Цифровой журнал «Компьютерра» № 63 - Коллектив Авторов

Но какой бы ни была конечная реализация идеи, несложно понять, что с точки зрения защиты информации перед любой схемой объединённой аутентификации стоят одни и те же очень серьёзные проблемы, потенциально способные сделать систему не только малоэффективной, но и очень опасной для её пользователей. Поэтому доклад Андерсона, озаглавленный «Можно ли поправить экономику безопасности в системе объединённой аутентификации», хотя и задает вопросы применительно к телефонам («как вести себя в мире, где мобильный телефон содержит ваши кредитные карточки, ваши водительские права и даже ключи от вашей машины?»), в действительности касается всей этой системы в целом. Самый главный вопрос исследователя звучит так: «Что случится, когда это электронное чудо-устройство окажется украдено или заражено вирусом»?

Чтобы иметь общее представление о масштабе и сложности данной проблемы, достаточно вспомнить, что в условиях интернета и компьютерных сетей вообще идея об использовании единого сервиса для идентификации пользователей на все случаи жизни — это одновременно очень старая мечта и ужасно коварная ловушка.

В работе Андерсона рассказывается по крайней мере о четырёх предыдущих попытках массово реализовать подобную схему и о причинах, помешавших сделать это хорошо и красиво. Остаточные формы всех этих неудавшихся попыток сейчас напоминают игру типа «передай кулёк соседу». Так, постоянно посещаемая вами веб-газета аутентифицирует вас через ваш сайт в сетях социального общения; тот, в свою очередь, хочет, чтобы вы восстанавливали забытый пароль доступа через электронную почту; ваш провайдер электронной почты хочет, чтобы вы использовали для подтверждения личности свой мобильный телефон; а ваша телефонная компания в качестве подстраховки опирается на ваш аккаунт электронной почты...

При этом ни одна из всех этих инстанций в лице своих колл-центров решительно не хочет быть крайней в тех сложных, но ежедневно происходящих ситуациях, когда попавшие в беду пользователи теряют свой смартфон или ноутбук, напрочь не помня паролей доступа. При этом органы сертификации, на которые опирается вся система онлайнового доверия, всегда открыты для принудительно-добровольного сотрудничества с компетентными органами правительств. А правительства, которые в принципе хотели бы, чтобы граждане использовали электронные карты в качестве единого средства аутентификации, даже если берутся за это дело, зачастую начинают безнадёжно буксовать в том, чтобы заставить систему (а) эффективно работать и (б) при этом ещё и гибко реагировать на мошенничества или ошибки пользователей.

В исследовании Андерсона представлено несколько сценариев, воплощаемых госвластями разных стран для наиболее эффективной реализации гранд-идеи об электронном идентификаторе гражданина (или кратко — e-ID). Один из наиболее гибких и при этом чётко очерченных планов на данный счет изложен в американской федеральной программе NSTIC (National Strategy for Trustworthy Identities in Cyberspace, то есть «Национальная стратегия для доверяемых личностей в киберпространстве»). Суть программы предельно проста: единственный электронный логин-идентификатор человека должен работать повсюду, где он только может потребоваться.

Иначе говоря, гражданин должен иметь возможность использовать своего «провайдера идентичности», выбираемого по собственным вкусам и предпочтениям, для входа куда угодно. Так что в итоге, как это мыслится, водительские права можно было бы использовать для входа в учётную запись электронной почты; или — другой пример — использовать свой логин в Facebook для уплаты, скажем, налогов или автодорожных штрафов.

Более жёстко ограниченные версии той же, по сути, схемы уже несколько лет внедряются правительствами таких стран, как Эстония и Германия. С тем существенным отличием, что в качестве универсального пропуска во все места служит электронная идентификационная карта, выдаваемая государством каждому гражданину. В мае 2010 от этого сценария по ряду причин отказалась Великобритания, а с 2012 во многом похожую систему начинают внедрять в России. Аналогичные процессы идут во многих других странах мира, однако мало где такие системы пока что удалось развернуть в сколь-нибудь серьёзном масштабе.

