ГОСТ Р 52633.0-2006 Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации (Издание с Поправкой)

     7 Требования к средствам высоконадежной биометрической аутентификации, принимающим решение путем анализа нескольких разнородных биометрических образов

7.1 Одним из эффективных путей усиления уровня защищенности биометрических средств аутентификации и ограничения доступа является использование совокупности разных биометрических механизмов. При этом разные биометрические механизмы имеют разный уровень стойкости к атакам подбора, и соответственно используемые механизмы их объединения должны исключать возможность обхода мультибиометрической защиты через наиболее слабый механизм. Возможны два способа решения задачи и их комбинации.

7.2 Безопасное объединение двух и более биометрических механизмов может быть осуществлено по выходам нескольких преобразователей биометрии в ключ. Рекомендуется осуществлять объединение путем формирования общего (составного) ключа, каждый из фрагментов которого формируется своим преобразователем "биометрия-код". Взаимная балансировка различных биометрических механизмов осуществляется выбором длины ключевого фрагмента для каждого механизма пропорционально его стойкости к атакам подбора. Рекомендации по выбору сбалансированных длин ключей приведены в таблицах А.1-А.3 (приложение А).

7.3 Безопасное объединение двух и более биометрических механизмов допустимо осуществлять по входам одного общего преобразователя биометрии в код. По этому способу вектора биометрических параметров разных биометрических механизмов объединяются в один длинный вектор, который и подается на входы единственного преобразователя "биометрия-код".

7.4 Допускается использование комбинаций объединения биометрических механизмов по входам и выходам преобразователей.

7.5 При формировании биометрического ключа с длиной, существенно превышающей необходимую длину криптографического ключа аутентификации (например, при объединении разнородных биометрических механизмов), рекомендуется осуществлять сокращение длины биометрического ключа до требуемого размера через вычисление хэш-функции по ГОСТ 34.311 и использование части хэшированной информации.

7.6 Недопустимо снабжать средства высоконадежной биометрической аутентификации однозначными показателями (индикаторами) правильности формирования фрагментов ключа. Допустимо однозначно отображать только появление всего составного верного ключа. Допустимо использование только неоднозначных косвенных индикаторов контроля фрагментов составного ключа.