eToken жил, eToken жив, eToken будет жить / Habr
В последнее время меня часто спрашивают, что случилось с ключами eToken и почему их перестали продавать. Так же наблюдается некоторая паника по этому поводу, ввиду того, что большинство мировых вендоров поддерживает данные ключи в своих продуктах, а заменить их, получается нечем.Отставить панику!
Ключи eToken никуда не исчезли, они продолжают выпускаться и продаваться на российском рынке. Да, они поменяли своё название и немного по-другому выглядят, но это всё те же eToken.
А теперь немного подробнее.
Знаменитый и самый узнаваемый ключ SafeNet eToken Java 72k, в простонародии «рыбка» теперь называется Gemalto SafeNet eToken 5100 и выглядит немного иначе:
| Было | Стало |
Однако, это тот же самый ключ и он точно так же поддерживается и работает во всех решениях, которые поддерживали SafeNet eToken Java 72k.
Смарт-карты eToken теперь тоже называются Gemalto SafeNet eToken 4100, но выглядит так же как и раньше – белый пластик с чипом:
| Было | Стало |
Выглядит так же, но называется по-другому.
При этом, сохранилась возможность имплантировать RFID-метки в карту для интеграции со СКУД.
Комбинированные SafeNet eToken NG-Flash так же в строю, и называются теперь Gemalto SafeNet eToken 7300. Внешний вид так же претерпел изменения:
| Было | Стало |
Так что, если Вам кто-то скажет, что eToken больше не продаётся, не расстраивайтесь и не верьте, eToken есть, только он называется теперь по-другому.
Небольшая памятка:
Почему так произошло?
Во всём виноваты…. Да никто на самом деле не виноват. Просто таков бизнес.
После 2010 года израильская компания Aladdin Knowledge Systems была приобретена компанией SafeNet. Все продукты и решения, а также команда разработчиков из Aladdin Knowledge Systems перешли SafeNet и теперь там поддерживают и развивают решения по аутентификации. Естественно после приобретения был запущен процесс ребрендинга, который на российском рынке прошёл совсем незаметно.
Что нового?
После поглощения (или кому-то больше нравится слово слияние) и ребрендинга, компания SafeNet выпустила облачный продукт для аутентификации по одноразовым паролям, который пока является единственным решением, сертифицированным ФСТЭК. Данный продукт называется Gemalto SafeNet Authentication Service и доступен как в виде сервиса, так и в виде standalone сервера для развёртывания в корпоративной сети.
Теперь для OTP аутентификации доступны не только SafeNet eToken PASS, но и множество других аппаратных и программных генераторов:
Система управления жизненным циклом ключей и смарт-карт SafeNet Authentication Manager так же продолжает поддерживаться и развиваться компанией Gemalto (Safenet). В текущем году нас ожидает выпуск новой версии продукта Gemalto Safenet Authentication Manager 10.
Так же стоит упомянуть, что в конце 2015 года произошло слияние компаний Safenet и Gemalto. Так что в ближайшее время ключ eToken постигнет очередной ребрендинг, но сам ключ останется той же «рыбкой» eToken Pro.
Работа с командами APDU на примере EToken / Habr
«… Путь не так уж сложен для понимания. Силы природы, естественные наклонности, схемы событий…Примитивное миропонимание замечает только четыре стихии и дальше этого не идёт. Словно вселенная сводится к четырём доступным созерцанию понятным явлениям.»
«Полночный прилив».
Привет, Хабр!
Тема APDU здесь поднималась неоднократно, но в основном касалась смарт карт, для которых нужен карт ридер и карта которую не жалко, плюс софт, так как работать с консольным интерфейсом OpenSC, по крайней мере в Window$, мягко говоря неудобно.
Для этого я написал небольшую программу с оконным интерфесом, работающую через winscard.
Исходники и бинарники можно скачать здесь.
Компилировалось это под Visual studio 2008, необходимо добавить в проект WinSCard.Lib из Microsoft Windows SDK.