Пытаясь объяснить неоспоримый факт того, что все предыдущие попытки внедрения объединённой аутентификации в подавляющем большинстве случаев заканчивалась крахом, Росс Андерсон видит причину неудач в неправильно выбиравшихся стимулах к разворачиванию системы. Для провайдеров, выдающих людям «электронную личность», не подразумевалось никакой ответственности перед конечными пользователями, но при этом они были повязаны добровольно-принудительным и бесконтрольным для граждан сотрудничеством с государственными органами. Те стороны, которые в своей работе задумывались как опора и поддержка разворачиваемой инфраструктуры, в реальности получали от этого мало преимуществ, одновременно сталкиваясь с возросшей сложностью системы. Ну а конечные пользователи вполне обоснованно избегали пользоваться системой, опасаясь появления «единой точки отказа».

Анализируя перспективы разворачиваемых проектов (все документы идентификации плюс цифровой кошелёк), британский эксперт считает, что пристегивание сюда мобильных кошельков — это одновременно немалая проблема и большая новая возможность.

Проблему понять гораздо легче. На одном из реальных рынков, в Японии, где бесконтактные платежи с помощью мобильных телефонов (через системы NFC) уже широко применяются не первый год, результаты внедрения нельзя назвать большим успехом. Далеко не все клиенты способны дистанционно заблокировать потерянные или украденные телефоны. Поэтому тому, кто не может сделать это сам, приходится обзванивать всех своих провайдеров платёжных карточек. А те, в свою очередь, имеют весьма различающиеся порядки для процедуры блокирования и восстановления карты. Как прямой результат этих проблем бесконтактные NFC-платежи в Японии сводятся сейчас, главным образом, к малорасходным предоплаченным карточкам.

Росс Андерсон считает, что довольно унылую ситуацию с явно тормозящим разворачиванием бесконтактных платежей можно существенно оживить, если совместить цифровой кошелёк с электронным удостоверением (e-ID), а ответственность за внедрение этих устройств (и соответственно за разруливание ситуаций с кражами-потерями) возложить на банки. У которых, как полагает Андерсон, появится очень серьёзный стимул заниматься и неприятностями своих клиентов, если тот банк, что берётся отвечать перед пользователем, становится принятым по умолчанию при всех бесконтактных и «обычных» платежах.

Здесь, возможно, следует пояснить, что среди людей, давно и повсеместно использующих банковские платежные карты, общепринятой является практика использовать множество карточек от разных банков: одну для текущих бытовых расходов, другую для бизнеса, третью для покупок в интернете, ну и так далее. Разные банки, конкурируя друг с другом, изобретают различные выгоды для расходов своих клиентов. Поэтому когда все реквизиты их карточек оказываются собраны единым списком в электронном бумажнике, то весьма существенно, какая из карточек поставлена первой — для оплаты всех обычных расходов человека.

Развернутая аргументация Росса Андерсона в пользу именно такой схемы построена вокруг реализации e-ID с цифровым кошельком на основе мобильного телефона. Коль скоро запланированная к внедрению в России система определенно сориентирована на существенно иной путь, который уже несколько лет прокладывают Германия и Эстония, подробно разбираться с нюансами андерсоновских доводов здесь вряд ли актуально. Но при этом нельзя не отметить, что важнейшую из идей британского эксперта — для успеха всего предприятия поставить главными банки — в нашей стране реализовали в самую первую очередь.

Cтруктурой, ответственной за внедрение в России единой идентификационной карты-кошелька, определена специально созданная под это компания ОАО УЭК, то есть Открытое акционерное общество «Универсальная электронная карта», где костяк акционеров образуют ведущие российские банки, начиная, естественно, со Сберегательного.

Насколько свободной окажется новая российская система от всех тех недостатков, что в своё время сгубили прежние системы объединённой аутентификации, покажет лишь время. Но уже заранее можно сказать, что у российских банков, по определению, имеется неважная наследственность во всём, что касается добровольно-принудительного (и нередко туповато-тотального) сотрудничества с компетентными органами государства.

Для наглядной иллюстрации достаточно привести такой вполне типичный пример из повседневной жизни Сбербанка и его клиентов. Человек подает клерку в окошко свои сберкнижку и паспорт, чтобы снять собственные деньги. Клерк проверяет реквизиты по компьютеру и объявляет, что выдать деньги не может, поскольку программой системы паспорт помечен как «недействительный». Физически с паспортом всё в порядке, но, хотя он и выдан всего полтора года назад, формально документ уже стал невалидным, поскольку был выдан владельцу в полных 44 года, подлежал установленной порядком замене в 45, а сейчас владельцу уже 46...