USB токени: правила за избор

Електронните ключове са се появили отдавна, но все още не са успели да заменят стандартната процедура за идентификация с вход и парола. Това е повече от странно, като се има предвид, че съвременните USB токени осигуряват висока степен на защита на данните, практически са неуязвими за външни атаки и са представени в достатъчно количество на руския пазар. Основното нещо е да не се бъркате с избора.

Паролата изтече

Идентифицирането с помощта на „вход“ и „парола“ е често срещано нещо. Тази схема на „разпознаване“ на потребителя от системата обаче е донякъде остаряла по отношение на сигурността и използваемостта. Често повишеният акцент върху защитата на информацията намалява комфорта на контрола на достъпа за потребителя. Така че паролите, създадени в съответствие с изискванията за сложност (като се използват букви от различни букви, цифри, препинателни знаци и символи на услугата, дължината е най-малко 8 знака), е трудно да се запомни от крайния потребител. Така човешкият фактор се превръща в основен проблем.

Колко струва съвременната защита?

Средна цена на внедряване на системи за контрол на достъпа

USB ключ

500 потребители, 500 компютъра

500 потребители, 250 компютъра

Тънкости при избора на USB токени

Състав на USB ключ

● Процесор (обикновено RISC процесор) - контрол и обработка на данни;

● Процесор за решаване на криптографски проблеми на хардуерно ниво - внедряване на алгоритми GOST 28147-89, DES, 3DES, RSA, DSA, MD5, SHA-1 и други криптографски трансформации;

● USB контролер - осигуряване на интерфейс с USB порт на компютъра;

● RAM памет - съхранение на променливи данни;

● Препрограмируем EEPROM - съхранение на ключове за шифроване, пароли, сертификати и други важни данни;

ROM с постоянна памет - съхраняване на команди и константи.

Файловата система на маркерите се споделя между множество приложения и услуги. Потребителят не трябва да знае много пароли - токенът ги запомня. Трябва само да запомните кратък ПИН-код, който удостоверява потребителя като собственик на всички пароли, съхранявани в паметта на ключовете. След няколко неуспешни опита за въвеждане на ПИН, процесорът „заключва“ маркера, докато се намеси администраторът на защитата, тъй като се предполага, че ключът е откраднат или изгубен.

За да се осигури силна автентификация, е необходимо да се гарантира надеждността и автентичността на принципала (обекта за удостоверяване - подателят или получателят) и следователно трябва да се използват силни криптографски алгоритми и обмислени схеми за удостоверяване. Силното удостоверяване в този контекст означава, че информацията, която директно удостоверява потребителя, не надхвърля маркера, а само участва в криптографски изчисления, резултатът от които ще бъдат някои последователности от нули и единици, декриптиране на които друг принципал ще абсолютно надеждно, точно и надеждно идентифицира подателя. Ето защо е важно да купувате модели с вграден генератор на ключове, така че такава важна информация да не попада от маркера в компютъра. Освен това всички важни криптографски изчисления за проверка на сертификати трябва да бъдат внедрени в хардуер, което също изключва възможността за компромис на ниво компютърни приложения.

Основни характеристики на продуктите, предлагани на пазара

Продукт

Капацитет на паметта, kb

Ширина на серийния номер

Поддържана ОС

Алгоритми за криптиране/хеширане

Rainbow Technologies, iKey 2032

Windows 95, 98, NT, сертифициран до 2000, XP, 2003, Windows 95, 98, NT, сертифициран до 2000, XP, 2003, RedHat Linux, Mandrake, SuSe (сертифициран от FSTEC на Русия)

MD5, RSA 1024/2048, DSA, DES, 3DES, RC2, RC4, SHA-1

Rainbow Technologies, iKey 3000

Windows 95, 98, ME, NT, 20003, сертифициран 2000, XP, RedHat Linux, Mandrake, SuSe

MD5, RSA 1024/2048, DSA, DES, 3DES, RC2, RC4, SHA-1

Aladdin Knowledge Systems, eToken Pro

Windows 95, 98, ME, NT, 20003, Linux, DOS (сертифициран от FSTEC на Русия)