Наверное у многих найдутся синие рыбки EToken PRO Java 72 K с истёкшими много лет назад сертификатами ЭЦП (использовать «боевой», с действующей ЭЦП, токен для экспериментов настоятельно не рекомендуется!).
Можно также попробовать работать с Gemalto SafeNet eToken 5100, у них можно просмотреть содержимое директорий, но прочитать файл не получится из-за очень маленького (вероятно несколько миллисекунд) таймаута между командами выбрать и прочитать файл, в результате чего команда прочитать файл при ручном вводе ссылается уже на пустое место (ошибка с кодом 69 85). Возможно это одна из причин того, что на некоторых платформах на этих токенах перестают видеть ключи. Относительно SafeNet eToken 5100 (с честной надписью на боку «Made in China») замечу следующее: «Единый клиент JaCarta» работать с ним не хочет и выводит сообщение, что сие изделие не поддерживается, 64-х разрядный eToken PKI Client 5.1 от Aladdin его не видит, но 32 версия под Win XP с ним работает, хотя для этого токена желательно конечно ставить оригинальный SafeNet Authentication Client.
Другие токены, в том числе семейства JaCarta, не подойдут, так как команды APDU у них всех абсолютно разные и их цифровое значение описанному в стандарте ISO7816 не соответствует.
Подробности про формат команд APDU можно прочитать например здесь.
Читатель имеющий синюю рыбку может ознакомиться с работой APDU не вставая с дивана.
Для подробного просмотра содержимого токена в удобном виде и сверки с тем, что дают команды APDU можно использовать написанный мной на Autoit JaCarta Editor.
Запускаем APDUExplorer, выбираем в списке ридеров «Aladdin Token JC 0» или «ARDS JaCarta 0» или «SafeNet Token JC 0» и можно вводить команды.
Вводить можно как через двоеточия так и через пробелы или всё слитно.
Для начала можно проверить работоспособность, кликнув «Check ATR» и получить ответ токена.
Первая команда — выбор апплета по умолчанию и переход в корневую директорию с идентификатором 3f00 (этот идентификатор пожалуй единственное общее у токенов любых вендоров).
Далее получаем список папок корневой директории
80:01:01:00:04:09:02:00:00:CD (команда является константой «Сообщить список папок»).
Должен быть получен ответ:
0a 02 66 66 0b 01 00 90 00
Второй по счёту байт в ответе размер полученных данных — два байта, то есть только одна папка (идентификатор файла или папки в APDU всегда занимает два байта).
И мы видим только одну папку с идентификатором 66 66, называемую Aladdin AID directory.
Сообщить список файлов (тоже константа)
80:01:02:00:04:09:02:00:00:CD
Должно быть получено
Ответ в позиции 01 — файлов 00.
Переходим в директорию 66 66
00 A4 08 04 02 66 66 00
Это команда SELECT FILE, её формат: четыре байта сама команда 00 A4 08 04, далее размер поля данных полного пути (в примере 02 байта), затем сам путь (в примере 66 66) и обязательно завершение 00.
Сообщить список папок директории 66 66
80:01:01:00:04:09:02:00:00:CD
Resv bytes:
0a 04 50 01 50 00 0b 01 00 90 00
В поле ответа 01 (размер ответа) указано 04, т.е. 4 байта = две папки 50 01 и 50 00, при этом 50 01 — служебная, а 50 00 основная, называемая PKCS#11 directory, где хранятся все данные
Сообщить список файлов директории 66 66
Resv bytes:
0a 00 0b 01 00 90 00
Файлов здесь нет.
Как показали исследования видимых папок и файлов в директории 50 01 нет, поэтому переходим в основную директорию 50 00
00 A4 08 04 04 66 66 50 00 00
Сообщить список папок
80:01:01:00:04:09:02:00:00:CD
Ответ будет зависить от того что хранится на токене.
Сообщить список файлов
80:01:02:00:04:09:02:00:00:CD
Resv bytes:
0a 14 00 0f 00 02 00 03 00 04 00 05 00 06 00 07 00 08 00 09 00 0a 0b 01 00 90 00
Мы видим 14 файлов (поле ответа 01), далее каждые 2 байта это имена файлов, затем идёт служебная информация.
У каждого токена изучаемых моделей всегда пристутствует системная директория b000 и в ней системный файл 0002, попробуем его прочитать, по этому же принципу можно читать и другие файлы.
Переходим в директорию b0 00
00 A4 08 04 06 66 66 50 00 B0 00 00
Получаем список файлов
80:01:02:00:04:09:02:00:00:CD
Resv bytes:
0a 02 00 02 0b 01 00 90 00
Видим файл 00 02 (байт в поле ответа 01 — размер имени (каждое имя всегда занимает два байта, следующие поля — имена файлов, в данном случае файл только один, что определяем по значению поля 01).
Выбрать файл 0002 из B000 по полному пути
00 A4 08 04 08 66 66 50 00 B0 00 00 02 00
01 01 02 02 02 00 02 03 02 00 10 04 08 00 ff 00 00 ff ff ff ff 05 00 90 00
Формат ответа здесь следующий: преамбула — 2 байта, тип файла — 1 байт (02 файл, 01 папка), разделитель — 2 байта, имя файла — 2 байта, разделитель — 2 байта, размер файла — 2 байта, разделитель — 2 байта, права доступа — 1 байт (00 — доступен для всех, 63 защищён пин кодом). Далее идёт некая служебная информация, завершающаяся кодом успешного выполнения APDU команды — 90 00.
Прочитать этот файл, последние два байта команды размер буфера сколько надо прочитать (в данном случае равен размеру файла).
80 18 00 00 04 0E 02 00 00 10
Resv bytes: (значение в каждом случае будет своё):
00 06 63 61 72 64 63 66 00 00 00 00 00 00 00 00 90 00
Аутентификацию на етокене я здесь не рассматриваю, так как она состоит из последовательности команд вопрос-ответ и происходит в зашифрованном виде (существует проект Antitoken где проблему авторизации на этих изделиях решили кардинально).
Некоторые другие токены, например JaCarta ГОСТ-2 поддерживают аутентификацию простой передачей пин кода.
Получить значения APDU команд любых смарт-карт и токенов можно путём перехвата трафика WinSCard.dll, запустив сниффер, скомпилированный отсюда (как показали эксперименты, этот сниффер устанавливается и запускается только под Win XP).
Справочно, возможные результаты выполнения APDU команд:
90 00 — OK
69 85 — Conditions of use not stisfied
63 00 — Authentication of host cryptogram failed (Ext auth)
64 00 — No specific diagnosis
67 00 — Wrong length in Lc
67 XX — Error, incorrect parameter P3 (ISO code)
68 81 — Logical channel not supported or is not active
69 82 — Security status not satisfied
69 83 — Secret code locked
69 85 — No currently selected EF, no command to monitor / no Transaction Manager File
6A 80 — The parameters in the data field are incorrect
6A 81 — Card is blocked or command not supported
6A 82 — File not found
6A 85 — Lc inconsistent with TLV structure
6A 86 — Incorrect P1 P2
6A 88 — Referenced data not found (Init upd)
6D 00 — Invalid instruction
6E 00 — Invalid class
Разница и проблемы в токенах для ЕГАИС JaCarta, Рутокен, eToken
Поделитесь с друзьями:
Единая государственная автоматизированная система требует специфического подхода при использовании. Это вполне логично, ведь необходимо обеспечить высокий уровень безопасности для исключения случаев несанкционированного вмешательства в систему. Для данной цели часто используются токены, в которых криптографическая защита вшита на аппаратном уровне.
