Bezpieczeństwo w parze z biznesem

Z Billem McQuaide'em, wiceprezesem RSA Security, rozmawia Michał Szafrański.

Z Billem McQuaide'em, wiceprezesem RSA Security, rozmawia Michał Szafrański.

Bezpieczeństwo w parze z biznesem

Bill McQuaid, wiceprezes RSA Security

Trudno oprzeć się wrażeniu, że poziom wykorzystania zaawansowanych technologii zabezpieczających, np. uwierzytelniających i PKI jest dalece niezadowalający w stosunku do skali zagrożeń. Czy implementacja tych rozwiązań jest po prostu zbyt trudna?

To byłoby daleko posunięte uogólnienie. Istnieje wiele typów rozwiązań z zakresu bezpieczeństwa i każde z nich jest inaczej przyjmowane przez rynek. Przykładowo, z naszej technologii SecureID korzysta ok. 20 mln użytkowników, którym zależy na pewnym zabezpieczeniu w sieci. Wspomniał pan jednak o cyfrowych certyfikatach i infrastrukturze PKI. Rzeczywiście popularyzacja tych technologii nie przebiega tak, jak można było się spodziewać. Dzieje się tak dlatego że rozwiązania te były oferowane jako szeroka infrastruktura. Po jej wdrożeniu okazywało się, że nie do końca wiadomo jak ją wykorzystać - cele nie były bowiem dobrze zdefiniowane. Stąd płynie nauka, że do zagadnienia infrastruktury klucza publicznego należy podchodzić w kontekście konkretnego problemu biznesowego. Takim celem może być np. zachowanie poufności komunikacji między firmą a bankiem. Może to być także zabezpieczanie transakcji realizowanych poprzez serwisy WWW i usługi Web.

Jakie widzi Pan przeszkody na drodze właściwej implementacji rozwiązań z zakresu bezpieczeństwa?

Jednym z mankamentów jest niewystarczająca integracja technologii zabezpieczających z . Mamy to na uwadze i w niedalekiej przyszłości wprowadzimy rozwiązania, w których technologia cyfrowych certyfikatów będzie łatwiejsza w użyciu i lepiej zintegrowana, np. z oprogramowaniem pocztowym.

Lepszą integrację rozwiązań staramy się zapewnić na kilka sposobów. Jednym z nich jest udostępnianie zestawów programistycznych, ułatwiających integrację opracowywanych przez nas mechanizmów kryptograficznych z aplikacjami. Uczestniczymy w opracowywaniu standardów z zakresu bezpieczeństwa. Bierzemy aktywny udział w pracach komitetów standaryzacyjnych, np. PKCS, PKI Forum oraz Liberty Alliance.

Często słyszy się, że remedium na problemy bezpieczeństwa, także w kontekście systemów informatycznych, jest biometria. Znacznie łatwiej jest "podpisać się" odciskiem palca niż zapamiętać hasło, PIN, wykorzystać token bądź elektroniczny nośnik certyfikatu. Czy biometria to szansa czy zagrożenie dla obecnie stosowanych rozwiązań?

Istnieją trzy sposoby identyfikacji osób: z wykorzystaniem danych pamiętanych przez użytkownika, np. PIN-u, za pomocą danych utrwalonych na nośniku, np. karty chipowej, i z wykorzystaniem indywidualnych cech fizycznych użytkownika, np. odcisku palca. Inwestujemy we wszystkie trzy rozwiązania. Chociaż nie produkujemy urządzeń biometrycznych, to rozwijamy warstwę middleware i udostępniamy programistom interfejsy API.

Sądzę, że na szerokie wykorzystanie technologii biometrycznych trzeba będzie jeszcze długo poczekać. Obecnie najważniejszy problem polega na tym, że technologie biometryczne nie są wystarczająco precyzyjne i w związku z tym nie są wcale lepszym zabezpieczeniem niż czterocyfrowy PIN.

Dlaczego Pan tak sądzi?

Wzór odcisku palca jest bardzo skomplikowany, ale współczesne czytniki przyjmują dosyć dużą tolerancję błędu przy jego odczycie. Wynika to m.in. z tego, że użytkownik praktycznie za każdym razem może ułożyć palec na czytniku w nieco inny sposób. Algorytmy odpowiadające za weryfikację odcisku muszą uwzględniać zadrapania, obtarcia naskórka, a także zmieniającą się szerokość linii papilarnych. To powoduje, że konieczne jest przyjęcie bardzo szerokiego przedziału akceptowanych wartości, co oczywiście obniża poziom bezpieczeństwa. Inwestycje w tym zakresie powinny więc iść w kierunku opracowania bardziej precyzyjnych algorytmów dopasowywania odcisku palca do jego wzoru w bazie danych.

To nie koniec problemów. Nie można zapomnieć o aspekcie socjologicznym. Ludzie na ogół nie są chętni, by udostępnić swojemu pracodawcy, rządowi czy jakiejś firmie: odciski palców, wzory tęczówek czy też nagrania głosu. Problem stanowi także sposób przechowywania danych. Jeśli znajdują się one na centralnym serwerze, to powstaje pytanie, w jaki sposób można zagwarantować ich poufność? Co się stanie, jeśli włamywacz zdobędzie dostęp do takiego serwera i wykradnie pliki z wzorcami biometrycznymi? To oznaczałoby, że wzorce te należałoby uznać za nieważne, gdyż wpadły w niepowołane ręce. W przypadku hasła, tokena czy karty chipowej nie jest to aż tak dużym problemem, gdyż można je w każdej chwili zablokować i wymienić na nowe. Jeśli poufność wzorców biometrycznych zostanie naruszona, system bezpieczeństwa oparty na nich ulega załamaniu.


TOP 200