известен только сторонам сделки или диалога. Если отправитель включил такой секрет, получатель сразу понимает, от кого пришло сообщение. Таким образом, документ можно считать "подписанным".
Хотя метод общего секрета не раз доказал свою эффективность, у него есть недостатки:
- необходима предварительная договоренность сторон, что во многих случаях неудобно или невозможно (например при заключении контрактов с клиентами в Интернете или любой открытой среде вроде аукциона);
- общий секрет может быть известен только двум сторонам и подходит исключительно для личного общения. Использование чужого секрета равносильно подделке документа.
Некоторые криптографические средства контроля способны отслеживать не только подлинность, но и неоспоримость и безопасность. Наиболее эффективная реализация е-коммерции предполагает сочетание некриптографических и криптографических технологий.
Некриптографические методы
Пароль или личный ID номер (PIN). Много лет пароли и код PIN используют, чтобы контролировать доступ к информации.
Код является доказательством того, что пользователь имеет право доступа. Как и в случае с общим секретом, обе стороны должны знать PIN до его предъявления. Если стороны физически удалены друг от друга, работа с кодом осложняется. Например, большинство компаний, занимающихся кредитными картами, отсылают клиенту его код отдельной почтой и просят подтвердить получение. Код, используемый в каналах открытой связи, обычно шифруется.
Смарт-карта. Содержит встроенный чип, который генерирует, хранит и обрабатывает данные, упрощая процесс проверки. Вставив карту в устройство, пользователь вводит код или предъявляет биометрический идентификатор, после чего программа считывает информацию с чипа карты.
Смарт-карта обеспечивает более надежный контроль, чем общий секрет, так как для подмены необходим доступ к двум объектам вместо одного. Дополнительный физический компонент контроля (жетон) стоит недешево. В целях безопасности смарт-карту надо хранить отдельно от кода.
Оцифрованная подпись. Графическое изображение ручной подписи, которое получатель, используя специальную программу, сравнивает с имеющейся у него копией.
Оцифрованная подпись надежнее кода, так как сверяется не только внешний вид букв, но и биометрические факторы: ритм письма, его скорость и сила нажима. Компьютер обнаруживает подделку эффективнее, чем глаз человека.
На первый взгляд, такая форма электронной подписи - отличная гарантия подлинности. Ее сложно подделать, и она сохраняет привычный формат. Однако это всего лишь очередной вариант общего секрета, обладающий его недостатками. Так, отправленный по открытой сети файл с оцифрованной подписью может быть кем-нибудь перехвачен и скопирован.
Биометрия. Физические параметры людей (тембр голоса, отпечатки пальцев, сетчатка глаза) индивидуальны. Их можно перевести в цифровой формат и интерпретировать с помощью компьютера. Такие параметры считывают, преобразуют в цифровой код, а затем сравнивают с хранящимся эталоном.
Биометрия дает очень высокий уровень надежности, но если кто-нибудь завладеет цифровым эталоном, то велика опасность злоупотребления. Поэтому такую информацию, как и код, следует рассылать по открытым сетям только в зашифрованном виде.
Биометрия, очевидно, получит широкое распространение. Тем не менее, она создает проблемы, связанные с измерением и оценкой физических характеристик человека. Администраторы, вероятно, должны будут представить гарантии конфиденциальности.
Продолжение в следующем выпуске.