Software vyžadovaný domácím uživatelem

Domácí uživatel bude především vyžadovat snadný přístup do samotného počítače. Předpokládejme, že na počítači pracuje více osob, a tedy je nutné, aby se po startu spustil nějaký session manager (např. xdm) a ten by se měl postarat o identifikaci a autorizaci. Usnadnění bude v tom, že místo vypisování username a hesla uživatel jen přejede snímač otisku prstu a hned se začne startovat uživatelův defaultní window manager.

Další nepochybně vyžadovanou aplikací v tomto prostředí bude integrace do webového prohlížeče. Nejrozšířenějším prohlížečem dostupným pro unixy je u nás bezesporu Firefox a tak se zaměřím na integraci do tohoto prohlížeče.

Oproti následující případové studii se předpokládají jen velmi omezené nároky na bezpečnost. V zásadě bude stačit, když jeden obyčejný uživatel nebude moci manipulovat s přihlašovacími údaji ostatních uživatelů.

Doporučený hardware pro domácího uživatele

Co se HW týče, půjde zde především o cenu. V současné době je dostupný driver pouze pro zařízení firmy UPEK, které jsou dostupné buď jako samostatné USB zařízení zhruba za $70 až $80 (cca 2000 Kč) nebo jako vestavěná součást notebooků IBM/Lenovo ThinkPad. Dále se dá od IBM sehnat klávesnice s vestavěným fingerprint readerem za $95 až $120 (cca 2800Kč).

Ve vývoji je opensource driver pro zařízení APC BioPOD, které je dostupné bez problémů i na našem trhu zhruba za 1300 Kč s DPH.

Software vyžadovaný firmou administrující sítě na zakázku

Tento případ je podstatně náročnější. Předně se zde počítá s vyšší bezpečnostní, tedy je nezbytně nutné se vyhnout jakýmkoli případům, kdy by heslo bylo v nějaké podobě na disku uloženo v plain textu. Také je možné uvažovat například o dvou nebo tří faktorové autentizaci. To znamená, že se nebude testovat pouze biometrie, ale zároveň bude vyžadována autentizace pomocí něčeho, co uživatel vlastní (např. smart karta s certifikátem) nebo něčeho, co zná (heslo).

Aplikace bude taková firma vyžadovat samozřejmě stejné, ale navíc bude nutné implementovat podporu do screensaveru (zamknutí počítače ve chvíli, kdy se zvedá administrátor od rozdělané práce, je nutností), vyřešit problém autentizace ke strojům spravovaným vzdáleně (tedy v unixovém světě v drtivé většině pomocí ssh), podepisování a šifrování emailů (administrátor často musí poslat zákazníkovy údaje, u kterých je z bezpečnostních důvodů nutná autorizace - např. IP adresy, fingerptinty ssh klíčů atd.).

Dále bude taková firma zřejmě vyžadovat také fyzickou bezpečnost prostor například omezení přístupu do spravovaných serveroven, nebo do samotných kanceláří firmy.

Doporučený hardware pro firmu administrující sítě na zakázku

Zde bych jednoznačně doporučil pořízení notebooků firmy IBM/Lenovo s vestavěnými skenery značky UPEK. Tyto notebooky mají navíc ještě jednu důležitou vlastnost a to je vestavěný TCPA chip, který bude důležitý pro řešení některých problémů v následující kapitole.

Pro rozsáhlejší organizaci by bylo možné ještě uvažovat o technologii firmy ImageWare Systems IWS Biometric Engine, která byla jen před pár týdny portována na Linux a Solaris. Jedná se ale o hi-end řešení nasazované jen na zakázku. Bohužel se mi ani po několikerém kontaktování této firmy nepodařilo zjistit cenu za určité řešení, ale lze předpokládat, že náklady by bylo neúnosně vysoké.

Systémů pro fyzické zabezpečení pracujících s biometrií je celá řada. Bohužel se jedná jen o stand alone systémy, které nejsou spravovatelné nijak centrálně. Pokud by to ale stačilo, doporučoval bych nějaký dvoufaktorový systém, tedy například Fingerprint Door Lock By CVE za $639, tedy v přepočtu asi za 17000 Kč. Podobné systémy lze pořídit i přímo v ČR například na bezklicu.cz ovšem nenabízejí takové možnosti zabezpečení jako výše zmíněný a stojí ještě o něco více (18800 až 30000 Kč).

Pokud bychom ale měli zájem o centrálně řízenou síť skenerů ovládanou pomocí serveru s linuxem, nezbude nám v současné chvíli jiná možnost než zakoupení USB čteček IBM a vybudování vlastního řešení.