Электронные ключи появились относительно давно, но пока так и не

Электронные ключи появились относительно давно, но пока так и не сумели вытеснить стандартную процедуру идентификации по логину и паролю. Это более чем странно, учитывая, что современные USB-токены обеспечивают высокую степень защиты данных, практически неуязвимы перед внешними атаками и в достаточном количестве представлены
на российском рынке. Главное, не ошибиться с их выбором.
Идентификация с помощью «логина» и «пароля» - вещь обыденная. Однако, такая
схема «распознавания» пользователя системой несколько устарела с точки зрения безопасности и удобства использования. Зачастую, увеличение акцента на защиту информации снижает комфортность контроля доступа для пользователя. Одна из главных проблем становится
человеческий фактор, если принять в учет, что в разных информационных системах используются разные пароли и этих систем несколько. Пароли, созданные в соответствии
с предъявляемыми требованиями к сложности (использование букв разного регистра, цифр,
знаков препинания и служебных символов, длина минимум 8 символов) тяжелы
для запоминания конечному пользователю.
Современная тенденция - использование двухфакторной аутентификации на основе
USB-токенов. В России доля таких устройств занимает доминирующее положение
по отношению к смарт-картам и автономным токенам в результате более позднего формирования рынка аппаратных устройств аутентификации и мощной маркетинговой политики компаний-производителей. Основными игроками на Российском рынке USB-ключей (токенов) являются компании «Aladdin Р.Д.» и компания «Актив».
Токен (англ. Token) - это компактное устройство в виде USB-брелка, которое служит
для авторизации пользователя, защиты электронной переписки, безопасного удаленного доступа к информационным ресурсам, а также надежного хранения любых персональных данных. Проще говоря, токен - это подобие USB-флешки с защищенной памятью, где может храниться ценная информация: пароли, цифровые сертификаты, ключи шифрования и электронные подписи.
Токены позволяют решать целый спектр задач, связанных с криптографией, электронной подписью и аутентификацией. Например, один и тот же токен сотрудник может использовать для входа в операционную систему, для защищенного обмена информацией с удаленным
офисом, для работы с онлайновыми сервисами, для подписи документов (ЭП), для хранения
закрытых ключей и сертификатов (технология PKI) и т. д.
Токен в самом простом варианте применения позволяет заменять небезопасные парольные системы защиты, обеспечивая двухфакторную аутентификацию. Все что должен сделать пользователь для доступа к приложению - подключить токен к USB-порту и набрать PINкод. Таким образом, осуществляется двухфакторная аутентификация, когда доступ к информации можно получить, только обладая уникальным предметом (токеном) и зная некоторую
уникальную комбинацию символов (PIN-код).
В данной статье мы рассмотрим продукцию компаний Аладдин Р.Д. и «Актив»
Компания "Аладдин Р.Д." - ведущий российский разработчик и поставщик средств аутентификации, продуктов и решений для обеспечения
информационной безопасности и защиты конфиденциальных данных.
Российская компания "Аладдин Р.Д.", основанная в 1995 году, является признанным экспертом и лидером по средствам надёжной двухфакторной аутентификации пользователей в корпоративных ресурсах, на Web-порталах и в облачных сервисах. Решения и технологии компании занимают доминирующее положение на рынке.
Основные направления:
 USB-токены и cмарт-карты на базе технологии JavaCard с российской криптографией "на
борту", поддержкой биометрии, платёжных приложений;
 решения на их базе для PKI, защиты баз данных и персональных данных, для шифрования дисков и съёмных носителей;
 электронная подпись для Web-порталов, электронных сервисов, мобильных платформ
(iOS, Android).
За 18 лет работы практически каждый выводимый на рынок продукт компании заслуживал особого внимания и становился лидером в своём сегменте. Во многих компаниях и Федеральных структурах продукты и решения компании "Аладдин Р.Д." стали стандартом дефакто.
Продукты компании "Аладдин Р.Д." неоднократно были удостоены званий "Продукт года", "Лучший инновационный продукт", "Лучший продукт в области информационной безопасности", "Прорыв года", а компания - наград от Аппарата Совета Безопасности РФ, Комитета
Государственной Думы по безопасности.
