Что такое аппаратное устройство и файловый ключ
Электронный ключ - небольшое по размерам аппаратное устройство.
Основой данной технологии является специализированная алгоритмы работы. Донглы также имеют защищённую шифрующих алгоритмов), часы реального времени. Аппаратные ключи могут иметь различные HASP от Aladdin, Rockey от Feitian, SenseLock от Seculab, Sentinel от SafeNet и др.
Содержание
История [ ]
Защита ПО от нелицензионного пользования увеличивает прибыль разработчика. На сегодняшний день существует несколько подходов к решению этой проблемы. Подавляющее большинство создателей ПО используют различные программные модули, контролирующие доступ пользователей с помощью ключей активации, серийных номеров и т. д. Такая защита является дешёвым решением и не может претендовать на надёжность. Интернет изобилует программами, позволяющими нелегально сгенерировать ключ активации ( крэки ). Кроме того, не стоит пренебрегать тем фактом, что сам легальный пользователь может обнародовать свой серийный номер.
Защита ПО с помощью электронного ключа [ ]
Комплект разработчика ПО [ ]
Донгл относят к аппаратным методам защиты ПО, однако современные электронные ключи часто определяются как мультиплатформенные аппаратно-программные инструментальные системы для защиты ПО. Дело в том, что помимо самого ключа компании, выпускающие электронные ключи, предоставляют Технология защиты [ ]
Для большинства семейств аппаратных ключей разработаны автоматические инструменты (входящие в сжатие исполняемого файла) и др.
Важно то, что для использования автоматического инструмента защиты не требуется доступ к Реализация защиты с помощью функций API [ ]
Помимо использования автоматической защиты, разработчику ПО предоставляется возможность самостоятельно разработать защиту, интегрируя систему защиты в приложения на уровне исходного кода. Для этого в SDK включены Обход защиты [ ]
Задача Эмуляция ключа [ ]
При кодирования были реализованы программно. Аппаратная реализация кодирования существенно усложнила задачу, поэтому злоумышленники предпочитают атаковать какой-то конкретный защищенный продукт, а не защитный механизм в общем виде.
Взлом программного модуля [ ]
Злоумышленник исследует логику самой программы, с той целью, чтобы, проанализировав весь код приложения, выделить блок защиты и деактивировать его. Взлом программ осуществляется с помощью Литература [ ]
Первоначально аппаратные ключи были созданы как средство борьбы с несанкционированным копированием программных продуктов, но в дальнейшем сфера их применения значительно расширилась.
Наиболее распространенным и надежным способом защиты от несанкционированного запуска стали программно-аппаратные ключи, подключаемые к COM-, LPT- или USB-портам. Почти все коробочные варианты серьезного коммерческого ПО используют программно-аппаратные комплексы защиты, более известные как аппаратные ключи защиты. Такие способы защиты основаны на том, что в компьютер добавляется специальное физическое защитное устройство, к которому при запуске защищаемой программы обращается ее контролирующая часть, проверяя наличие ключа доступа и его параметров. Если ключ не найден (устройства обычно формируют еще и код ответа, который затем анализируется программой), то программа не запустится (или не будет разрешен доступ к данным).
Общий принцип работы компьютера в этом случае следующий. После запроса на выполнение защищаемой программы происходят ее загрузка в оперативную память и инициализация контролирующей части. На физическое устройство защиты, подсоединенное к компьютеру, посылается запрос. В ответ формируется код, посылаемый через микропроцессор в оперативную память для распознавания контролирующей частью программы. В зависимости от правильности кода ответа программа либо прерывается, либо выполняется.
В дальнейшем сфера применения таких ключей значительно расширилась. Сегодня этот ключ используется для идентификации владельца, для хранения его личной электронной подписи, конфиденциальной информации, а также как кредитная смарт-карта или электронные деньги.
Таким образом, мы имеем сегодня недорогое средство для широкомасштабного внедрения смарт-ключей в качестве персональных идентификаторов или в составе так называемых ААА-систем (аутентификация, авторизация и администрирование). До сих пор предлагалось оснащать компьютеры специальными считывателями, что, конечно, нереально. Современные устройства биометрической аутентификации пользователей (столь часто показываемые в голливудских фильмах) типа систем, работающих с отпечатками пальцев или со снимками радужной оболочки глаза, стоят настолько дорого, что не найдут широкого практического применения. При этом в любом случае следует помнить, что абсолютно надежной защиты не существует. Любую защиту можно сломать, поэтому необходимо искать оптимальное соотношение затрат на создание защиты и прогнозируемых затрат на ее взлом, учитывая также ценовое соотношение с самими защищаемыми продуктами.
