pliku pdf

WASKO S.A. – przedsiębiorstwo oparte na wiedzy.
Implementacje systemów WASKO S.A. opartych na biometrycznym
uwierzytelnieniu
Łukasz Hoppe
[email protected]
WASKO S.A.
ul. Berbeckiego 6, 44-100 Gliwice
Abstrakt
Polskie uczelnie dysponują olbrzymim potencjałem naukowym i coraz lepiej wyposażonymi
laboratoriami do badań naukowych. Jednak aby można powiedzieć o pełnym sukcesie
szkolnictwa wyższego trzeba by zobaczyć jak osiągnięcia naukowe przekuwają się na
przemysł i gospodarkę kraju. I z tym niestety jest gorzej. Na szczęście dzięki licznym
programom mającym na celu dofinansowanie projektów badawczo rozwojowych oraz
współpracy po między nauką, a przemysłem ta sytuacja zaczyna zmieniać się na lepsze.
Dobrym przykładem może być działalność giełdowej spółki WASKO S.A. Spółka realizując
projekty przy współpracy z największymi polskimi ośrodkami naukowymi takimi jak
Politechnika Śląska, Uniwersytet Ekonomiczny w Katowicach, Akademia Górniczo Hutnicza
czy Wojskowa Akademia Techniczna wdraża na rynek innowacyjne produkty z dziedziny
telekomunikacji, telemetrii czy bezpieczeństwa. Poniższy artykuł skupia się na jednym z
tematów projektów innowacyjnych prowadzonych przez WASKO S.A. – biometrii. Jeszcze
do niedawna technologie biometryczne stanowiły bardziej ciekawostkę niż narzędzie
wykorzystywane w rozwiązaniach informatycznych. Jednak ta sytuacja stale się zmienia i
biometria staje się coraz bardziej powszechna. Na dzień dzisiejszy już w każdym nowym
paszporcie zapisane są dwie cechy biometryczne jego właściciela, prawie każdy nowy
komputer przenośny wyposażony jest w czytnik biometryczny, wiele firm i instytucji
zdecydowało o zastosowaniu czytników biometrycznych w swoich systemach kontroli
dostępu. W obecnych rozwiązaniach najczęściej wykorzystywaną technologią biometryczną
jest odcisk palca (finger print), ta cecha znajduje się w naszym paszporcie, jednak nie jest ona
uważana za całkowicie bezpieczną ze względu na dużą łatwość pozyskania czyjegoś odcisku
oraz ciągle wysokie możliwości podszycia się za pomocą „sztucznego palca”. W tej chwili
kluczowe staje się wybranie optymalnego rozwiązania biometrycznego to znaczy takiego,
które będzie dawało gwarancję wysokiego poziomu bezpieczeństwa przy jednoczesnym
zachowaniu wygody użytkowania no i szybkości działania. Niniejszy artykuł opisuje
przeprowadzoną przez WASKO S.A. analizę stosowanych biometryk i opisuje jedną z
najbardziej dynamicznie rozwijających się technologii – Finger Vein (układ naczyń
krwionośnych palca). Według WASKO S.A. bowiem to właśnie ta technologia zdominuje
rynek rozwiązań biometrycznych co znajduje swoje odzwierciedlenie w już działających
produktach tej firmy wykorzystujących technologie biometryczne.
Słowa kluczowe: WASKO S.A., przemysł, przedsiębiorstwo oparte na wiedzy, biometria,
finger print, finger vein, identyfikacja, uwierzytelnienie, bezpieczeństwo
Wstęp
Już około 30 tysięcy lat temu artyści tworzący naścienne malowidła w jaskiniach opatrywali
je odciskami swoich dłoni. Wielu naukowców sądzi, że były to pierwsze podpisy składane
przez człowieka. W V wieku p.n.e. babilońscy kupcy odciskali swoje dłonie na glinianych
tabliczkach, które miały pełnić funkcję potwierdzenia transakcji. Jak widać potrzeba
udowadniania swojej tożsamości towarzyszy człowiekowi niemal od początku istnienia
ludzkości. Dzisiaj, w dobie wszechobecnych systemów informatycznych, które dają dostęp do
coraz większych ilości usług i zasobów danych, potrzeba uwierzytelniania, a więc
potwierdzania swojej tożsamości przez użytkownika, stała się ważniejsza niż kiedykolwiek
wcześniej. Od skuteczności metod uwierzytelniania zależy często bezpieczeństwo naszych
oszczędności, poufność przechowywanych przez nas danych czy wreszcie nasza prywatność.
Wiele spośród spektakularnych ataków hackerskich na systemy komputerowe światowych
koncernów lub instytucji rządowych, opierała się na słabości metod uwierzytelniania.
