Jistě si dokážete vybavit sami sebe v situaci, kdy musíte řešit problém s přihlášením k některému ze svých účtů a heslo je odmítnuto nebo je naopak opět požadována jeho změna a vy si ho musíte modifikovat na ještě složitější , i když již v tu chvíli tušíte, že si ho nebudete schopni zapamatovat. Všichni tedy musí řešit správu hesel, rozhodnout se, zda budou používat silná unikátní hesla se vším, co k tomu náleží, anebo si usnadní život a obětuje bezpečnost. A v podobné situaci je i samotný IT správce.
Proč tomu tak je? Proč na počátku 21. století je stále nejrozšířenější ta nejstarší a z hlediska bezpečnosti nejhorší autentizační technologie a s ní spojená správa uživatelů? Proč ostatní bezpečnější technologie jsou užívány pouze okrajově? Existuje nějaká šance na rozumné používání bezpečnější technologie, která bude ohleduplnější vůči uživatelům i správcům a která bude mít bezpečnostní parametry odpovídající potřebám 21. století?
Mýty autentizace a správy uživatelů
Podívejme se nejprve na definice základních pojmů. Elektronická identita (eID) je způsob ověřitelného (autentizovatelného) rozlišení uživatelů při používání elektronické služby, tedy ve světě počítačů. Naproti tomu fyzická identita slouží k rozlišení lidí ve fyzickém světě.
Dnes jsme si zvykli považovat některé postupy v oblasti autentizace a správy uživatelů za dané a nenapadne nás přemýšlet o tom, že by to někdy mohlo jít jinak a lépe. Podívejme se na principy běžného a standardního řešení. Často se například uplatňuje názor, že elektronická identita musí obsahovat informace o fyzické identitě – jak jinak by se totiž dal rozpoznat uživatel?
Dalším rozšířeným mýtem je, že fyzickou identitu uživatele musíme nejdříve ověřit a pak až dostaneme elektronickou identitu. Například pokud se používají prostředky elektronické autentizace (čipové karty, autentizační tokeny, autentizační kalkulátory), musejí se nejdříve personifikovat a bezpečně předat konkrétnímu uživateli.
Nepříjemnou součástí elektronické identity je to, že pokud s ní uživatel pracuje, musí něco zadat, něco provést, aby prokázal, kdo vlastně je. Některé technologie dokonce vyžadují zadávání při každém přihlášení (např. login/password), jiné pouze před prvním přihlášením (PKI – certifikát).
Běžným standardem je, že poskytovatel určuje služby, stanovuje, jak se bude uživatel přihlašovat, co bude k přihlašování používat a vymezí autentizační technologii i pravidla jejího používání. Někdy dokonce poskytovatelé umožní uživateli si vybrat mezi několika možnostmi, například se to týká některých bank.
Posledním častým mýtem, který si zmíníme, je přístup k uživatelsky orientované autentizaci k více různým elektronickým službám různých poskytovatelů (single-sign-on, user centric identity). Pro ni je potřeba nějaká univerzální elektronická identita, pokud možno celosvětově uznávaná a vydávaná nějakou autoritou - například certifikační autority, Microsoft Passport či Identity Provider.
Jiná možnost, nový přístup
Ve skutečnosti to tak nemusí být. Pokud opustíme tato navyklá schémata myšlení, která vyplývají ze současných zkušeností se současnými technologiemi, zjistíme, že to jde jinak. Jednodušeji a bezpečněji. Například elektronická identita může být spravovaná zcela automaticky a bez jakýchkoli informací o fyzické identitě. Nemusí se o ni starat ani uživatel, ani správce. Stačí nastavit bezpečnostní parametry a ostatní může fungovat automaticky.
Zároveň může vzniknout a být používána i dříve, než je známa a ověřena fyzická identita uživatele. Jen je potřeba přidělit příslušná přístupová práva. Dokonce ani uživatel nemusí nic dělat, aby se autentizoval k elektronické službě. Přihlásí se rovnou a autentizace proběhne automaticky, případně si vyžádá od uživatele jen souhlas k jejímu provedení.
Pokud je identita spravována automaticky, může uživatel použít svůj vlastní prostředek elektronické autentizace. Ten je vyráběn a prodáván jako univerzální a bez jakékoliv elektronické identity. Uživatel si může vybrat takový, jaký mu vyhovuje a ten užívá pro autentizaci se všemi nebo s vybranými poskytovateli služeb. Takových prostředků může využívat i více.
Nicméně není třeba žádná univerzální elektronická identita. Naopak používání jiné elektronické identity pro autentizaci s každým poskytovatelem služby je jednodušší a bezpečnější.
Pokud jsou takové elektronické identity spravovány plně automaticky a umístěny v jednom prostředku elektronické autentizace, který uživatel univerzálně používá, stává se tento prostředek elektronické identity v očích uživatele „zhmotněnou elektronickou identitou" na kterou si uživatel může sáhnout a se kterou umí intuitivně pracovat. Uživatel má univerzální „klíč", který mu odemyká jeho elektronické služby, a nezajímá ho, co se děje uvnitř.