Сегодня все острее встает проблема обеспечения безопасности при использовании сетевых технологий и все более насущной становится потребность в решениях по защите мобильных пользователей. Появляются и беспроводные аппаратные ключи защиты приложений, работающие по технологии Bluetooth. Так, тайваньская компания First International Computer продемонстрировала PDA с соответствующим модулем и беспроводной аппаратный ключ защиты приложений BlueGenie, разработанный в сотрудничестве с Silicon Wave.
HASP — это аппаратно-программная инструментальная система, предназначенная для защиты программ и данных от нелегального использования, пиратского тиражирования и несанкционированного доступа к данным, а также для аутентификации пользователей при доступе к защищенным ресурсам. В первых версиях это небольшое устройство подключалось к параллельному порту компьютера. Затем появились USB-HASP-устройства. Иметь маленький USB-ключ значительно удобнее, чем большой 25-штырьковый сквозной разъем, да и часто возникающие проблемы с совместимостью ключей и устройств, работающих через параллельный порт, типа принтеров и ZIP-дисководов изрядно утомляли пользователей. А с USB-устройствами работает автоматическое подключение (рlug-and-рlay), порты USB выносятся на переднюю панель, встраиваются в клавиатуру и монитор. А если даже такого удобного разъема под рукой нет, то в комплекте с этими ключами часто продают удлинители. Существуют несколько разновидностей ключей — с памятью, с часами и т.д.
Используя память ключа, разработчик может:
- управлять доступом к различным программным модулям и пакетам программ;
- назначать каждому пользователю защищенных программ уникальный номер;
- сдавать программы в аренду и распространять их демо-версии с ограничением количества запусков;
- хранить в ключе пароли, фрагменты кода программы, значения переменных и другую важную информацию.
У каждого ключа HASP с памятью имеется уникальный опознавательный номер, или идентификатор (ID-number), доступный для считывания защищенными программами и позволяющий различать пользователей. Идентификатор присваивается электронному ключу в процессе изготовления, что делает невозможным его замену, но гарантирует надежную защиту от повтора. С использованием идентификатора можно шифровать содержимое памяти и использовать возможность ее дистанционного перепрограммирования.
Hardlock
Такие ключи могут устойчиво работает во всех компьютерах (включая ноутбуки), на различных портах, в самых разных режимах, позволяя подключать через них практически любые устройства — принтеры, сканеры, модемы и т.п. А малый ток потребления позволяет каскадировать любое количество ключей.
eToken
ак уже говорилось, наилучшим решением сегодня в области защиты информации являются смарт-карты, но для их использования необходимы специальные устройства считывания (карт-ридеры). Эту проблему снимают устройства типа eToken — электронные смарт-ключи производства той же компании Aladdin, подключаемые напрямую к USB-порту.
Кроме того, eToken выполнен в прочном водонепроницаемом корпусе и защищен от воздействия окружающей среды. Он имеет защищенную энергонезависимую память (модели PRO и RIC снабжены микропроцессором). Небольшой размер позволяет носить его на связке с ключами.
Если нужно подключить к компьютеру несколько ключей одновременно, а USB-портов не хватает, то можно воспользоваться концентратором (USB-HUB). Для удобства применения eToken поставляется вместе с удлинителем для USB-порта.
Таким образом, eToken может стать универсальным ключом, легко интегрируемым в различные системы для обеспечения надежной аутентификации. С его помощью можно осуществлять безопасный доступ к защищенным Web-страницам, к сетям, отдельным приложениям и т.д. Универсальность применения, легкость в использовании, удобство для пользователей и администраторов, гарантированное качество делают его прекрасным средством при необходимости использовать цифровые сертификаты и защищенный доступ.
Secret Disk
случае если объем конфиденциальной информации довольно значителен, можно воспользоваться устройством Secret Disk, выполненным с применением технологии eToken. Secret Disk — это разработка компании Aladdin Software Security R.D., предназначенная для защиты конфиденциальной информации на персональном компьютере с ОС Windows 2000/XP.