Na dzień dzisiejszy technologie biometryczne są już obecne w codziennym zastosowaniu, a
najlepszym dowodem na to są działające produkty firmy WASKO S.A.
WASKO S.A. jest jedną z największych polskich firm teleinformatycznych. Siedziba spółki
mieści się w Gliwicach. Ponadto posiadamy na terenie kraju 15 oddziałów, m.in. w Krakowie,
Poznaniu i Warszawie. Firma zatrudnia ponad 700 pracowników, większość z nich to osoby z
wyższym wykształceniem. Spółka dostarcza rozwiązania informatyczne i telekomunikacyjne
dla średnich i dużych odbiorców. Zajmujemy się projektowaniem i produkcją
oprogramowania oraz realizujemy kompleksowe usługi związane wdrażaniem, utrzymaniem i
eksploatacją systemów informatycznych, w tym audyty informatyczne, szkolenia, instalacje
oprogramowania i integracje systemów informatycznych. Jako autoryzowany partner
największych producentów sprzętu komputerowego i telekomunikacyjnego realizujemy
również dostawy i instalacje urządzeń oraz świadczymy usługi serwisowe. Nasza działalność
obejmuje również projektowanie i montaż aparatury kontrolno-pomiarowej i teletransmisyjnej
oraz budowę sieci transmisji danych. Inny obszar wykonywanych przez nas usług stanowią
ekspertyzy z zakresu ochrony środowiska, przeglądy ekologiczne oraz audyty projektów
finansowych ze środków pomocowych.
Firma WASKO jest jedynym polskim producentem urządzeń do transmisji bezprzewodowej
pracujących w standardzie WiMAX oraz twórcą szerokopasmowej platformy WAMAX
pracującej w tym standardzie, będącej krajową konkurencją dla najlepszych światowych
rozwiązań.
WASKO jest również wiodącym producentem oprogramowania z dziedziny Bezpieczeństwa.
Świadczy usługi audytu i oferuje kompleksowe rozwiązania zapewniające bezpieczeństwo
instytucji samorządowych, instytutów badawczych oraz przedsiębiorstw, dla których
posiadany dorobek intelektualny o przetwarzane informacje stanowią najcenniejszą wartość.
Uwierzytelniania – różne podejścia
Najpopularniejsze obecnie sposoby uwierzytelniania użytkowników względem systemów
informatycznych opierają się na jednej z dwóch koncepcji – „coś, co wiesz” lub „coś, co
masz”. W pierwszym przypadku zakłada się, że tylko uprawniona osoba zna pewien
przypisany do niej sekret. Zwykle jest to hasło lub kod dostępu, które wraz z identyfikatorem
użytkownika tworzy nierozerwalną parę. Jak wiemy z codziennej praktyki, założenie to jest w
wielu przypadkach nieprawdziwe. Hasło może zostać odgadnięte, jeśli jest zbyt proste. Może
być także przechwycone. Istnieje mnóstwo metod przechwytywania hasła – od prostego
podglądania osoby, które je wpisuje po zaawansowane urządzenia podsłuchowe analizujące
sygnały elektromagnetyczne generowane przez klawiaturę. Krótko mówiąc, nikt z nas nie
może mieć nigdy pewności, że jest jedyną osobą, która ma dostęp do konta zabezpieczonego
hasłem.
Znacznie bezpieczniejsze są systemy uwierzytelniania oparte o koncepcję „coś, co
masz”. W tym przypadku użytkownik jest w posiadaniu pewnego tokenu uwierzytelniającego.
Dodatkowym zabezpieczeniem jest najczęściej połączenie tej techniki z koncepcją „coś, co
wiesz”. Uwierzytelnienie polega w takim przypadku na przedstawieniu ważnego tokenu
uwierzytelniającego oraz wprowadzeniu hasła lub kodu dostępu. Najpopularniejszym
przykładem tego typu systemu są karty płatnicze. W tym przypadku karta wydana przez bank
jest tokenem uwierzytelniającym a kod PIN przypisany do tej karty jest sekretem, który
powinien być znany tylko jej użytkownikowi. Podszycie się pod użytkownika takiego
systemu wymaga nie tylko przechwycenia tokenu, ale także znajomości kodu dostępu. Mimo,
że jest to trudniejsze niż samo przechwycenie hasła to systemy tego typu są również podatne
na szereg ataków. Najprostszy atak polega na obserwacji osoby wprowadzającej hasło a
następnie kradzieży samej karty. Jednym ze sposobów obrony może być zablokowanie
dostępu do usług (np. konta bankowego) po stwierdzeniu kradzieży bądź zagubienia karty.
Jednak w przypadku zaawansowanych metod ataków polegających na kopiowaniu tokenu
(np. zeskanowanie paska magnetycznego w zmodyfikowanym bankomacie) użytkownik nie
ma świadomości, że padł ofiarą ataku i nie może podjąć żadnych kroków obronnych.
