- с биометрическими механизмами по стойкости к атакам подбора, много слабее аналогичной стойкости используемых криптографических механизмов (в таких системах сторонний наблюдатель имеет доступ только к уже защищенной криптографическими механизмами информации);
- с биометрическими механизмами по стойкости к атакам подбора, эквивалентной аналогичной стойкости используемых криптографических механизмов (входы биометрической защиты доступны внешним наблюдателям, для таких систем длина кода ключа (пароля) приведена в таблицах А.1 - А.3 (приложение А).
4.8 Перечисленные выше классы средств высоконадежной биометрической аутентификации существенно отличаются между собой по дружественности к пользователю и по обеспечиваемому ими уровню информационной безопасности. Особенности каждого из классов средств биометрической аутентификации должны быть отражены в профиле защиты по ГОСТ Р ИСО/МЭК 15408-1, ГОСТ Р ИСО/МЭК 15408-2.
5 Общие требования к средствам высоконадежной биометрико-криптографической аутентификации
5.1 Средства высоконадежной биометрико-криптографической аутентификации имеют типовую структуру преобразований, приведенную на рисунке 1.
 | |
| 1389 × 631 пикс. Открыть в новом окне | |
В структурной схеме блок 1 осуществляет преобразование физического нечеткого биометрического образа человека в электронный биометрический нечеткий образ через первичные преобразователи физических величин в электронные цифровые данные. Блок 2 осуществляет нормирование электронных образов и вычисление вектора биометрических параметров, например в виде коэффициентов Фурье в средствах аутентификации по динамике воспроизведения рукописного пароля. Блок 3 осуществляет преобразование вектора биометрических параметров в код ключа (пароля) для последующей криптографической аутентификации. Блок 4 осуществляет криптографическую аутентификацию пользователя по его ключу или паролю, выдавая на выход решение "Да" или "Нет".
5.2 Для усиления стойкости биометрической защиты к атакам изучения и модификации программного обеспечения (ПО) высоконадежные варианты ее технической реализации не должны содержать примеров биометрических образов пользователя, биометрического эталона образов пользователя и кода ключа (пароля) пользователя. Эта информация является конфиденциальной и должна быть защищена при хранении. Кроме того, следы этой конфиденциальной информации должны быть гарантированно уничтожены после выполнения каждой конкретной процедуры аутентификации.
5.3 Для средств высоконадежной биометрической аутентификации допустимо сокрытие конфиденциальной информации о коде ключа (пароля) пользователя и его биометрических образах в таблицах параметров и связей нейросетевого преобразователя биометрических параметров в ключ (пароль). Кроме того, допустимо применение и иных способов сокрытия этой информации, например в форме таблиц преобразователя вектора биометрических параметров в ключ (пароль), использующего нечеткую математическую обработку биометрических данных.
5.4 СВБА должно быть способно преобразовывать множество образов "Свой" в ключ (пароль) пользователя с заранее заданной, приемлемой для пользователя вероятностью ошибочного отказа пользователю в доступе или аутентификации.
5.5 Средство высоконадежной биометрической аутентификации должно быть способно преобразовывать множество случайных входных образов "Чужие" в случайные состояния ключа (пароля), каждый разряд которых должен:
- иметь близкие к равновероятным состояния "0" и "1";
- иметь нулевые коэффициенты парной и групповой корреляции.
5.6 Для увеличения уровня доступности средств высоконадежной биометрической аутентификации пользователям, находящимся в стрессовом состоянии, допустимо разрешать множество попыток аутентификации. Число допустимых попыток аутентификации может быть сопоставимо с числом примеров биометрических образов "Свой", на которых обучалось средство биометрической аутентификации. Число разрешаемых средством попыток аутентификации не является секретом и может храниться открыто.
5.7 Для увеличения уровня доступности средств высоконадежной биометрической аутентификации пользователей, находящихся в стрессовом состоянии, допустимо снабжать СВБА обнаружителями нестабильных бит выходного ключа (пароля) или нестабильных входных биометрических параметров преобразователя, а также системой перебора возможных состояний наиболее нестабильных бит выходного ключа и входных биометрических параметров. Допускается осуществлять перебор возможных состояний до 7% бит выходного ключа или до 7% входных биометрических параметров. Информация о положении наиболее нестабильных разрядов выходного ключа и номерах нестабильных биометрических параметров конфиденциальна и должна быть гарантированно уничтожена после завершения процедур аутентификации.
