Cистемы, предназначенные для удостоверения идентичности (Identity Management, IdM), можно разделить на две почти непересекающиеся области по тому, кто или что идентифицируется. Если субъектом идентификации являются сервисы в распределенных системах, то все сводится к решению связанных с этим технических проблем. Если же речь идет о человеке, то на первый план выходят проблемы соблюдения прав личности.
Минувшей весной по всем информационным каналам прошло сообщение о том, что Microsoft купила мало кому знакомую технологию U-Prove у еще менее известной компании Credentiса, а основатель и руководитель этой компании Стивен Брэндс и его несколько соратников перешли в корпорацию на работу. Любопытно, зачем распространяются такие новости, что и кому таким образом сообщается? Смею предположить, что ни у кого из числа тех, кто тиражировал эту новость, не могло возникнуть даже подозрения об истинных масштабах анонсируемого события, поскольку формально речь шла о крошечной компании, которая продавала даже не законченный продукт, а всего лишь инструментарий для разработки U-Prove SDK. Но, по сути, это событие заслуживает пристального внимания, оно интересно и с технологической, и с политической точки зрения, а главное, своими потенциальными последствиями. Как ни странно, но результаты этой сделки могут затронуть каждого из нас, а ее эффект может принять глобальные масштабы по той причине, что предметом сделки является технология, имеющая особое значение для создания такой системы удостоверения личности в сети, которая сможет совместить в себе технологическое обеспечение с соблюдением прав личности.
До сих пор никому не удавалось создать такого рода систему, не ущемляя при этом того, что называют privacy, то есть конфиденциальности по отношению к личных данным. Объединение собственных наработок Microsoft в области IdM c технологией U-Prove примечательно тем, что открывает возможность для создания системы удостоверения личности, согласующейся с законами Кима Кэмерона, в которых сформулированы требования к системе идентификации с позиций соблюдения privacy.
Почему это соответствие так существенно? Анонимность Сети чревата массой очевидных негативных последствий, но покончить с ней не так просто, не было необходимой технологии. Еще несколько лет назад из-за существовавших на тот момент технологических возможностей отношение к паспортизации в Сети было полярным, вендоры были «за», а сетевые правозащитники?— против. Они обвиняли компании и, прежде всего, Microsoft, в том, что предлагаемые средства контроля являются покушениями на права личности. Спасительный шанс, позволивший разрешить это противоречие, предоставила сама Сеть, заинтересованные лица из обоих лагерей образовали общую блогосферу, ставшую для них дискуссионной площадкой. В результате длительного обсуждения к 2005 году был достигнут консенсус, и общая точка зрения приняла форму законов Кэмерона. Достоинство этих законов в том, что они выражают консолидированный взгляд как вендоров, так и общественных организаций, отстаивающих суверенность прав личности.
Законы удостоверения личности Кима Кэмерона
Ким Кэмерон занимает должность главного архитектора Microsoft в вопросах IdM, но в то же время он — признанный глава неформального блог-сообщества, объединяющего специалистов в этой области со всего мира. Это обстоятельство позволило ему обобщить и сформулировать семь положений, названных им The Laws of Identity, то есть «законы удостоверения личности». Обычно их связывают с его именем, но как следует из того, что Кэмерон предпослал изложению, он выступил всего лишь в роли модератора дискуссии, в которой приняли участие десятки специалистов. Представленный им результат является их консолидированным мнением, а никак не мнением корпорации Microsoft.
Прежде чем кратко изложить законы Кэмерона, необходимо сделать несколько уточнений, прежде всего относительно контекста, в котором используется слово «закон». В данном случае закон понимается в естественнонаучном смысле, как закон природы, как сформулированная гипотеза о свойствах окружающего мира, — в данном случае цифрового мира, где действуют цифровые субъекты, представляющие реальных личностей. В «законах» своего имени Кэмерон подробно и доказательно объясняет то, почему Internet нуждается во введении контроля за действующими в нем персонажами, в чем состоят сложности организации такого рода контроля, вызванные необходимостью совместить безопасность с соблюдением прав личности.
Второе уточнение относится к термину claim, которое Кэмерон использует для идентификатора субъекта: из того, чем располагает русский язык, здесь лучше всего для перевода подходит слово «мандат», которое в словарях определяют как «документ, удостоверяющий права и полномочия данного лица». Кэмерон считает, что на основании законов когда-нибудь может быть создана система цифровых мандатов. Предполагается, что она примет форму унифицирующей метасистемы, которая позволит единичным мандатным системам удостоверений развиваться в стандартизованные технологии, работающие в рамках инфраструктуры метасистемы и не требующие глобального урегулирования. Предполагается также, что основная роль, которую призвана сыграть мандатная метасистема, состоит в обеспечении надежного способа установления полномочия сторон на всем пространстве WWW. Перечислим законы Кэмерона.
-
Контроль с согласия пользователя. Системы удостоверений должны раскрывать только ту порцию информации, которая отождествляет пользователя с мандатом и с которой он согласен.
-
Минимальное раскрытие для ограниченного использования. Преимущество следует отдавать решениям, раскрывающим наименьшее количество идентифицирующей информации и лучше всего ограничивающее ее использование.
-
Стороны, получающие доступ. Системы цифровых удостоверений должны быть разработаны таким образом, чтобы идентифицирующая информация предоставлялась только тем сторонам, которым принадлежит необходимое и допустимое место в системе.
