No Image

Юсб токен что это такое

СОДЕРЖАНИЕ
0 просмотров
22 января 2020

В этой статье я хочу написать о таком устройстве для компьютеров как USB токен. Вы поймете что это такое и для чего они нужны.

Что такое USB-token

USB токен это физическое устройство, которое используется для установления личности без использования пароля для доступа к сети.

Это USB устройство используется для подтверждения личности пользователя в электронном виде, что повышает цифровую безопасность.

Это обеспечивает безопасную и надежную аутентификацию для доступа к сети.

Особенности USB токенов:

В случае криптографического USB токена закрытый ключ находится в токене и не может быть передан за его пределы.

Это приводит к созданию цифровой подписи на токене при подписании операции. Использование пароля для доступа к содержимому повышает безопасность.

Закрытый ключ никогда не может быть получен из этого USB устройства.

Некоторые токеныUSB хранят цифровые подписи, данные отпечатков пальцев или другие биометрические данные, которые могут использоваться в качестве криптографических ключей.

USB-токены должны быть подключены к USB порту устройства напрямую или через удлинительный кабель. Дополнительные драйверы не требуются в большинстве случаев для USB токенов.

Рутокен

Одним из преимуществ USB токена является его способность надежно шифровать файлы и электронные письма или цифровые сертификаты.

Организации расширяют свой бизнес из традиционного и безопасного мира частных сетей в Интернет и за его пределами.

Для этого они должны создать и поддерживать безопасные сетевые среды для этих деловых отношений.

Целью инфраструктуры открытых ключей (PKI) является управление цифровыми ключами и сертификатами. Системы PKI позволяют использовать службы цифровой подписи, цифрового получения, шифрования и управления разрешениями в самых разных приложениях.

Решения для обеспечения безопасности на основе PKI дополняются специальными технологиями, обеспечивающими безопасное хранение цифровых удостоверений, подкрепленных надежной двухфакторной аутентификацией.

USB-токен JaCarta PKI (nano)

Чтобы максимально сохранить и защитить свою личную информацию, применяется токен. В нем хранятся очень важные данные в электронном виде.

ЕГАИС, к примеру применяет особые, специальные токены, такие как JaCarta.

В момент установки токена происходят разного рода неполадки, относящиеся к этому USB приспособлению.

В большинстве случаев, ошибка вылазит если на одном ПК под единой «учеткой» пользователь применил сразу несколько токенов JaCarta.

На мониторе ошибка появляется с надписью «Вставьте смарт-карту». Для того, чтобы ошибка джакарта не высвечивалась на USB-устройстве, во время пользования необходимо соблюдать некоторые правила. Самая главная задача – это установка только одного токена .

Аутентификационный токен выполнен в виде USB флешки. Токен USB PKI устраняет уязвимости, связанные с фиксированными системами безопасности имени пользователя и пароля, а также токенами, не поддерживающими PKI.

USB токен PKI классифицируется как сильная двухфакторная система аутентификации, которая сочетает в себе следующие функции для подтверждения личности человека:

  1. Доступ к паролям, назначенные отдельным лицам.
  2. Одноразовые пароли, которые можно периодически менять.
  3. Пароль или персональный идентификационный номер (PIN).
  4. Аутентификация в реальном времени (периодическая проверка наличия токена и id.
  5. Безопасное хранение и извлечение учетных данных, таких как закрытый ключ и сертификат.

Вместе эти функции объединяют то, что есть у человека (маркер), что-то, что они знают (pin-код и идентификатор пользователя), а также цифровую идентификацию в виде цифрового сертификата и закрытого ключа, предоставленного доверенным центром, чтобы никто другой не мог принять их идентичность.

Носитель JaCarta LT nano USB-токен

К USB токену PKI можно получить доступ с помощью одноразового пароля (OTP) и хранить цифровые сертификаты (для аутентификации на основе PKI, шифрования, цифровой подписи и неотрекаемости), а также информацию о смарт-карте.

Используя единственный токен со смешанными возможностями аутентификации, партнеры, клиенты и мобильные сотрудники могут строго аутентифицировать себя практически из любого места или устройства с помощью USB порта.