USB-ключи и смарт-карты eToken ГОСТ - персональные устройства, предназначенные для
формирования электронной подписи и обеспечивающие безопасность операций пользователей в массовых и социальных проектах в системах:
 дистанционного банковского обслуживания;
 юридически значимого документооборота;
 web-сервисов, в том числе для доступа к порталу государ-
ственных услуг.
* eToken ГОСТ может использоваться как самостоятельное средство
криптографической защиты информации (СКЗИ) с реализацией криптографических алгоритмов непосредственно
на USB-ключе или смарт-карте.
Преимущества использования eToken ГОСТ как самостоятельного СКЗИ:
 Закрытые ключи не покидают защищенное устройство, что повышает безопасность решения, использующего eToken ГОСТ;
 Нет необходимости в приобретении дополнительного ПО в виде стороннего криптопровайдера;
 Существенное упрощение инсталляции продуктов, вплоть до перехода к портальным
решениям, не привязанным к конкретному компьютеру.
 eToken ГОСТ может использоваться для безопасного хранения ключей электронной подписи и другой ключевой информации, используемых в решениях компании «Аладдин
Р.Д.» и ее партнеров, а также в приложениях сторонних разработчиков.
Web-сервисы на базе eToken ГОСТ
Для обеспечения работы с eToken ГОСТ из контекста Web-страницы, компания «Аладдин Р.Д.» разработала мультибраузерный мультиплатформенный плагин JC-WebClient. Операции с цифровыми сертификатами и электронной подписью производятся аппаратно непосредственно на USB-ключе или смарт-карте. Ключевая информация клиента, работающего с Webсервисом, хранится на eToken ГОСТ и никогда не покидает защищенную память устройства.
Использование портального решения позволяет реализовать следующие преимущества:
 Работа без установки дополнительного ПО, права администратора не требуются;
 Независимость от версий операционной системы и браузера;
 Выполнение всех криптографических операций на USB-ключе или смарт-карте
Token ГОСТ;
 Строгая аутентификация пользователя на Web-ресурсе из контекста Webстраницы;
 Построение защищенного канала с использованием российских криптографических алгоритмов.
JC-WebClient работает под операционными системами Microsoft Windows, MacOS и поддерживает браузеры Internet Explorer, Mozilla Firefox, Google Chrome.
Электронные ключи eToken PRO (Java) - персональное
средство аутентификации и защищенного хранения пользовательских данных, аппаратно поддерживающее работу с
цифровыми сертификатами и электронной подписью (ЭП).
 Увеличенный объемом защищенной памяти для хранения пользовательских данных (72 Кб);
 Возможность расширения функционала за счет загрузки дополнительных приложений (Java-апплетов);
 Сертифицировано ФСТЭК России.
Применение:
 Обеспечение строгой двухфакторной аутентификации пользователей в операционных
системах и бизнес-приложениях (Microsoft, Citrix, Cisco Systems, IBM, SAP, Check Point),
например:
* для доступа к данным персонального компьютера;
* доступа к файлам, расположенным в локальной сети провайдера или корпоративной сети компании;
* организации защищенного удаленного доступа (VPN) и др.;
 Защищенное хранение ключевой информации российских СКЗИ (КриптоПро CSP, КриптоКОМ, Домен-К, Верба-OW и др.);
 Защита закрытых ключей электронно-цифровой подписи (ЭЦП) пользователей в системах электронного документооборота, формирование ЭЦП документов и транзакций,
обеспечение безопасной работы с электронной почтой;
 Защита закрытых ключей ЭЦП пользователей систем дистанционного банковского обслуживания.
Возможности:
 Двухфакторная аутентификация пользователей
*
Двухфакторная аутентификация – усовершенствованный вид парольной защиты, при которой
пользователь авторизуется, предоставляя не менее двух средств аутентификации, одно из которых
- токен, как, например, USB-ключ или смарт-карта eToken PRO (Java), а второе – персональный
PIN-код пользователя.