5.8 Средство высоконадежной биометрической аутентификации при каждой попытке аутентификации должно выдавать результат биометрической аутентификации "Да" или "Нет", а также число нестабильных бит кода ключа (число попыток подбора и результат подбора, если подбор разрешен по действующей политике информационной безопасности). Перечисленные выше данные используются для организации аудита биометрической информации и не являются конфиденциальными. Они могут храниться как централизованная система сбора аудита, так и локальное средство личной биометрической аутентификации, собирающим свой аудит биометрической безопасности.
5.9 Средство высоконадежной биометрической аутентификации должно давать пользователю возможность видеть (знать) свой ключ (пароль) и возможность его сохранять (например, на аварийном бумажном носителе, находящемся в опечатанном конверте). Если такая возможность противоречит принятой политике безопасности, то она должна быть отключена администратором безопасности (должна быть предусмотрена возможность такого отключения).
5.10 Средство высоконадежной биометрической аутентификации должно иметь безопасный аварийный вход в виде возможности ручного набора кода ключа (пароля) на случай, если пользователь полностью утратил свои возможности по воспроизведению своего биометрического образа.
6 Требования к обучению средств высоконадежной биометрико-нейросетевой аутентификации
6.1 Обучение средств высоконадежной биометрико-нейросетевой аутентификации сводится к обучению искусственной нейронной сети преобразовывать множество входных образов "Свой" в личный ключ пользователя и множество входных образов "Чужой" в случайный "белый шум" на каждом из выходов искусственной нейронной сети. Для обучения используется примеров образов "Свой" и примеров образов "Чужой". Структурная схема процедуры обучения искусственной нейронной сети приведена на рисунке 2.
 | |
| 1406 × 619 пикс. Открыть в новом окне | |
6.2 Алгоритм обучения искусственной нейронной сети и реализующий его автомат могут быть любыми, однако время обучения и потребляемые вычислительные ресурсы на обучение должны быть приемлемыми для потребителей. Из-за потенциальной опасности процедуры обучения время ее осуществления не должно превышать нескольких минут. При обучении искусственной сети нейронов пользователь или администратор безопасности должны лично контролировать зону, в которой осуществляется процесс обучения (зону расположения обучающего нейросеть вычислительного средства) и использовать при обучении только доверенную вычислительную среду (без закладок и иных неконтролируемых вычислительных процессов).
6.3 После процедуры обучения средства высоконадежной биометрико-нейросетевой аутентификации потребитель или администратор безопасности должны оценить качество обучения. Оцениваются достигнутые искусственной нейронной сетью вероятность ошибки первого рода - (ошибочного отказа в аутентификации "Своему") и вероятность ошибки второго рода - (ошибочной аутентификации "Чужого"). Это необходимо в силу того, что пользователи на практике стараются облегчить себе процедуру биометрической аутентификации, например необоснованно сократить длину своего рукописного пароля. Это необходимо в силу того, что пользователи имеют разную стабильность воспроизведения их биометрического образа. Кроме того, уникальность (информативность) биометрических образов разных людей различна. Стойкость конкретного биометрического образа пользователя является функцией его длины, стабильности, уникальности. Пользователь и администратор безопасности должны знать реальные оценки стойкости к атакам подбора конкретной реализации биометрической защиты после ее обучения, построенной на воспроизведении конкретного тайного биометрического образа. Тестирование осуществляют, используя - тестовый пример векторов образов "Свой" и - тестовых примера векторов образов "Чужой". Структурная схема процедуры тестирования приведена на рисунке 3. Примеры для тестирования системы не должны использоваться ранее при ее обучении.
 | |
| 1461 × 645 пикс. Открыть в новом окне | |
6.4 Так как процедуры тестирования и обучения нейросетевой защиты предполагают использование конфиденциальных биометрических образов "Свой" и ключа (пароля) пользователя, они являются потенциально опасными. Тестирование и обучение следует проводить в условиях повышенных требований к чистоте вычислительной среды и малому времени вычислений при обучении. После тестирования и обучения конфиденциальная информация в форме ключа (пароля), а также биометрических образов "Свой" должна быть гарантированно уничтожена. Кроме того, должны быть предусмотрены организационно-технические мероприятия, исключающие перехват конфиденциальной информации через каналы визуального наблюдения, акустического прослушивания, побочных электромагнитных излучений и наводок.
6.5 Ключ, используемый при обучении, должен иметь длину в соответствии с требованиями используемого механизма криптографической аутентификации. Например, при использовании для аутентификации механизма электронной цифровой подписи (ЭЦП) длину ключа и требования к нему выбирают в соответствии с ГОСТ Р 34.10. Рекомендации по выбору длин ключей (фрагментов ключей) для мультибиометрических систем приведены в таблицах А.1 - А.3 (приложение А).
6.6 При выборе длины пароля, используемого при обучении, следует руководствоваться требованиями соответствующего механизма парольной аутентификации. Рекомендуется выбирать длину случайного пароля, близкую к максимальному значению длины пароля, допустимую для каждого конкретного механизма парольной аутентификации. Недопустимо использовать короткие случайные пароли, код которых менее 40 бит.
6.6.1 Рекомендуется использование средствами высоконадежной биометрической аутентификации программ автоматического синтеза случайных паролей с качественным генератором случайных чисел.
6.6.1.1 Необходимо проверять число нулевых и единичных разрядов в случайном коде сгенерированного пароля. Число нулевых и единичных значений кода должно быть примерно одинаковым. Допускается 10%-ное различие чисел "0" и "1" в случайном двоичном коде.
6.6.1.2 Серии из одинаковых знаков должны иметь длину не более 7% длины двоичного кода сгенерированного случайного пароля при округлении длины серии до целого числа в меньшую сторону.
6.7 При использовании статических биометрических образов длина вектора биометрических параметров и их качество зависят от алгоритма предварительной обработки биометрических образов и информативности самого биометрического образа. Длина векторов биометрических параметров статических биометрических образов и их информативность не могут быть изменены по желанию пользователей. Интервалы возможных значений вероятностей ошибок второго рода для различных статических биометрических образов приведены в таблицах А.1 и А.3 (приложение А). Использование статических биометрических образов потенциально опасно, так как обеспечить анонимность пользователя не всегда возможно. Без обеспечения анонимности пользователя его статические биометрические образы могут быть скомпрометированы (перехвачены), что резко снижает уровень защищенности. Даже зная, что его статический биометрический образ скомпрометирован, пользователь не может изменить свой статический биометрический образ, данный ему от рождения.
6.8 При использовании динамических биометрических образов:
- паролей, воспроизведенных рукописным почерком;
- парольных фраз, воспроизведенных голосом;
- парольных фраз с контролем клавиатурного почерка при их наборе появляются дополнительные возможности по сохранению используемого биометрического образа в тайне. При компрометации динамического биометрического образа он может быть изменен пользователем. Информативность таких биометрических образов может быть изменена пользователем по его усмотрению. Пользователь может увеличивать длину своего рукописного пароля или число слов в рукописной парольной фразе до момента, пока прогноз стойкости его личной биометрической защиты к атакам подбора не достигнет приемлемого значения. Интервалы возможных значений вероятностей ошибок второго рода для различных динамических биометрических образов приведены в таблице А.2 (приложение А).
6.8.1 При выборе рукописного пароля в средствах высоконадежной биометрической аутентификации нет необходимости использовать плохо запоминаемые комбинации из случайных символов. Рекомендуется использовать легко запоминаемые слова родного языка пользователя, которые могут быть усилены:
- увеличением числа букв в слове;
- использованием сочетаний слов;
- изменением порядка воспроизведения букв, цифр, знаков;
- введением обратных росчерков;
- изменением, пропуском, добавлением одного из знаков;
- написанием коротких цифровых кодов через рукописную запись буквами.
Пример - Код 213 можно записать прописью: "двести тринадцать", содержащей 16 букв.
Эффективность мер усиления рукописного пароля проверяется средствами встроенного тестирования и прогнозирования.
6.8.2 При выборе голосового пароля в высоконадежных средствах биометрической аутентификации рекомендуется использовать сочетания легко запоминаемых слов родного языка пользователя, которые могут быть усилены:
- увеличением числа букв в словах голосового пароля;
- увеличением числа слов в голосовом пароле;
- короткими цифровыми кодами, воспроизводимыми в соответствии с правилами произнесения цифр на языке пользователя.
Эффективность мер усиления голосового пароля (парольной фразы) проверяется средствами встроенного тестирования и прогнозирования.
6.8.3 При выборе клавиатурного пароля рекомендуется использовать фрагмент текста, случайно выбранный из книги, журнала, статьи. Оценка стойкости парольной фразы в сочетании с контролем клавиатурного почерка проверяется встроенными в СВБА средствами тестирования и прогнозирования.