Токены требуют установки уникальных программных драйверов на резидентном клиенте. Все токены PKI USB используют стандартные драйверы Windows, доступные на большинстве клиентов, благодаря которым влияние MaGer на пользователей сводится к минимуму.

По данным аналитиков «Лаборатории Касперского», в 2017 году было предпринято более 260 млн попыток фишинговых атак — это один из способов получить все ваши пароли и данные. От этого может не спасти даже двойная аутентификация через СМС или специальное приложение.

График попыток фишинговых атак

Но люди придумали такую штуку, как USB-токен — она лучше защищает ваши данные. Рассказываем, почему этот способ более надежный и как правильно все настроить.

Что это такое и как работает?

USB-токен — небольшое устройство, похожее на обычную флешку. Внутри них специальный уникальный код, заменяющий другие способы двойной аутентификации.

Читайте также:  Тойота вилл вс отзывы

По факту его можно сравнить с ключом от вашей квартиры — если ключ в компьютере, то вы можете войти в свой аккаунт. Только здесь разница в том, что ваш аккаунт гораздо сложнее взломать отмычкой.

Почему это надежнее двойной аутентификации?

Обычная двойная аутентификация работает так: вы вводите пароль от почты, вам по СМС приходит код подтверждения для входа в аккаунт. Получается, что если у злоумышленника нет вашего смартфона, то зайти под вашим логином он не сможет. Но на самом деле это не совсем так.

Почти у всех сервисов с такой функцией злоумышленник может перехватить ваш код от аккаунта из-за общей уязвимости, заключенной в системе SS7. Через нее любой человек может следить за вашим смартфоном — слушать разговоры и читать все сообщения. Операторы эту проблему не признают, хотя ей уже больше 30 лет.

Приложения-аутентификаторы, вроде Google Authentificator, в этом плане надежнее. Для вас каждые 30 секунд генерируется новый пароль — его знают только ваш смартфон и аккаунт в интернете. Но даже так хакеры могут до вас добраться, особенно если вы доверчивый.

Злоумышленник может получить доступ к этим кодам безопасности на этапе настройки приложения. Кроме того, вас могут обмануть и вы зайдете на фальшивый сайт Google, где сами выдадите все пароли хакерам.

Да кто будет пользоваться этими «флешками»?

Все сотрудники из Google этим пользуются и очень довольны. В начале 2017 года все работники корпорации перешли на этот способ аутентификации своих аккаунтов. Как итог — за этот год не произошло ни одной кражи личной информации.

Теперь в Google считают, что USB-токены — самый надежный способ защитить свой аккаунт. Вот так.

Все слишком хорошо! Какие подводные?

Да, подводные камни здесь есть. Пока полноценно эти токены поддерживаются только в двух браузерах — Google Chrome и Opera. В Firefox это реализовали через расширение, а в Edge обещают добавить позже. Разработчики Safari вообще об этой функции ничего не говорят.

И еще один недостаток связан со смартфонами. Чтобы войти в аккаунт на своем Айфоне, вам понадобится ключ с Bluetooth — он стоит немного дороже. Еще можно попробовать переходник, но мы этот способ не проверяли, так что может не сработать.

Это не страшно. Как начать пользоваться ключом?

В первую очередь — вам нужен тот самый USB-токен. Его можно купить в интернете — в России проще всего достать JaCarta U2F. Я купил такой за 1500 рублей.

Так выглядит USB-токен Jakarta U2F

Процедура настройки ключа практически везде одинакова, поэтому мы покажем настройку на примере аккаунта в Google.

1 — Войдите в настройки двойной аутентификации аккаунта. Нажмите на «Выберите другой способ» и выберите там электронный ключ:

2 — Подключать ключ к компьютеру сразу нельзя. Убедитесь, что он у вас в руке и жмите «Далее»:

3 — Вставьте ключ в USB-разъем и нажмите на нем кнопку:

Ключ загорится красным светом, а браузер попросит разрешения на доступ к устройству:

Маленькая черная штучка — кнопка. На нее нужно нажать после подключения ключа

4 — Ваш ключ зарегистрируется и вам нужно будет придумать ему имя:

5 — Готово! Теперь добавьте дополнительные способы входа в аккаунт — через приложение или СМС-код. Это нужно, если вы потеряете свой токен. Но я этого делать не буду.

