Введение. 2 Защита информации в токенах

Оглавление.

Введение…………………………………………………………………………………………………………... 2

Основная часть.………………………………………………………………………………………………... 3

1 Понятие токенов…………………………………………………………………………….. 3

1.1 Принцип работы……………………………………………………………………….. 3

1.2 Примеры токенов……………………………………………………………………... 4

2 Защита информации в токенах..…………………………………………………….. 5

2.1 Криптографические стандарты…………………………………………………. 5

2.2 Недостатки и проблемытокенов.……………………………………………… 6

Заключение……………………………………………………………………………………………………….. 6

Список литературы……………………………………………………………………………………………. 7

Введение

В последнее время очень популярными стали облачные сервисы. Облачный сервис – это услуга, основанная на технологии облачных вычислений, при которой вся информация обрабатывается не на клиентском компьютере, а на специально отведенных для этого удаленных серверах поставщика услуги. Конечно же, одним из самых перспективных направлений подобных услуг стало хранение информации.

Облачное хранилище данных — модель онлайн-хранилища, в котором данные хранятся на многочисленных, распределённых в сети серверах, предоставляемых в пользование клиентам, в основном, третьей стороной. В противовес модели хранения данных на собственных, выделенных серверах, приобретаемых или арендуемых специально для подобных целей, количество или какая-либо внутренняя структура серверов клиенту, в общем случае, не видна. Данные хранятся, а равно и обрабатываются, в так называемом облаке, которое представляет собой, с точки зрения клиента, один большой, виртуальный сервер. Физически же такие серверы могут располагаться удалённо друг от друга географически, вплоть до расположения на разных континентах. Главным плюсом такой системы является то, что клиент платит только за то место в этом хранилище, которое использует, ему не нужно тратить огромные деньги на аренду/покупку и обслуживание большого сервера, объем которого он возможно даже не будет использовать целиком.

Однако, как и в прочих случаях хранения информации, возникает большой риск, связанный со взломом аккаунта клиента и кражей его данных. Основными способами защиты от угроз являются строгая двухфакторная аутентификация пользователей и обеспечение надежного шифрования канала, по которому будут передаваться данные. Только при решении обеих этих задач можно говорить о достаточной степени безопасности пользования облачными хранилищами. На сегодняшний день существует два основных способа аутентификации пользователей в Интернете – парольная защита и использование цифровых сертификатов.

Первый совершенно не удовлетворяет современным представлением о безопасности. Цифровые сертификаты, основанные на криптографических технологиях, обладают значительно большей степенью безопасности. В целом они подходят для решения поставленных задач. Однако с такой реализацией связан целый ряд серьезных проблем. Злоумышленники могут украсть закрытый ключ сертификата, а заполучив его, он сможет подобрать установленный пользователем пароль (мало кто из пользователей задумывается об использовании стойких паролей), что даст ему неограниченные возможности по использованию сервиса, либо он может совершить несанкционированный доступ к удаленному сервису через компьютер легитимного пользователя посредством как физического, так и удаленного доступа к ПК. Существуют и другие способы получения аутентификационных данных для последующего несанкционированного доступа к удаленным сервисам: мошенничество с использованием методов социальной инженерии, фишинг и пр.

Альтернативным решением для строгой двухфакторной аутентификации пользователей является использование токенов и смарт-карт.

1 Понятие токенов

1.1Принцип работы

Токен (англ. Token) - это компактное устройство в виде USB-брелока, которое служит для авторизации пользователя, защиты электронной переписки, безопасного удаленного доступа к информационным ресурсам, а также надежного хранения любых персональных данных. Смарт-карты (англ. SmartCard) представляют собой пластиковые карты со встроенной микросхемой. Несмотря на очень сильные различия во внешнем виде, и токены, и смарт-карты являются идентичными устройствами, разница лишь в том, что токены непосредственно подключаются к ПК через USB-порт, а смарт-карты требуют дополнительного считывающего оборудования.

Подобный способ защиты информации включает в себя две части. Первую часть составляет само устройство аппаратныйUSB-токен (либо смарт-карта). Обычно аппаратные токены обладают небольшими размерами, что позволяет носить их в кармане или кошельке, часто они оформлены в виде брелоков. Некоторые предназначены для хранения электронных подписей или биометрических данных (например, детали дактилоскопического узора). В одни встроена защита от взлома, в другие — мини-клавиатура для ввода PIN-кода или же просто кнопка вызова процедуры генерации и дисплей для вывода сгенерированного ключа. Токены обладают разъёмом USB, функциями радиочастотной идентификации (RFID) или беспроводным интерфейсом Bluetooth для передачи сгенерированной последовательности ключей на клиентскую систему. Второй частью рассматриваемого способа защиты является программное обеспечение. Чаще всего оно представляет собой специальныйбраузерный плагин.

