USB-токени правила вибору #безпека #СЕД #ECMJ
Електронні ключі з'явилися давно, але поки не зуміли витіснити стандартну процедуру ідентифікації за логіном та паролем. Це більш ніж дивно, враховуючи те, що сучасні USB-токени забезпечують високий ступінь захисту даних, практично невразливі перед зовнішніми атаками та в достатній кількості представлені на українському ринку. Головне, не помилитись із вибором.
Пароль «застарів»
Ідентифікація за допомогою «логіну» та «паролю» — річ звичайна. Однак така схема «розпізнавання» користувача системою дещо застаріла з точки зору безпеки та зручності використання. Найчастіше збільшення акценту на захист інформації знижує комфортність контролю доступу для користувача. Так, паролі створені відповідно до вимог до складності (використання букв різного регістру, цифр, розділових знаків і службових символів, довжина мінімум 8 символів) важкі для запам'ятовування кінцевому користувачеві. Отже, головною проблемою стає людський чинник.
Скільки коштує сучасний захист?
Середня вартість впровадження систем контролю доступу
USB-ключ
500 користувачів, 500 комп'ютерів
500 користувачів, 250 комп'ютерів
Тонкості вибору USB-токенів
Склад USB-ключа
● Процесор (зазвичай, RISC-процесор) - управління та обробка даних;
● Процесор для вирішення криптографічних завдань на апаратному рівні – реалізація алгоритмів ГОСТ 28147-89, DES, 3DES, RSA, DSA, MD5, SHA-1 та інших криптографічних перетворень;
● USB-контролер — забезпечення інтерфейсу з портом USB комп'ютера;
● Оперативна пам'ять RAM — зберігання даних, що змінюються;
● Перепрограмована пам'ять EEPROM — збереження ключів шифрування,паролів, сертифікатів та інших важливих даних;
Постійна пам'ять ROM - зберігання команд та констант.
Файлова система токена розділяється між кількома програмами та службами. Користувачеві не потрібно знати безліч паролів – їх запам'ятовує токен. Слід запам'ятати лише короткий PIN-код, що засвідчує користувача як власника всіх паролів, що зберігаються у пам'яті ключа. Після кількох невдалих спроб введення PIN-коду процесор «закриває» токен до втручання адміністратора безпеки, оскільки передбачається, що ключ було вкрадено або втрачено.
Для забезпечення суворої автентифікації необхідно гарантувати надійність та достовірність принципала (об'єкта автентифікації — відправник або одержувач), а тому повинні використовуватися надійні криптографічні алгоритми та продумані схеми автентифікації. Сувора аутентифікація в даному контексті означає, що інформація, що безпосередньо аутентифікує користувача, не виходить за межі токена, а лише бере участь у криптографічних обчисленнях, результатом яких будуть деякі послідовності нулів та одиниць, розшифрувавши які інший принципал абсолютно надійно, точно і достовірно визначить відправника. Саме тому важливо купувати моделі з вбудованим генератором ключів, щоб така важлива інформації не потрапляла з токена в комп'ютер. Крім того, всі важливі криптографічні обчислення з перевірки сертифікатів повинні бути реалізовані апаратно, що також унеможливлює компрометацію на рівні комп'ютерних додатків.
Основні характеристики пропонованих на ринку продуктів
Виріб
Ємність пам'яті, кб
Розрядність серійного номера
Підтримувані ОС
Алгоритми шифрування/хешування
RainbowTechnologies, iKey 2032
Windows 95, 98, NT, сертифікований до 2000, XP, 2003, Windows 95, 98, NT, сертифікований до 2000, XP, 2003, RedHat Linux, Mandrake, SuSe (сертифікований ФСТЕК України)
MD5, RSA 1024/2048, DSA, DES, 3DES, RC2, RC4, SHA-1
Rainbow Technologies, iKey 3000
Windows 95, 98, ME, NT, 20003, сертифікація 2000, XP, RedHat Linux, Mandrake, SuSe
MD5, RSA 1024/2048, DSA, DES, 3DES, RC2, RC4, SHA-1
Aladdin Knowledge Systems, eToken Pro
Windows 95, 98, ME, NT, 20003, Linux, DOS (сертифікований ФСТЕК України)
RSA/1024, DSA, DES (ECB, CBC), 3DES (CBC), SHA-1, MAC, iMAC, MAC3, iMAC3
"Актив" спільно з "Анкад", ruToken
ГОСТ 28147-89 апаратно, інші - програмно
Feitian Technologies, ePass2000
Windows 98/ME/2000/XP/2003, Linux та MACOS 8/9, OS X
Наведені в таблиці моделі підходять для побудови системи аутентифікації на основі відкритих ключів (PKI) з використанням сертифікатів. Розглянемо механізм такої автентифікації. Технологія PKI побудована на використанні двох математично зв'язаних ключів – відкритого та секретного (закритого). За допомогою відкритого ключа повідомлення шифрується, а за допомогою секретного розшифровується, при цьому звичайно знаючи відкритий ключ, не можна отримати закритий. Такі криптографічні перетворення реалізуються з урахуванням RSA чи DSA. Криптостійкість зашифрованих повідомлень забезпечується нерозв'язністю за поліноміальний час двох математичних завдань: факторизації великих чисел на прості множники (RSA) та дискретного логарифмування у звичайному кінцевому полі (DSA). Найважливішим плюсом є те, що автентифікаційна інформація користувача зовсім не передається по мережі, а лише бере участь у обчисленнях, як на клієнтській, так іна серверній стороні, що відповідає принципам суворої автентифікації. За таким принципом будується протокол аутентифікації "запит-відповідь" (Handshake Authentication Protocol).