А теперь небольшой челендж для читателей. Вот все данные аккаунта, на котором я установил свой USB-ключ:

Если вы сможете войти в этот аккаунт до 15 августа и оставить мне там послание, то я вам перечислю 5 тысяч рублей. Вперед, хакеры!

USB-токен: правила выбора

Электронные ключи появились давно, но пока не сумели вытеснить стандартную идентификацию по логину и паролю. Это более чем странно. Учитывая, что современные USB-токены обеспечивают высокую степень защиты данных, практически неуязвимы для внешних атак и в достаточном количестве представлены на российском рынке.

Токены компании
Aladdin — одни из самых
распространенных в мире

Подавляющее большинство российских компаний по-прежнему использует традиционную пару "логин-пароль" для идентификации и разграничения доступа пользователя к корпоративным ресурсам. Однако этот способ давно устарел с точки зрения безопасности. При этом, постоянное увеличение сложности пароля (использование букв разного регистра, цифр, знаков препинания и служебных символов, длина минимум 8 символов) для повышения уровня безопасности нередко приводит к снижению комфортности контроля доступа для пользователя. Сложные пароли просто-напросто тяжелы для запоминания.

К проблемам парольной аутентификации можно отнести еще и легкость подбора по словарю (если паролем служит слово или фраза из какого-нибудь языка, даже при условии замены букв на спецсимволы, например, Р@ssw0rd). Также пароль может быть перехвачен или подсмотрен при его вводе. Проблемы аутентификации пользователей в информационной системе выявлены очень давно, и уже были предложены различные решения. Современная тенденция — использование двухфакторной аутентификации на основе USB-токенов. В России такие устройства занимают доминирующее положение по отношению к смарт-картам и автономным токенам в результате более позднего формирования рынка аппаратных устройств аутентификации и мощной маркетинговой политики компаний-производителей. Основными игроками на российском рынке USB-ключей (токенов) являются компании Aladdin, Rainbow Technologies, "Актив" (совместно с "Анкад"), RSA Security, а также Feitian Technologies.

Читайте также:  Эксель построение графиков и диаграмм

USB-токены предназначены для работы в приложениях, к которым предъявляются повышенные требования с точки зрения защиты данных. Их можно назвать преемниками контактных смарт-карт, они практически повторяют их устройство, но не требуют специальных считывателей, что упрощает их внедрение и уменьшает стоимость. Таким образом, экономическое преимущество при использовании USB-токенов по сравнению со смарт-картами достигается тогда, когда за компьютером работает один пользователь. Если же необходимо, чтобы на одной машине работало несколько человек, то выгоднее приобрести один считыватель и несколько смарт-карт, так как стоимость самой карточки ниже цены токена. Отметим, что USB-токены, не основанные на архитектуре "смарт-карта + кард-ридер", например, ruToken, "Шипка", выполнены на серийном микроконтроллере и программно эмулируют функциональность смарт-карт. Это сильно снижает их безопасность. В частности, они используют внешний чип памяти со всеми вытекающими последствиями (у смарт-карточных токенов память находится внутри чипа смарт-карты, и атаковать ее очень сложно).

Продемонстрируем это на примере продукции Aladdin. Один электронный USB-токен eToken PRO/32K стоит $49. Смарт-карта eToken PRO/SC обойдется в $23, считыватель смарт-карт для eToken ASEDrive Ше USB V2 — в $40.

Таблица 1 Средняя стоимость внедрения систем контроля доступа

USB-токен, $ тыс. Смарт-карта+считыватель, $ тыс.
500 пользователей, 500 компьютеров 24,5 40
500 пользователей, 250 компьютеров 24,5 21,5

USB-токен — это симбиоз считывателя и смарт-карты, только в нем карта впаяна, и ее нельзя поменять. Процесс инсталляции аналогичен установке считывателя, а его подключение/извлечение аналогично подключению/извлечению карты из считывателя. Чтобы начать использовать USB-токен в приложениях, его необходимо отформатировать специальной утилитой. Не все приложения, которые работают с USB-токенами, будут поддерживать именно конкретную модель, это необходимо проверить. Зачастую выбор токена определяется не его качественными характеристиками, а возможностью работы с определенными приложениями или операционными системами. При покупке не стоит руководствоваться размерами памяти токена: маленький объем памяти смарт-карты здесь является преимуществом, поскольку это не позволит сотрудникам записывать другую конфиденциальную информацию с рабочего компьютера. При покупке комплекта программа + USB-токен надо убедиться, что вас обеспечат драйверами для USB-токена, и выяснить, каким образом будет произведено форматирование токена: самой программой или отдельной утилитой.