-
Распространение мандатов. Универсальная система мандатов должна поддерживать как широкое, ненаправленное распространение мандатов, так и адресное, однонаправленное.
-
Плюрализм по отношению к операторам и технологиям. Универсальная мандатная метасистема должна обеспечивать взаимодействие между множеством технологий, поддерживающих работу с мандатами, и множеством операторов, выдающих и удостоверяющих мандаты.
-
Вовлеченность пользователя. Универсальная метасистема удостоверений должна поддерживать работу человека-пользователя как компонента распределенной системы.
-
Единообразие работы в разных контекстах. Унифицирующая мандатная метасистема удостоверений должна гарантировать простоту и единообразие работы в различных условиях.
Создаваемая система удостоверения личности заменит собой традиционные концепции аутентификации и авторизации. Переход на новую модель произойдет через несколько лет, она будет основана на протоколах WS-Federation, WS-Trust и Security Assertion Markup Language (SAML). Новая модель строится с участием трех сторон: Issuer («эмитент»), сторона, выдающая мандат; User («пользователь»), предъявляющий мандат; Verifier («проверяющий»), сторона, принимающая и удостоверяющая полномочия пользователя.
Эта модель принципиально отличается от двух известных ей альтернатив. Первая реализуется большинством государственных организаций, любимое дитя спецслужб: централизованная база данных, в которой каждому субъекту присвоен уникальный идентификационный номер. Вторая — локальные хранилища, расположенные в разных организациях; между этими базами можно установить канал связи, используя паспортные данные субъекта. В третьем случае данные хранятся в электронном документе пользователя, представляющем своего рода мини-базу данных, она удостоверена эмитентом, но пользователь управляет ею сам, именно он решает, кому и что он позволяет знать о себе, поэтому такой подход называют «пользовательско-центричным».
Credentica и права личности
Третья модель была реализована в продукте U-Prove (имеюстя еще решения DAA и Idemix— инструментарий), теоретические основы которого были разработаны Стивеном Брэндсом, известным специалистом в области криптографии. До поглощения компании Credentica корпорацией Microsoft в феврале 2008 года он являлся руководителем Credentica. Брэндс — автор опубликованной в 2000 году издательством Массачусетского технологического института книги Rethinking Public Key Infrastructures and Digital Certificates; Building in Privacy, из названия которой следует, что в ней он «переосмысливает инфраструктуру криптографии с открытыми ключами и рассматривает в этом контексте права личности». Книга в полном объеме выложена на сайте Credentica. Помимо академических достижений Брэндс имеет опыт работы в компаниях DigiCash (основанная в 1990 году голландская компания, занимающаяся разработкой платежных систем) и Radialpoint (прежде известная как Zero-Knowledge Systems канадская компания, специализирующаяся на обеспечении прав личности в Сети).
В одном из интервью он утверждает, что его интересуют проблемы современной криптографии, в частности, вычисления, связанные с многосторонней криптографией (multi-party secure computation), а также с решением проблем аутентификации в распределенных средах. Основная задача, решаемая в этой области, заключается в создании безопасных многосторонних протоколов (multi-party secure protocols), обеспечивающих выполнение нескольких функций. Первая?— возможность для каждой из сторон предоставить другой стороне обмена ограниченную информацию, сохранив остальные сведения в секрете от нее. Вторая — защита от обычных угроз и вторжений.
Родоначальником многосторонней криптографии считают другого голландского криптографа Дэвида Чаума, учителя и старшего коллегу Брэндса по DigiCash. В 1992 году он опубликовал основополагающую статью Achieving Electronic Privacy в журнале Scientific American. Классическим примером, демонстрирующим идею многосторонней криптографии, является так называемая «задача о миллиардерах» (Millionaire’s Problem). Ее формулировка напоминает дилемму заключенного из теории игр. Звучит она так: есть два миллиардера, они хотят выяснить, кто из них богаче, но при этом они хотят скрыть друг от друга истинную величину собственного капитала и, разумеется, они скрывают сведения о накоплениях от всех остальных.
Исследования в этой области привели Брэндса к созданию продукта U-Prove своим названием, которое можно перевести, как «сам будь ответственен». До покупки технологии Microsoft он распространялся как инструментальный набор.
В отличие от известных решений, в том числе действующей сейчас системы Microsoft CardSpace, технология U-Prove дает пользователю возможность раскрывать только ту информацию, которую он считает достаточной. Именно поэтому Брэндс назвал свой подход к управлению идентификацией «пользовательско-центричным»(user-centric identity management). Этот подход является великолепной альтернативой тому, который исповедуют государственные чиновники и частные компании, создающие гигантские базы данных, продающиеся потом на любом углу. А в технологии U-Prove есть условия для того, чтобы человек сам отвечал за свои персональные данные.
***
То обстоятельство, что Microsoft приобрела демократизирующую технологию, вызывает у некоторых комментаторов худшие подозрения, теперь корпорация может скрыть U-Prove в своих корпоративных архивах. В своих совместных выступлениях Брэндс и Кэмерон опровергают подобные подозрения, они утверждают, что в середине 2009 года будет выпущена новая платформа IdM, с открытым программным интерфейсом. Более того, заявляют, что эта платформа будет выпущена на условиях Open Specification Promise, ограничивающих патентные претензии Microsoft и позволяющие использовать технологии при работе под управлением не только Windows, но и других операционных систем.