Принцип защиты данных при помощи системы Secret Disk заключается в создании на компьютере пользователя защищенного ресурса — секретных дисков, предназначенных для безопасного хранения конфиденциальной информации. Доступ к этой информации осуществляется посредством электронного ключа eToken, подсоединяемого к USB-порту компьютера. Доступ к информации, защищенной системой Secret Disk, получают только непосредственный владелец информации и авторизованные им доверенные лица, имеющие электронный ключ eToken и знающие его PIN-код. Для других пользователей защищенный ресурс будет невидим и недоступен. Более того, они даже не догадаются о его наличии.
Устанавливая на компьютере систему Secret Disk, пользователь может быть уверен в сохранности защищаемых данных. Конфиденциальная информация не может быть просмотрена, скопирована, уничтожена или повреждена другими пользователями. Она не может быть использована посторонними при ремонте или краже компьютера, а также при утере съемного зашифрованного диска.
Заключение
Однако даже индивидуальным пользователям к таким хранилищам стоит относиться с опаской: если специальное устройство хранит все пароли пользователя (в том числе и его private key) и впускает его в систему по аппаратному ключу, то достаточно подобрать к этому устройству один пароль — и все секреты как на ладони…
Для защиты я выбрал USB ключ с HID интерфейсом и с открытым кодом программного модуля защиты. Такой HID-ключ позволяет обойтись без установки драйверов ключа, что очень удобно для конечного пользователя. Также HID интерфейс прекрасно работает в «SafeMode» режимах загрузки операционных систем.
Открытый код модуля защиты – не нужно линковать библиотеки и прилагать к защищаемой программе чужие *.dll файлы.
Сам ключ содержит 5 участков памяти по 2 кБайта и RTC (часы с батарейкой), каждый участок защищен ПИН-кодом из 16 байт.
Цель защиты
— не запускать приложение при отсутствии ключа защиты;
— предупреждать и закрывать приложение при удалении ключа защиты.
Ограничивать время использования программы будем в следующий раз. Для построения защиты буду использовать один защищенный участок памяти в ключе.
Защищаемый объект
Для примера создадим самую простую программу: диалоговое окно MFC, воспользовавшись волшебником visual studio. В наше приложение, кроме потока окна, добавим поток, который в основном окне печатает текущее время.
Подготовка ключа
Прежде чем использовать ключ его необходимо сконфигурировать с помощью утилиты из SDK ключа:
— установить на защищенный участок памяти свой секретный ПИН код (заводские значения: ).
— заполнить необходимыми данными сам участок памяти.
ПИН я сменил на: < 0x00,0x01,0x02,0x03,0x04,0x05,0x06,0x07,0x08,0x09,0x0a,0x0b,0x0c,0x0d,0x0e,0x0f >.
Такой же последовательностью заполнил первые 16 байт в памяти ключа.
Установка защиты
Для внедрения программного модуля защиты в созданный проект нужно подключить 2 файла: «HID_1.cpp» и «HID_1.h». В них находится исходный код класса, который позволяет обращаться к ключу.
В файле «HID_1.h» можно изменить настройки модуля, и параметры шины USB ключа — оставим все по умолчанию. Компилируем проект.
После успешной компиляции и запуска всё это выглядит так:
Теперь все готово для работы с ключом
В коде, где создается само окно приложения, файл «Example_1.cpp», добавляем обращение к ключу:
Код потока, следящего за ключом
.
volatile bool glob_exit_f = false;
.
DWORD WINAPI myThread_watchdog(LPVOID lParam)
BYTE my_main_pin[16] = ;
BYTE data_in_key[16] = ;
HID_bridge my_hid(
my_main_pin, //Указатель на массив ПИН-кода.
HID_DEFAULT_PROFILE_ID); //Устанвка номера профиля.
BYTE my_buf[16]; //буфер, в который будут считаны данные из ключа
int result = -1;
int answ = -1;
while(!glob_exit_f) <
answ = my_hid.read_closed_data_ex(
my_buf, // Указатель на буфер, в который сохранятся принятые данные профиля.