  • процессор (обычно RISC) — управление и обработка данных;
  • процессор для решения криптографических задач на аппаратном уровне — реализация алгоритмов ГОСТ 28147-89, DES, 3DES, RSA, DSA, MD5, SHA-1 и др.;
  • USB-контроллер — обеспечение интерфейса с USB-nopтом компьютера;
  • оперативная память RAM —хранение изменяемых данных;
  • перепрограммируемая память EEPR0M — хранение ключей шифрования, паролей, сертификатов и т.д.;
  • постоянная память ROM — хранение команд и констант.

Файловая система токена разделяется между несколькими приложениями и службами. Пользователю не нужно знать множество паролей — их запоминает токен. Следует помнить лишь короткий PIN-код, удостоверяющий пользователя как владельца всех паролей, хранящихся в памяти ключа. После нескольких неудачных попыток ввода PIN-кода процессор "запирает" токен до вмешательства администратора безопасности, поскольку предполагается, что ключ был украден или потерян.

Для обеспечения строгой аутентификации необходимо гарантировать надежность и достоверность принципала (объекта аутентификации — отправителя или получателя), а потому должны использоваться надежные криптографические алгоритмы и продуманные схемы. Строгая аутентификация в данном контексте означает, что информация, непосредственно идентифицирующая пользователя, не выходит за пределы токена, а лишь участвует в криптографических вычислениях, результатом которых будут некоторые последовательности нулей и единиц, расшифровав которые, другой принципал абсолютно надежно, точно и достоверно определит отправителя. Именно поэтому важно покупать модели со встроенным генератором ключей, чтобы такая информация не попадала из токена в компьютер. Кроме того, все важные криптографические вычисления по проверке сертификатов должны быть реализованы аппаратно, что также исключает возможность компрометации на уровне компьютерных приложений.

Таблица 2 Основные характеристики наиболее популярных на российском рынке продуктов

Изделие Емкость памяти, Кб Разрядность серийного номера Поддерживаемые ОС Алгоритмы шифрования/хеширования
Rainbow Technologies, iKey 2032 32 64 Windows 95, 98, NT, сертифицирован к 2000, ХР, 2003, Windows 95, 98, NT, сертифицирован к 2000, ХР, 2003, RedHat Linux, Mandrake, SuSe (сертифицирован ФСТЭК России) MD5, RSA, 1024/2048, DSA, DES, 3DES, RC2, RC4, SHA-1
Rainbow Technologies, iKey 3000 32 64 Windows 95, 98, ME, NT, 20003, сертифицирован к 2000, ХР, RedHat Linux, Mandrake, SuSe MD5, RSA 1024/2048, DSA, DES, 3DES, RC2, RC4, SHA-1
Aladdin Knowledge Systems, eToken PRO 16/32 32 Windows 95, 98, ME, NT, 20003, Linux, DOS (сертифицирован ФСТЭК России) RSA/1024, DSA, DES (ECB, CBC), 3DES (CBC), SHA-1, MAC, iMAC, MAC3, iMAC3
"Актив" совместно с "Анкад", ruToken 8-128 32 Windows 98/ME/2000/XP/2003 ГОСТ 28147-89 аппаратно, другие — программно
Feitian Technologies, ePass2000 16/32 64 Windows 98/ME/2000/XP/2003, Linux and MACOS 8/9, OS X RSA, DES, 3DES
Читайте также:  Станция для зарядки айфона и часов