RSA/1024, DSA, DES (ECB, CBC), 3DES (CBC), SHA-1, MAC, iMAC, MAC3, iMAC3

"Aktiv" заедно с "Ankad", ruToken

ГОСТ 28147-89 хардуер, други - софтуер

Feitian Technologies, ePass2000

Windows 98/ME/2000/XP/2003, Linux и MACOS 8/9, OS X

Моделите, изброени в таблицата, са подходящи за изграждане на система за удостоверяване с публичен ключ (PKI), използваща сертификати. Нека разгледаме механизма на такова удостоверяване. PKI технологията се основава на използването на два математически свързани ключа - публичен и таен (частен). Съобщението се криптира с публичния ключ и се дешифрира с тайния, докато, разбира се, познавайки публичния ключ, не можете да получите частния. Такива криптографски трансформации се изпълняват с помощта на RSA или DSA. Криптографската стабилност на криптирани съобщения се осигурява от неразрешимостта в полиномиално време на два математически проблема: разлагане на големи числа на прости множители (RSA) и дискретен логаритъм в просто крайно поле (DSA). Най-важният плюс е, че информацията за удостоверяване на потребителя изобщо не се предава по мрежата, а само участва в изчисления, както от страна на клиента, така и от страна на сървъра, което съответства на принципите на силното удостоверяване. Протоколът за удостоверяване на ръкостискането се основава на този принцип.

Обърнете внимание, че поддръжката на RSA и DSA, включително хардуерно генериране на техните ключове, с размер на ключа 2048 бита е добър гарант за сигурност, който по принцип не може да бъде осигурен от симетрични протоколи за криптиране - например DES алгоритми от семейството . Обикновено тези протоколи се използват за криптиране на трафика с помощта на ключ, получен след удостоверяването на принципала. Интересна особеност на продуктите ruToken е хардуерното внедряване на руския стандарт за симетрично криптиране GOST 28147-89, предимствата на който включват безполезността на силовата атака, ефективността на изпълнението и високата производителност на съвременните компютри.

Производителите посочват огромен брой внедрени алгоритми за криптиране/хеширане в описанията на своите продукти, но повечето от тях са алгоритми за хеширане. Те са еднопосочни функции и се използват за конвертиране, например, на ПИН или друга чувствителна информация, която да се съхранява във файловата система на токен, тъй като е трудно да се възстанови четлив от човека ПИН от хеш. По този начин наличието на голям брой алгоритми за хеширане не определя "качеството" на маркера. Въпреки че в някои случаи трансформациите на хеш се използват от други алгоритми като спомагателни, така че трябва незабавно да решите кои алгоритми трябва да поддържате в работата на информационната система.

В някои случаи е необходимо взаимно удостоверяване - взаимна проверка на автентичността на участниците в обмена на информация (когато не само сървърът проверява самоличността на потребителя, но и обратно). Протоколите за отговор на предизвикателства са идеални за взаимно удостоверяване с някои допълнения (често наричани ръкостискане).

Също така може да си струва да се обърне внимание на наличието на държавен сертификат за определен продукт. Но, разбира се, липсата му не означава, че продуктът е в несъстоятелност. Всички те са изработени в съответствие с международните изисквания и отговарят на международните стандарти. Наличието на сертификати е доста привлекателно за държавните агенции, тъй като е задължително да се използват само сертифицирани инструменти за информационна сигурност. Понякога може да си струва да закупите по-евтино решение (например ruToken), но което ще може да осигури необходимото ниво на сигурност в този контекст. Ето защо е толкова важно да оцените правилно собствените си нужди, преди да внедрите система за удостоверяване, базирана на USB маркери.

Основни характеристики на жетоните:

● Потребителско упълномощаване в мрежи на Microsoft: влизане в домейн при представяне на маркер, свързване към терминален сървър при представяне на маркер, блокиране на сесията на потребител след изключване на маркер.

● Безопасно използване на електронна поща: електронен цифров подпис на пощенски съобщения, криптиране на пощенски съобщения.

● Сигурен отдалечен достъп до корпоративни ресурси: сигурна връзка с VPN мрежи, сигурна комуникация със защитени уеб ресурси.

Използване на маркер като хранилище на различни сертификати и пароли.

Последното нещо, на което бих искал да ви обърна внимание, е поддръжката на софтуер и операционни системи, тъй като често PKI инфраструктурата се внедрява в мрежа, която работи от дълго време, където вече е формиран набор от необходими приложения за подкрепа на бизнес задачи. Така че, за работа в Linux среда, iKey и eToken Pro ключовете са най-добрите решения. Всъщност си струва да се обърне внимание на съвместимостта на готовото решение, предлагано от производителя, с други продукти, както и решения за определени платформи, които в крайна сметка само ще улеснят както въвеждането на жетони, така и тяхното използване.