0, // Адрес в профиле, с которого начнется чтение, в данном случае чтение с самого начала профиля (с 0-го байта).
sizeof(my_buf)); // Количество байт, которое нужно прочесть. Размер буфера.
result = -1;
if(answ == HID_KEY_OK) < // анализируем ответ
// Если ключ найден и данные считаны - анализируем эти данные
// Данные, которые должны быть записаны в ключе:
BYTE data_in_key[16] = ;
result = memcmp(data_in_key, my_buf, sizeof(my_buf)); // Сравниваем полученные данные
>
if(result) glob_exit_f = true;
> else Sleep(WATCHDOG_SLEEP_TIME);
>
>
return 0;
>
В итоге
Поставленная задача защиты решена. Обращаю Ваше внимание, что это пример, в котором всё упрощено. Строить настоящую защиту на одном флаге, конечно же, не стоит. А хранить ПИН-код доступа как в примере — вообще преступление.
АПИ ключа намного шире, в данном примере я использовал лишь малую часть всех возможностей.
А что же происходит на шине USB?
Любой USB сниффер покажет какие устройства подключены к шине данных и чем они обмениваются с компьютером.
Для меня важным показателем является время ответа ключа на команду. На рисунке «черным» выделена команда к ключу, «синим» — ответ ключа. В среднем время отклика составляет 32 мс (+31… +32 . ). Т.е. за это время ключ обработал команду и вернул ответ. Больших задержек это не вносит.
Криптографическая защита протокола обмена
HID пакеты на шине USB имеют длину 64 байта. Как сказано в описании ключа первые 32 байта этого пакета технологические, остальные 32 байта – шифрованные алгоритмом RC6, причем для каждой пары пакетов (TX-RX) ключ шифрования выбирается случайно. Этот временный ключ шифруется ключом, созданным на основе ПИН-кода, того самого в 16 байт, о котором написано выше.
Получается, что передача одной и той же команды ключу и получение одного и того же ответа приводит к абсолютно не связанным транзакциям на шине USB. Если кто-то решит анализировать трафик с целью написания табличного эмулятора, то он будет разочарован. Так как пары — (TX-RX) ни разу не повторяются.
Электронный ключ — это аппаратный инструмент, который используется для защиты ПО и электронных документов от незаконного копирования, несанкционированного применения или распространения третьими лицами. Также встречается другие его названия — электронная (или цифровая) подпись, etoken. Сегодня это обязательный реквизит для подтверждения подлинности ряда электронных документов. Его используют, чтобы зафиксировать определенное состояние информации — например, внесение или, наоборот, отсутствие каких-либо изменений с момента подписания документа.
ЭП или ЭЦП?
Ранее в обходе была аббревиатура ЭЦП — электронная цифровая подпись. Но после вступления в силу ФЗ № 63 это название сократилось до ЭП, электронная подпись. Именно для электронной подписи используется электронный ключ. По законодательству РФ под ЭП понимают эквивалент подписи, которая ставится «от руки» и обладает аналогичной юридической силой. Электронная подпись позволяет физическим лицам удаленно (через интернет) подписывать документы с государственными, финансовыми, медицинскими, учебными и другими учреждениями. Юридические лица могут с ее помощью участвовать в электронных торгах, вести электронный документооборот (ЭДО), сдавать отчеты в налоговую и т. п.
Техническая реализация
Электронный ключ подписи выполнен в виде микросхемы или микроконтроллера, оснащенного энергонезависимой памятью. Чаще всего это устройства в виде флеш-накопителя, который подключается к компьютеру или ноутбуку через USB-порт. Чуть реже выпускаются аппаратные ключи с LPT- или PCMCIA-интерфейсами.
Если по роду деятельности вам приходится регулярно сталкиваться с электронными ключами, наверняка у вас часто возникали сомнения в их защищенности, а также том, насколько надежны они в системах хранения денежных средств или важной информации. Об этом не стоит беспокоиться. Когда такой ключ подсоединяют к компьютеру или ноутбуку, он начинает взаимодействовать с защищенной программой. Та посредством драйвера отправляет ему определенную информацию, цифровой носитель с электронным ключом ее обрабатывает и отправляет обратно. Если информация корректная (т. е. ключ «ответил» правильно) программа может продолжить свою работу, в противном случае дальнейшие действия с ней будут немедленно заблокированы. Целостность, аутентичность и подлинность документов, которые подписываются электронной подписью, гарантируют надежные криптографические протоколы и алгоритмы, а также программно-аппаратные решения, которые работают на их базе.