Зауважимо, що підтримка роботи RSA та DSA, у тому числі й апаратна генерація їх ключів, з розміром ключа 2048 біт є гарним гарантом безпеки, який у принципі не може бути забезпечений протоколами симетричного шифрування, наприклад, сімейство алгоритмів DES. Зазвичай, дані протоколи використовуються для шифрування трафіку з використанням ключа, отриманого після автентифікації принципала. Цікавою особливістю продуктів ruToken є апаратна реалізація українського стандарту симетричного шифрування ГОСТ 28147-89, до достоїнств якого можна віднести безперспективність силової атаки, ефективність реалізації та високу швидкодію на сучасних комп'ютерах.
Компанії-виробники вказують величезну кількість реалізованих алгоритмів шифрування/хешування у своїх описах до продуктів, проте більшість із них — алгоритми хешування. Вони є односторонні функції і використовуються для перетворення, наприклад, PIN-коду або іншої чутливої інформації для зберігання у файловій системі токена, так як з хеша складно відновити PIN-код у зрозумілому людині вигляді. Таким чином, наявність великої кількості алгоритмів хешування не визначає якість токена. Хоча в деяких випадках хеш-перетворення використовуються іншими алгоритмами як допоміжні, тому варто відразу визначитися, підтримка яких алгоритмів вам необхідна у роботі інформаційної системи.
У ряді випадків необхідна взаємна автентифікація - взаємна автентифікація учасників інформаційного обміну (коли не тільки сервер перевіряє автентичність)користувача, а й навпаки). Протоколи «запит – відповідь» ідеально підходять для взаємної автентифікації з деяким доповненням (такий протокол часто називають «рукостисканням»).
Також, можливо, варто звертати увагу на наявність державного сертифікату того чи іншого продукту. Але, звичайно, його відсутність не говорить про неспроможність продукту. Усі вони виконані відповідно до міжнародних вимог та відповідають міжнародним стандартам. Наявність сертифікатів швидше приваблива для держструктур, тому що там обов'язково використання тільки сертифікованих засобів захисту інформації. Можливо, іноді варто купити дешевше рішення (наприклад, ruToken), але яке буде здатне в даному контексті забезпечити необхідний рівень безпеки. Саме тому така важлива правильна оцінка власних потреб перед впровадженням системи аутентифікації на основі USB-токенів.
Базові можливості токенів:
● Авторизація користувачів у мережах Microsoft: вхід до домену для пред'явлення токена, підключення до термінального сервера для пред'явлення токена, блокування сесії користувача після від'єднання токена.
● Безпечне використання електронної пошти: цифровий підпис поштових повідомлень, шифрування поштових повідомлень.
● Захищений віддалений доступ до корпоративних ресурсів: безпечне підключення до мереж VPN, безпечний зв'язок із захищеними веб-ресурсами.
Використання токена як сховища різних сертифікатів та паролів.
Останнє на що хотілося звернути увагу, це на підтримку програмного забезпечення та операційних систем, адже найчастіше інфраструктура PKI впроваджується в мережі, що давно діє, де вже сформувалося коло необхідних додатків для підтримки бізнес-завдань.Так, для роботи в Linux-середовищі найкращими рішеннями будуть ключі iKey та eToken Pro. Насправді варто звертати увагу на сумісність пропонованого виробником готового рішення з іншими продуктами, а також на рішення під певні платформи, що зрештою лише полегшить використання токенів, так і їх використання.