МЕТОД  ИЗОМОРФИЗМА  ГРАФОВ  КАК  МЕТОД  АУТЕНТИФИКАЦИИ  В  БАНКОВСКИХ  СИСТЕМАХ

Ширинкина  Виктория  Андреевна

студент  3  курса,  Электротехнический  факультет,  ПНИПУ,  РФ,  г.  Пермь

Email: 

Бондаренко  Евгения  Сергеевна

студент  3  курса,  Электротехнический  факультет,  ПНИПУ,  РФ,  г.  Пермь

Email: 

Кротова  Елена  Львовна

научный  руководитель,  канд.  физ.-мат.  наук,  доцент  ПНИПУ,  РФ,  г.  Пермь

На  сегодняшний  день  тема  обеспечения  полной  аутентификации  в  банковских  системах  является  очень  актуальной.  В  наш  век  глобальной  информатизации  информация  имеет  наибольшее  значение,  чем  когда-либо.  Система  платежей,  без  которой  уже  невозможно  представить  современное  общество,  по  существу  является  механизмом,  через  который  обязательства,  возникающие  вследствие  связанной  с  финансами  деятельности,  исполняются  путем  перевода  денежных  средств.  Однако,  необходимо  отметить,  что  с  увеличением  ценности  информации  возникает  все  больше  угроз:  ее  утраты,  нарушения  конфиденциальности,  целостности  и  др.

В  настоящее  время  очень  развиты  банковские  системы.  Многие  утверждают,  что  гораздо  удобнее  совершить  покупку  в  интернете,  заполнив  при  этом  некоторые  реквизиты,  чем  ездить  по  городу,  или  даже  по  странам,  в  поисках  необходимой  вещи  и  расплачиваться  наличными  деньгами.  Если  на  мгновение  представить,  что  банковские  системы  будут  легко  уязвимы,  то  все  счета,  все  вклады  могут  обнулиться,  произойдут  безвозвратные  потери.  Очевидно,  что  очень  важны  методы  и  качество  защиты  этих  банковских  систем.

Для  начала  рассмотрим  структуру  платежной  системы.  В  ней  можно  выделить  трех  участников:  пользователи  (предприятия  и  частные  лица),  посредники  (коммерческие  банки,  осуществляют  перевод  финансовых  средств)  и  Центральный  банк  (придает  финансовым  процедурам  завершенность).

В  процессе  обработки  и  хранения  банковских  данных  практически  не  применяются  криптографические  методы  для  защиты  от  различных  угроз,  а  так  же  на  всех  этапах  ее  обработки,  хранения  и  передачи.  Однако,  активное  использование  этих  методов  могло  бы  значительно  повысить  эффективность  банковских  систем.

Основная  задача  криптографии  —  защитить  и  сохранить  в  тайне  требуемую  информацию  (в  переводе  с  греческого  языка  слово  криптография  означает  тайнопись).

Технологии  в  области  криптографии  предлагают  четыре  основных  вида  услуг  в  банковской  сфере:  аутентификацию,  целостность,  конфиденциальность  и  контроль  участников  взаимодействия.

Криптография  превращает  сообщения  в  не­доступный  для  понимания  противником  (персоной,  не  имеющей  прав  на  ознакомление  с  содержанием  передаваемой  информации)  вид.  При  этом  обычно  считается,  что  злоумышленник  может  не  только  перехватывать  передаваемые  по  каналу  связи  сообщения  для  последующего  их  использования,  но  и  нарочно  изменять  их,  а  также  отправлять  подменные  сообщения  от  имени  одного  из  пользователей.

Аутентификация  пользователя   —  это  процесс  проверки,  на  самом  деле  ли  проверяемый  пользователь  является  тем,  за  кого  он  себя  хочет  выдать.  Для  правильной  аутентификации  пользователя  необходимо,  чтобы  пользователь  предоставил  аутентификационную  информацию  —  некоторую  единственную  в  своем  роде  информацию,  обладателем  которой  должен  быть  только  он  и  никто  другой  [2].

На  данный  момент  существует  множество  способов  аутентификации  пользователей.  Вот  некоторые  из  них:

·       пароли;

·       специфические  механизмы  привязки  к  мобильным  устройствам;

·       механизм  «запрос-ответ»  и  др.;

Выбор  аутентификационного  метода  определяется  тремя  основными  условиями:  требованием  к  защищенности  системы,  простоте  в  использовании  и  ресурсоемкостью.