Иногда используется другое определение тому, что такое электронный ключ. Альтернативный вариант исполнения электронного ключа или etoken’а — программное приложение. Его также называют виртуальным электронным ключом. В таком формате особенно часто его используют для подтверждения банковских и других финансовых операций через интернет. Однако портативные устройства в виде USB-флешек считаются более защищенными, так как в них подтверждение каждой транзакции происходит внутри устройства, то есть физически не покидает его пределов.
Как получить персональный электронный ключ
Вариантов сделать это два: для тех, у кого уже есть ЭЦП, и тех, у кого ее еще нет. Один из самых популярных способов создания ЭП базируется на способе ассиметричного шифрования. При этом шифруется не весь файл целиком, а только часть — хэш. При этом генерируются два типа ключа: закрытый и открытый. С помощью открытого узнать значение закрытого невозможно, поэтому если он попадет в свободный доступ, у вас не будет поводов для волнений. Однако открытый ключ потребуется для расшифровки закрытого, по отдельности друг от друга они не представляют никакой ценности.
Для создания электронного ключа потребуется действующий сертификат, который подтверждает подлинность электронной подписи. Получить сертификат можно в любом Удостоверяющем центре, который прошел аккредитацию в Минкомсвязи РФ. Ознакомиться с перечнем всех доступных и выбрать ближайший к вам Удостоверяющий центр можно на официальном веб-сайте ведомства.
Как сделать точную копию электронного ключа? Для этого необходимо перенести его вместе с сертификатами на иное устройство — компьютер или ноутбук. Есть как минимум два способа сделать это на практике.
- Если ключей несколько (не более десяти штук), воспользуйтесь специальным программным обеспечением. Удобной и надежной в работе зарекомендовала себя программа CryptoPro. Главное — устанавливайте ее с официального сайта разработчика, а не с подозрительных веб-ресурсов, на которых может быть размещен зараженный вирусами дистрибутив.
- Если ключей и сертификатов к ним много, скопируйте исходные файлы, в которых содержится зашифрованная информация. Это более сложный и затратный по времени способ, который требует определенных знаний и опыта. Но именно к нему прибегают во многих организациях с большим количеством электронных ключей — от нескольких десятков до нескольких сотен.
Рекомендации по работе для пользователей ЭП
Разберемся подробно, для чего нужен электронный ключ и как его получить разным категориям населения. Электронная цифровая подпись массово используется в системах ЭДО, особенно для подготовки отчетности в налоговую индивидуальными предпринимателями. Им удобнее делать это в удаленном режиме, без посещения налоговой службы лично — так они экономят время и могут использовать его на развитие своего дела. Но при этом нужно учитывать, что нет универсального электронного ключа, который можно применять для разных задач. Отдельно придется получать квалифицированную ЭП для налоговой, подпись для ЕГАИС и электронных торгов. Однако временные затраты на эти мероприятия оправдывают себя в 100 % случаев, так как:
- вы сокращаете расходы на ведение ЭДО;
- вы не тратите время на посещение налоговой и других контролирующих органов;
- вы можете принимать участие в Госзакупках и торгах, а также международной торговле.
Как получить электронный ключ ИП?
В пакет документов, которые необходимо подать ИП, входят: паспорт гражданина РФ, свидетельство о регистрации индивидуального предпринимателя, СНИЛС, ИНН, выписка из ЕГРИП, платежные реквизиты.
Как получить электронный ключ юрлицам?
Им так же регулярно, как и ИП, приходится ставить электронную подпись. Но для получения электронного ключа они обязаны предъявить иной пакет документов:
- приказ, который подтверждает назначение руководителя компании;
- паспорт гендиректора (отсканированная копия первого разворота и страницы с пропиской);
- СНИЛС и ОГРН;
- ИНН организации;
- платежные реквизиты.
Согласно действующему законодательству РФ электронная подпись выступает аналогом печати для юридического лица, но без физического его присутствия таким образом она не работает. Доступ к электронной подписи может иметь генеральный директор компании или другой ее представитель, наделенный приказом соответствующими полномочиями.
