Анализ зарубежной нормативной базы по идентификации и аутентификации
3
данного обзора наиболее интересна третья часть указанного стандар-
та, пересмотренного в 1997–1998 гг. Стандарт [4] посвящен аутенти-
фикации субъектов с использованием алгоритма с открытым ключом.
В стандарте определены пять различных протоколов для односто-
ронней и двусторонней аутентификации. В документе приводится
одно из первых определений понятия строгой аутентификации.
Стандарт был введен в действие 15 ноября 1993 г., заменен 15 октяб-
ря 1998 г. на [4].
В том же 1993 г. стандарт [5] «Аутентификация субъекта на ос-
нове криптографии с открытым ключом» был разработан NIST (аме-
риканским Национальным институтом стандартов и технологий), но
опубликован был четыре года спустя, 18 февраля 1997 г. Данный
стандарт определяет два протокола аутентификации субъектов в
компьютерной системе на основе запроса и отзыва — один для одно-
сторонней, другой для двусторонней аутентификации. Этот стандарт
рекомендуется применять во всех федеральных ведомствах, исполь-
зующих системы аутентификации на основе открытых ключей, для
защиты несекретной информации в компьютерных системах и циф-
ровых системах электросвязи, не подпадающих под действие секции
2315 раздела 10 или секции 3502(2) раздела 44 Кодекса США. Дан-
ный стандарт могут использовать и негосударственные организации.
Остановимся на некоторых положениях этого документа подробнее.
Аутентификация на основе криптографии с открытым ключом
может успешно использоваться во многих приложениях, в частности,
в случаях, когда стороны аутентификации не имеют предваритель-
ных сведений о существовании друг друга. Протоколы аутентифика-
ции, приведенные в настоящем стандарте, можно использовать сов-
местно с другими системами на основе открытого ключа, а также в
прикладном и встроенном программном обеспечении, в аппаратном
обеспечении и в любой их комбинации.
В стандарте определены два протокола аутентификации субъек-
тов, использующих алгоритмы криптографических преобразований с
открытым ключом для формирования и проверки электронной под-
писи. Один субъект может подтвердить другому субъекту свою под-
линность, подписав случайный запрос. Это обеспечивает строгость
аутентификации без необходимости иметь общий секрет. Если насто-
ящий стандарт внедряется в федеральных правительственных ком-
пьютерных системах, генерация и проверка электронных подписей
должны выполняться согласно требованиям FIPS (в частности, FIPS
PUB 186 «Стандарт цифровой подписи»).
Вместе с тем некоторые положения настоящего стандарта сфор-
мулированы не так строго, как аналогичные положения [4], что поз-
воляет разработчикам вводить оригинальные поля некоторых аутен-