Существует  так  же  еще  один  метод  аутентификации  пользователей  в  банковской  системе,  а  именно  —  метод  изоморфизмов  графов.  Рассмотрим  этот  метод  более  подробно.  Он  основан  на  множестве  изоморфных  графов  и  доказательстве  с  нулевым  разглашением,  который  заключается  в  следующем:  проверяющий  не  получает  в  результате  выполнения  протокола  никакой  полезной  для  себя  дополнительной  информации,  за  исключением  единственного  факта,  что  утверждение  истинно  (свойство  нулевого  разглашения).

Рассмотрим  определение  свойства  изоморфизма  графов.  Графы  G=(V,U)  и  G'=(V',U')  изоморфны,  если  существует  такое  взаимно  однозначное  соответствие  между  множествами  их  вершин  V  и  V',  что  вершины  соединены  ребрами  в  одном  из  графов  только  тогда,  когда  соответствующие  им  вершины  соединены  в  другом  графе.

Если  графы  G  и  H  изоморфны,  то  пишут  G  p  H  (тогда  и  H  p  G).  Изоморфные  графы  обычно  принимают  подобными  и  их  можно  изображать  одним  и  тем  же  рисунком.  Они  могут  различаться  только  обозначениями  вершин  и  ребер,  и  так  как  их  число  должно  быть  одинаковым,  соответствующие  друг  другу  вершины  обязаны  иметь  одинаковое  количество  входящих  в  них  ребер.  Следует  заметить,  что  совершенно  не  имеет  значения,  какой  именно  графической  реализацией  отображать  граф  [1].

На  основании  свойства  изоморфности  графов  существует  криптографический  протокол  аутентификации  —  протокол  IG  (Isomorphism  Graph).

Опишем  его  суть:

Допустим,  что    —  это  изоморфизм  между  двумя  графами  G₁  и  G₀.  Выберем  двух  участников  процесса  —  претендент  P  и  верификатор  V.  Претендент  —  тот,  кто  хочет  пройти  аутентификацию,  а  верификатор  —  тот,  кто  проверяет  подлинность  претендента.  Следующие  четыре  шага  выполняются  в  цикле  n  раз,  каждый  раз  с  независимыми  случайными  величинами.

1.  Претендент  P  выбирает  случайную  перестановку    на  множестве  U,  вычисляет  H=G₁  и  отправляет  этот  граф  верификатору  V.

2.  P  генерирует  случайный  бит    и  передает  его  V.

3.  В  случае,  когда  =1,  P  посылает  V  перестановку  ,  иначе  —  перестановку  .

4.  В  случае,  когда  перестановка,  принятая  V,  не  представляет  собой  изоморфизм  между    и  H,  то  V  прекращает  свое  действие  и  отрицает  доказательство.  В  другом  случае  выполнение  этих  четырех  шагов  продолжается  еще  m  раз.  Если  проверки  четвертого  шага  дали  положительный  результат  во  всех  m  раз,  то  V  принимает  доказательство.

Полнота  протокола  IG  очевидна.  Чтобы  доказать  правильность,  необходимо  лишь  сказать,  что  выбираемый  V  на  втором  шаге  бит,  указывает  P,  для  которого  из  графов  —  G₀  или  G₁  —  требуется  предоставить  изоморфизм  с  графом  H.  В  случае,  когда  нельзя  сказать,  что  графы  G₀  и  G₁  изоморфны,  то  граф  H  может  быть  изоморфен,  по  крайней  мере,  одному  из  них.  Поэтому  проверка  четвертого  шага  даст  положительный  результат  с  вероятностью  меньше  или  равной  0,5  в  одном  цикле  и  с  вероятностью  меньше  или  равной  единице,  деленной  на  два  в  степени  m,  во  всех  m  циклах.  Отметим,  что  основной  задачей  V  является  получение  максимально  возможной  информации  об  изоморфизме  между  графами  G₀  и  G₁  [4,  c.  37].

Рассмотрим  практическое  приложение  протокола  IG  в  качестве  способа  аутентификации.