Если требуется изготовить усиленную цифровую подпись, сделать это можно в Удостоверяющем центре. Забрать ее оттуда имеет право только учредитель компании или гендиректор. Накопитель можно выбирать произвольно: токен или флеш-накопитель. В комплекте к такой электронной подписи всегда идет комплект ПО, которое устанавливается для обмена информацией с партнерами организации, а также ключ и сертификат. Все компоненты являются обязательными для использования.
Как получить электронный ключ физическому лицу?
Изначально электронные ключи были предназначены только для ИП и юрлиц, но в последнее время ими активно пользуются обычные интернет-пользователи (физические лица). Где им будет полезна электронная подпись:
Сколько стоит и как долго действует электронный ключ?
Здесь нужно разделять понятия «электронный ключ» как цифровой носитель информации и непосредственно электронная подпись. Стоимость электронной подписи будет отличаться в зависимости от ее типа, комплектации и целевого назначения. Например, ЭП для подписи документов в налоговой будет отличаться по стоимости от ЭП, предназначенной для участия в электронных торгах. Срок действия независимо от выбранного типа составит ровно 12 месяцев со дня оформления, но с возможностью продления, что значит следующее: после вам необходимо заново подготовить пакет документов и подать заявку в Удостоверяющий центр.
Как избежать проблем при использовании электронных ключей
Несмотря на то, что электронный цифровой ключ — это безопасно и надежно, необходимо придерживаться определенных правил по работе с ними. Это поможет избежать ряда типичных проблем, с которыми сталкиваются неподготовленные пользователи ЭП.
- Не подключайте электронный ключ к компьютеру, если аналогичный интерфейс (чаще всего USB) параллельно использует другое устройство. Если этого не избежать, для работы с электронным ключом установите отдельную физическую плату.
- Всегда обращайте внимание на реакцию операционной системы после подключения к устройству электронного ключа. Если она ведет себя некорректно, ключ не работает или работает не так, как вы ожидаете, немедленно обратитесь за помощью к специалистам.
- Если к компьютеру подключен электронный ключ, воздержитесь от подключения к нему других периферийных устройств с отдельным питанием (например, принтеров). Это может вывести из строя любое из этих устройств.
- Не подключайте одновременно к одному компьютеру несколько электронных ключей, даже если у вас есть необходимое количество портов. В некоторых случаях это оправдано и ключи даже предполагают параллельное подключение друг к другу, но в других ситуациях это может вызвать сбои, о которых производители не всегда предупреждают заранее.
- Не допускайте механического повреждения электронных ключей — в частности, падений, ударов и сильных вибраций. Также стоит оберегать их от воздействия критично низких и высоких температур, агрессивных сред, прямого ультрафиолетового воздействия.
- Внимательно отнеситесь к установке драйверов для электронных ключей. Не инсталлируйте те драйвера, которые по умолчанию предлагает операционная система, пользуйтесь только тем ПО, которое рекомендует поставщик решения.
Надеемся, из этой статьи понятно, что такое электронный ключ подписи, где и при каких обстоятельствах он используется и как его получить разным категориям населения — физическим лицам, юридическим лицам и индивидуальным предпринимателям.
У вас похожая задача? Оставьте заявку, и наши специалисты свяжутся с вами в ближайшее время и подробно проконсультируют.
Таким образом, рассмотрев различные технологии аппаратно-программной и парольной аутентификации можно сделать вывод, что в дальнейшем по мере роста вычислительных мощностей все более востребованным будет именно применение двухфакторной аутентификации, что позволит избежать человеческих ошибок, связанных с применением слабых паролей и ужесточить требования к парольной аутентификации.
Безмал ый В.Ф.
Одним из важнейших процессов, создаваемых для соблюдения такого свойства информации , как конфиденциальность, является ограничение доступа. Наиболее распространен такой процесс аутентификации как использование пароля. Практически с момента создания первых многопользовательских операционных систем для ограничения доступа используются пароли. Вспомним историю.
