мой livejournal.com
Википедия - моя страница
письмо автору сайта
поиск по сайтуЗащита паспортной системы
(Василий Иванов, продолжение темы)
По моему мнению, усиление защиты документов от подделки и создание Системы гражданской идентификации - это две разные, почти противоположные задачи. Необходимо разграничить два принципиально разных подхода:
- - усиление степени защиты существующей бумажной системы документооборота;
- - создание общегосударственной централизованной системы идентификации и документооборота, основанной на современных средствах связи и криптографической защиты.
Начнём с существующей системы документооборота и с возможностей её улучшения. Система децентрализована и базируется на бумажных документах. Существующие паспорта могут быть легко подделаны. Без проблем можно купить фальшивые документы, созданные на основе украденных, или выполненные на добытых каким-либо образом пустых бланках. Возможность выявления подделки такого документа ограничивается как отсутствием центральной базы данных и средств связи, обеспечивающих проверку за несколько секунд, так и отсутствием центрального контроля за действиями сотрудников правоохранительных органов. Новые паспорта с голограммами и чипами также будут подделаны за довольно короткий срок. Бессмысленно собирать со всех граждан по 70 долларов за паспорт, ради того, чтобы этот дорогой документ массово появился на рынках подделок, скорее всего - ещё до окончания обмена старых, дешёвых и плохо защищённых паспортов на новые, дорогие и так же плохо защищённые.
Для иллюстрации невозможности 100-процентной защиты паспорта сравним эту задачу с защитой сходных существующих документов. Кредитные карты существуют уже десятки лет. Некоторые из них защищены фотографиями и микросхемами. Степень защиты карт неуклонно растёт. Триллионы долларов ежегодно расходуются с их помощью, а доходы банков, их выпускающих, свыше сотни миллиардов долларов. Бюджет, расходуемый банками на работу с кредитными картами, существенно превышает бюджет правительств на работу с идентификационными документами. Многолетний опыт также говорит в пользу банков, однако количество подделок и случаев мошенничества, совершаемого при помощи кредитных карт, неуклонно растёт. Автор сам недавно чуть не лишился восьмисот долларов из-за мошенничества с кредиткой. Банк, выпустивший карту, скомпенсировал все потери, кроме двадцати долларов. Для банков дешевле терять десятки миллиардов долларов в год от мошенничества, чем усиливать защиту кредитных карт.
Ситуация с защитой паспортов гораздо хуже, чем с защитой кредиток. Кредитка подделывается или воруется ради однократной кражи денежных средств. Кража легко обнаруживается законным владельцем кредитки, или компьютер банка может обнаружить необычность финансовых операций и заблокировать кредитку автоматически. Так и случилось с моей кредиткой. Все данные об использовании кредитки сразу поступают в компьютерную сеть и прослеживаются централизованно. В отличие от кредиток, факт проверки паспортов не отслеживается централизованно, украденный паспорт при проверке не сверяется с базой данных и не блокируется автоматически. Законный владелец паспорта не может отследить все транзакции со своим паспортом. Вывод - надёжная защита документов невозможна.
Однако это не значит, что невозможно сделать абсолютно надёжную систему гражданской идентификации. При помощи всех необходимых, правильных и полных протоколов такой системы можно обеспечить абсолютно надёжную систему документооборота.
Задачи системы:
- 1. хранить сведения обо всех гражданах;
- 2. обеспечивать идентификацию личности;
- 3. а также фиксировать факт проверки документов и его результат.
Требования к системе:
- 1. обеспечивать быструю проверку документов;
- 2. обеспечивать надёжную идентификацию граждан;
- 3. не допускать незаконное использование системы;
- 4. обеспечивать простое пополнение и изменение записей базы данных;
- 5. обладать способностью расширения и изменения структуры базы данных;
- 6. обеспечивать надёжность системы по отношению к хакерским атакам, и физическому нападению;
- 7. быть приемлемой по цене.
Создание данной системы возможно, вопреки общепринятому мнению о невозможности абсолютно защищённых от взлома систем. Да, любую систему, осуществляющую транзакции между случайными лицами без предварительной договорённости - взломать можно. Однако система идентификации граждан - система осуществляющая транзакции между государственными служащими по предварительной договорённости. Можно создать абсолютно защищённую систему связи. Такая система конечно способна совершить сбой, но только в случае открытого предательства сотрудника, физического захвата стратегического объекта или разрушения средства или канала связи. В любом случае любая атака на систему будет выявлена.
Принцип создания абсолютно защищённой системы связи:
- 1. Кодирование сообщений осуществляется при помощи операции исключающего_ИЛИ выполняемой побитно между сообщением и ключом.
- 2. Система связи. Абоненты связи обмениваются сообщениями, закодированными при помощи ключа длиной, равной длине предаваемого сообщения. Ключ не используется повторно.
- 3. Ключ создаётся при помощи генератора случайных чисел во всероссийском центре.
- 4. Все ключи нумеруются.
