Токены — Единый портал ЭП
Что такое токены
Токены — это наиболее часто используемое название носителей ключа электронной подписи, которое уступает по популярности только неофициальному «флешка для ЭЦП». Но встречаются и другие названия: электронный ключ, аппаратный ключ, программно-аппаратный ключ, ключевой носитель, электронный идентификатор, носитель ЭЦП (ЭП), ключ для электронной площадки и даже донгл ( от англ. «dongle»).
Стоит отдельно отметить, что на волне популярности биткойнов под токеном стали подразумевать единицу криптовалюты. Во избежание путаницы в терминологии участники цифрового взаимодействия посредством электронной подписи могут добавлять к названию носителей приставку ”usb” — usb-токен.
В данном разделе представлены:
- продуктовая линейка usb-токенов, реализуемых Единым порталом Электронной подписи,
- справочная информация об обеспечении безопасного использования ключевых носителей, важности сертификации ФСБ и ФСТЭК
- контактные телефоны производителей и прочее.
Продуктовая линейка носителей ключа электронной подписи
АО «Аналитический Центр» (Единый портал Электронной подписи) является официальным партнером производителей usb-токенов, соответствующие сертификаты и дипломы от которых представлены в разделе главного меню «О портале».
Клиентам предлагается оптимальный набор носителей в соответствии с их областями применения, отправка токенов совершается по всей России.
Оформить заявку
Варианты usb-токенов
| Наименование | Основные характеристики | Область применения* | Для работы нужно | Сертификация |
| Стандартные токены для хранения ключа электронной подписи | ||||
| Рутокен S купить продукт компании «Актив» | 64Кб, НДВ3, без средств криптографической защиты информации (СКЗИ) | Популярный вариант для пользователей ЭДО, ДБО, ЭО и прочих информационных систем, включая «Электронный бюджет» | — приобрести криптопровайдер, — скачать бесплатные драйвера на сайте производителя, — ввести стандартный пароль Рутокен S: 12345678, затем сменить его на комбинацию, которая будет известна только владельцу. | ФСТЭК |
| JaCarta LT купить | 36Кб, НДВ4, содержит СКЗИ | Средство предназначено для двухфакторной аутентификации, безопасного хранения электронной подписи, ключевых контейнеров сертифицированных российских СКЗИ, профилей и паролей пользователей, а также лицензионной информации независимых разработчиков ПО | — требуется криптопровайдер, — установка драйвера устройства для современных ОС (Microsoft Windows Vista и выше, GNU/Linux, Apple macOS/OS X) не требуется, — необходимое ПО (Единый Клиент JaCarta и JaCarta SecurLogon) можно скачать на сайте производителя, — ввести «заводской» пароль JaCarta LT: 1234567890, затем сменить его на пользовательскую комбинацию. | ФСТЭК |
| Esmart USB купить продукт группы компании ISBIS (ООО «ИСУБ») | 64 Кб, НДВ4, без СКЗИ | Простой в использовании и удобный токен для участников электронных торгов, систем ЭДО, ЭО, пользователей госуслуг и прочих информационных систем | — приобрести криптопровайдер, — драйвера для работы не требуются, — ввести стандартный пароль Esmart USB: 1234567890, затем установить другую цифровую комбинацию. | ФСТЭК |
| Ключевой носитель R301 Форос купить продукт компании ООО «СмартПарк» | 80 Кб, 160 Кб, НДВ4, без СКЗИ | — приобрести криптопровайдер, — драйвера для работы не требуются, — ввести стандартный пароль в программе UnblockUserPin: 87654321, затем установить другую комбинацию. | ФСТЭК | |
| Аппаратный ключ ЕГАИС | ||||
| JaCarta-2 SE купить продукт компании «Аладдин Р.Д.» | Содержит СКЗИ, приложение SE реализует фискальные функции внутри токена | — криптопровайдер не требуется, — драйвера для работы можно бесплатно скачать на сайте производителя, — ввести стандартный пароль JaCarta-2 SE: 1234567890, затем сменить его на комбинацию, которую задает владелец. | ФСБ, ФСТЭК | |
| Универсальные токены: хранение ключа ЭП и работа с ЕГАИС | ||||
| Рутокен ЭЦП 2.0 ГОСТ купить продукт компании «Актив» | Содержит СКЗИ, криптографические алгоритмы и фискальные функции реализуются внутри сертифицированного носителя | Универсальный токен, подходит как для участников электронных торгов, пользователей госуслуг, систем ЭДО, ДБО, ЭО и пользователей прочих информационных систем, так и для работы в ЕГАИС | — криптопровайдер не требуется, — драйвера для работы в современных ОС не требуются; при необходимости их можно бесплатно скачать на сайте поставщика или запросить у специалиста АО «Аналитический Центр» при покупке партии токенов, — ввести стандартный пароль Рутокен ЭЦП 2.0 ГОСТ: 12345678, затем установить новую последовательность цифр. | ФСБ, ФСТЭК |
*Область применения носит рекомендательный характер и была сформирована, исходя из опыта работы сотрудников АО «Аналитический Центр».
На что нужно обратить внимание при выборе носителей ключа электронной подписи
Организационные моменты
Во-первых, необходимо изучить продавца. Организация должна быть
В-вторых, нужно выбирать вариант в соответствии с областью применения. Если планируется использовать токен для доступа к госуслугам, то нет необходимости приобретать универсальный носитель ключа электронной подписи, цена которого обоснованно выше, или аппаратный ключ ЕГАИС (JaCarta SE), который предназначен для реализации другого функционала.
Вопрос безопасного использования usb-токенов
Важно помнить, что способов мошенничества в «бумажном мире» намного больше и для их реализации от злоумышленника не требуется таких глубоких знаний, как в случае с применением электронной подписи. Несмотря на это, всем участникам цифрового взаимодействия нужно соблюдать ряд правил:
- выбирать надежных поставщиков носителей ключа электронной подписи,
- получать электронную подпись в авторизованных АЭТП удостоверяющих центрах,
- поддерживать свои информационную грамотность и компетентность сотрудников на должном уровне.
Ответственность пользователя:
На токенах, реализуемых АО «Аналитический Центр» производителями установлены стандартные (заводские) пароли «1234567890». Перед началом эксплуатации нужно обеспечить точный ввод заданной цифровой комбинации, а затем обязательно сменить ее на последовательность символов, известную только владельцу. Кроме этого, следует позаботиться о безопасном использовании носителей ключа электронной подписи, то есть обеспечить защиту от внедрения злоумышленника в рабочий компьютер и в канал связи между «машиной» и токеном.
Ответственность производителя:
Недопустима установка на usb-токен какой-либо функциональности, которая может нанести вред пользователю. Именно поэтому особенно важно наличие сертификатов, подтверждающих надежность ключевых носителей.