Например, смарт-карта JaCarta. С которой, на удивление, возникает много вопросов. Если возникла ошибка джакарта, то перейдите по ссылке. Автор статьи грамотно расписал, какие нюансы могут встретиться при использовании данного инструмента, какие проблемы могут возникнуть, конечно, решений не предложено, но каждая проблема весьма индивидуальна, потому универсальных методов попросту нет.
Типы токенов
Например, Рутокен, у него также вшиты на аппаратном уровне криптографические алгоритмы, что обеспечивает высокий уровень защиты продукта от взлома. Он предназначен для работы с электронными подписями, хранения сертификатов и из шифрования. При работе с государственными площадками используется довольно часто. Особенно популярен на тендерных площадках, потому что сайты госзакупок раньше отлично дружили только с Рутокен, конечно, не без костылей, но тенденция подобная наблюдалась.
Так выглядит РутокенПри заказе ЭЦП многие компании предоставляют именно Рутокен. К сожалению, с драйверами для ЕГАИС также возникают проблемы. Наиболее распространенные:
Ошибка определения смарт-карты. Программа выдаст следующее: «Вставьте смарт-карту. Обнаружена смарт-карта, но она не может использоваться для текущей операции. Возможно, для используемой смарт-карты нет драйвера или сертификата». К сожалению, у такой ошибки может быть много причин, найти точные довольно трудоемко.
Ошибка при генерации RSA-ключей. В таком случае придется выполнить очистку ключей и повторную генерацию. Но не всегда это помогает.
Драйвера ЕГАИС отсутствуют. Возможные причины: ошибка установления драйверов, конфликт с другими криптографическими приложениями.
Вообще, на сайте много проблем, с которыми могут столкнуться обладатели Рутокен 2.0, перечислять можно долго и для решения каждой потребуется перебрать кучу действий.
eToken ничем особо не отличается, кроме производителя. На вид такая же флешка, но начинка несколько иная. Во-первых, eToken использует собственный процессор, который встроен непосредственно в качестве начинки смарт-карты, соответственно, шифрование и синхронизация могут выполняться постоянно. Например, многие банки используют eToken для данных целей. Постоянно обновляемый ключ со смарт-карты позволяет получить доступ к личному кабинету. При этом непосредственного подключения к компьютеру после синхронизации токена с кабинетом не требуется. Но для ЕГАИС все-равно потребуется разместить на устройстве ЕЦП, а для его считывания и последующего доступа в личный кабинет все равно понадобится установить драйвера.
Внешний вид eTokenК сожалению, проблемы аналогичные, к коим приводят неправильно установленные драйвера, ошибки электронных сертификатов, рассинхронизация ключа с ключом в приложении из-за сбоев. Лечится любая ошибка в зависимости от ситуации, универсальных решений нет.
Теперь перейдем к JaCarta. Фактически, это самое новое поколение USB-токенов. Соответствуют ГОСТ Российской Федерации. Позволяет работать как с отечественными, так и с зарубежными криптоалгоритмами.
Конечно, ключевым отличием является средства для создания усиленной квалифицированной электронной подписи. Это позволяет использовать ЭП наиболее широко, практически на всех площадках, ЕГАИС входит в их число.
Строгая двухфакторная аутенфикация доступна и на других смарт-картах. С проблемами JaCarata можете смело ознакомиться по ссылке в начале статьи. Их немало.
Что лучше?
Как видите, ничего не лучше. Все токены имеют определенные недостатки. Расскажу о причинах. Во-первых, Российские площадки заточены под устаревшую сетевую инфраструктуру. Например, на тендерные площадки без старенького IE до сих пор не зайдешь. И производители смарт-карт вынуждены с этим считаться.
Фактически, вся криптография и инфраструктура построена на устаревших принципах, и те проблемы, которые были ликвидированы благодаря развитию сетевых технологий, до сих пор остались в государственных приложениях.
Потому, ждать, что какой-то из токенов будет лучше, практически бессмысленно. Все производители находятся в плену замкнутого круга: для решения проблем нужно обновление инфраструктуры, но государственная машина в данном плане крайне неповоротлива.