Операционные системы Windows 95/98 сохраняли пароль в PWL файле. PWL файлы хранились в каталоге Windows. Их имена, как правило, хранились как USERNAME.PWL. Вместе с тем стоит отметить, что PWL файл был зашифрован и извлечь из него пароли было не просто. Первый алгоритм шифрования версии Windows’95 был создан так, что позволял создать программы для расшифровки PWL файлов. Однако в версии OSR2 этот недостаток был устранен. Система защиты паролей в OSR2 была сделана профессионально и достоверно в терминах криптографии. Однако, несмотря на это, содержала несколько серьезных недостатков, а именно:
- все пароли преобразованы к верхнему регистру, это значительно уменьшает количество возможных паролей;
- используемые для шифрования алгоритмы MD5 и RC4 позволяют более быстрое шифрование пароля, но достоверный пароль Windows должен быть, по крайней мере, длиной в девять символов.
Система кэширования пароля по существу ненадежна. Пароль может быть сохранен только втом случае , если никакой персонал, не имеющий соответствующего разрешения, не может обращаться к вашему компьютеру.
В настоящее время рекомендуемая Microsoft длина пароля для рабочей станции Windows XP должна составлять не менее 8 символов, при этом в пароле должны встречаться большие и маленькие буквы, цифры и спецсимволы. При этом время жизни пароля должно составлять не более 42 дней. К тому же на пароль налагается требование неповторяемости. В дальнейшем эти требования будут только ужесточаться. К чему это приведет, вернее, увы, уже приводит? Чем сложнее пароли, чем больше приложений требуют ввод пароля, тем выше вероятность того, что ваши пользователи для всех приложений, в том числе и для аутентификации в ОС, будут использовать один и тот же пароль или они будут записывать его на бумагу. Хорошо это или плохо? Допустимо ли?
С одной стороны – явно не допустимо, так как резко вырастает риск компрометации пароля, с другой – слишком сложный пароль (типа PqSh *98+) весьма сложно удержать в голове , и пользователи явно будут либо выбирать простой пароль, либо постоянно забывать его и звать администратора. Да добавим сюда еще и необходимость его постоянной смены, и требование неповторяемости паролей. Что делать? Где выход?
На самом деле уже на сегодня существует несколько вариантов как помочь пользователю в решении этой нелегкой проблемы. Попробуем их кратко описать здесь.
Первый вариант . На видном месте в комнате (на стене, на столе) вывешивается (кладется) плакат с лозунгом. После этого в качестве пароля используется текст, содержащий, предположим, каждый третий символ лозунга, включая пробелы и знаки препинания. Не зная алгоритма выбора знаков, подобный пароль подобрать довольно сложно.
Второй вариант . В качестве пароля выбирается (генерируется с помощью специального ПО) случайная последовательность букв, цифр и специальных символов. Дан ный пароль распечатывается на матричном принтере на специальных конвертах, которые нельзя вскрыть, не нарушив целостност и. Примером такого конверта может служить PIN -конверт к платежной карте. Далее такие конверты хранятся в сейфе начальника подразделения или сейфе службы информационной безопасности. Единственной сложностью при таком способе хранения является необходимость немедленной смены пароля сразу после вскрытия конверта и изготовления другого подобного конверта с новым паролем, а также организация учета конвертов. Однако если учесть сбережение времени администраторов сети и приложений, то эта цена не является чрезмерной.
Третий вариант – использование двухфакторной аутентификации на базе новейших технологий аутентификации. Основным преимуществом двухфакторной аутентификации является наличие физического ключа и пин-кода к нему, что обеспечивает дополнительную устойчивость к взлому. Ведь утрата аппаратного ключа не влечет за собой компрометаци и пароля, так как кроме ключа для доступа к системе нужен еще и пин-код к ключу.
Отдельно стоит рассмотреть системы с применением разовых паролей, которые получают все большее распространение в связи с широким развитием Интернет-технологий и системы биометрической аутентификации.
В настоящее время основным способом защиты информации от несанкционированного ознакомления (модификации, копирования) является внедрение так называемых средств AAA (authentication, authorization, administration – аутентификация, авторизация, администрирование).
При использовании этой технологии пользователь получает доступ к компьютеру лишь после того, как успешно прошел процедуры идентификации [1] и аутентификации [2] .
Стоит учесть, что на мировом рынке ИТ-услуг традиционно растет сегмент ААА. Эта тенденция подчеркивается в аналитических обзорах IDC, Gartner и других фирм.
То есть в дальнейшем мы с вами все чаще будем встречаться именно с программно-аппаратными средствами аутентификации, которые постепенно придут на смену традиционным паролям.