Wprowadzenie kart inteligentnych oraz szeregu zabezpieczeń związanych z ich
wykorzystaniem spowodowało, że ta metoda uwierzytelniania staje się coraz bezpieczniejsza i
ryzyko z nią związane jest wielu sytuacjach akceptowalne. Ciągle jednak nie daje ona
stuprocentowej pewności, że jesteśmy jedyną osobą, która może uzyskać dostęp do
chronionego w ten sposób zasobu.
Po co nam biometria?
Istnieje jednak trzecia koncepcja wykorzystywana w systemach uwierzytelniania – „to, kim
jesteś”. Realizacja tej metody opiera się na wykorzystaniu biometrii. Biometria jest nauką
zajmującą się dokonywaniem pomiarów cech fizycznych i behawioralnych istot żywych w
celu dokonania automatycznego rozpoznania danego osobnika. Pojęciem biometryka określa
się z kolei konkretną cechę biometryczną lub metodę uwierzytelniania opartą o wykorzystanie
tej cechy. Przewaga biometrii nad wspomnianymi wcześniej metodami uwierzytelniania
polega na tym, że cechy fizyczne trudno jest ukraść lub skopiować. Oczywiście zależy to od
doboru odpowiedniej biometryki. Nie wszystkie cechy nadają się tak samo dobrze do
automatycznego rozpoznawania osób. Na przykład wzrost jest cechą, którą łatwo zmierzyć,
lecz zbyt powtarzalną, aby dawała jednoznaczne wyniki. Z kolei kod DNA można uznać za
niepowtarzalny jednak jego analiza jest niezwykle czasochłonna i kosztowna i nie można jej
przeprowadzić w pełni automatycznie.
Przegląd biometryk
Do najpopularniejszych biometryk należy układ linii papilarnych palca (tzw. odcisk palca).
Daktyloskopia, bo o niej mowa, stosowana jest już od lat siedemdziesiątych XIX wieku w
kryminalistyce. Odciski palca uznano za cechę umożliwiającą skuteczną identyfikację osób,
dlatego, że jest ona niepowtarzalna, niezmienna i nieusuwalna. Ponadto stosunkowo łatwo
jest uzyskać próbki do wykonania analizy (ślady pozostawione przez sprawców, wzorce
pobrane od podejrzanych). Początkowo analizę tę wykonywano ręcznie jednak współcześnie
znane są liczne algorytmy umożliwiające automatyczne przetwarzanie i porównywanie
wzorców linii papilarnych przez komputery. Dzięki temu, że technika ta rozwijana jest od
wielu lat stała się ona najpopularniejszą z biometryk stosowaną do uwierzytelniania
użytkowników systemów informatycznych. Wiele współczesnych laptopów jest
wyposażonych w proste skanery odcisków palców używane do logowania. Jest ona także
jedną ze skuteczniejszych metod obarczonych stosunkowo małym błędem.
To, co przyczyniło się do rozwoju tej metody stało się niestety także powodem
niechęci użytkowników do jej stosowania. Weryfikacja odcisków palców jednoznacznie
kojarzy się z kryminalistyką, dlatego użytkownicy niechętnie zgadzają się na zeskanowanie
własnych linii papilarnych. Ponadto technika ta przez niektórych użytkowników postrzegana
jest za niezbyt higieniczną, ponieważ wiąże się z dotykaniem tego samego czytnika przez
dużą liczbę osób.
Bezpieczeństwo uwierzytelniania przy użyciu linii papilarnych jest także często
kwestionowane. Krótko po wprowadzeniu na rynek urządzeń do cyfrowego skanowania
odcisków palców pojawiły się artykuły na temat możliwości ich oszukania poprzez
wykonanie kopii odcisku przy pomocy drukarki laserowej lub wykonaniu odlewu całego
palca. Niektórzy obawiają się także nowego rodzaju przestępstw polegającego na odcinaniu
palca w celu uzyskania dostępu np. do konta bankowego. Nowoczesne urządzenia coraz lepiej
radzą sobie oszustwami, niemniej udowodniono, że tego typu ataki są możliwe i
prawdopodobne.
Metodą znacznie mniej podatną na próby oszustwa jest weryfikacja obrazu siatkówki
oka. Charakteryzuje się ona bardzo dobrą dokładnością (bardzo niski współczynnik błędu).
Nie są znane metody pozwalające na wykonanie kopii wzoru siatkówki. Także jego kradzież
nie jest możliwa – siatkówka ulega zniszczeniu po śmierci człowieka. Podstawową wadą tej
metody jest jej inwazyjność. Zeskanowanie wzoru siatkówki wymaga od użytkownika
skupieniu wzroku na urządzeniu skanującym oraz pozostanie w bezruchu przez dłuższy czas.