- 5. Ключи ежеквартально рассылаются по субъектам федерации фельдъегерской службой в виде упаковок опечатанных ДВД дисков. Все далее конверты с ключами на ДВД распределяются по райотделам милиции и госучереждениям. Учреждения устанавливают диски с ключами в специально охраняемые компьютеры.
- 6. Эти компьютеры выдают ключи в индивидуальные системы связи (ИСС). Распределения ключей по ИСС заранее предопределено центром.
- 7. Диски уничтожаются.
- 8. В итоге все ИСС получают уникальные ключи. ИСС стирают использованные ключи.
- 9. Копии всех ключей хранятся в центральной базе данных (ЦБД).
- 10. ИСС оперативных сотрудников являются КПК специальной модели.
- 11. КПК содержат 1-2 гигабайта памяти, цифровую камеру, сканер отпечатков пальцев, сотовый телефон. В отдалённых районах необходима спутниковая связь, однако база данных на всех местных и зарегистрированных жителей может храниться в КПК (в городах от 10-50 тысяч и меньше). Спутниковая связь не будет нужна часто.
Протоколы работы и ИСС:
- 1. Начало работы начинается с идентификации и проверки полномочий пользователя системы. Проверяется личность сотрудника органов, а также его биометрические параметры через ЦБД. Хранение данных о законном пользователе на самом ИСС нежелательно, ибо снижает защищённость системы. В случае подозрительного, выдаётся запрос в ЦБД.
- 2. Проверка личности граждан осуществляется только при помощи ИСС. На основе личных показаний граждан, или представленных документов, проверяются биометрические показатели. Результаты немедленно сообщаются в ЦБД (при идентификации посредством ЦБД) или (при идентификации из памяти компьютера) хранятся на устройстве до следующего сеанса связи.
Заключение:
- 1. Использование взаимодействия ИСС и ЦБД не полагается на уязвимые для подделки документы, но точно идентифицирует на основе записей хранящихся в органах.
- 2. Использование ИСС-ЦБД повышает уровень контроля государства над гражданами, до уровня контроля банков и кредитной системы над своими клиентами.
- 3. Все действия сотрудников органов документируются ИСС. Все недокументированные действия являются незаконными. Так использование ИСС-ЦБД повышает уровень контроля над сотрудниками органов до уровня контроля корпораций над своими сотрудниками.
Анализ уязвимости системы и мер по её преодолению:
- 1. Возможность перехвата сообщений между ИСС и ЦБД не представляет опасности, так как сообщения не могут быть дешифрованы без знания ключа.
- 2. Возможность хакерской атаки на ИСС или ЦБД исключается посредством ограничений на способы обмена информацией. Разрешены лишь стандартные запросы невозможные без использования подходящего ключа.
- 3. Возможность похищения и использования ИСС предотвращается проверкой ИСС своего пользователя.
- 4. Возможность похищения ИСС, разборки, изменения ИСС и похищения ключа предотвратить нельзя. Мерой борьбы является ежедневный учёт ИСС. Преступник получит максимум 24 часа в случае похищения ИСС. Кража биометрических данных законного пользователя также необходима для работы преступника, ибо ЦБД должна удостовериться в законности запросов.
- 5. Возможность похищения дисков у фельдъегерской службы не опасна, ибо диски не содержат информации. Похищенные ключи будут удалены из ЦБД и новые ключи вышлют взамен.
- 6. Предательство сотрудников ЦБД, фельдъегеря или сотрудников, распределяющих диски, опасно. Если такое произойдёт, преступник получит возможность расшифровать запросы, шифруемые похищенными ключами или даже делать фальшивые запросы или фальшивые ответы из ЦБД (для этого надо еще контролировать канал связи). Однако преступник получает доступ только к информации в объёме доступных ему ключей. Угрозы самой ЦБД при этом нет, угроза неправильной идентификации практически отсутствует.
- 7. Предательство законного пользователя ИСС может лишь привести к незаконной проверке документов зафиксированной в ЦБД. Физическое изменение ИСС может быть обнаружено в любой момент, а предательство раскрыто.
- 8. Тайное копирование ключа у фельдъегерей в сочетании с предательством одного пользователя ИСС, может быть легко раскрыто, ибо распределение ключей по ИСС задаёт центр. Остатки старого ключа будут в ИСС и должны соответствовать новому ключу (проверяется ЦБД). Что-либо изменить может лишь незаконное сотрудничество всех сотрудников райотдела со вскрытием и изменением ИСС физически. Угроза будет распространяться только лишь на один район.
- 9. Физическая атака. ЦБД должна хорошо охраняться, иметь свою электростанцию и иметь дублирующий центр. Всё должно дублироваться курьерами ежемесячно или посредством ключей непрерывно.
Вывод: степень защищённости ИСС-ЦБД не уступает степени защищённости стратегических ядерных сил.
Записи: документы, паспорта, личные дела граждан и сотрудников органов (вернуться обратно)
Структура базы данных: структура личных дел, а также территориальный принцип хранения базы данных (вернуться обратно)
Сообщение/ключ: закодированное сообщение. 0/0=1, 0/1=1, 1/0=1, 1/1=0 (вернуться обратно)
Протоколы: правила на компьютерном и научном языке (вернуться обратно)