Общая функциональная схема решения выглядит следующим образом. Для пользователя веб-портала или облачного сервиса генерируется цифровой сертификат, закрытый ключ которого размещается в защищенной памяти токена. Для прохождения процедуры аутентификации человек должен подключить свой токен к компьютеру, перейти на сайт портала и ввести PIN-код. После этого программное обеспечение, установленное на компьютере пользователя, связывается с серверным компонентом, внедренным на сайте, и обеспечивает проверку личности пользователя. Описанное решение имеет несколько преимуществ, которые делают его весьма привлекательным.

Во-первых, это высокая степень безопасности. Невозможность извлечения закрытого ключа из защищенной памяти токена и реализация двухфакторной аутентификации (когда для аутентификации проверяется наличие ключа и знание PIN-кода) делают его надежным средством, которое может использоваться в самых разных системах. При этом решение оказывается защищено от современных видов атак, в том числе и от несанкционированного доступа к компьютеру легитимного пользователя.

Во-вторых, описанное решение обеспечивает высокую мобильность пользователя. Использовать свой токен он может на любом компьютере, включая общедоступные. Ведь для этого не нужно устанавливать никакое специальное сложное программное обеспечение, ну а небольшие плагины инсталлируются максимально просто, не требуя прав администратора. Со стороны владельцев облачных сервисов необходимо лишь приобрести специальное программное обеспечение для своих серверов, с помощью которых они смогут обеспечивать услуги двухфакторной аутентификации. Эти же средства при первом подключении к серверу сразу предложат установить нужные программы и плагины, если такие еще не установлены.

1.2 Примеры токенов

В качестве примера можно взять продукт eToken ГОСТ, представленный на рынке компанией "Аладдин Р.Д.". Разработчики представляют инструменты для организации строгой двухфакторной аутентификации пользователей на веб-порталах и облачных сервисах.

В его основе лежит защищенный высокоскоростной однокристальный микроконтроллер Atmel AT90SC25672RCT, специально созданный для продуктов подобного рода. Из программного обеспечения в устройстве присутствует платформа JavaCard и апплет "Криптотокен", реализующий российские криптографические алгоритмы и протоколы. Главным отличием eToken ГОСТ является высокая степень защищенности, которая позволяет ему успешно противостоять всем известным на сегодняшний день атакам. Закрытые ключи, хранящиеся в его памяти, являются неизвлекаемыми. То есть, скопировать их для несанкционированного использования, при современном развитии технологий, невозможно. Применение же самого токена невозможно без знания PIN-кода.

Отдельно стоит отметить возможности апплета "Криптотокен". Реализованные в нем алгоритмы полностью удовлетворяют действующим российским криптографическим ГОСТам: ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, ГОСТ 28147-89. Более того, рассматриваемый продукт имеет сертификат соответствия ФСБ России и, в соответствии с действующим законодательством, может использоваться в качестве персонального средства электронной подписи. Это значит, что владелец eToken ГОСТ может использовать его не только для строгой двухфакторной аутентификации на веб-порталах и в облачных сервисах, но и для работы в них, связанной с созданием юридически значимых документов.

В качестве необходимого программного обеспечения поставляется JC-WebClient - браузерный плагин, обеспечивающий взаимодействие между браузером и USB-ключом или смарт-картой. Ключевыми особенностями JC-WebClient является кросс-платформенность и мультибраузерность. Он может работать в любых операционных системах со всеми наиболее распространенными браузерам (InternetExplorer, MozillaFirefox, GoogleChrome, AppleSafari и Opera), что позволяет ему охватить практически всю интернет-аудиторию. Другим важным свойством данного плагина является легкость установки. При первом посещении любого портала с реализованной на нем строгой аутентификацией на базе eToken ГОСТ, пользователю предлагается инсталлировать JC-WebClient. После утвердительного ответа процесс загрузки и установки будет выполнен автоматически. При этом права локального администратора не нужны.

