Правила парольной аутентификации заданы в подразделе 6.3 Стандарта. Вот они:
- КТ должен поддерживать три пароля -- PIN, CAN, PUK. Пароли используются в протоколе BPACE и являются общими для всех прикладных программ КТ. Пароли записываются на КТ при выпуске токена в обращение. Пароли PIN и PUK конфиденциально передаются владельцу, CAN передается в открытом виде.
- Пароль PIN (от Personal Identification Number) представляет собой случайное число из 6 десятичных цифр, известное только владельцу КТ. Используется для контроля доступа к данным и прикладным программам КТ. Может быть изменен владельцем в процессе эксплуатации КТ после ввода верного действующего PIN.
- PIN снабжается счетчиком попыток, который первоначально равен 3. При неверном вводе PIN счетчик уменьшается на 1. Если счетчик достигает значения 1, то PIN приостанавливается и далее требуется ввести CAN. Ввод CAN не изменяет счетчик. При верном CAN пароль PIN возобновляется --
его снова можно ввести. При неверном CAN доступ к КТ временно блокируется. Если счетчик попыток достигает значения 0, то блокируется PIN. При вводе верного PIN счетчик попыток возвращается к значению 3.
- PIN может быть разблокирован после ввода верного PUK. Однако если при заблокированном PIN пароль PUK вводится неверно 10 раз, то PIN блокируется навсегда. При успешной разблокировке PIN счетчик попыток возвращается к значению 3.
- PIN может быть деактивирован и повторно активирован с помощью специальных команд. Для деактивации требуется предъявить верный PIN или PUK, для активации -- верный PUK. Сразу после выпуска токена PIN активирован. При деактивации PIN доступ к операциям и данным, требующим аутентификации по PIN, запрещен. В том числе запрещена аутентификация по PIN, разблокировка PIN.
Деактивация и повторная активация PIN не изменяют ни статус его блокировки, ни счетчик попыток.
- Пароль CAN (от Card Access Number) представляет собой число из 6 десятичных цифр, которое не может быть вычислено на основании общей информации о КТ (например, серийном номере) или его владельце. Может быть напечатан на корпусе КТ или указан в сопроводительных документах.
- Пароль CAN не может быть заблокирован или изменен. Он используется для защиты от атак типа <<отказ в обслуживании>>. Защита состоит в требовании ввести CAN перед последней проверкой PIN. Дополнительно CAN может использоваться для получения доступа к функциям и данным прикладной программы eID авторизованным терминалом, т. е. терминалом, который был успешно аутентифицирован с помощью протокола BAUTH и в сертификате которого установлено соответствующее право.
- Пароль PUK (от PIN Unlock Key) представляет собой случайное число из 10 десятичных цифр, известное только владельцу КТ. PUK не может быть заблокирован или изменен. Используется для разблокировки PIN. Дополнительно может использоваться для деактивации и активации PIN.
- После ввода неверного CAN или PUK следует временно заблокировать КТ не менее чем на 1 с. Для контроля времени блокировки следует использовать аппаратный таймер либо организовать вычисления требуемой продолжительности.
- При передаче в команды КТ пароли PIN, CAN и PUK представляются строками октетов, в которых октет 0x30 кодирует цифру 0 пароля, октет 0x31 -- цифру 1, ..., октет 0x39 -- цифру 9.
Правила охватывают не все аспекты парольной аутентификации. Например неясен срок действия статуса аутентификации по тому или иному паролю (PIN, CAN или PUK):
а) до конца сеанса работы с КТ;
б) до первого из двух событий: окончание сеанса, успешная аутентификация по другому паролю;
в) до первого из трех событий: окончание сеанса, успешная аутентификация по другому паролю, ошибка аутентификации по текущему паролю.
Считая корректным вариант в), предлагается ввести следующие дополнительные правила:
-
Успешная аутентификация по одному из паролей PIN, CAN, PUK отменяет статус успешной аутентификации по другому паролю. Нельзя быть одновременно аутентифицированным по двум паролям.
-
После успешной аутентификация по одному из паролей PIN, CAN, PUK можно повторно аутентифицироваться по этому же паролю. В случае успеха статус успешной аутентификации по паролю будет сохранен, в случае ошибки -- потерян.
-
После успешной аутентификация по одному из паролей PIN, CAN, PUK можно аутентифицироваться по другому паролю. В случае успеха статус успешной аутентификации по первому паролю будет потерян, в случае ошибки -- сохранен.
-
Даже если PIN заблокирован навсегда, аутентификация по PUK (и тем более по CAN) остается возможной.
-
Статус успешной аутентификации по CAN должен действовать непосредственно в момент последней попытки ввода PIN. Иначе эта попытка отменяется.
Правила парольной аутентификации заданы в подразделе 6.3 Стандарта. Вот они:
Правила охватывают не все аспекты парольной аутентификации. Например неясен срок действия статуса аутентификации по тому или иному паролю (PIN, CAN или PUK):
а) до конца сеанса работы с КТ;
б) до первого из двух событий: окончание сеанса, успешная аутентификация по другому паролю;
в) до первого из трех событий: окончание сеанса, успешная аутентификация по другому паролю, ошибка аутентификации по текущему паролю.
Считая корректным вариант в), предлагается ввести следующие дополнительные правила:
Успешная аутентификация по одному из паролей PIN, CAN, PUK отменяет статус успешной аутентификации по другому паролю. Нельзя быть одновременно аутентифицированным по двум паролям.
После успешной аутентификация по одному из паролей PIN, CAN, PUK можно повторно аутентифицироваться по этому же паролю. В случае успеха статус успешной аутентификации по паролю будет сохранен, в случае ошибки -- потерян.
После успешной аутентификация по одному из паролей PIN, CAN, PUK можно аутентифицироваться по другому паролю. В случае успеха статус успешной аутентификации по первому паролю будет потерян, в случае ошибки -- сохранен.
Даже если PIN заблокирован навсегда, аутентификация по PUK (и тем более по CAN) остается возможной.
Статус успешной аутентификации по CAN должен действовать непосредственно в момент последней попытки ввода PIN. Иначе эта попытка отменяется.