Z tego względu metoda ta jest niepraktyczna w codziennym stosowaniu i nie ma szans
zyskania dużej popularności.
Podobną metodą do opisanej powyżej jest weryfikacja tożsamości na podstawie
obrazu tęczówki oka. Jest ona jednak znacznie bardziej praktyczna – skanowanie może
odbywać się z większej odległości a użytkownik nie jest zmuszany do pozostawania w
całkowitym bezruchu.
Najmniej inwazyjną biometryką jest metoda oparta o analizę geometrii twarzy.
Pobrania wzorca polega na wykonaniu zdjęcia twarzy aparatem lub kamerą cyfrową. Metoda
ta spotkała się ze stosunkowo dobrym odbiorem społecznym – ludzie przyzwyczajeni są do
tego, że wielu sytuacjach są fotografowani lub znajdują się w zasięgu kamer. Niestety
technika ta jest obarczona dość dużym błędem wynikającym z trudności w uzyskaniu dobrego
wzorca. Czynniki takie jak zmienne oświetlenie, wyraz twarzy czy kąt fotografowania
powodują, że analiza uzyskanych fotografii jest bardzo trudna. Ponadto technika ta jest
podatna na proste oszustwa (charakteryzacja, okulary, nakrycia głowy, itp…).
FingerVein – rewolucja?
Do najmłodszych biometryk należy opracowana w 1997 r. przez firmę Hitachi
technika analizy układu naczyń krwionośnych palca – FingerVein. Jej zasada działania opiera
się prześwietleniu palca promieniami bliskiej podczerwieni. Emitowane światło jest
częściowo pochłaniane przez hemoglobinę znajdującą się w naczyniach krwionośnych.
Pozostała część promieniowania rejestrowana jest przez skaner. Powstały w ten sposób obraz
układu naczyń krwionośnych poddawany jest następnie obróbce w wyniku, której otrzymuje
się gotowy wzorzec biometryczny.
Metoda ta charakteryzuje się kilkoma cechami, które sprawiają, że wyróżnia się ona
na tle wspomnianych wcześniej biometryk. Po pierwsze jest to technika nieinwazyjna. Nie
wymusza ona na użytkowniku przykładania palca do powierzchni skanera – wystarczy
zbliżyć palec na niewielką odległość. Szybkość weryfikacji sprawia, że jest to także technika
bardzo praktyczna. Dostępne są skanery niewielkich rozmiarów, które umożliwiają
wbudowanie ich w praktycznie dowolne urządzenia, nawet przenośne.
W przypadku FingerVein nieskuteczne są także znane techniki ataku na czytniki
odcisków palców. Podczas gdy odciski palców zostawiamy praktycznie na wszystkich
dotykanych przedmiotach umożliwiając tym samych ich skopiowanie, obraz układu naczyń
krwionośnych pozostaje niedostępny i niemożliwy do skopiowania. Ponadto czytnik
FingerVein zadziała tylko z „żywym” palcem, tzn. takim, w którym płynie krew nasycona
hemoglobiną. Przestępstwa polegające na odcięciu palca są w tym przypadku bezcelowe.
Technologia FingerVein charakteryzuje się także bardzo dużą dokładnością (mały
współczynnik błędu). Prawdopodobieństwo, że osoba niezarejestrowana w systemie zostanie
poprawnie zweryfikowana wynosi 1 do miliona.
Łatwość stosowania oraz skuteczność i wysoki poziom bezpieczeństwa tej metody
sprawiły, że zyskała ona dużą popularność w Japonii, gdzie jest wykorzystywana do
autoryzacji transakcji bankowych. Obecnie technologia ta stosowana jest przez 80%
oddziałów banków a czytniki FingerVein zainstalowane są w ponad 20 tysiącach
bankomatów.
FingerVein w praktyce
Technologia FingerVein od niedawna dostępna jest również w Polsce. WASKO dzięki
ścisłej współpracy z firmą Hitachi od dwóch lat opracowuje rozwiązania wykorzystujące tę
nowoczesną technikę uwierzytelniania. Powstało kilka nowatorskich produktów, które dzięki
zastosowaniu technologii biometrycznych wyznaczają nowe standardy w dziedzinie
bezpieczeństwa teleinformatycznego.