Современные программно-аппаратные средства идентификации и аутентификации по виду идентификационных признаков можно разделить на электронные, биометрические и комбинированные. В отдельную подгруппу в связи с их специфическим применением можно выделить системы одноразовых паролей, входящие в состав электронных (рис. 1.).
Рис. 1 . Классификация программно-аппаратных систем идентификации и аутентификации.
В электронных системах идентификационные признаки представляются в виде кода, хранящегося в памяти идентификатора (носителя). Идентификаторы в этом случае бывают следующие:
- контактные смарт-карты;
- бесконтактные смарт-карты;
- USB-ключи (USB-token);
- iButton.
В биометрических системах идентификационными являются индивидуальные особенности человека, которые в данном случае называются биометрическими признаками. Идентификация производится за счет сравнения полученных биометрических характеристик и хранящихся в базе шаблонов. В зависимости от характеристик, которые при этом используются, биометрические системы делятся на статические и динамические.
Статическая биометрия основывается на данных (шаблонах), полученных из измерений анатомических особенностей человека (отпечатки пальцев, узор радужки глаза и т.д.).
Динамическая основывается на анализе действий человека (голос, параметры подписи, ее динамика).
В комбинированных системах используется одновременно несколько признаков, причем они могу принадлежать как системам одного класса, так и разным.
В состав электронных систем идентификации и аутентификации входят контактные и бесконтактные смарт-карты и USB-token. Что такое USB -ключ, мы рассмотрим на примере eToken от компании Aladdin Software.
eToken – персональное средство аутентификации и хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и электронными цифровыми подписями (ЭЦП). eToken может быть выполнен в виде USB-ключа или стандартной смарт-карты.
eToken поддерживает работу и интегрируется со всеми основными системами и приложениями, использующими технологии смарт-карт или PKI (Public Key Infrastructure).
- с трогая двухфакторная аутентификация пользователей при доступе к защищенным ресурсам (компьютерам, сетям, приложениям);
- б езопасное хранение закрытых ключей цифровых сертификатов, криптографических ключей, профилей пользователей, настроек приложений и пр. в энергонезависимой памяти ключа;
- а ппаратное выполнение криптографических операций в доверенной среде (генерация ключей шифрования, симметричное и асимметричное шифрование, вычисление хэш-функции, формирование ЭЦП).
eToken как средство аутентификации поддерживается большинством современных операционных систем, бизнес-приложений и продуктов по информационной безопасности.
- с трогая аутентификация пользователей при доступе к серверам, базам данных, разделам Web-сайтов;
- б езопасное хранение секретной информации: паролей, ключей шифрования, закрытых ключей цифровых сертификатов;
- защита электронной почты (цифровая подпись и шифрование, доступ);
- системы электронной торговли, «клиент-банк», «домашний банк»;
- защита компьютеров;
- защита сетей, VPN;
- клиент-банк, home-банк.
- строгую аутентификацию пользователей за счет использования криптографических методов;
- безопасное хранение ключей шифрования и ЭЦП , а также закрытых ключей цифровых сертификатов для доступа к защищенным корпоративным сетям и информационным ресурсам;
- мобильность пользователя и возможность безопасной работы с конфиденциальными данными в недоверенной среде (например, на чужом компьютере) за счет того, что ключи шифрования и ЭЦП генерируются ключом eToken аппаратно и не могут быть перехвачен ы;
- безопасное использование – воспользоваться ключом eToken может только его владелец, знающий PIN-код ключа;
- реализацию как западных, так и российских стандартов на шифрование и ЭЦП , сертифицированных ФАПСИ (ФСБ);
- удобство работы – ключ выполнен в виде брелка со световой индикацией режимов работы и напрямую подключается к USB-портам, которыми сейчас оснащен ы 100% компьютеров, не требует специальных считывателей, блоков питания, проводов и т.п.;
- использование одного ключа для решения множества различных задач – входа в компьютер, входа в сеть, защиты канала, шифрования информации, ЭЦП, безопасного доступа к защищенным разделам Web-сайтов, информационных порталов и т.п.
Бесконтактные смарт-карты разделяются на идентификаторы Proximity и смарт-карты, базирующиеся на международных стандартах ISO/IEC 15693 и ISO/IEC 14443. В основе большинства устройств на базе бесконтактных смарт-карт лежит технология радиочастотной идентификации.
Читайте также: