Skaitmeninės tapatybės sistemos yra labai svarbus dalykas, kai kalbama apie savęs identifikavimą skaitmeniniame pasaulyje, kuris yra toks pat tikras kaip ir fizinis pasaulis, ir iš tiesų įtakoja mus labai tiesioginiu būdu. Tai yra priežastis, kodėl statyti skaitmeninės tapatybės tikrinimas ir skaitmeninio tapatumo patvirtinimas paslaugos nebėra neprivaloma problema. JAV visuotinai sutariama, kad skaitmeninė tapatybė ir autentiškumas yra internetinė saugumo pagrindas ir greitai tampa nacionalinio saugumo prioritetu. Šiuo metu teikiamų tokių paslaugų pradedančiųjų versijose teikiamos tapatybės užtikrinimo paslaugos, kurias naudoja įvairios sistemos tam, kad suteiktų tam tikrą autorizacijos formą (fizinę ar loginę).
Kas yra "skaitmeninė tapatybė"?
"Skaitmeninis tapatumas" - tai informacija apie asmenį ar organizaciją, naudojamą kompiuterių sistemose, kad ją atstovautų kibernetinėje erdvėje. Paprasčiau tariant, internetas atitinka realų asmens ar organizacijos tapatumą.
Skaitykite: Internetinė tapatybės vagystė: prevencija ir apsauga.
Skaitmeninės tapatybės gairės
Nacionalinis standartų ir technologijų institutas (NIST) jau seniai pripažintas autoritetingu referenciniu šaltiniu autentiškumo tikrinimo gairėse.
NIST neseniai išleido NIST SP 800-63, dabar vadinamas Skaitmeninės tapatybės gairės po mėnesių viešos peržiūros. Šis keturių tomų rinkinys suteikia technines rekomendacijas organizacijoms, kuriose naudojamos skaitmeninės tapatybės paslaugos. Naujame dokumente atnaujinami ankstesni standartai ir išplečiama jų tapatybė ir autentiškumas kaip paslauga, siūlomos sąvokos ir kalba, reikalingos tinkamai prižiūrėti ir šildyti skaitmeninį tapatumą - tai, ko dauguma šios srities specialistų reikalauja apdairios išlaidos mokesčių mokėtojų dolerių.
Pirmasis išleistas 2003 m., SP 800-63 yra žinomas NIST dokumentas, kuriame pristatyti keturi lygiai skaitmeninės tapatybės gaires (LOA) - LOA 1, 2, 3 ir 4, kaip nurodyta OMB M-04-04, E-Authentication Guidance federalinėms agentūroms.
Pagrindinis šio naujojo 800-63 leidimo, trečiosios iteracijos, tikslas - išspręsti klaidingas LOA klaidas, kad koncepcija taptų dar svarbesne, naudojant šiuolaikinius tapatybės procesus tiek privačiame, tiek valstybiniame sektoriuose.
Trumpai tariant, naujame dokumente buvo pateikti šie pagrindiniai pakeitimai:
Naujasis dokumentas suskaidė LOAS daugiausia į sudedamąsias dalis, siekiant užtikrinti, kad bet kokia autentifikavimo iniciatyva galėtų būti vertinama kaip 1, 2 arba 3 vienos rūšies ir visiškai kitokio laipsnio kitam aspektui, o ne ant blanko, kaip LOA 3. Trumpai tariant, naujoji SP 800-63 pažeidžia reitingavimo schemą į tris segmentus:
- Registracija ir tapatybės patvirtinimas (SP 800-63A)
- Autentifikavimo ir gyvavimo ciklo valdymas (SP 800-63B)
- Federacija ir tvirtinimai (SP 800-63C)
Pagal naują 800-63-3, kaip siūloma, bus iš esmės suteikiama 3 eilučių: Federacijos užtikrinimo lygis (FAL), Autentifikavimo užtikrinimo lygis (AAL) ir asmens tapatybės užtikrinimo lygis (IAL).
Skaitmeninės tapatybės užtikrinimo lygiai (IAL):
- IAL1 - savarankiškai tvirtinama; Pareiškėjo susiejimas su bet kuriuo konkrečiu realiame gyvenime nėra reikalingas.
- IAL2 - tvirtinama, kad tapatybės reali gyvenimas yra pagrįstas įrodymais; fiziškai ar nuotoliniu tapatumo patikrinimu.
- 4ILA3 - asmens tapatybės nustatymas reikalauja fizinio buvimo. Patyręs ir įgaliotasis atstovas turėtų identifikuoti atributus.
Autentifikavimo užtikrinimo lygis (AAL):
- AAL1 - pateikia bet kokią garantiją, kad tikrasis ieškovas kontroliuoja autentiškumą; reikalauja bent vieno veiksnio autentiškumo.
- AAL2 - teikia didelį pasitikėjimą ieškovo kontrole autentiškuosius; reikalauja dviejų skirtingų autentifikavimo veiksnių; reikalauja patvirtintų kriptografinių metodų.
- AAL3 - teikia itin didelį pasitikėjimą ieškovo autentifikatorių valdymu; įrodymas, kad raktas naudojamas kriptografiniu protokolu, reikalingas autentiškumui patvirtinti; reikia "kieto" kriptografinio autentifikavimo priemonės.
Federacijos draudimo lygis (FAL):
- FAL1 - leidimai, leidžiantys abonentui suteikti RP, kad gautų pareiškėjo pastabą.
- FAL2 - nustato sąlygą, kad teiginys turėtų būti užkoduotas taip, kad vienintelė šalis, kuri galėtų ją iššifruoti, būtų RP.
- FAL3 - reikalauja, kad abonentas pateiktų tvirtinimo nuorodoje nurodyto kriptografinio raktinio žodžio, taip pat tvirtinimo artefakto, kontrolę.
Pagrindiniai pakeitimai, susiję su SP 800-63A:
- Leidžiamas tapatybės tikrinimo procesas yra atnaujinamas.
- Asmeninės korektūros parinktys yra išplėstos.
SP 800-63B
- Slaptažodžio nustatymas buvo peržiūrėtas.
- Nesaugūs autentifikatoriai pašalinami.
- Leidžiamas biometrinių duomenų naudojimas yra išplėstas.
SP 800-63C
- Pridedamos naujos federacijos rekomendacijos ir reikalavimai.
- Slapukai kaip patvirtinimo tipas buvo pašalinti.
Išsami informacija gali būti pateikta nist.gov.