Еще один интересный пример – это средство двухфакторной аутентификации Battle.netAuthenticator от компании Blizzard. Используется он в их собственном игровом сервисе Battle.net, обеспечивающем игрокам возможность совместной игры через Интернет. После регистрации в этой сети пользователю предлагают включить услугу Battle.netAuthenticator. После ее активации, для входа в свой аккаунт, некоторых операций с этим аккаунтом, а так же для входа в игры от компании Blizzard потребуется ввести одноразовый код, который генерируется каждые 30 секунд специальным брелоком-токеном с небольшим экраном, который можно приобрести в специальном онлайн магазине на том же сайте. Если же пользователь не хочет покупать этот токен отдельно, то с помощью специального приложения для мобильных устройств вы сможете превратить свой смартфон в аналог такого же токена: специальная программа после запуска, так же как и Battle.netAuthenticator каждые 30 секунд генерирует новый код. В данном случае, набор кодов заранее генерируется во время активации услуги и заносится в память заказанноготокена либо скачанной программы.

2Защита информации в токенах

2.1Криптографические стандарты

Большинство токеновсозданы на базе криптографического интерфейса PKCS#11. PKCS#11 - один из стандартов семейства Public-KeyCryptographyStandards (PKCS), опубликованных RSA Laboratories. Он определяет платформонезависимый программный интерфейс доступа к криптографическим устройствам (средствам криптографической защиты информации или смарткартам). Иногда именуется Cryptoki (от англ. cryptographictokeninterface).

Главные криптографические стандарты в России регламентирует ГОСТ, а именно: ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, ГОСТ 28147-89.

ГОСТ Р 34.10-2001 (полное название: «ГОСТ Р 34.10-2001. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи») — российский стандарт, описывающий алгоритмы формирования и проверки электронной цифровой подписи.ГОСТ Р 34.10-2001 основан на эллиптических кривых. Его стойкость основывается на сложности вычисления дискретного логарифма в группе точек эллиптической кривой, а также на стойкости хэш-функции по ГОСТ Р 34.11-94. После подписывания сообщения М к нему дописывается цифровая подпись размером 512 бит и текстовое поле. В текстовом поле могут содержаться, например, дата и время отправки или различные данные об отправителе (рисунок 1).

Данный алгоритм не описывает механизм генерации параметров, необходимых для формирования подписи, а только определяет, каким образом на основании таких параметров получить цифровую подпись. Механизм генерации параметров определяется на месте в зависимости от разрабатываемой системы.

ГОСТ Р 34.11-94 — российский криптографический стандарт вычисления хеш-функции. Стандарт определяет алгоритм и процедуру вычисления хеш-функции для последовательности символов. Этот стандарт является обязательным для применения в качестве алгоритма хеширования в государственных организациях РФ и ряде коммерческих организаций.

ГОСТ 28147-89 — советский и российский стандарт симметричного шифрования. Полное название — «ГОСТ 28147-89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования». Блочный шифроалгоритм. При использовании метода шифрования с гаммированием, может выполнять функции поточного шифроалгоритма. ГОСТ 28147-89 — блочный шифр с 256-битным ключом и 32 циклами преобразования, оперирующий 64-битными блоками. Основа алгоритма шифра — сеть Фейстеля.

2.2Недостатки и проблемытокенов

Главным недостатком любого аппаратного токена являются дополнительные затраты. Если Программное обеспечение для разработчиков стоит не так дорого, то пользователям придется раскошелиться на нужные токены или даже дополнительное считывающее оборудование (в случае использования смарт-карт).

Однако есть и другие проблемы. В частности, в России использование токенов как устройст цифровой подписи регламентируется документом ГОСТ Р 34.10 – 2001. В этом документе описываются стандарты алгоритмов, используемых в подобных устройствах, соответственно, все токены должны соответствовать этим стандартам. Отсюда вытекает возможность использования только отечественных токенов, созданных на базе этих алгоритмов (зарубежные аналоги чаще всего эти алгоритмы не поддерживают). В свою очередь не все Российские токены работают правильно. Так, может возникнуть достаточно большая проблема установки программного обеспечения, например того же JC-WebClient для eToken ГОСТ. Не смотря на то, что данный плагин, как и само устройство прошли сертификацию ФСБ и удовлетворяют требованиям ГОСТ, на многих компьютерах он отказывается работать с каким бы то ни было браузером. В теории помочь может только сильное изменение кода самого браузера. Тем не менее, жалобы есть.