Чем меньше администратор будет в чем-либо уверен, тем больше он должен осознавать недостаточность своих знаний. С этой точки зрения недопонимание свидетельствует о необходимости принятия решения относительно допуска любого пользователя сети к сервисам. Причем речь идет не о выборочном доступе, речь идет о полном отказе в доступе всем пользователям. Даже тем, кто мог бы оказаться авторизованным, если бы были выполнены два условия. Первое, – если бы подобную систему управления доступом можно было построить. И второе – эта система была бы в разумной степени безопасной. Администраторам, все еще бьющимся над решением первой задачи, не следует предполагать, что они могут решить вторую задачу, до тех пор, пока не будет все проверено на испытательном стенде, потому что безопасность и надежность работы – две половинки единого целого. В отказах безопасности большую часть составляют контролируемые отказы, обязанные своим происхождением защитной реакцией на проникновение злоумышленника в систему. Конечно, системы проверки данных идентификации не застрахованы от таких случаев.

После разрешения удаленному пользователю доступа к той или иной системе, правильно или неправильно, и определения сервиса, которому можно доверить проверку идентификационных данных для выяснения правомочности клиента потребовать от сервера поиска и пересылки ему специфической информации, следует понять, что для реализации управления доступом всегда используются два независимых механизма.

Вначале была… передача

Можно показать, что на простейшем уровне все биологические или технологические системы обмениваются идентификационными данными с аналогичными системами. В основе обмена лежит процесс, который автор назвал способностью сомневаться (capability challenge). Он опирается на следующую простую идею: существуют системы, которым доверяют, и существуют системы, которым не доверяют. У первых есть что-то, чего нет у вторых. Определить различие между ними можно с помощью так называемого индекса потенциального доверия (trusted capabilities index). Практически любые характеристики системы могут быть положены в основу распознания заслуживающих доверия пользователей. Выбранные характеристики пользователь может отослать серверу аутентификации.

В терминах спуфинга это главным образом означает, что цель заключается в передаче сведений несанкционированным пользователем, хотя агент аутентификации полагает, что передача может быть осуществлена только доверенным пользователям. В случае использования криптографической системы компромиссные решения относительно индекса потенциального доверия будут иметь катастрофические последствия. Автор еще уделит внимание обсуждению слабых сторон каждой модели аутентификации.

Существуют шесть основных свойств, по которым классифицируются почти все известные системы аутентификации. С их помощью можно охватить очень широкий диапазон систем аутентификации. C точки зрения доказательства идентичности – от слабо защищенных до хорошо защищенных, а с точки зрения реализации – от простейших до необычайно сложных. Все пригодные для идентификации свойства систем тесно взаимосвязаны. Действительно, система бесполезна, если она может закодировать ответ, но при этом не может его передать. В этом автор не видит катастрофы, потому что более сложные уровни всегда зависят от более простых, которые предоставляют им специальные функции. В подтверждение сказанного автор приводит табл. l2.l и l2.2, где описываются свойства, которыми должны обладать системы доказательства идентичности.

Основные свойства систем идентификации

Конечно, по сравнению с системой межабонентской связи представленные в таблице сведения ничего нового не дают (см. табл. l2.2) – вообще никакой разницы!

Способность сомневаться

Ниже разъясняются детали, позволяющие лучше понять приведенные в табл. 12.1 и 12.2 шесть свойств.

Можно найти одну исключительную идею, на которой основано доверие во всех сетях, при межличностном общении и, более того, при общении внутри одной системы. Передача информации – это посылка чего-либо, что может где-нибудь что-то представлять.