Представим  следующую  ситуацию.  Участвуют  два  элемента  —  Алиса  и  Боб.  Алиса  —  это  интеллектуальная  банковская  карточка,  в  ней  осуществлена  последовательность  действий  P,  а  Боб  —  это  компьютер  банка,  выполняющий  программу  V.  Не  имеет  смысла  доказывать,  что  два  графа  изоморфны,  важно  лишь  то,  что  и  является  целью  Алисы  —  доказать,  что  именно  она  знает  изоморфизм  .  До  начала  выполнения  любых  банковских  операций,  банк  удостоверяется  в  действительности  карточки  и  определяет,  истинный  ли  ее  владелец  участвует  в  операции,  или,  другими  словами,  карточка  должна  пройти  аутентификацию.  Один  из  вариантов  —  использование  протокола  IG.  При  данных  условиях,  в  банковском  компьютере  хранятся  два  графа  (G₀,  G₁),  соотнесенных  Алиса,  а  на  интеллектуальной  карточке  —  те  же  графы,  изоморфизм  .  Считается,  что  только  Алиса  обладает  информацией  об  этом  изоморфизме  (возможно,  за  исключением  Боб),  и,  следовательно,  с  помощью  протокола  IG  карточка  доказывает  свою  аутентичность  банковскому  компьютеру.  При  этом  важно  учесть,  что  свойство  полноты  подразумевает  тот  факт,  что  карточка  определенно  докажет  компьютеру  свою  аутентичность.

Предположим,  имеет  место  тот  факт,  что  карточка  является  поддельной.  Для  этого  случая  можно  сказать,  что  свойство  правильности  оберегает  интересы  банка  от  злоумышленника,  который  не  является  клиентом  банка  и  пытается  пройти  аутентификацию,  используя  поддельную  карточку.  Злоумышленник,  получив  одно  или  более  выполнений  протокола  аутентификации  данной  карточки,  пытается  пройти  аутентификацию  под  именем  Алисы.  Свойство  нулевого  разглашения  позволяет  клиенту  быть  защищенным  от  противника.

Важно  отметить,  что  в  случае  применения  протокола  IG  на  практике  очень  важным  свойством  является  то,  что  алгоритм  P,  получивший  в  качестве  дополнительного  входа  изоморфизм  ,  работает  за  полиномиальное  время.  Данный  протокол  можно  заменить,  вообще  говоря,  любым  другим  протоколом  с  доказательством  нулевого  разглашения,  в  котором  алгоритм  P  обладает  этим  свойством.  Но,  к  сожалению,  на  практике  этот  метод  не  реализуется  и  рассматривается  исключительно  как  теоретический.  Для  реальных  приложений  протокол  IG,  как  и  большинство  подобных  протоколов,  не  эффективен  и  активно  подвергается  угрозам:  слишком  большое  количество  циклов,  очень  длинные  сообщения,  злоумышленник  может  имитировать  лицо,  которое  на  самом  деле  обладает  информацией  и  т.  д.  Таким  образом,  можно  подытожить,  что  поиск  более  действенных  и  обосновательно  стойких  протоколов  —  одно  из  главных  направлений  исследовании  в  этой  области  —  области  аутентификации  в  банковских  системах.

Список  литературы:

1.Лекция  12.  Графы  [Электронный  ресурс]  —  Режим  доступа.  —  URL:  http://vuz.exponenta.ru   —  URL:  http://vuz.exponenta.ru/PDF/L12.html  (дата  обращения  23.05.2015)

2.Методы  аутентификации  [электронный  ресурс]  http://www.iso27000.ru   —  [Электронный  ресурс]  —  Режим  доступа.  —  URL:  http://www.iso27000.ru/chitalnyi-zai/kriptografiya/metody-autentifikacii  (дата  обращения  13.05.2025)

3.Технологии  безопасности  данных  в  банковских  сетях  [электронный  ресурс]http://eos.ibi.spb.ru   —  [Электронный  ресурс]  —  Режим  доступа.  —  URL:  http://eos.ibi.spb.ru/umk/5_14/5/5_R0_T2.html#2_3_2  (дата  обращения  13.05.2015)

4. Ященко  В.В.  Введение  в  криптографию  3-е  издание.,  доп.  М.:МЦНМО:  “ЧеРо”,  2000.  —  37  с.