Россия
Россия
Процессы идентификации, аутентификации и авторизации можно осуществлять по-разному. Особенное внимание приковано к процессам, реализованным в парадигме суверенной идентичности. Работа исследует эти процессы на предмет угрозы утечек данных. Производится сравнение со схемой, использующей централизованный провайдер идентичности. Дан обзор соответствующих схем реализации процессов: в суверенной и несуверенной парадигме. Выявлено, что с точки зрения угроз утечки данных схема суверенной идентичности даёт большую безопасность только при использовании технологий доказательства с нулевым разглашением.
аутентификация, авторизация, цифровые удостоверения, доказательства с нулевым разглашением, удостоверения с нулевым разглашением
1. Отчет об исследовании утечек информации ограниченного доступа в I половине 2022 г. // INFOWATCH: разработчик решений для обеспечения информационной безопасности. URL: https://www.infowatch.ru/sites/default/files/analytics/files/otchyot-ob-utechkakh-dannykh-za-1-polugodie-2022-goda_1.pdf (дата обращения: 05.02.24).
2. Утечки информации ограниченного доступа в мире и в России, первое полугодие 2023 г. // INFOWATCH: разработчик решений для обеспечения информационной безопасности. URL: https://www.infowatch.ru/sites/default/files/analytics/files/utechki-informatsii-ogranichennogo-dostupa-v-mire-i-rossii-za-pervoe-polugodie-2023-goda.pdf (дата обращения: 05.02.24).
3. Гайсина А.Р., Филатова Т.А. Особенности утечек информации ограниченного доступа в Российской Федерации // Национальная безопасность и стратегическое планирование. 2024. № 1 (45). С. 46–59. DOI:https://doi.org/10.37468/2307-1400-2024-1-46-59. EDN MQEZZF.
4. Варзин С.А., Матвеев В.В. Обеспечение информационной безопасности в системе здравоохранения // Национальная безопасность и стратегическое планирование. 2023. № 3 (43). С. 19–56. DOI:https://doi.org/10.37468/2307-1400-2024-2023-3-19-56. EDN ONKEFE.
5. Денис @denis-19. В свободном доступе выложили архив сервиса «Яндекс.Еда» с данными заказов клиентов, «Яндекс» ранее подтвердил утечку // Хабр. 2022. 2 марта. URL: https://habr.com/ru/news/654039/ (дата обращения: 05.02.2024).
6. О персональных данных: Федер. закон от 27 июля 2006 г. № 152-ФЗ. URL: https://www.consultant.ru/document/cons_doc_LAW_61801/ (дата обращения: 31.07.2024).
7. Шугаев В.А., Алексеенко С.П. Классификация инсайдерских угроз информации // Вестник Воронежского института МВД России. 2020. № 2. С. 143–153.
8. Palmer M. Data is the New Oil. 2006. 3 нояб. URL: https://ana.blogs.com/maestros/2006/11/data_is_the_new.html (дата обращения: 31.07.2024).
9. Buterin V. Control as Liability. 2019. 9 мая. URL: https://vitalik.eth.limo/general/2019/05/09/control_as_liability.html (дата обращения: 31.07.2024).
10. Goldreich O., Oren Y. Definitions and properties of zero-knowledge proof systems // Journal of Cryptology. 1994. Vol. 7. № 1. P. 1–32.
11. Кузьмин А.М., Свичкарь Д.А., Хенкин П.В. Мошенничество с использованием синтетических цифровых личностей // Современные информационные технологии и ИТ-образование. 2023. Т. 19. № 2. С. 251–261.
12. Кондаков А.М., Костылева А.А. Цифровая идентичность, цифровая самоидентификация, цифровой профиль: постановка проблемы // Вестник Российского университета дружбы народов. Сер.: Информатизация образования. 2019. Т. 16. № 3. С. 207–218. DOI:https://doi.org/10.22363/2312-8631-2019-16-3-207-218
13. Preukschat A., Reed D. Self-Sovereign Identity: Decentralized digital identity and verifiable credential. Maning, 2021. 504 p.
14. OpenID Connect Core 1.0. Спецификация. URL: https://openid.net/specs/openid-connect-core-1_0.html (дата обращения: 31.07.2024).
15. SAML 2.0 Core. Спецификация. URL: https://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf (дата обращения: 31.07.2024).
16. Decentralized Identifiers (DIDs) v1.0 // The World Web Wibe Consortium (W3C). URL: https://www.w3.org/TR/did-core (data obrashcheniay: 05.02.24).
17. Verifiable credentials Data Model v2.0 // The World Web Wibe Consortium (W3C). URL: https://www.w3.org/TR/vc-data-model-2.0 (дата обращения: 05.02.24)
18. Selective disclosure of claims from multiple digital credentials / Š.B. Ramić [et al.] // University of Sarajevo Faculty of Electrical Engineering Sarajevo Bosnia and Herzegovina, 2024. 13 p.
19. The BBS Signature Scheme // Identity Foundation DIF. URL: https://identity.foundation/bbs-signature/draft-irtf-cfrg-bbs-signatures.html. (дата обращения: 02.05.24).
20. Selective Disclosure for JWTs (SD-JWT) // IETF Datatracker. URL: https://datatracker.ietf.org/doc/html/draft-ietf-oauth-selective-disclosure-jwt (дата обращения: 02.05.2024).
21. Парьев С.Е., Правиков Д.И., Карантаев В.Г. Особенности применения риск-ориентированного подхода для обеспечения кибербезопасности промышленных объектов // Безопасность информационных технологий. 2020. Т. 27. № 4. С. 37–52. ISSN 2074-7136.
22. Верещагин Н.К., Щепин Е.В. Информация, кодирование и предсказание. М.: ФМОП, МЦНМО, 2012. 236 с.
23. Ziller A., Mueller T.T., Braren R., Rueckert D., Kaissis G. Privacy: An Axiomatic Approach // Entropy. 2022. Т. 24. № 5. Ст. 714. ISSN 1099-4300. DOI:https://doi.org/10.3390/e24050714.
24. Рост численности государств – членов ООН // Организация Объединенных Наций. URL: https://www.un.org/ru/about-us/growth-in-un-membership (дата обращения: 31.07.2024).