Správci se také podstatně zjednoduší život. Může nastavit takové bezpečnostní parametry autentizace, jaké mu vyhovují a jaké jsou přiměřené v jeho konkrétním případě, a to bez ohledu na ostatní poskytovatele služeb, které uživatel používá.
To, co nastaví, je automaticky vykonáváno výpočetní technikou, která funguje podstatně spolehlivěji než uživatelé. A když se jasně oddělí elektronická identita od fyzické identity a správy přístupových práv, tak se zjednoduší i správa přístupových práv a ověřování fyzické identity.
Je pravda, že je potřeba používat jiné nebo modifikované postupy ověření fyzické identity. Existující bezpečná elektronická identita může být s výhodou použita pro ověření fyzické identity s využitím elektronických služeb. To otvírá prostor pro zvýšení kvality a efektivnosti činností spojených se správou uživatelů.
Existují i další možnosti jak zpříjemnit život uživatelům a zefektivnit procesy verifikace fyzické identity (Identity proofing), jako jsou například možnosti sdílení informací o fyzické identitě mezi poskytovateli služeb podmíněné souhlasem uživatele. To umožní vytváření vztahů důvěry mezi poskytovateli služeb, a to bez topologických omezení či bez nadřazenosti a podřízenosti.
Takové možnosti otevírá například nová technologie elektronické identity ALUCID (Automatic Liberal and User Centric electronic IDentity).
ALUCID přichází
ALUCID je koncepčně novou technologií elektronické identity, autentizace a správy uživatelů. Základními prvky řešení jsou PEIG (Personal Electronic Identity Gadget) a AIM (ALUCID Identity Machine). PEIG je univerzálním plně automatizovaným nosičem elektronických identit uživatele a může mít různé formy, např. zabezpečená USB klíčenka nebo mobilní telefon. Je vyráběn a distribuován prázdný bez elektronické identity a bez personifikace. Elektronická identita vzniká automaticky až při používání PEIG svým majitelem a funguje pro každého poskytovatele služby odděleně.
AIM je síťová služba správy elektronické identity na straně poskytovatele elektronické služby. Tato služba je používána cílovými aplikacemi pomocí standardního síťového rozhraní (webová služba – Web Service). Komunikace mezi PEIG a AIM je založena na otevřených mezinárodních standardech.
ALUCID odděluje striktně elektronickou identitu od informací o uživateli, např. od informací o fyzické identitě. Ta elektronická je spravována zcela automaticky a neobsahuje žádné informace o uživateli. Využívá totiž pseudonáhodných identifikátorů a náhodných autentizačních tajemství (secrets), které se v čase mohou měnit. Bezpečnostní správce může nastavit celou řadu bezpečnostních parametrů takové identity, např. délky identifikátorů a tajemství, dobu platnosti a počet použití, dále může zvolit autentizační protokol a vybrat používané bezpečnostní algoritmy.
Pomocí elektronické identity (která se v čase mění) je udržována pevná bezpečná vazba (Permanent Secure Link) mezi uživatelem (jeho PEIG) a jemu příslušným datovým záznamem – osobním objektem (Personal Object) v databázi poskytovatele služby. Tím je zajištěno, že po úspěšně provedené automatické autentizaci má cílová aplikace přístup k informacím o autentizovaném uživateli. Přesto, že elektronická identita uživatele se mění podle bezpečnostních požadavků, má cílová aplikace k dispozici ty správné informace o tom stejném uživateli.
Protože PEIG pracuje se všemi elektronickými identitami automaticky a nezávisle pro každého poskytovatele, má každý poskytovatel možnost řídit nezávisle na ostatních poskytovatelích bezpečnost elektronické identity a zároveň má uživatel k dispozici univerzální prostředek elektronické identity.
ALUCID používá symetrickou autentizaci. To znamená, že AIM se autentizuje k PEIG a PEIG se autentizuje k AIM. Tím se zvyšuje odolnost autentizace proti útokům a zároveň se otevírají další funkčnosti založené na takto vzájemně ověřené elektronické identitě.
Aktivace PEIG je zcela nezávislá na elektronické identitě používané pro jednotlivé poskytovatele. Způsob aktivace je vlastností realizace PEIG a určuje jej jeho vlastník výběrem PEIG a jeho nastavením. Aktivace slouží jako bezpečnostní prvek zabraňující neoprávněné osobě zneužít PEIG např. v případě ztráty či krádeže. Může jít např. o aktivaci pomocí PIN nebo biometriky, např. otisku prstů. Způsob aktivace je zcela oddělen od elektronických identit, a proto nemůže být zjištěn z komunikace mezi PEIG a AIM.
Kromě toho zajišťuje ALUCID i prostředky pro zablokování elektronické identity v nouzových situacích. PEIG obsahuje sebedestrukční funkci, která je aktivována, pokud PEIG rozpozná své zneužívání. Existuje i možnost vzdálené aktivace této sebedestrukční funkce. Jejím výsledkem je automatické zničení elektronické identity jak na straně PEIG, tak i na straně AIM, když se někdo neoprávněně pokusí PEIG použít.
Autor pracuje jako Senior Consultant ve společnosti Anect.
Článek vyšel v tištěném SecurityWorldu 3/2010.
PŘEDPLATNÉ
ČLÁNKY DO MAILU