Аппаратный токен. Что такое токен и зачем он нужен? Что такое токен

Электронные ключи появились давно, но пока не сумели вытеснить стандартную процедуру идентификации по логину и паролю. Это более чем странно, учитывая, что современные USB-токены обеспечивают высокую степень защиты данных, практически неуязвимы перед внешними атаками и в достаточном количестве представлены на российском рынке. Главное, не ошибиться с выбором.

Пароль «устарел»

Идентификация с помощью «логина» и «пароля» — вещь обыденная. Однако, такая схема «распознавания» пользователя системой несколько устарела с точки зрения безопасности и удобства использования. Зачастую, увеличение акцента на защиту информации снижает комфортность контроля доступа для пользователя. Так, пароли созданные в соответствии с предъявляемыми требованиями к сложности (использование букв разного регистра, цифр, знаков препинания и служебных символов, длина минимум 8 символов) тяжелы для запоминания конечному пользователю. Таким образом, главной проблемой становится человеческий фактор.

К проблемам парольной аутентификации можно отнести еще и легкость подбора по словарю (если паролем служит слово или фраза из какого-нибудь языка, даже при условии замены букв на спецсимволы, например, P@ssw0rd), и перебором (особенно коротких паролей.) Также пароль может быть перехвачен или подсмотрен при его вводе либо получен путем применения насилия к его владельцу. Проблемы аутентификации пользователей в информационной системе выявлены очень давно, и уже были предложены различные решения. Современная тенденция — использование двухфакторной аутентификации на основе USB-токенов. В России доля таких устройств занимает доминирующее положение по отношению к смарт-картам и автономным токенам в результате более позднего формирования рынка аппаратных устройств аутентификации и мощной маркетинговой политики компаний-производителей. Основными игроками на Российском рынке USB-ключей (токенов) являются компании Aladdin, Rainbow Technologies, «Актив» совместно с «Анкад», RSA Security, а также Feitian Technologies с ее продуктом ePass.

Сколько стоит современная защита?

Интеллектуальные USB-ключи предназначены для работы в приложениях, к которым предъявляются повышенные требования с точки зрения защиты данных. USB-ключи можно назвать преемниками контактных смарт-карт, они практически повторяют их устройство, но не требуют специальных считывателей, что упрощает их внедрение и уменьшает стоимость. Таким образом, экономическое преимущество при использовании USB-ключей по сравнению со смарт-картами достигается тогда, когда за компьютером работает один пользователь, если же необходимо, чтобы на одной машине работало несколько человек, то выгоднее приобрести один считыватель и несколько смарт-карт, так как стоимость самой карточки ниже стоимости токена. Отметим, что USB-ключи, не выполненные по архитектуре «смарт-карта + карт-ридер», например, ruToken, «Шипка», выполнены на серийном микроконтроллере и программно эмулируют функциональность смарт-карт. Это сильно снижает их безопасность. В частности, они используют внешний чип памяти со всеми вытекающими последствиями (у смарт-карточных токенов память находится внутри чипа смарт-карты, и атаковать ее очень сложно).

Средняя стоимость внедрения систем контроля доступа

Источник: CNews Analytics, 2006

Продемонстрируем это на примере продукции Aladdin. Один электронный USB-ключ eToken PRO/32K стоит $49. Смарт-карта eToken PRO/SC обойдется в $23, считыватель смарт-карт для eToken ASEDrive IIIe USB V2 — $40.

Тонкости выбора USB-токенов

USB-токен — это симбиоз считывателя и смарт-карты, только в нем карта впаяна, и ее нельзя поменять. Процесс инсталляции аналогичен установке считывателя, а его подключение/извлечение аналогично подключению/извлечению карты в считыватель. Чтобы начать использовать USB-токен в приложениях, его необходимо отформатировать специальной утилитой. Не все приложения, которые работают с USB-токенами, будут поддерживать именно конкретную модель токена, это необходимо проверить. Зачастую, выбор токена определяется не его качественными характеристиками, а возможностью работы с определенными приложениями или операционными системами. При покупке не стоит руководствоваться размерами памяти токена, маленький размер памяти смарт-карты здесь является преимуществом, поскольку это не позволяет сотрудникам записывать другую конфиденциальную информацию с рабочего компьютера. При покупке комплекта — программа плюс USB-токен — надо убедиться, что вас обеспечат драйверами для USB токена, и выяснить, каким образом будет произведено форматирование токена: самой программой или отдельной утилитой.

Файловая система токена разделяется между несколькими приложениями и службами. Пользователю не нужно знать множество паролей — их запоминает токен. Следует запомнить лишь короткий PIN-код, удостоверяющий пользователя как владельца всех паролей, хранящихся в памяти ключа. После нескольких неудачных попыток ввода PIN-кода процессор «запирает» токен до вмешательства администратора безопасности, поскольку предполагается, что ключ был украден или потерян.

Для обеспечения строгой аутентификации необходимо гарантировать надежность и достоверность принципала (объекта аутентификации — отправитель или получатель), А потому должны использоваться надежные криптографические алгоритмы и продуманные схемы аутентификации. Строгая аутентификация в данном контексте означает, что информация, непосредственно аутентифицирующая пользователя, не выходит за пределы токена, а лишь участвует в криптографических вычислениях, результатом которых будут некоторые последовательности нулей и единиц, расшифровав которые другой принципал абсолютно надежно, точно и достоверно определит отправителя. Именно, поэтому важно покупать модели со встроенным генератором ключей, чтобы такая важная информации не попадала из токена в компьютер. Кроме того, все важные криптографические вычисления по проверке сертификатов должны быть реализованы аппаратно, что также исключает возможность компрометации на уровне компьютерных приложений.

Основные характеристики предлагаемых на рынке продуктов

С каждым годом электронный документооборот между удаленными контрагентами получает все большую популярность. С его помощью преодолевается главное препятствие - расстояние, сокращается время, облегчается процедура взаимодействия.

Для подтверждения подлинности документа и его заверения была разработана программа генерации уникального кода - электронная подпись, которая законодательно признана идентичной собственноручной подписи на бумажном носителе (№ 63-ФЗ от 06.04.2011). Но чем больше пользователей вовлекается в процесс электронного взаимодействия, тем острее встает вопрос о защите ЭП от злоумышленников.

Лазерные диски и компьютерные флешки не способны уберечь записанную на них конфиденциальную информацию от вредоносных программ и копирования. Отличную защиту обеспечивают смарт-карты, созданные на основе микрочипа, принцип работы которого идентичен использованию пластиковых карт. Но для работы с такими смарт-картами требуется оснащать рабочее место специальным считывающим оборудованием.

Преимущества USB-ключа eToken PRO (Java)

Идеальным решением проблемы является USB-ключ eToken PRO (Java), который отличается удобством и надежной защитой. Двухфакторный электронный ключ eToken PRO (Java) выполнен в виде USB-брелока и может использоваться на всех типах компьютеров и мобильных устройств, имеющих USB-разъем. Встроенная микросхема, как на смарт-картах, обеспечивает максимальную защиту, основанную на двухфакторной аутентификации.

Корпус USB-ключа eToken PRO (Java) выполнен из формованного пластика. Его невозможно разобрать, не оставив следов попытки взлома. Миниатюрные размеры токена и его незначительный вес позволяют владельцу всегда держать его при себе.

Возможности USB-ключа eToken PRO (Java)

В отличие от традиционного USB-флеш-накопителя токен имеет ограниченный объем памяти. В модели eToken PRO (Java) он составляет 72КБ. Этого размера памяти достаточно для хранения 10 ключевых контейнеров, загрузки дополнительных приложений на языке Java и драйвера с функцией автоматической загрузки.

Заводской выпуск eToken PRO (Java) предусмотрен в синем цвете. Но при заказе большой партии цвет корпуса может быть изменен по желанию заказчика, на него наносится логотип компании или название организации.

При необходимости изготавливаются USB-ключи eToken PRO (Java) со встроенным радиочастотным транспондером - пассивной радиометкой RFID.

Технические характеристики USB-ключа eToken PRO (Java)

• назначение - государственные учреждения, коммерческие организации, частные лица;
• встроенный чип Atmel AT90SC25672R;
• объем защищенной памяти 72 КБ;
• совместимость: Windows, Linux, Mac OC;
• безопасность - двухфакторная аутентификация;
• сертифицировано ФСТЭК РФ;
• производитель ЗАО «Аладдин Р. Д.».

Продукты линейки eToken сняты с продаж с начала 2017 года.

Сегодня все чаще используются токены. Но несмотря на это многие люди не понимают, что это за устройства. Далее пойдет речь о том, для чего используют токены, что такое применение дает. Рассматриваться будут именно USB-устройства, подключаемые к ПК.

на токенах

Хочется сразу же объяснить, что данное устройство не является флеш-накопителем. Несомненно, на нем может храниться небольшое но оно ограничено, к примеру 64 килобайтами. Существуют также и токены, содержащие в себе память на несколько гигабайт. Но данные в этой памяти хранятся по той же технологии, что и на обычной карте памяти. По этой причине функцию хранения данных можно считать побочной или второстепенной. Для чего же нужны устройство делает?

Первоначальное предназначение - неизвлекаемое хранение некой ключевой информации. Сразу заметно, что тут мало общего с картой памяти. Неизвлекаемое хранение - это такое, при котором код токена не попадет никуда из устройства. Он не может быть извлечен, к примеру, в оперативную память компьютера. Возможны варианты, когда это происходит, но в зашифрованном виде. Существует опция экспортирования ключа и в открытом виде, но даже это намного безопаснее, чем его хранение на флешке. Почему так надежнее хранить ключ? Токен предполагает знание PIN-кода для экспорта, а флешка - нет.

Из этого следует вывод, что даже при простейших настройках безопасности лучше хранить ключи на токене.

Другие функции

Хранение ключа - главное, для чего предназначены токены. Что такое устройство может помимо этого? Вот прочие функции:

1. Самостоятельные шифрование и расшифровка.
2. Генерация ключа шифрования.
3. Формирование и проверка ЭЦП.
4. Хеширование данных.

Токен является неким черным ящиком в то время, когда осуществляются криптографические операции. Так, данные поступают на вход, при помощи ключа преобразуются и отправляются на выход. Можно сравнить токен с микрокомпьютером: ввод и вывод информации осуществляется через USB, имеется собственный процессор, оперативная, а также долговременная память.

Сравнение с паролями

Для большинства стало стандартом то, что всюду используются пароли. Это уже современная классика. Человек хочет зайти в соцсеть или купить что-то - использует пароль. Главное их преимущество - в простоте использования. Но в то же время есть аспекты, которые ставят некоторые операции, важные с позиции безопасности, под вопрос. Это могут быть забывчивость, передача пароля по незащищенному каналу, набор на клавиатуре, предсказуемость.

Токены вполне способны решить абсолютно все те задачи, для которых в наши дни применяют пароли. И решить их более безопасно и качественно.

Шифрование данных

Данные, как правило, шифруются на криптографическом ключе, который, в свою очередь, шифруется на пароле. И безопасность такой схемы полностью зависит только от пароля, который не во всех случаях является сложным, может набираться на клавиатуре либо забывается. При использовании токена есть два варианта решения:

• Ключ находится на токене и его не покидает. Данный способ годится только для небольших объемов информации, поскольку скорость расшифровки при помощи токена высокой не является. Нарушитель не сможет извлечь ключ.
• Ключ находится на токене, но в процессе шифрования попадает в оперативную память компьютера. Такой способ применяют, к примеру, для шифрования и дешифрования тома полностью. Ключ извлечь возможно, но не очень легко. Пароль украсть намного проще.

Заключение

Можно с уверенностью сказать, что удастся избежать самых разных неприятных ситуаций при использовании и распространенности решений, основанных на токенах. Кража паролей будет исключена, а уровень безопасности увеличится в глобальном смысле. Именно для безопасности и используются токены. Что такое использование дает? Только преимущества и надежность. Даже если полностью отказаться от паролей в пользу токенов, преимущества очевидны. Ведь и при потере ключа никто им воспользоваться не сможет.

Бурный рост секторов рынка систем «3А» (аутентификация, авторизация, безопасное администрирование) и средств строгой аутентификации привел к появлению множества различных типов аппаратных и программных идентификаторов, а также их гибридных модификаций. Заказчик, желающий внедрить систему многофакторной аутентификации, сегодня оказывается перед нелегким выбором. Тенденции объединения физической и логической аутентификации, интеграции решений для создания единой точки входа и системы управления идентификацией лишь усугубляют проблему выбора. В этой статье мы постараемся помочь заказчику разобраться с представленными на рынке решениями и сделать правильный выбор.

Одной из наиболее опасных угроз ИТ-безопасности сегодня является несанкционированный доступ к конфиденциальной информации. Согласно исследованию Института компьютерной безопасности США и ФБР (см. «CSI/FBI Computer Crime and Security Survey 2005»), в прошлом году 55% компаний зарегистрировали инциденты, связанные с неправомочным доступом к данным. Более того, каждая фирма потеряла в 2005 году вследствие неавторизованного доступа в среднем 303 тыс. долл., причем по сравнению с 2004 годом убытки увеличились в 6 раз.

Бизнес сразу же отреагировал на возросшую опасность угроз. По данным IDC (см. «Russia Security Software 2005-2009 Forecast and 2004 Vendor Shares»), российские компании не только увечили инвестиции в ИТ-безопасность на 32,7%, но и в значительной мере направили свои усилия на внедрение систем «3А» (аутентификация, авторизация, безопасное администрирование).

Сегмент рынка систем «3А» за год вырос на 83%. Такая динамика вполне объяснима: средства сильной аутентификации, лежащие в основе всей концепции «3А», позволяют защитить компанию от целого комплекса угроз ИТ-безопасности - это и несанкционированный доступ к информации, и неправомочный доступ к корпоративной сети со стороны служащих, и мошенничество, и утечки данных вследствие кражи мобильных устройств или действий персонала и т.д., а ведь известно, что каждая из этих угроз ежегодно наносит громадный ущерб (рис. 1).

Рис. 1. Потери от различных видов атак, долл.

В основе сильной аутентификации лежит двух- или трехфакторный процесс проверки, по результатам которого пользователю может быть предоставлен доступ к запрашиваемым ресурсам. В первом случае служащий должен доказать, что он знает пароль или PIN и имеет определенный персональный идентификатор (электронный ключ или смарт-карту), а во втором случае пользователь предъявляет еще один тип идентификационных данных, например биометрические данные.

Использование средств многофакторной аутентификации в немалой степени снижает роль паролей, и в этом проявляется еще одно преимущество строгой аппаратной аутентификации, так как, по некоторым оценкам, сегодня пользователям требуется помнить около 15 различных паролей для доступа к учетным записям. Вследствие информационной перегруженности служащие, чтобы не забыть пароли, записывают их на бумаге, что снижает уровень безопасности из-за компрометации пароля. Забывание паролей наносит фирмам серьезный финансовый ущерб. Так, исследование Burton Group (см. «Enterprise Single Sign-On: Access Gateway to Applications») показало, что каждый звонок в компьютерную службу помощи обходится компании в 25-50 долл., а от 35 до 50% всех обращений приходится именно на забывчивых сотрудников. Таким образом, использование усиленной или двухфакторной аутентификации позволяет не только снизить риски ИТ-безопасности, но и оптимизировать внутренние процессы компании вследствие уменьшения прямых финансовых потерь.

Как уже было сказано, высокая эффективность средств многофакторной аутентификации привела к стремительному росту рынка систем «3А». Изобилие представленных решений требует от заказчиков соответствующей компетентности, ведь каждый предлагаемый тип персонального идентификатора характеризуется своими достоинствами и недостатками, а следовательно, и сценариями использования. К тому же бурное развитие данного сегмента рынка уже в ближайшие годы приведет к тому, что часть продвигаемых сегодня аппаратных идентификаторов останется за бортом. Таким образом, отдавая предпочтение тому или иному решению сегодня, заказчик должен учитывать не только текущие потребности организации, но и будущие.

Типы персональных средств аутентификации

В настоящее время на рынке представлено немало персональных идентификаторов, различающихся как по техническим возможностям и функциональности, так и по формфактору. Рассмотрим их подробнее.

USB-токены

Процесс двухфакторной аутентификации с использованием USB-токенов проходит в два этапа: пользователь подключает это небольшое устройство в USB-порт компьютера и вводит PIN-код. Преимуществом данного типа средств аутентификации является высокая мобильность, так как USB-порты имеются на каждой рабочей станции и на любом ноутбуке.

При этом применение отдельного физического устройства, которое способно обеспечить безопасное хранение высокочувствительных данных (ключей шифрования, цифровых сертификатов и т.д.), позволяет реализовать без-опасный локальный или удаленный вход в вычислительную сеть, шифрование файлов на ноутбуках, рабочих станциях и серверах, управление правами пользователя и осуществление безопасных транзакций.

Смарт-карты

Эти устройства, внешне напоминающие кредитную карту, содержат защищенный микропроцессор, позволяющий выполнять криптографические операции. Для успешной аутентификации требуется вставить смарт-карту в считывающее устройство и ввести пароль. В отличие от USB-токенов, смарт-карты обеспечивают значительно большую безопасность хранения ключей и профилей пользователя. Смарт-карты оптимальны для использования в инфраструктуре открытых ключей (PKI), так как осуществляют хранение ключевого материала и сертификатов пользователей в самом устройстве, а секретный ключ пользователя не попадает во враждебную внешнюю среду. Однако смарт-карты обладают серьезным недостатком - низкой мобильностью, поскольку для работы с ними требуется считывающее устройство.

USB-токены со встроенным чипом

От смарт-карт данный тип персонального идентификатора отличается только формфактором. USB-токены со встроенным чипом обладают всеми преимуществами смарт-карт, связанными с безопасным хранением конфиденциальных сведений и осуществлением криптографических операций прямо внутри токена, но лишены их основного недостатка, то есть не требуют специального считывающего устройства. Полифункциональность токенов обеспечивает широкие возможности их применения - от строгой аутентификации и организации безопасного локального или удаленного входа в вычислительную сеть до построения на основе токенов систем юридически важного электронного документооборота, организации защищенных каналов передачи данных, управления правами пользователя, осуществления безопасных транзакций и др.

OTP-токены

Технология OTP (One-Time Password) подразумевает использование одноразовых паролей, которые генерируются с помощью токена. Для этого служит секретный ключ пользователя, размещенный как внутри OTP-токена, так и на сервере аутентификации. Для того чтобы получить доступ к необходимым ресурсам, сотрудник должен ввести пароль, созданный с помощью OTP-токена. Этот пароль сравнивается со значением, сгенерированным на сервере аутентификации, после чего выносится решение о предоставлении доступа. Преимуществом такого подхода является то, что пользователю не требуется соединять токен с компьютером (в отличие от вышеперечисленных типов идентификаторов). Однако количество приложений ИТ-безопасности, которые поддерживают возможность работы с OTP-токенами, сегодня намного меньше, чем для USB-токенов (как с чипом, так и без) и смарт-карт. Недостатком OTP-токенов является ограниченное время жизни этих устройств (три-четыре года), так как автономность работы предполагает использование батарейки.

Гибридные токены

Эти устройства, сочетающие в себе функциональность двух типов устройств - USB-токенов со встроенным чипом и OTP-токенов, - появились на рынке относительно недавно. С их помощью можно организовать процесс как двухфакторной аутентификации с подключением к USB-порту, так и бесконтактной аутентификации в тех случаях, когда USB-порт недоступен (например, в Интернет-кафе). Заметим, что гибридные смарт-карты, обладающие функциональностью USB- и OTP-токенов, а также имеющие встроенный чип, соответствуют наивысшему уровню гибкости и безопасности.