Сертификация ФСБ и ФСТЭК
Требования участников современного цифрового сообщества к безопасности и технологичности инструментов обязывают токены соответствовать высоким стандартам. «Знаком качества» здесь выступает наличие у носителей ключа электронной подписи сертификатов ФСБ и ФСТЭК. Тем, кому не до конца ясна суть и особенности этих документов, поможет разобраться комментарий, предоставленный для портала iEcp.ru Сергеем Котовым, экспертом по информационной безопасности компании «Аладдин Р.Д.»:
«ФСТЭК России отвечает за защиту информации некриптографическими методами. Сертификат ФСТЭК подтверждает, что программное обеспечение токена не имеет «недекларированных возможностей» (закладок), а устройство может быть использовано в качестве средства защиты информации от несанкционированного доступа, для хранения информации (например, ключевых контейнеров, таких как КриптоПро CSP или ViPNet CSP) и аутентификации.
ФСБ России сертифицирует криптографические средства защиты информации. Сертификат ФСБ России подтверждает, что токен можно использовать для генерации ключей, подписания и проверки электронной подписи документов, шифрования информации.
Стоит отдельно отметить, что ничто не мешает токену решать сразу несколько задач, для это он должен иметь два сертификата одновременно».
«Все понятно, как купить токен?»
Для получения токена нужно заполнить форму заявки, и специалисты Единого портала Электронной подписи позвонят по указанному контактному телефону и подробно проконсультируют о дальнейших шагах. Отправляя заявку, Вы соглашаетесь с условиями договора оферты на поставку токенов.
Еще остались вопросы по теме
Предлагаем выбрать предпочтительный способ связи:
- обратиться в рубрику «Вопрос эксперту», доступную на главной странице — способ больше всего подходит для тех, кому нужен развернутый, подкрепленный ссылками на законодательные акты ответ; в зависимости от сложности вопроса ожидание обратной связи может составить от 1 до 5 рабочих дней;
- обратиться напрямую к специалистам данного направления по телефонам, указанным ниже — каждый пользователь получит оперативную консультацию в рамках компетенций сотрудников.
Контактные телефоны
Решение общих вопросов
АО «Аналитический Центр»: +7 (831) 282-01-92, 8-800-2000-100 доб.2019, пн-чт с 8.00 до 17.00, пт с 8.00 до 16.00. — выбор, покупка, доставка токенов, документы и прочее.
Техническая поддержка от производителей
АО «Аладдин Р.Д.» (производитель JaCarta): +7 (495) 988-4640, +7 (495) 223-0001 (многоканальный) по будням с 10.00 до 19.00, [email protected]
ЗАО «Актив-Софт» (производитель продуктовой линейки Рутокенов): +7 (495) 925-7790 по будням с 10.00 до 18.00, [email protected]
ООО «ИСУБ» (производитель ключевых носителей Esmart): +7 (495) 133-0004 по будням с 9.00 до 18.00, [email protected]
ООО «СмартПарк» (производитель ключевых носителей Форос): +7 (495) 656-0887, +7 (495) 927-0033 (многоканальный) по будням с 10.00 до 19.00, [email protected]
Вниманию будущих клиентов: Если Вы используете одну из систем электронного документооборота, сообщите об этом специалисту портала iEcp.ru. АО «Аналитический Центр» — действующий участник системы «Диадок», организация ЭДО между компаниями поможет сэкономить участникам время и финансы. Если Вы не используете ни одну из систем, но заинтересовались этим вопросом, то с подробной информацией об электронном документообороте можно ознакомиться в одноименном разделе главного меню.
iecp.ru
Статьи и публикации
Электронные ключи появились давно, но пока не сумели вытеснить стандартную идентификацию по логину и паролю. Это более чем странно. Учитывая, что современные USB-токены обеспечивают высокую степень защиты данных, практически неуязвимы для внешних атак и в достаточном количестве представлены на российском рынке.
Токены компании |
Подавляющее большинство российских компаний по-прежнему использует традиционную пару «логин-пароль» для идентификации и разграничения доступа пользователя к корпоративным ресурсам. Однако этот способ давно устарел с точки зрения безопасности. При этом, постоянное увеличение сложности пароля (использование букв разного регистра, цифр, знаков препинания и служебных символов, длина минимум 8 символов) для повышения уровня безопасности нередко приводит к снижению комфортности контроля доступа для пользователя. Сложные пароли просто-напросто тяжелы для запоминания.
К проблемам парольной аутентификации можно отнести еще и легкость подбора по словарю (если паролем служит слово или фраза из какого-нибудь языка, даже при условии замены букв на спецсимволы, например, Р@ssw0rd). Также пароль может быть перехвачен или подсмотрен при его вводе. Проблемы аутентификации пользователей в информационной системе выявлены очень давно, и уже были предложены различные решения. Современная тенденция — использование двухфакторной аутентификации на основе USB-токенов. В России такие устройства занимают доминирующее положение по отношению к смарт-картам и автономным токенам в результате более позднего формирования рынка аппаратных устройств аутентификации и мощной маркетинговой политики компаний-производителей. Основными игроками на российском рынке USB-ключей (токенов) являются компании Aladdin, Rainbow Technologies, «Актив» (совместно с «Анкад»), RSA Security, а также Feitian Technologies.
Цена безопасности
USB-токены предназначены для работы в приложениях, к которым предъявляются повышенные требования с точки зрения защиты данных. Их можно назвать преемниками контактных смарт-карт, они практически повторяют их устройство, но не требуют специальных считывателей, что упрощает их внедрение и уменьшает стоимость. Таким образом, экономическое преимущество при использовании USB-токенов по сравнению со смарт-картами достигается тогда, когда за компьютером работает один пользователь. Если же необходимо, чтобы на одной машине работало несколько человек, то выгоднее приобрести один считыватель и несколько смарт-карт, так как стоимость самой карточки ниже цены токена. Отметим, что USB-токены, не основанные на архитектуре «смарт-карта + кард-ридер», например, ruToken, «Шипка», выполнены на серийном микроконтроллере и программно эмулируют функциональность смарт-карт. Это сильно снижает их безопасность. В частности, они используют внешний чип памяти со всеми вытекающими последствиями (у смарт-карточных токенов память находится внутри чипа смарт-карты, и атаковать ее очень сложно).
Продемонстрируем это на примере продукции Aladdin. Один электронный USB-токен eToken PRO/32K стоит $49. Смарт-карта eToken PRO/SC обойдется в $23, считыватель смарт-карт для eToken ASEDrive Ше USB V2 — в $40.
Таблица 1 Средняя стоимость внедрения систем контроля доступа
| USB-токен, $ тыс. | Смарт-карта+считыватель, $ тыс. | |||||
| 500 пользователей, 500 компьютеров | 24,5 | 40 | ||||
| 500 пользователей, 250 компьютеров | 24,5 | 21,5 | ||||
Тонкости выбора
USB-токен — это симбиоз считывателя и смарт-карты, только в нем карта впаяна, и ее нельзя поменять. Процесс инсталляции аналогичен установке считывателя, а его подключение/извлечение аналогично подключению/извлечению карты из считывателя. Чтобы начать использовать USB-токен в приложениях, его необходимо отформатировать специальной утилитой. Не все приложения, которые работают с USB-токенами, будут поддерживать именно конкретную модель, это необходимо проверить. Зачастую выбор токена определяется не его качественными характеристиками, а возможностью работы с определенными приложениями или операционными системами. При покупке не стоит руководствоваться размерами памяти токена: маленький объем памяти смарт-карты здесь является преимуществом, поскольку это не позволит сотрудникам записывать другую конфиденциальную информацию с рабочего компьютера. При покупке комплекта программа + USB-токен надо убедиться, что вас обеспечат драйверами для USB-токена, и выяснить, каким образом будет произведено форматирование токена: самой программой или отдельной утилитой.
Состав USB-ключа:
|
Файловая система токена разделяется между несколькими приложениями и службами. Пользователю не нужно знать множество паролей — их запоминает токен. Следует помнить лишь короткий PIN-код, удостоверяющий пользователя как владельца всех паролей, хранящихся в памяти ключа. После нескольких неудачных попыток ввода PIN-кода процессор «запирает» токен до вмешательства администратора безопасности, поскольку предполагается, что ключ был украден или потерян.
Для обеспечения строгой аутентификации необходимо гарантировать надежность и достоверность принципала (объекта аутентификации — отправителя или получателя), а потому должны использоваться надежные криптографические алгоритмы и продуманные схемы. Строгая аутентификация в данном контексте означает, что информация, непосредственно идентифицирующая пользователя, не выходит за пределы токена, а лишь участвует в криптографических вычислениях, результатом которых будут некоторые последовательности нулей и единиц, расшифровав которые, другой принципал абсолютно надежно, точно и достоверно определит отправителя. Именно поэтому важно покупать модели со встроенным генератором ключей, чтобы такая информация не попадала из токена в компьютер. Кроме того, все важные криптографические вычисления по проверке сертификатов должны быть реализованы аппаратно, что также исключает возможность компрометации на уровне компьютерных приложений.
Таблица 2 Основные характеристики наиболее популярных на российском рынке продуктов
| Изделие | Емкость памяти, Кб | Разрядность серийного номера | Поддерживаемые ОС | Алгоритмы шифрования/хеширования | |||||
| Rainbow Technologies, iKey 2032 | 32 | 64 | Windows 95, 98, NT, сертифицирован к 2000, ХР, 2003, Windows 95, 98, NT, сертифицирован к 2000, ХР, 2003, RedHat Linux, Mandrake, SuSe (сертифицирован ФСТЭК России) | MD5, RSA, 1024/2048, DSA, DES, 3DES, RC2, RC4, SHA-1 | |||||
| Rainbow Technologies, iKey 3000 | 32 | 64 | Windows 95, 98, ME, NT, 20003, сертифицирован к 2000, ХР, RedHat Linux, Mandrake, SuSe | MD5, RSA 1024/2048, DSA, DES, 3DES, RC2, RC4, SHA-1 | |||||
| Aladdin Knowledge Systems, eToken PRO | 16/32 | 32 | Windows 95, 98, ME, NT, 20003, Linux, DOS (сертифицирован ФСТЭК России) | RSA/1024, DSA, DES (ECB, CBC), 3DES (CBC), SHA-1, MAC, iMAC, MAC3, iMAC3 | |||||
| «Актив» совместно с «Анкад», ruToken | 8-128 | 32 | Windows 98/ME/2000/XP/2003 | ГОСТ 28147-89 аппаратно, другие — программно | |||||
| Feitian Technologies, ePass2000 | 16/32 | 64 | Windows 98/ME/2000/XP/2003, Linux and MACOS 8/9, OS X | RSA, DES, 3DES | |||||
Перечисленные в таблице 2 модели подходят для построения системы аутентификации на основе открытых ключей (PKI) с использованием сертификатов. Рассмотрим механизм такой аутентификации. Технология PKI построена на использовании двух математически связанных ключей — открытого и секретного (закрытого). С помощью открытого ключа сообщение шифруется, а с помощью секретного расшифровывается, при этом естественно, что, зная открытый ключ, нельзя получить закрытый. Такие криптографические преобразования реализовываются на основе RSA или DSA. Криптостойкость зашифрованных сообщений обеспечивается неразрешимостью за полиномиальное время двух математических задач: факторизации больших чисел на простые множители (RSA) и дискретного логарифмирования в простом конечном поле (DSA). Важнейшим плюсом, является то, что аутентификационная информация пользователя совсем не передается по сети, а лишь участвует в вычислениях, как на клиентской, так и на серверной стороне, что соответствует принципам строгой аутентификации. По такому принципу строится протокол аутентификации «запрос-ответ» (Handshake Authentication Protocol).
Заметим, что поддержка работы RSA и DSA, в том числе и аппаратная генерация их ключей, с размером ключа 2048 бит является хорошим гарантом безопасности, который в принципе не может быть обеспечен протоколами симметричного шифрования, — например, семейством алгоритмов DES. Обычно данные протоколы используются для шифрования трафика с использованием ключа, полученного после аутентификации принципала. Интересной особенностью продуктов ruToken является аппаратная реализация российского стандарта симметричного шифрования ГОСТ 28147-89, к числу достоинств которого можно отнести бесперспективность силовой атаки, эффективность реализации и высокое быстродействие на современных компьютерах.
Сегодня на российском рынке |
Компании-производители указывают огромное количество реализованных алгоритмов шифрования/хеширования в своих описаниях к продуктам, однако большинство из них — алгоритмы хеширования. Они представляют собой односторонние функции и используются для преобразования, например, PIN-кода или другой чувствительной информации для хранения в файловой системе токена, так как из хеша сложно восстановить PIN-код в понятном человеку виде. Таким образом, наличие большого числа алгоритмов хеширования не определяет «качество» токена. Хотя в некоторых случаях хеш-преобразования используются другими алгоритмами в качестве вспомогательных, поэтому стоит сразу определиться, поддержка каких алгоритмов вам нужна в работе информационной системы.
Многие эксперты считают, |
Последнее, на что хотелось бы обратить внимание, это поддержка программного обеспечения и операционных систем, ведь зачастую инфраструктура PKI внедряется в сети, давно действующей, где уже сформировался круг необходимых приложений для поддержания бизнес-задач. Так, для работы в Linux-среде лучшими решениями будут ключи iKey и eToken PRO. В действительности стоит обращать внимание на совместимость предлагаемого производителем готового решения с другими продуктами, а также на решения под определенные платформы, что в конечном итоге лишь облегчит как внедрение токенов, так и их использование.
Базовые возможности токенов:
|
www.aladdin-rd.ru
Принцип двухэтапной аутентификации при помощи аппаратного токена
В случае, если вы уже оценили удобство двухэтапной аутентификации, но хотите оптимизировать этот процесс, увеличив его безопасность и сократив временные затраты на получение SMS-сообщения с кодом подтверждения на телефонный номер, вам подойдет новый принцип аутентификации, осуществляемый при помощи аппаратного токена. Это простой, быстрый и, главное, безопасный способ подтверждения, который осуществляется очень легко: достаточно вставить аппаратный токен в USB-разъем.
Давайте остановимся подробнее на преимуществах двухэтапной аутентификации с помощью USB-токена по сравнению с наиболее распространенным способом, осуществляемым путем SMS-подтверждения или звонка. Используя USB-токен, вы обезопасите себя от мошенников, занимающихся фишингом, создающих сайты-двойники для выманивания паролей и персональных данных пользователей тех или иных сайтов. Аппаратный USB-токен позволяет осуществлять вход без привязки к контактным данным, чисто физически и только в том случае, если исходный сайт является оригинальным.
С аппаратным токеном вы не зависите от услуг мобильных операторов. Даже если с мобильной связью будут проблемы, вы все равно сможете осуществить вход в свой аккаунт. Сел телефон? Ничего страшного! Для осуществления подтверждения входа он вам не понадобится! Просто постоянно носите с собой небольшой USB-токен и всегда будьте уверены в том, что ваш вход в систему не будет зависеть от ненужных дополнительных факторов.
Единственное неудобство, связанное с двухэтапной аутентификацией с помощью USB-токена, заключается в том, что на данный момент он работает только в браузере Chrome, начиная с 38 версии. Однако установить у себя этот браузер не составит труда. Кроме того, в скором времени можно ожидать расширение функционала аппаратного токена на другие браузеры. Минимальные требования для использования U2F (FIDO Universal 2nd Factor) предполагают наличие одной из следующих операционных систем: Windows, Mac OS, Linux, Chrome OS.
Процесс подключения двухэтапной аутентификации не отнимает много времени. В настройках вашего аккаунта необходимо войти в раздел «Безопасность и вход», далее выбрать подраздел «Вход в аккаунт Google», в котором можно открыть настройки функции двухэтапной аутентификации. Точно следуйте подсказкам, появляющимся на странице. После выполнения всех инструкций вы вернетесь в раздел настроек, где можно будет проверить выбранные настройки и указать дополнительную контактную информацию, номера телефонов. После этого для входа в систему вам нужно будет вводить код, присланный на ваш номер телефона в SMS-сообщении.
Если же вы всё-таки решили использовать для двухэтапной аутентификации более современный метод – аппаратный USB-токен, вам понадобится любое устройство стандарта U2F, например, JaCarta U2F, который вы можете приобрести на нашем сайте по выгодной цене.
cryptostore.ru
Аппаратный токен: что за «зверь» такой?
ОТП токен может выглядеть по разному — в виде приложения на смартфон, брелока, USB-флешки, или смарт-карт. Но его функции, как и назначение, остаются неизменными. Это небольшое компактное устройство для генерации одноразовых паролей (one-time passwords или OTP), которое является одним из ключевых элементов современных систем двухфакторной аутентификации. Сама же двухфакторная аутентификация — важнейшая составляющая большинства систем обеспечения информационной безопасности пользователя.
Область применения
Аппаратные токены генерируют одноразовые пароли, которые нужны для надежной аутентификации пользователя в той или иной системе. Аутентификация с помощью одноразовых паролей позволяет обеспечить безопасность удаленного доступа к конфиденциальным данным. В большинстве случаев, двухфакторная аутентификация с использованием аппаратных OTP токенов применяется для входа в банковские или платежные системы, электронную почту, социальные сети и любые другие ресурсы, на которых хранится важная информация о пользователе.
Посредством токенов любая организация может обеспечить надежный процесс электронного удостоверения личности, причем действие может сопровождаться вводом пароля или обходиться без него. Именно поэтому токены нередко называют электронными ключами для доступа к чему-либо.
Особенности конструкции
Типичный аппаратный токен представляет собой компактное устройство, которое удобно носить в кармане. Как упоминалось ранее, он может быть изготовлен в форме брелока, флешки, небольшого калькулятора, или даже пластиковой карты. На практике они используются для генерации одноразовых паролей согласно специальным алгоритмам — HOTP, TOTP, OCRA. Аппаратные бесконтактные токены считаются более надежными, чем программные или USB-токены. Они работают автономно, не требуют подключения к компьютеру, на котором может оказаться вирус, и не нуждаются в подсоединении к сети Internet или GSM . Некоторые разновидности токенов снабжаются PIN-кодом для защиты от несанкционированного доступа и взлома.
Некоторые токены снабжены модулями для передачи информации. Это может быть USB-разъем или беспроводной интерфейс Bluetooth, обеспечивающий возможность передачи сгенерированного ключа в систему безопасности.
ОТП токены, которые предлагает своим клиентам компания Protectimus, сертифицированы отраслевой инициативой OATH и используют в своей работе стандартные алгоритмы генерации OTP — HOTP (по событию), TOTP (по времени) и OCRA (запрос-ответ).
Одноразовый пароль, который сгенерировал токен, вводится пользователем при входе в аккаунт, после чего сервер, который одновременно генерирует аналогичный пароль по тому же алгоритму и с использованием того же секретного ключа, проверяет его корректность.
Основное преимущество аппаратных токенов перед программными токенами или доставкой одноразовых паролей с помощью SMS заключается в том, что их невозможно взломать или перехватить с помощью атаки «человек посередине». А значит, аутентификация пользователей с помощью аппаратных токенов — наиболее надежное средство защиты данных на сегодняшний день.
Загрузка…hostingkartinok.com
Чем eToken отличается от Рутокен и от JaCarta. Узнай на Secure-Market. Заходи!
eToken или Rutoken или JaCarta. Что лучше? В чем разница?
В Secure-Market поступает очень много вопросов на тему «чем етокен отличается от рутокена и от jacarta«.
Как правило все вопросы связаны с тем что пользователи не могут понять какой ключ им нужно выбрать для своих задач. Если вы затрудняетесь с выбором ключа — воспользуйтесь консультацией по телефону прямо сейчас. Звоните +7(499)653-51-89.
Если вам самим хочется понять, что вам подойдет, вот основные отличия Rutoken от eToken и от JaCarta:
Рутокен и eToken и Jacrta разного цвета
До не давнего времени самая популярная модель eToken была eToken Pro 72k Java в корпусе фиолетового цвета, надежный, хорошо себя зарекомендовавший USB ключ. Но в начале 2018 года все складские запасы закончились, и на смену ему пришла новая модель eToken 5110, такой же надежный ключ, но в корпусе черно-белого цвета.
Рутокен серийно выпускается в нескольких цветах: Рутокен S в красном корпусе, Рутокен ЭЦП 2.0 в Бардовом, Рутокен Lite в прозрачно-белом и Рутокен Web в зеленом корпусе. При заказе больших партий можно заказать в любом цвете. Например ключи Рутокен S для компании Такском синего цвета, для МВД также были выпущены синего цвета, для службы судебных приставов выпускались ключи зеленого цвета.
USB токены JaCarta всегда черного цвета со вставкой или оранжевого или зеленого или синего цвета. Цвет никак не виляет на функционал ключа.
Аппаратный RSA в eToken
Главным техническим отличием eToken 5110 от Rutoken и JaCarta является наличие криптографического сопроцессора, который позволяет аппаратно реализовать ассиметричный алгоритм шифрования RSA. Аппаратно реализованный алгоритм RSA позволяет подписывать сообщения таким образом, что закрытый ключ не покидает токена. Так было до не давнего времени, пока не появился Руткоен PKI в котором также поддерживается аппаратный RSA.
В составе СКЗИ КриптоПро CSP токены используются в качестве защищенного хранилища закрытого ключа ЭЦП. Ключ ЭЦП помещается в файл-контейнер, а файл-контейнер в свою очередь записывается в память носителя, секретные ключи ЭЦП легко переносились на электронный идентификатор Rutoken с помощью встроенных средств в КриптоПро CSP.
Т.к. КриптоПро CSP работает только с отечественными криптографическими стандартами, то он не в коей мере не использует аппаратный RSA в eToken Pro.
Если говорить проще, то и Рутокен, и eToken работают с Крипто ПРО одинаково.
Аппаратная поддержка ГОСТ в Рутокен и JaCarta
Ключи Рутокен ЭЦП 2.0 и ключи JaCarta PKI/ГОСТ и JaCarta 2 ГОСТ имеют аппаратную поддержку ГОСТ, кроме системы ЕГАИС-Алкоголь это нигде не используется, все остальные модели в т.ч. eToken поддерживают ГОСТ программно, на уровне драйверов.
Объем доступной памяти в eToken и Rutoken и JaCarta
Модели Rutoken выпускаются с объемами доступной памяти 32Кб, 64Кб, 126Кб.
eToken 5110 имеет максимальный объем памяти 72Кб из них доступно пользователю 47 Кб.
Ключи JaCarta имеют объем памяти 80Кб из них доступно пользователю 43 Кб.
Таблица различий eToken и Рутокен.
| eToken 5110 | Рутокен S | JaCarta Pro | |
| Производитель | (SafeNet (Аладдин)) Gemalto c 2014 г. | Актив | Аладдин Р.Д. |
| Поддержка операционных систем | MS Windows | MS Windows | MS Windows |
| 2000/XP/2003/Vista/2008/7/2012/8/10 (32/64-бит), Mac OS X, GNU/Linux | 2000/XP/2003/Vista/2008/7/2012/8/10 (32/64-бит), Mac OS X, GNU/Linux | 2000/XP/2003/Vista/2008/7/2012/8/10 (32/64-бит), Mac OS X, GNU/Linux | |
| Объем защищенной памяти | 72КБ (из них 47КБ доступно пользователю) | 32, 64, 128КБ | 32, 64, 128КБ |
| Количество контейнеров КриптоПро CSP | до 10 | от 7 до 31 | до 10 |
| Сертификация | НДВ4 | НДВ3, НДВ4, ФСБ | НДВ4 |
| Радио-метки (RFID) | встраивание возможно | встраивание возможно | встраивание возможно |
| Форм-факторы устройства |
|
|
|
| Брендирование | заказной цвет устройства, тампопечать | заказной цвет устройства, гравировка, тампопечать, брендированная упаковка | заказной цвет устройства |
Если данная статья вызвала вопросов больше чем ответов, и вы затрудняетесь с выбором ключа — воспользуйтесь консультацией по телефону прямо сейчас. Звоните +7(499)653-51-89.
Или можете сразу перейти к заказу:
eToken | Рутокен | JaCarta
www.secure-market.ru
Миф №84 «USB-токен спасает от кражи секретных ключей ЭЦП» — Bankir.Ru
Алексей Лукацкий — менеджер по развитию бизнеса Cisco Systems
После далеко неединичных инцидентов с кражей секретных ключей ЭЦП, используемых для цифровой подписи платежных поручений, на многих конференциях, в маркетинговых материалах, в рекомендациях разработчиков банковского софта и средств защиты звучит одна общая рекомендация – использовать USB-токены. Мол, это позволит полностью исключить кражу секретных ключей ЭЦП и защитит банковских клиентов от несанкционированного перевода средств на подставные счета. Но так ли это на самом деле? Не лукавят ли производители АБС и аппаратных USB-токенов?
Начнем с того, что токеном называется компактное устройство в виде USB-брелка, смарткарты или иной формы, которое служит для авторизации пользователя. Следуя этому определению обычные USB-флешки не подходят под понятие токен. Однако некоторые поставщики таких носителей информации все-таки называют их токенами, ссылаясь на то, что на них можно хранить PKI-сертификаты, по которым в свою очередь можно аутентифицировать пользователей. Чтобы не вступать в полемику с такой позицией, рассмотрим все виды USB-носителей, используемых для хранения секретных ключей ЭЦП. Их несколько:
- Обычная USB-флешка. Данный тип носителя никак не влияет на защищенность хранимых на нем данных. По данному критерию такой USB-токен мало чем отличается от дискеты. Украсть с него секретные ключи не представляет никакого труда и использовать такой токен для поставленной задачи нельзя. Хотя некоторые банки допускают это.
- USB-флешка с защищенным хранилищем. Этот тип носителя стал распространяться не так давно. Это USB-носители с встроенным шифрованием. Примером такого носителя является Verbatim Store ‘n’ Go USB Executive Secure, семейство разнообразных носителей Kingston DataTraveler или Buffalo RUF2-HSCL-U (последняя помимо шифрования поддерживает еще и встроенную антивирусную проверку хранящихся файлов). Данное решение обладает более высокой защищенностью чем обычная флешка, но также не может быть рекомендована как хранилище секретных ключей ЭЦП. Все дело в том, что в защищенном виде ключи хранятся только на самой флешке. Однако для того, чтобы подписать платежное поручение или какой-нибудь документ, ключ должен быть извлечен из флешки в память компьютера и отдан в программу, реализующую функцию ЭЦП. Вот в этот момент секретный ключ (а также любые иные защищаемые данные) могут быть украдены. Более того, получив доступ к секретной информации, злоумышленник может ее модифицировать и заново записать на флешку.
- USB-токен с встроенным криптопроцессором. Этот тип носителя помимо функции хранения обладает еще и ярко выраженной функцией идентификации его владельца. Различные примеры таких токенов позволяют генерить одноразовые пароли, использоваться как смарт-карта или применяться для бесконтактной RFID-идентификации. С точки зрения хранения секретных ключей такой токен мало чем отличается от предыдущего примера. Разве что у них может присутствовать две области хранения секретной информации – одна в режиме чтение/запись, а вторая только для чтения. Именно в нее можно записать секретные ключи ЭЦП, которые нельзя будет модифицировать… но вот украсть их можно в момент их передачи от токена в программу формирования ЭЦП. При этом дальнейшее наличие токена уже не нужно, т.к. у нас имеется копия перехваченного секретного ключа. PIN-код для доступа к токену также может быть перехвачен специализированным программным обеспечением. Примером такого типа устройства является VeriSign USB Token, eToken PRO или Rutoken.
- USB-токен с встроенной генерацией ЭЦП. Этот тип носителя отличается от всех остальных тем, что он не только хранит секретный ключ ЭЦП и самостоятельно вырабатывает ее внутри себя. Иными словами, на вход этого токена подается платежное поручение, которое и подписывается внутри USB-устройства. Как правильно пишут разработчики таких устройств, секретный ключ никогда не покидает токен. Сегодня на российском рынке представлено только одно сертифицированное в ФСБ решение – « iBank 2 Key», работающий с АБС iBank компании «БИФИТ». На сертификации находятся аналогичные решения eToken ГОСТ от компании Aladdin и Rutoken ЭЦП от компании «Актив».
Последнее время вокруг «iBank 2 Key» нагнетается ажиотаж. Причем его активно подпитывают и сами банки, которые для своих клиентов дают такие рекомендации: «Радикальной мерой борьбы с выявленным трояном, является использование носителя ключевой информации — USB-токен, который делает невозможным копирование ключей ЭЦП». Другой банк приводит на своем сайте такую рекомендацию: «Если в настоящий момент для работы в Интернет-банке Вы используете обычные носители для хранения ключей ЭЦП (дискета, «флэшка», жесткий диск), то мы настоятельно рекомендуем Вам перейти на использование аппаратного криптопровайдера USB-токен «iBank 2 Key«.Это радикальная мера защиты для противодействия хищению ключей ЭЦП Клиента. Основное достоинство заключается в том, что ключи, созданные на USB-токен, невозможно скопировать. Так, физическое нахождение у Вас токена, дает гарантию того, что никто другой им не воспользуется, и Вы смело можете использовать открытые точки доступа в Интернет». Насколько это корректно?
Если обратить внимание на рекламу такого токена, то можно обратить внимание, что в качестве его «радикального» преимущества преподносится защита секретного ключа ЭЦП. В этом и кроется подвох или непонимание продавцами всей глубины проблемы. Ведь не в краже секретных ключей ЭЦП состоит основная угроза. Ключевая же проблема заключается в несанкционированном переводе средств клиента банка. Кража секретных ключей – это всего лишь один из вариантов ее реализации, но далеко не единственный. Сходу можно предложить иной метод кражи денег – подать на вход USB-токена поддельное платежное поручение. Токен благополучно подпишет его и оно будет отправлено в банк, где банк в соответствии с договор банковского обслуживания переведет сумму, указанную в платежке на подставные реквизиты. Легко ли реализовать такую атаку? Не сложнее, чем перехватывать PIN-код доступа к обычному USB-токену. Достаточно написать троянца, который будет перехватывать документ, отправляемый клиентским приложением к токену, и подменять платежные реквизиты. Можно полностью подменить платежное поручение, а можно отдать токену две платежки – оригинальную и несанкционированную. При этом в банковском приложении будут отображаться не вызывающие подозрения реквизиты и статус подписи.
С точки зрения специалиста по безопасности проблема с кражей секретных ключей может быть решена рассматриваемым USB-токеном. А вот с точки зрения клиента внедрение такого токена не дает ничего нового (кроме затрат на покупку токенов). Если клиент подхватил где-то троянца, крадущего секретные ключи ЭЦП, то он с таким же успехом может подхватить и троянца, подменяющего платежки. Усилия по внедрению таких вредоносных программ идентичны. И USB-токен в встроенной ЭЦП, решив одну проблему, ничего не может поделать с другой.
Частично решить проблему с подменой платежки могло бы хранение всех подписанных документов в энергонезависимой памяти токена. В этом случае при разборе конфликтов всегда можно было бы обнаружить, что подписанный документ не тот, который был подан со стороны клиентского приложения ДБО. Правда, и несанкционированный перевод средств уже был произведен. С точки зрения законодательства вина может лежат как на юридическом лице, нарушившем условия договора банковского обслуживания, в котором были прописаны условия обеспечения безопасности ДБО, так и на банке, которые не внес в договор (именно в договор) рекомендаций по защите. Однако из имеющихся сегодня на рынке решений только у eToken ГОСТ (в модификации eToken ГОСТ/Flash) объем памяти составляет 4 Гб (стоимость, правда, тоже возрастает. У Rutoken ЭЦП объем памяти для хранения данных всего 64 Кбайт. iBank 2 Key также не предусматривает архивного хранения хоть сколько-нибудь большого количества подписанных документов.
Некоторые разработчики признают, что аппаратные токены с встроенными криптографическими возможностями не обеспечивают защиту от подмены. Правда, они сразу оговариваются, что «реализация такой атаки ограничена во времени — она осуществима только на время физического подключения токена к компьютеру». Но во-первых, я могу сфальсифицировать всего одно платежное поручение на крупную сумму, которая окупит все затраты злоумышленника. А во-вторых, описанная мной выше схема с подменой платежек как раз и рассчитана на то время, когда токен подключен к компьютеру; ведь именно в этом момент он и осуществляет подписание документов.
Но вернемся к самому токену с встроенной генерацией/проверкой ЭЦП. Можно ли все-таки украсть с него секретный ключ или это полностью исключено, как утверждают разработчики? Оказывается можно. Помимо простого физического доступа к внутренностям токена (что достаточно быстро обнаруживается) существует целый класс атак, называемых side channel attack или атака по сторонним каналам. В отличие от криптоанализа, направленного на алгоритмы, используемые для шифрования или ЭЦП, данные атаки опираются на сведения, полученные в результате наблюдения за физическим процессом работы USB-токена. Данные атаки известны еще с 80-х годов и, как это ни странно, они не настолько дороги в реализации, как кажется. А в 1998-м году известный специалист по безопасности Брюс Шнайер писал об успешности таких атак против смарт-карт и токенов безопасности. Существует даже отдельный сайт, посвященный данным атакам ( http://www.sidechannelattacks.com/).
К каким выводам мы пришли? Во-первых, широко разрекламированный USB-токен, якобы защищающий от кражи секретных ключей, на самом деле может быть взломан. Вероятность успеха такой атаки достаточно высока. Вопрос только в том, насколько ценна будет та информация, которая хранится в USB-токене. Во-вторых, говоря о невозможности кражи секретных ключей из токена его продавцы лукавят, т.к. задача клиента банка – не сохранить ключи в секрете, а предотвратить несанкционированный перевод средств. А эту задачу USB-токены решают лишь частично и только для отдельных видов атак.
Что же получается? USB-токены не нужны? Конечно же нет. Они повышают уровень защиты секретных ключей ЭЦП и другой конфиденциальной информации. Но полностью полагаться на них не стоит. Как бы не хотели мы доверять заявлениям поставщиков, что USB-токен радикально решает проблему, необходимо четко для себя уяснить – защита системы дистанционного банковского обслуживания – это проблема комплексная, и только одним устройством нерешаемая.
bankir.ru
Токен (авторизации) — Википедия. Что такое Токен (авторизации)
Токен (также аппаратный токен, USB-ключ, криптографический токен) — компактное устройство, предназначенное для обеспечения информационной безопасности пользователя, также используется для идентификации его владельца, безопасного удалённого доступа к информационным ресурсам и т. д. Как правило, это физическое устройство, используемое для упрощения аутентификации. Также этот термин может относится и к программным токенам, которые выдаются пользователю после успешной авторизации и являются ключом для доступа к службам.
Токены предназначены для электронного удостоверения личности (например, клиента, получающего доступ к банковскому счёту), при этом они могут использоваться как вместо пароля, так и вместе с ним. В некотором смысле токен — это электронный ключ для доступа к чему-либо.
Обычно аппаратные токены обладают небольшими размерами, что позволяет носить их в кармане или кошельке, часто они оформлены в виде брелоков. Некоторые предназначены для хранения криптографических ключей, таких как электронная подпись или биометрические данные (например, детали дактилоскопического узора). В одни встроена защита от взлома, в другие — мини-клавиатура для ввода PIN-кода или же просто кнопка вызова процедуры генерации и дисплей для вывода сгенерированного ключа. Токены обладают разъёмом USB, функциями RFID или беспроводным интерфейсом Bluetooth для передачи сгенерированной последовательности ключей на клиентскую систему.
Типы паролей
Все токены содержат некоторые секретные сведения, которые используются для подтверждения личности. Есть четыре различных способа, в которых эта информация может быть использована:
- Токен со статическим паролем.
Устройство содержит пароль, который физически скрыт (не виден обладателю), но который передаётся для каждой аутентификации. Этот тип уязвим для атак повторного воспроизведения.
- Токен с синхронно динамическим паролем.
Устройство генерирует новый уникальный пароль с определённым интервалом времени. Токен и сервер должны быть синхронизированы, чтобы пароль был успешно принят.
- Токен с асинхронным паролем.
Одноразовый пароль генерируется без использования часов, с помощью шифра Вернама или другого криптографического алгоритма.
- Токен вызов-ответ.
Используя криптографию с открытым ключом, можно доказать владение частным ключом, не раскрывая его. Сервер аутентификации шифрует вызов (обычно случайное число или по крайней мере, данные с некоторыми случайными частями) с помощью открытого ключа. Устройство доказывает, что обладает копией соответствующего частного ключа, путём предоставления расшифрованного вызова.
А === Одноразовые пароли, синхронизированные по времени ===
Синхронизированные по времени одноразовые пароли постоянно меняются в установленное время, например, раз в минуту. Для этого должна существовать синхронизация между токеном клиента и сервером аутентификации. Для устройств, не подключённых к сети, эта синхронизация сделана до того, как клиент приобрёл токен. Другие типы токенов синхронизируются, когда токен вставляется в устройство ввода. Главная проблема с синхронизированными токенами состоит в том, что они могут рассинхронизоваться спустя какой-то большой период времени. Тем не менее, некоторые системы, такие как SecurID компании RSA, позволяют пользователю синхронизировать сервер с токеном путём ввода нескольких последовательных кодов доступа. Большинство из них не может иметь сменных батарей, следовательно, они имеют ограниченный срок службы.
Одноразовые пароли на основе математического алгоритма
Другой тип одноразовых паролей использует сложный математический алгоритм, например, хэш-цепи, для создания серии одноразовых паролей из секретного ключа. Ни один из паролей нельзя отгадать, даже тогда, когда предыдущие пароли известны. Существует общедоступный, стандартизированный алгоритм OATH; другие алгоритмы покрыты американскими патентами. Каждый новый пароль должен быть уникальным, поэтому неавторизованный пользователь по ранее использованным паролям не сможет догадаться, каким может быть новый пароль.
Типы токенов
Токены могут содержать чипы с различными функциями от очень простых, до очень сложных, в том числе и несколько методов аутентификации. Простейшим токенам безопасности не нужны никакие подключения к компьютеру. Токены имеют физический дисплей; Пользователь просто вводит отображаемое число для входа. Другие токены подключаются к компьютерам, используя беспроводные технологии, такие как Bluetooth. Эти токены передают ключевую последовательность локальному клиенту или ближайшей точке доступа. Кроме того, другой широко доступной формой токена является мобильное устройство, которое взаимодействует с использованием внеполосного канала (например, SMS или USSD). Тем не менее, другие токены подключаются к компьютеру, и может потребоваться PIN-код. В зависимости от типа токена, операционная система компьютера или прочитает ключ от токена и выполнит криптографические операции на нём, или попросит, чтобы программируемое оборудование токена выполнило эти операции самостоятельно. Таким приложением является аппаратный ключ (электронный ключ), необходимый для некоторых компьютерных программ, чтобы доказать право собственности на программное обеспечение. Ключ помещается в устройство ввода, и программное обеспечение получает доступ к рассматриваемому устройству ввода / вывода, чтобы разрешить использование данного программное обеспечение. Коммерческие решения предоставляются различными поставщиками, каждый со своими собственными (и часто запатентованными) функциями безопасности. Проекты токенов, соответствующие определённым стандартам безопасности, удостоверены в Соединённых Штатах как совместимые с FIPS 140, федеральный стандарт безопасности США. Токены без какой-либо сертификации часто не отвечают стандартам безопасности принятым правительством США, они не прошли тщательное тестирование, и, вероятно, не могут обеспечить такой же уровень криптографической защиты, как токены, которые были разработаны и проверены сторонними агентствами.
Токены без подключения
Токены без подключения не имеют ни физического, ни логического подключения к компьютеру клиента. Как правило, они не требуют специального устройства ввода, а вместо этого используют встроенный экран для отображения сгенерированных данных аутентификации, которые, в свою очередь, пользователь вводит вручную с помощью клавиатуры. Токены без подключения являются наиболее распространённым типом токена (авторизации), используемый (обычно в сочетании с паролем) в двухфакторной аутентификации для онлайн-идентификации.[1]
Модель RSA SecurID SID700 представляет собой небольшой брелок.[2]
Токены с подключением
Пример схемы использования токенаТокены с подключением должны быть физически связаны с компьютером, на котором пользователь проходит проверку подлинности (аутентификацию). Токены данного типа автоматически передают информацию для аутентификации на компьютер клиента, как только устанавливается физическая связь. Что избавляет пользователя вводить данные аутентификации вручную. Чтобы использовать токен с подключением, должно быть установлено соответствующее устройство ввода. Наиболее распространённые токены с подключением — это смарт-карты и USB, которые требуют смарт-карт ридер и USB порт, соответственно.
PC Card широко используются в ноутбуках. Предпочтительными в качестве токена являются карты типа II, потому что они в 2 раза тоньше чем, карты типа III.
Аудио вход (audio jack port) может быть использован для установления связи между мобильными устройствами, такими как iPhone, iPad и Android. Наиболее известное устройство — это Square, карт ридер для iPhone и Android.
Технология передачи данных с помощью данного устройства скрыта патентом компании Apple, но преподаватели и студенты факультета электротехники и компьютерных наук Мичиганского университета разработали устройство «HiJack», которое позволяет обмениваться данными между периферическим устройством с низким энергопотреблением и i устройством. Небольшой мощности, которую получает HiJack с аудио порта, достаточно для питания микроконтроллера TI MSP430 и соединения HiJack со специально разработанным для iOS приложением.[3]
Токены могут также использоваться в качестве фото удостоверения личности. Сотовые телефоны и PDAs могут служить токенами безопасности при правильном программировании.
Смарт-карты
Многие токены с подключением используют технологии смарт-карт. Смарт-карты очень дешёвые и содержат проверенные механизмы безопасности (которые используются финансовыми учреждениями, как расчётные карты). Однако, вычислительная производительность смарт-карт весьма ограничена из-за низкого энергопотребления и требования ультра тонких форм.
Смарт-карты на основе USB токенов, которые содержат чип смарт-карты внутри, обеспечивают функциональность как USB, так и смарт-карт. Они включают широкий ряд решений по безопасности и обеспечивают защиту традиционной смарт-карты, не требуя уникального устройства ввода. С точки зрения операционной системы компьютера, такой токен является подключённым через USB смарт-карт ридером с одной несъёмной смарт-картой внутри.[4]
Пример использования токена
С помощью токена можно защитить учётную запись на компьютере, используя сложный пароль, не запоминая его. Для этого вы должны купить программное обеспечение(например: eToken Network Logon) и токен, подходящий к нему. С помощью программы токен получит ключ для входа в систему. При повторном запуске вам потребуется вставить токен (например в USB порт) и ввести PIN. После проделанных операций вы получаете доступ к системе.
Беспроводные токены
В отличие от токенов с подключением, беспроводные токены формируют логическую связь с компьютером клиента и не требуют физического подключения. Отсутствие необходимости физического контакта делает их более удобными, чем токены с подключением и токены без подключения. В результате данный тип токенов является популярным выбором для систем входа без ключа и электронных платежей, таких как Mobil Speedpass, которые используют RFID, для передачи информации об аутентификации от токена брелока. Тем не менее существуют различные проблемы безопасности, после исследований в Университете имени Джона Хопкинса, и Лаборатории RSA обнаружили, что RFID метки могут быть легко взломаны.[5] Ещё одной проблемой является то, что беспроводные токены имеют относительно короткий срок службы 3-5 лет, в то время как USB токены могут работать до 10 лет.
Bluetooth-токен РутокенBluetooth-токены
Bluetooth-токены удобны в применении, поскольку для их использования не требуется физического подключения устройства, токен может находится в кармане пользователя. Также одним из преимуществ Bluetooth-токенов является возможность работы с мобильными устройствами, многие из которых не поддерживают возможность физического подключения. Стоит отметить, что Bluetooth-токенам необходимо собственный элемент питания для работы беспроводного модуля и криптографического устройства, поэтому в них устанавливается аккумулятор, который периодически необходимо заряжать (для современных устройств время работы составляет около 40 часов). Зарядка встроенного аккумулятора осуществляется либо с помощью специального блока питания, либо с помощью обычного USB-штекера, который одновременно позволяет использовать USB-подключение, если нет возможности подключения через Bluetooth. Bluetooth-аутентификация работает на расстоянии около 10 метров, что позволяет выполнять определённые действия, если пользователь отлучился (например, заблокировать рабочий компьютер).
Токен и технологии единого входа
Некоторые виды единого входа используют токены для хранения программного обеспечения, которое позволяет быстро пройти аутентификацию. Поскольку пароли хранятся на токене, то пользователю не требуется запоминать его, тем самым можно использовать более безопасные, сложные пароли.
Работа с веб-приложениями посредством плагина
При использовании токена или смарт-карты в веб-приложениях взаимодействие браузера и средства электронной подписи осуществляется через специальный плагин. С помощью плагина веб-приложение получает с подключенных токенов перечень доступных сертификатов, запрашивает установку электронной подписи.
В то же время использование плагина от определённого производителя затрудняет применение средств электронной подписи других вендоров. Для решения этой задачи разрабатываются универсальные плагины, например:
- плагин для работы с порталом государственных услуг, поддерживающий наиболее распространённые средства электронной подписи. Плагин предназначен для использования в инфраструктуре электронного правительства, поддерживает исключительно квалифицированные средства электронной подписи. По состоянию на начало 2016 г. не работает в последних версиях Mac OS X и в браузере Google Chrome.
Мобильные устройства в качестве токена
Мобильные вычислительные устройства, такие как смартфоны или планшеты, могут быть использованы в качестве токена. Они также обеспечивают двухфакторную аутентификацию, которая не требует, чтобы пользователь носил с собой дополнительное физическое устройство. Некоторые производители предлагают решение для аутентификации через мобильное устройство, использующее криптографический ключ для аутентификации пользователя. Это обеспечивает высокий уровень безопасности, включая защиту от атаки «человек посередине».
Уязвимости
Простейшая уязвимость с любым токеном — это его потеря или кража. Вероятность случая компрометации может быть уменьшена с помощью личной безопасности, например: замки, электронная привязь, сигнализация. Украденные токены бесполезны для вора, если использована технология двухфакторной аутентификации. Как правило для проверки подлинности требуется вводить персональный идентификационный номер (PIN) вместе с информацией на токене.
Любая система, которая позволяет пользователям аутентифицироваться через ненадёжную сеть (например, Интернет) является уязвимой к атаке «человек посередине». MITM-атака (англ. Man in the middle) — термин в криптографии, обозначающий ситуацию, когда криптоаналитик (атакующий) способен читать и видоизменять по своей воле сообщения, которыми обмениваются корреспонденты, причём ни один из последних не может догадаться о его присутствии в канале. Метод компрометации канала связи, при котором взломщик, подключившись к каналу между контрагентами, осуществляет активное вмешательство в протокол передачи, удаляя, искажая информацию или навязывая ложную.
Надёжная, как обычная рукописная подпись, цифровая подпись должна быть сделана с помощью закрытого ключа, известного только лицу, уполномоченному сделать подпись. Токены, которые позволяют безопасное генерирование и хранение закрытых ключей, обеспечивают безопасную цифровую подпись, а также могут быть использованы для проверки подлинности пользователя, закрытый ключ также служит для идентификации пользователя.
TrustScreen
Технология TrustScreen призвана повысить безопасность онлайн операций в дистанционном банковском обслуживании (ДБО) и других ответственных приложениях. Её задача состоит в защите от подмены злоумышленником подписываемого документа или его хеша в процессе подписи, а также от выполнения несанкционированных операций в случае успешного перехвата PIN-кода. Технология делает возможным визуальный контроль подписываемых данных, которые отображаются на экране устройства непосредственно перед подписью. Все значимые операции над отправленными на подпись данными производятся «на борту» устройства:
- визуализация документа на экране с целью контроля корректности,
- вычисление хеша документа,
- подпись хеша документа производится на неизвлекаемом ключе,
- ввод PIN-кода или команды подтверждения подписи, минуя клавиатуру компьютера.
См. также
Примечания
Ссылки
- Источники
- Основной источник
wiki.sc