Kupuj „na palec”
Elektroniczne formy płatności powoli wypierają transakcje gotówkowe. Coraz częściej
dokonujemy zakupów w sieci dokonując płatności przelewem elektronicznym lub płacimy
kartą. Wybieramy te formy płatności z wygody – nie musimy pamiętać by mieć odpowiednią
ilość gotówki w portfelu i nie narażamy się na ewentualną kradzież banknotów. Wciąż jednak
musimy mieć dostęp do komputera (w przypadku e-bankingu) lub nosić przy sobie kartę i
pamiętać kod PIN. Czy da się wyeliminować te niedogodności? Dzięki biometrii odpowiedź
brzmi, tak. Wyobraźmy sobie, że po dokonaniu zakupów po prostu umieszczamy palec w
czytniku biometrycznym i potwierdzamy transakcję. Płatność jest później pobierana z
naszego konta. Nie ma przy tym ryzyka, że ktoś podszyje się pod nas lub użyje naszej karty
powodując nieoczekiwane wyczyszczenie konta. Pomysł, aby w ten sposób wyglądały
płatności w sklepach i punktach usługowych jest na razie wizją przyszłości. Firma WASKO
zrobiła jednak pierwszy krok w tym kierunku wdrażając system eBistro. Realizuje on w
niewielkiej skali on opisaną wyżej koncepcję.
System eBistro wdrożony w bufecie pracowniczym w siedzibie firmy już od
dłuższego czasu ułatwia pracownikom codzienne kupowanie posiłków i przekąsek
oszczędzając ich czas. Już od wejścia do bufetu można zauważyć, że różni się on od
tradycyjnego – w oczy rzuca się ekran dotykowy skierowany w stronę klienta, na którym
wyświetlone jest menu na dziś oraz niewielki czytnik biometryczny FingerVein. Wystarczy
wybrać z menu produkty, na które mamy ochotę a następnie zatwierdzić transakcję i
uwierzytelnić ją umieszczając palec w czytniku biometrycznym. Nie trzeba szukać gotówki w
portfelu ani czekać na wydanie reszty. Cała transakcja odbywa się bardzo sprawnie i w pełni
automatycznie. Pod koniec miesiąca odpowiednia kwota za zakupy w bufecie pobierana jest z
wypłaty pracownika. Oczywiście pracownik ma pełną kontrolę nad swoimi wydatkami.
Dzięki modułowi aplikacji eBistro dostępnemu przez interfejs WWW, każdy pracownik może
zobaczyć historię swoich zakupów, obejrzeć szczegóły transakcji, zobaczyć menu na
następny dzień a nawet dokonać zamówienia z wyprzedzeniem.
Uruchomienie działającego w ten sposób punktu gastronomicznego wymaga
oczywiście wcześniejszego zarejestrowania klientów oraz ich wzorców biometrycznych.
Należy także sporządzić umowę regulującą sposób płatności – np. zgodę na pobranie
określonej kwoty z wynagrodzenia. Entuzjazm, z jakim pracownicy przyjęli nowy sposób
płatności pozwala sądzić, że systemy typu pay by finger („kupuj na palec”) mają szansę
zyskać większą popularność. Być może tego typu małe systemy płatności elektronicznych są
pierwszym krokiem ku zakupom bez portfeli i kart… To tylko kwestia czasu.
Ochrona dostępu do pomieszczeń
Bardzo wiele firm i instytucji spotyka się z problemem wdrożenia skutecznej i niezawodnej
kontroli dostępu do pomieszczeń. Popularne karty zbliżeniowe wraz z zestawem czytników
zamontowanych przy drzwiach chronionych pomieszczeń w wielu przypadkach spełniają
bardzo dobrze to zadanie. Są jednak pomieszczenia, do których dostęp musi być chroniony w
sposób szczególny tak, aby zminimalizować prawdopodobieństwo wtargnięcia osób
nieuprawnionych. Są to na przykład pomieszczenia, w których przechowuje się lub
przetwarza informacje poufne lub przedmioty dużej wartości. W takim przypadku zagubienie
karty dostępu przez roztargnionego pracownika lub jej kradzież mogłoby zaważyć na
bezpieczeństwie przedsiębiorstwa.
Firma WASKO, która od dłuższego czasu zajmuje się rozwijaniem i wdrażaniem
systemów kontroli dostępu opracowała moduł biometrycznej kontroli dostępu do
pomieszczeń oparty o technologię FingerVein. Stanowi on uzupełnienie tradycyjnego
systemu opartego o karty zbliżeniowe i umożliwia zabezpieczenie dostępu do pomieszczeń i
stref budynku wymagających szczególnej ochrony.
Podstawowym elementem systemu jest czytnik FingerVein w wersji EGO,
przeznaczonej specjalnie do kontroli dostępu. Czytnik ten jest zaawansowanym urządzeniem,
składającym się z kilku modułów – samego czytnika układu naczyń krwionośnych,
repozytorium wzorców, modułu porównywania wzorców, interfejsu do komunikacji ze stacją
zarządzającą oraz interfejsu kontrolera drzwi. Urządzenie to może pracować praktycznie
samodzielnie i wymaga połączenia ze stacją zarządzającą tylko w celu zasilenia bazy
wzorców i użytkowników. Dzięki temu, że wszystkie skomplikowane operacje związane
przeprowadzeniem uwierzytelnianie biometrycznego realizowane są wewnątrz urządzenia,
posiada ono prosty interfejs komunikacyjny umożliwiający integrację z dowolnym systemem
kontroli dostępu posługującym się protokołem WIEGAND.
Aby przydzielić pracownikowi dostęp do pomieszczenia należy najpierw
zarejestrować w bazie danych jego wzorce biometryczne. Dla bezpieczeństwa rejestrowane są
co najmniej dwa wzorce – np. jeden palec lewej i jeden palec prawej dłoni. Zmniejsza to
ryzyko utknięcia pracownika przed zamkniętymi drzwiami w przypadku, gdy próba
uwierzytelniania przy użyciu jednego z palców z jakiegoś powodu nie udaje się. Nie jest przy
tym konieczne stosowanie dodatkowego czytnika do rejestracji danych – czytnik
zainstalowany przy drzwiach znakomicie spełnia to zadanie. Następnie zebrane wzorce
biometryczne przypisywane są do istniejącego w systemie kontroli dostępu konta
użytkownika. Kolejnym etapem jest synchronizacja wzorców – polega ona na załadowaniu
bazy czytnika biometrycznego wzorcami oraz powiązanymi z nimi numerami kart
użytkowników. Wzorce przechowywane są wewnątrz urządzenia ze względu na wydajność
procesu uwierzytelniania i autoryzacji. Pozwoliło to skrócić czas, potrzebny na odnalezienie
pasującego wzorca biometrycznego i otwarcie drzwi.
Jedną z chronionych w ten sposób stref jest skrzydło budynku, w którym trwają prace
nad produktami w sposób szczególny objętymi tajemnicą przemysłową. Pracuje w niej ok. 30
osób, które co najmniej klika razy dziennie przechodzą przez śluzę bezpieczeństwa chronioną
czytnikiem biometrycznym. W takich warunkach wymaga się od czytnika szczególnej
sprawności i niezawodności. Nie można przecież pozwolić, aby pracownicy marnowali czas
ustawiając się w kolejce przed wejściem do strefy. Na szczęście czytnik EGO spełnia dobrze
swoje zadanie. Czas uwierzytelniania na poziomie 2 sekund i wysoki poziom niezawodności
sprawia, że przechodzenie przez śluzę bezpieczeństwa odbywa się bardzo sprawnie.
Pracownicy, którzy początkowo mieli mieszane uczucia związane z koniecznością
każdorazowego uwierzytelnienia przed wejściem do pomieszczenia w tej chwili praktycznie
go nie zauważają - stało się ono czynnością tak powszednią jak naciśnięcie klamki.
W ten sposób instalacja czytników pracujących w technologii FingerVein znacząco
podniosła bezpieczeństwo firmy nie wymuszając przy tym rewolucji w istniejącym systemie
kontroli dostępu.
Ochrona informacji
Równie ważnym elementem, co kontrola dostępu do pomieszczeń jest zabezpieczenie dostępu
do informacji przetwarzanych w systemach informatycznych. Informacja jest dla wielu firm
podstawą działania i jedną z najcenniejszych wartości, dlatego w szczególny sposób należy
chronić ją przed dostępem osób niepowołanych.
Bezpieczeństwo informacji zaczyna się od stanowiska roboczego użytkownika.
Popularne logowanie do konta w systemie operacyjnym wykorzystujące nazwę użytkownika i
hasło obarczone jest licznymi zagrożeniami, o których wspomniano na początku tego
artykułu. Dlatego firma WASKO postanowiła opracować rozwiązanie, wykorzystujące
technologię biometryczną w celu podniesienia poziomu zabezpieczenia stacji roboczych.
Rozwiązanie FRGina, o którym mowa, to moduł logowania (ang. GINA – Graphical
Identification and Authentication) dla systemów z rodziny MS Windows umożliwiający
logowanie użytkownika przez przyłożenie palca do czytnika FinigerVein. W tym przypadku
wykorzystywany jest model H1 – niewielki czytnik podłączany przez port USB. (ten sam
czytnik wykorzystywany jest w rozwiązaniu eBistro). Oczywiście jak zawsze w przypadku
uwierzytelniania biometrycznego konieczne jest wcześniejsze zebranie wzorców
biometrycznych od użytkownika i zarejestrowanie ich w centralnej bazie danych.
System FRGina posiada pewną unikalną cechę – integruje w jednym rozwiązaniu
technologię biometryczną i uwierzytelnianie oparte o infrastrukturę klucza publicznego. Jako
uzupełnienia logowania biometrycznego użytkownik otrzymuję kartę inteligentną z
certyfikatem cyfrowym. Od konfiguracji danej stacji zależy, czy do uwierzytelnienia
wymagane jest umieszczenie karty w czytniku i wprowadzenie kodu PIN, umieszczenie palca
w czytniku biometrycznym czy sekwencja tych dwóch metod. Dzięki temu, że usunięcie karty
z czytnika powoduje natychmiastowe zablokowanie stacji roboczej, nie tylko przed
zalogowaniem osoby nieuprawnionej, ale także przed przejęciem pozostawionej przez
użytkownika sesji.
Czy może być jeszcze bezpieczniej?
W opisanych powyżej rozwiązaniach wzorce biometryczne przechowywane są w centralnej
bazie danych lub wręcz wewnątrz urządzenia kontroli dostępu. Bezpieczeństwo
przechowywanych w ten sposób wzorców jest w większości przypadków wystarczające oczywiście pod warunkiem stosowania adekwatnych technicznych i organizacyjnych środków
ochrony informacji. Są jednak sytuacje, w których wymaga się szczególnej ochrony i
poufności wzorców. Może to wynikać z uwarunkowań prawnych lub po prostu z wysokich
standardów bezpieczeństwa przyjętych przez daną instytucję.
W takich sytuacjach świetnie sprawdzi się technologia Match-on-Card. Jej nazwa
(„porównaj wewnątrz karty”) doskonale oddaje ideę funkcjonowania. W technologii Matchon-Card wzorzec biometryczny przechowywany jest wyłącznie wewnątrz karty inteligentnej,
w której zaszyto algorytmy biometrycznego porównywania wzorców. Zamiast pobierać
wzorzec biometryczny by porównać go w oprogramowaniu zainstalowanym w komputerze,
próbka pobrana od osoby weryfikowanej jest przesyłana do karty. Tam następuje porównanie
z przechowywanym na karcie wzorcem a wynik porównania jest zwracany do aplikacji
uwierzytelniającej.
Takie podejście przynosi wiele korzyści. Po pierwsze, dzięki temu, że porównywanie
odbywa się wewnątrz mikroprocesora karty wzorzec biometryczny nigdy jej nie opuszcza.
Konstrukcja i oprogramowanie samej karty, zapewniają, że odczytanie wzorca jest
niemożliwe. Sprawia to, że posiadacz takiej karty ma pewność, że nikt poza nim nie ma
dostępu do jego danych biometrycznych. Nawet w przypadku kradzieży czy zagubienia karty
wzorzec biometryczny jest bezpieczny. Świadomość taka bardzo pozytywnie wpływa na
stosunek użytkowników do tego typu rozwiązania. Poza tym technologia Match-on-Card
zwalnia organizację wdrażającą takie rozwiązanie z obowiązku utrzymywania i
zabezpieczania bazy danych biometrycznych.
Drugą istotna korzyść wynika z integracji biometrii z kartami inteligentnymi. Podczas
gdy sama biometria umożliwia jedynie uwierzytelnienie użytkownika to karta inteligentna
pozwala realizować znacznie więcej usług takich jak płatności czy podpis elektroniczny. Aby
uzyskać dostęp do tych usług wystarczy uwierzytelnić się w czytniku FingerVein. Rozwiązuje
to problemy związane z zapomnianymi lub skradzionymi kodami PIN a przez to znacznie
podnosi bezpieczeństwo codziennego użytkowania karty.
WASKO wraz ze swoim partnerem Hitachi opracowuje rozwiązanie umożliwiające
składanie bezpiecznego podpisu elektronicznego przy pomocy karty, w której kod PIN
zastąpiono weryfikacją biometryczną posiadacza. Koncepcja ta spotkała się ze sporym
zainteresowaniem klientów borykających się typowymi problemami związanymi z
utrzymaniem tradycyjnych kart. W wielu przypadkach zapomniane PINy nie tylko generują
dodatkowe koszty obsługi, ale także powodują istotne przerwy w dostępie użytkowników do
danych.
Zarządzanie tożsamością
Opisane wyżej rozwiązania realizują uwierzytelnianie użytkowników względem
zgromadzonej wcześniej bazy wzorców biometrycznych lub specjalnie spersonalizowanych
kart inteligentnych. Tworzenie i utrzymywanie tych baz danych oraz wydawanie i obsługa
kart jest zagadnieniem nie mniej ważnym od samego procesu uwierzytelniania. Dane
osobowe wraz z uprawnieniami, wzorcami biometrycznymi i innymi atrybutami tworzącymi
konto użytkownika stanowią cyfrowe odzwierciedlenie jego tożsamości. Przyjrzyjmy się
zatem zadaniom mieszczącym się w pojęciu zarządzania tożsamością cyfrową użytkownika
na przykładzie systemu Person firmy WASKO.