В качестве второго критерия идентификации пользователя при использовании электронных USB-ключей и смарт-карт eToken PRO (Java) используются:
 Цифровые сертификаты стандарта Х.509 (Public Key Infrastructure, инфраструктура открытых ключей);
 Пользовательские пароли, коды доступа или другие данные, хранимые в защищенной
памяти токена.
Поддержка Java-апплетов
В электронных ключах eToken PRO (Java) базовые функции токена могут быть расширены за счет загрузки дополнительных приложений, разработанных на языке Java (Javaапплетов). Для разработки собственных апплетов необходим комплект разработчика eToken
Java Card SDK (предоставляется по требованию технологическим партнерам).
Увеличенный объем защищенной памяти
По сравнению с электронными USB-ключами и смарт-картами предыдущего поколения
eToken PRO (Java) оснащен увеличенным до 72 Кб объемом защищенной памяти для безопасного хранения персональных данных и ключевой информации пользователя.
Работа без установки драйвера eToken PKI Client
Электронные ключи eToken PRO (Java) поддерживают спецификацию Microsoft CCID (USB
Chip/Smart Card Interface Devices), которая позволяет использовать eToken Minidriver – компактную версию драйвера eToken PKI Client с базовой функциональностью, которая загружается автоматически через службу Windows Update. Однако в этом случае существует ряд ограничений, а именно: недоступна работа с eToken из приложений, использующих интерфейс
PKCS#11 (Mozilla Firefox, Lotus Notes и др.), а также отсутствует утилита "Свойства eToken", с
помощью которой можно инициализировать и администрировать eToken.
ЗАО «Актив-софт» (более известное
как компания «Актив») - разработчик и
производитель
программно-аппаратных
средств обеспечения информационной безопасности. Является самым крупным производителем электронных ключей и usbидентификаторов в России. Компания основана в 1994 году.
Основными проектами являются:
Rutoken - персональные устройства доступа к информационным ресурсам выполненные
в виде usb-брелоков и предназначенные для аутентификации и защиты информации.
Guardant - защита программного обеспечения от нелегального копирования, основанная на электронных ключах.
Компания занимается разработкой и производством заказных электронных устройств,
создает средства защиты исполняемого кода от исследования и модификации, ведет научноисследовательские проекты в области технологий смарт-карт, информационной безопасности и
лицензирования программного обеспечения.
Деятельность компании в области информационной безопасности осуществляется на основе лицензий, продукция имеет сертификаты ФСБ и ФСТЭК.
В первую очередь «Актив» - научно-техническая компания. Подавляющие число сотрудников компании - это программисты, инженеры, конструкторы, специалисты департамента качества. Основную часть прибыли компания инвестирует в новые разработки.
Как юридическое лицо компания «Актив» появилась в 1994 году. Значительная часть
ключевых сотрудников работает в компании с момента основания. Коллектив разработчиков
начал формироваться еще в далеком 1989 году вместе с зарождением коммерческого рынка
информационной безопасности.
До 2000 года единственным направлением разработок были системы защиты от компьютерного пиратства. Специалистами компании был созданы такие продукты, уже ставшие историей, как: File_PROTECTION - система защиты DOS-программ с привязкой floppy-дискам; Install
Kit - система для создания защищенных дистрибутивных комплектов; Install for Windows - одна
из самых первых систем защиты исполняемых файлов для MS Windows.
Электронные ключи Guardant занимают значительную часть отечественного рынка систем защиты от нелегального копирования, успешно продаются на территории бывшего СНГ и
в странах Евросоюза, защищая интеллектуальную собственность многих тысяч разработчиков
программного обеспечения.
В 2002 году «Актив» начал продажи электронных идентификаторов Rutoken, созданных
совместно с российским лидером криптографической защиты информации - фирмой «Анкад».
Проект Rutoken мощно развивается, системы аутентификации и защиты информации под этой
торговой маркой пользуются серьезным спросом. Объем продаж продукции Rutoken приближается к объемам Guardant. Проект Rutoken является очень важным и перспективным для компании.
