Домены. Все, что нужно знать о ключевом элементе Интернета | страница 47
Часто путают идентификацию и аутентификацию. Отличие этих двух понятий из области технологий обеспечения безопасности можно объяснить на простом занимательном примере. Идентификация – это когда мужской голос в телефоне в ответ на ваш вопрос «А хто ето?» представляется Петром Ивановичем Булкиным, старшим сантехником по подъезду; аутентификация – это когда уже назвавшийся Булкиным мужской голос может еще и правильно назвать девичью фамилию консьержки, а также другие пароли, известные только настоящему Петру Ивановичу, в результате вы более или менее уверены, что разговариваете действительно с сантехником Булкиным. Ну просто голос у него претерпел аберрацию.
Идея «паспортизации», по логике ее возникновения, по выдвигавшимся аргументам – направлена на избавление от подобных «левых» регистраций. Строго говоря, изначально речь должна была вестись не о самом паспорте, а о построении системы аутентификации администраторов доменов. Тем не менее, как только тема обрела нужную популярность в СМИ, многие услышали про «домены по паспорту» и тут же кинулись рассуждать о каких-то «сканах» паспортов, присылаемых «по e-mail, по факсу». Хотя специалисту было понятно, что такой вариант – неверный, наихудший.
С точки зрения построения системы аутентификации администраторов ситуация с пересылкой «сканов» ничем не отличается от сложившейся до введения новых требований. Просто, вместо того чтобы вводить фиктивные данные в веб-форму, требуется эти же данные вывести в файл изображения (например, в формате JPEG), сгенерировав полный «скан» паспорта. То есть изменяется только способ «кодирования» данных, а система проверки данных остается той же самой.
При этом добропорядочные клиенты и так указывают в веб-форме договора настоящие данные. А злоумышленники смогут легко сгенерировать нужный «скан» с помощью графического редактора или специальной программы. Обрабатывающие документы сотрудники регистратора не являются экспертами по анализу цифровых изображений и вряд ли смогут выявить подделку. Тем более что накладки случаются и в случае с бумажными подделками, которые всегда встречались в доменном документообороте. В общем, новую схему аутентификации нельзя построить лишь на пересылке каких-то там «сканов» – в таком случае изменяется только механизм, а схема остается старая, действующая, без аутентификации.
Добротная реализация могла бы быть такой: в цепочке обработки персональных данных администраторов вводится новое обязательное звено, которое проверяет соответствие персональных данных предъявившему их лицу. Собственно, это и есть аутентификация. Звено появляется в самом начале цепочки, ближе к клиенту.