Cykl życia tożsamości cyfrowej rozpoczyna się od złożenia wniosku o utworzenie
konta lub wydanie karty identyfikacyjnej. W praktyce wnioski takie mogą być rejestrowane
na wiele różnych sposobów. Najprostszym jest ręczna rejestracja wniosku w systemie przez
operatora systemu Person na polecenie przełożonego. W dużych organizacjach szczególnie
takich, które są rozproszone terytorialnie podejście takie byłoby nieefektywne. Uruchamia się
wtedy tzw. zdalne punkty rejestracji. Są to stanowiska umieszczone w poszczególnych
jednostkach organizacyjnych lub oddziałach przedsiębiorstwa umożliwiające zdalną
rejestrację wniosków dotyczących pracowników tych jednostek przez odpowiednie osoby
odpowiedzialne. Pozwala to realizować tzw. zasadę podziału obowiązków (ang. SoD –
Separation of Duty) poprzez delegację uprawnień na poszczególne szczeble schematu
organizacyjnego przedsiębiorstwa.
Tam gdzie wdrożono zaawansowane systemy zarządzania tożsamością integrujące
wszystkie systemy informatyczne w przedsiębiorstwie wnioski mogą być rejestrowane
automatycznie np. na podstawie informacji dotyczących nowoprzyjętego pracownika
pobranych z systemu kadrowego. Taka automatyzacja procesu zarządzania tożsamością
stanowi cel, do którego powinny dążyć wszystkie większe organizacje i przedsiębiorstwa.
Rejestracja nowej tożsamości cyfrowej na podstawie wniosków może składać się z
wielu różnych etapów w zależności tego czy system ma służyć tylko do prostego
uwierzytelniania biometrycznego czy ma również świadczyć inne usługi. W każdym
przypadku osoba rejestrowana musi pojawić się w punkcie rejestracji systemu Person w celu
pobrania od niej wzorców biometrycznych. Zwykle pobiera się co najmniej dwa wzorce
(najlepiej z obydwu rąk) aby umożliwić uwierzytelnienie nawet w sytuacji kontuzji dłoni. W
przypadku wydawania kart w technologii Match-on-Card wzorce biometryczne są
instalowane bezpośrednio na karcie.
Dzięki integracji z oprogramowaniem Urzędu Certyfikacji system Person może
uzupełnić proces rejestracji użytkownika i personalizacji karty o wydawanie certyfikatu
cyfrowego bezpośrednio na karcie. Umożliwia to realizację wspomnianych wcześniej usług
PKI takich jak podpis elektroniczny.
Nie wszyscy zdają sobie sprawę z tego, że istotniejszym od utworzenia tożsamości
cyfrowej zadaniem jest jej dezaktywacja w momencie odejścia pracownika z organizacji lub
utraty przez niego dotychczasowych uprawnień. Blokada konta i ewentualne usunięcie
danych biometrycznych musi nastąpić niezwłocznie – dostęp do poufnych informacji osoby
nieuprawnionej jest dużo groźniejszy niż brak dostępu przez osobę uprawnioną.
Podsumowanie
Opisane powyżej rozwiązania oparte o biometryczną technikę weryfikacji układu naczyń
krwionośnych stanowią jedynie przykłady, które pokazują ogromny potencjał tej technologii.
Wraz z przewidywaną popularyzacją biometrii, z pewnością pojawią się liczne systemy
informatyczne wykorzystujące tę niezawodną i odporną na ataki metodę uwierzytelniania
użytkowników. Spowoduje to z jednej strony wprowadzenie udogodnień w wielu dziedzinach
życia, takich jak na przykład płatności „na palec”. Z drugiej zaś strony zwiększy poczucie
bezpieczeństwa użytkowników poprzez ograniczenie tzw. cyberprzestępczości. Pokazuje to
przykład Japonii, w której po wprowadzeniu technologii FingerVein odnotowano znaczny
spadek przestępstw związanych z wykorzystaniem kart płatniczych. Pozostaje tylko czerpać
dobre wzory z prekursorów.
Bibliografia
• Bolle R. M., Connell J. H., Pankanti S., Ratha N. K. Senior: Biometria. Warszawa
2008
• Internet: http://www.kryminalistyka.wortale.net/
• Internet: http://www.globalsecurity.org/security/systems/biometrics-history.htm
• Internet: http://www.hitachi.com.sg/veinid
• Internet: http://www.hitachi.pl/ifg/Technical%20Facts/FV_hitachi.pdf
• Internet: http://www.biometrics.gov/Documents/BioHistory.pdf
• Internet:
http://www.biometricgroup.com/reports/public/comparative_biometric_testing.html