Рутокен S – электронный идентификатор (токен)
Рутокен S — это компактное USB-устройство, предназначенное для безопасной двухфакторной аутентификации
пользователей, защищенного хранения ключей шифрования и ключей электронной подписи, а также цифровых
сертификатов и иной информации.
Рутокен S имеет сертификат ФСБ о соответствии
требованиям, предъявляемым к СКЗИ по классу КС2, а
также сертификаты ФСТЭК о соответствии требованиям,
предъявляемым по 3 и 4 уровням контроля отсутствия
недекларированных возможностей (ндв3 и ндв4).
Рутокен S чаще всего применяется в качестве носителя закрытого ключа электронной
подписи для доступа к различным ресурсам, для электронного документооборота и для дистанционного банковского обслуживания. Рутокен S выступает удачной альтернативой традиционным «хранилищам» ключевой информации, таким как дискеты или флеш-диски. В отличие от них пароли и сертификаты пользователя хранятся на Рутокен S в защищенной внутренней памяти устройства. Доступ к этим данным возможен только по предъявлению PINкода.
Как работает Рутокен S
Рутокен S обеспечивает двухфакторную аутентификацию в компьютерных системах. Для
успешной аутентификации требуется выполнение двух условий: физическое наличие самого
USB-токена Рутокен и знание PIN-кода к нему. Это обеспечивает гораздо более высокий уровень безопасности по сравнению с традиционным доступом по паролю. Основу Рутокен S составляют микроконтроллер, который выполняет криптографическое преобразование данных, и
защищенная память, в которой в зашифрованном виде хранятся данные пользователя: пароли, сертификаты, ключи шифрования и т.д.
Электронные идентификаторы обычно используются в комплексе с соответствующими
программно-аппаратными средствами. Рутокен S поддерживает основные промышленные стандарты, что позволяет без труда использовать его в уже существующих системах безопасности
информации.
Модификации:
Рутокен S
Базовая модель Рутокен S предназначена для безопасной двухфакторной
аутентификации пользователей, защищенного хранения ключей шифрования
и ключей электронной подписи, а также цифровых сертификатов и иной информации. Является основным ключевым носителем в проектах, основанных
на использовании электронной подписи.
Рутокен S ндв3 ФСТЭК
Сертифицированная версия USB-токена Рутокен S, в поставку которого входит вся необходимая документация, подтверждающая отсутствие программных закладок и недекларированных возможностей. Рутокен S можно использовать при работе с информацией, имеющей гриф «С», и в системах, обрабатывающих конфиденциальную информацию.
Рутокен S ндв4 ФСТЭК
Поставка комплектуется сертификатом, который удостоверяет, что Рутокен S
является средством защиты информации от несанкционированного доступа
(НСД) с классификацией по 4-му уровню контроля отсутствия недекларированных возможностей (ндв4).
Рутокен S micro
Весь функционал классического Рутокен S, представленный в виде микротокена. Миниатюрность исполнения позволяет использовать его в компактных устройствах: ноутбуках, нетбуках, планшетах. При этом вес и размеры
устройства позволяют держать его постоянно подключенным к мобильному
устройству и не извлекать по окончании работы.
Рутокен S micro ндв3 ФСТЭК
Устройство в форм-факторе микро-токена, которое может быть использовано
при работе с информацией, имеющей гриф «С», и в системах обрабатывающих конфиденциальную информацию. В поставку устройства входит вся документация, подтверждающая отсутствие недекларированных возможностей.
Назначение:
 Защита электронной переписки: шифрование почты, электронная подпись почтовых отправлений;
 Защита доступа к компьютеру и в домен локальной сети;
 Возможность шифрования данных на дисках;
 Используется в корпоративных системах для хранения служебной информации, персональной информации пользователей, паролей, ключей шифрования, цифровых сертификатов и любой другой конфиденциальной информации;
 Может выступать как единое идентификационное устройство для доступа пользователя
к разным элементам корпоративной системы и обеспечивать, например, необходимое
разграничение доступа, цифровую подпись создаваемых документов, аутентификацию
при доступе к компьютерам и приложениям системы.