Перечисленные в таблице 2 модели подходят для построения системы аутентификации на основе открытых ключей (PKI) с использованием сертификатов. Рассмотрим механизм такой аутентификации. Технология PKI построена на использовании двух математически связанных ключей — открытого и секретного (закрытого). С помощью открытого ключа сообщение шифруется, а с помощью секретного расшифровывается, при этом естественно, что, зная открытый ключ, нельзя получить закрытый. Такие криптографические преобразования реализовываются на основе RSA или DSA. Криптостойкость зашифрованных сообщений обеспечивается неразрешимостью за полиномиальное время двух математических задач: факторизации больших чисел на простые множители (RSA) и дискретного логарифмирования в простом конечном поле (DSA). Важнейшим плюсом, является то, что аутентификационная информация пользователя совсем не передается по сети, а лишь участвует в вычислениях, как на клиентской, так и на серверной стороне, что соответствует принципам строгой аутентификации. По такому принципу строится протокол аутентификации "запрос-ответ" (Handshake Authentication Protocol).

Заметим, что поддержка работы RSA и DSA, в том числе и аппаратная генерация их ключей, с размером ключа 2048 бит является хорошим гарантом безопасности, который в принципе не может быть обеспечен протоколами симметричного шифрования, — например, семейством алгоритмов DES. Обычно данные протоколы используются для шифрования трафика с использованием ключа, полученного после аутентификации принципала. Интересной особенностью продуктов ruToken является аппаратная реализация российского стандарта симметричного шифрования ГОСТ 28147-89, к числу достоинств которого можно отнести бесперспективность силовой атаки, эффективность реализации и высокое быстродействие на современных компьютерах.

Сегодня на российском рынке
представлено множество USB-токенов
с различным уровнем защиты

Компании-производители указывают огромное количество реализованных алгоритмов шифрования/хеширования в своих описаниях к продуктам, однако большинство из них — алгоритмы хеширования. Они представляют собой односторонние функции и используются для преобразования, например, PIN-кода или другой чувствительной информации для хранения в файловой системе токена, так как из хеша сложно восстановить PIN-код в понятном человеку виде. Таким образом, наличие большого числа алгоритмов хеширования не определяет "качество" токена. Хотя в некоторых случаях хеш-преобразования используются другими алгоритмами в качестве вспомогательных, поэтому стоит сразу определиться, поддержка каких алгоритмов вам нужна в работе информационной системы.

Многие эксперты считают,
что USB-токен — лучший способ
разграничения доступа к ПК или ноутбуку

В ряде случаев необходима взаимная аутентификация — двусторонняя проверка подлинности участников информационного обмена (когда не только сервер проверяет подлинность пользователя, но и наоборот). Протоколы "запрос — ответ" идеально подходят для взаимной аутентификации с некоторым дополнением (такой протокол часто называют "рукопожатием"). Также, возможно, стоит обращать внимание на наличие государственного сертификата у того или иного продукта. Но, конечно, его отсутствие не говорит о несостоятельности решения. Все они выполнены в соответствии с международными требованиями и отвечают международным стандартам. Наличие сертификатов скорее привлекательно для госструктур, так как там обязательно использование только сертифицированных средств защиты информации. Возможно, иногда стоит купить более дешевое решение (например, ruToken), но которое будет способно в данном контексте обеспечить необходимый уровень безопасности. Именно поэтому так важна правильная оценка собственных потребностей перед внедрением системы аутентификации на основе USB-токенов.

Последнее, на что хотелось бы обратить внимание, это поддержка программного обеспечения и операционных систем, ведь зачастую инфраструктура PKI внедряется в сети, давно действующей, где уже сформировался круг необходимых приложений для поддержания бизнес-задач. Так, для работы в Linux-среде лучшими решениями будут ключи iKey и eToken PRO. В действительности стоит обращать внимание на совместимость предлагаемого производителем готового решения с другими продуктами, а также на решения под определенные платформы, что в конечном итоге лишь облегчит как внедрение токенов, так и их использование.

Комментировать
0 просмотров
Комментариев нет, будьте первым кто его оставит

Это интересно
No Image Компьютеры
0 комментариев
No Image Компьютеры
0 комментариев
No Image Компьютеры
0 комментариев
No Image Компьютеры
0 комментариев
Adblock detector