Анализ зарубежной нормативной базы по идентификации и аутентификации
9
• к процедуре подтверждения подлинности и регистрации элек-
тронных удостоверений, привязывающих пользователя к аутентифи-
катору;
• к механизмам удаленной аутентификации, представляющим со-
бой комбинацию электронных удостоверений, аутентификаторов и
протоколов аутентификации;
• к механизмам подтверждения, используемым для передачи ре-
зультатов удаленной аутентификации другим сторонам.
Особое место в рассматриваемых документах занимает руковод-
ство [13], также разработанное согласно Директиве 12 [10] и допол-
няющее основные теоретические положения стандарта [12]. В преам-
буле данного руководства сказано, что рекомендации соответствуют
требованиям циркуляра [9]. Они являются дополнением к рекомен-
дациям АБУ по электронной аутентификации для федеральных ве-
домств, в которых заданы четыре уровня аутентификации в зависи-
мости от последствий ошибок аутентификации и ненадлежащего ис-
пользования электронных удостоверений. Далее приводится краткое
содержание требований к каждому из четырех уровней, подробно
рассмотренных в работе [14].
Заметим, что через 5 лет после выхода первой версии FIPS PUB
201-1 [12] был разработан и опубликован усовершенствованный
стандарт под тем же названием [15]. В версии 201-2 учтены отзывы и
правки, поступившие от ведомств за 5 лет. Приведем некоторые от-
личия [15] от [12]. Введено понятие «цепочки доверия», поддержива-
емой издателем смарт-карты — удостоверения. «Цепочка доверия»
позволяет владельцу карты после прохождения биометрической
аутентификации получить новую карту взамен скомпрометирован-
ной, потерянной, украденной или поврежденной. Максимальный
срок действия смарт-карты увеличен с 5 до 6 лет. Аутентификация с
помощью карты на основе асимметричных алгоритмов сделана обя-
зательной, а на основе симметричных алгоритмов — необязательной.
Добавлено необязательное сравнение биометрических параметров на
карте как средство активации карты и механизм аутентификации.
Краткий анализ зарубежной нормативной базы.
Наиболее
многочисленные и проработанные с научной точки зрения норматив-
ные документы по регламентации средств и методов аутентификации
были созданы в США. На наш взгляд, этому в немалой степени спо-
собствовало то, что на проведение таких объемных работ существо-
вал бизнес-заказчик в лице АБУ при Президенте США. В 2003 г.
АБУ, проанализировав информацию, обрабатываемую и хранимую в
своих ИС, решило упорядочить доступ к открытой информации и
информации ограниченного доступа. Известно, что аутентификация
является одним из важнейших инструментов организации доступа