Программные токены

В данном случае роль токена играет программное обеспечение, которое генерирует одноразовые пароли, применяемые наряду с обычными паролями для многофакторной аутентификации. На основании секретного ключа программа-токен генерирует одноразовый пароль, который отображается на экране компьютера или мобильного устройства и должен быть использован для аутентификации. Но поскольку токеном является программа, записанная на рабочей станции, мобильном компьютере или сотовом телефоне, то ни о каком безопасном хранении ключевой информации речи не идет. Таким образом, данный способ безопаснее по сравнению с обычными паролями, но намного слабее применения аппаратных идентификаторов.

Характеристика различных типов персональных идентификаторов

Российский рынок многофакторной аутентификации

Для российского рынка средств сильной аутентификации характерна очень небольшая распространенность OTP-токенов, которые занимают более половины общемирового сегмента персональных идентификаторов. Сегодня поставки этих устройств идут главным образом в российские представительства крупных западных компаний, головные офисы и вся ИТ-инфраструктура которых изначально были построены на OTP-токенах.

Основным фактором, сдерживающим развитие российского рынка OTP-токенов, является высокая стоимость владения (Total Cost of Ownership, TCO) и короткий жизненный цикл. Встроенной батарейки обычно хватает на три-четыре года, после чего заказчик вынужден менять устройство, оплачивая порядка 70% его начальной стоимости. Рассмотрим в качестве примера популярный на Западе OTP-токен RSA SecurID. Стоимость решения для 500 пользователей, куда входят основной сервер и сервер-репликатор, программное обеспечение и сами персональные идентификаторы, составляет 76 тыс. долл. (один токен SecurID стоит 79 долл.). Вдобавок ежегодно на поддержку, по данным дилеров, придется тратить еще 6,6 тыс. долл. Таким образом, в целом решение обойдется в 82,6 тыс. долл., а стоимость одного рабочего места, оборудованного ОТР-токеном, составит не менее 165 долл.

Для сравнения возьмем еще один электронный ключ с генератором одноразовых паролей - eToken NG-OTP от компании Aladdin. В этом случае схема расчета на одно рабочее место несколько иная: серверы аутентификации приобретать не нужно, достаточно иметь серверную версию Windows, которой оснащено сейчас подавляющее число локальных сетей предприятий. Стоимость универсальной системы управления всеми средствами аутентификации (в том числе и разнотипными) в масштабе предприятия (eToken TMS) составит около 4 тыс. долл. (серверная лицензия), а общая цена на 500 токенов (при цене одного устройства 67 долл.) равна 33,5 тыс. долл. Прибавим сюда пользовательскую лицензию для каждого токена: 24 долл. - до 500 пользователей и 19 долл. - свыше 500. Таким образом, стоимость одного рабочего места с интегрированной системой строгой аутентификации по одноразовым паролям составит 99 долл,. а при расчете на 501 пользователя - 94 долл.

Однако, даже несмотря на эту разницу, стоимость защиты одного рабочего места с помощью «стандартного» токена, то есть без ОТР, значительно ниже. Например, для того же eToken PRO, самого популярного в линейке Aladdin USB-токена со встроенным чипом, рассчитанная по той же формуле стоимость одного рабочего места составляет всего 47 долл.

Таким образом, российский рынок персональных идентификаторов значительно отличается от мирового и состоит в основном из USB-токенов со встроенным чипом - на их долю приходится примерно 80-85% рынка. Впрочем, именно USB-токены со встроенным чипом являются сегодня наиболее эффективным средством сильной аутентификации. Так, аналитики ведущих консалтинговых компаний, например IDC и Gartner, считают, что к 2008 году большая часть всего рынка персональных идентификаторов будет приходиться именно на USB-токены со встроенным чипом. Кроме того, компания Gartner назвала USB-токены со встроенным чипом лучшим инвестиционным вложением в обеспечение безопасного доступа к данным в 2005 году.

По внутренним данным Aladdin-Russia, лидером отечественного рынка USB-токенов со встроенным чипом является российская компания Aladdin (70%), за ней с серьезным отставанием следуют Rainbow Technologies (25%) и «Актив» (5%) (рис. 2).

Рис. 2. Структура российского рынка USB-токенов со встроенным чипом (