К сожалению, пока рынок не будет заточен под новые технологии и постоянное развитие, ждать улучшения ситуации не приходится.
Оцените материал
Токен (авторизации) — Википедия
У этого термина существуют и другие значения, см. Токен.
Токен (также аппаратный токен, USB-ключ, криптографический токен) — компактное устройство, предназначенное для обеспечения информационной безопасности пользователя, также используется для идентификации его владельца, безопасного удалённого доступа к информационным ресурсам и т. д. Как правило, это физическое устройство, используемое для упрощения аутентификации. Также этот термин может относиться и к программным токенам, которые выдаются пользователю после успешной авторизации и являются ключом для доступа к службам. Часто используется для несанкционированного доступа к аккаунту злоумышленниками.
Токены предназначены для электронного удостоверения личности (например, клиента, получающего доступ к банковскому счёту), при этом они могут использоваться как вместо пароля, так и вместе с ним. В некотором смысле токен — это электронный ключ для доступа к чему-либо.
Обычно аппаратные токены обладают небольшими размерами, что позволяет носить их в кармане или кошельке, часто они оформлены в виде брелоков. Некоторые предназначены для хранения криптографических ключей, таких как электронная подпись или биометрические данные (например, детали дактилоскопического узора). В одни встроена защита от взлома, в другие — мини-клавиатура для ввода PIN-кода или же просто кнопка вызова процедуры генерации и дисплей для вывода сгенерированного ключа. Токены обладают разъёмом USB, функциями RFID или беспроводным интерфейсом Bluetooth для передачи сгенерированной последовательности ключей на клиентскую систему.
Все токены содержат некоторые секретные сведения, которые используются для подтверждения личности. Есть четыре различных способа, в которых эта информация может быть использована:
- Токен со статическим паролем.
Устройство содержит пароль, который физически скрыт (не виден обладателю), но который передаётся для каждой аутентификации. Этот тип уязвим для атак повторного воспроизведения.
- Токен с синхронно динамическим паролем.
Устройство генерирует новый уникальный пароль с определённым интервалом времени. Токен и сервер должны быть синхронизированы, чтобы пароль был успешно принят.
- Токен с асинхронным паролем.
Одноразовый пароль генерируется без использования часов, с помощью шифра Вернама или другого криптографического алгоритма.
- Токен вызов-ответ.
Используя криптографию с открытым ключом, можно доказать владение частным ключом, не раскрывая его. Сервер аутентификации шифрует вызов (обычно случайное число или по крайней мере, данные с некоторыми случайными частями) с помощью открытого ключа. Устройство доказывает, что обладает копией соответствующего частного ключа, путём предоставления расшифрованного вызова.
Одноразовые пароли, синхронизированные по времени[править | править код]
Синхронизированные по времени одноразовые пароли постоянно меняются в установленное время, например, раз в минуту. Для этого должна существовать синхронизация между токеном клиента и сервером аутентификации. Для устройств, не подключённых к сети, эта синхронизация сделана до того, как клиент приобрёл токен. Другие типы токенов синхронизируются, когда токен вставляется в устройство ввода. Главная проблема с синхронизированными токенами состоит в том, что они могут рассинхронизоваться спустя какой-то большой период времени. Тем не менее, некоторые системы, такие как SecurID компании RSA, позволяют пользователю синхронизировать сервер с токеном путём ввода нескольких последовательных кодов доступа. Большинство из них не может иметь сменных батарей, следовательно, они имеют ограниченный срок службы.
Одноразовые пароли на основе математического алгоритма[править | править код]
Другой тип одноразовых паролей использует сложный математический алгоритм, например, хеш-цепи, для создания серии одноразовых паролей из секретного ключа. Ни один из паролей нельзя отгадать, даже тогда, когда предыдущие пароли известны. Существует общедоступный, стандартизированный алгоритм OATH; другие алгоритмы покрыты американскими патентами. Каждый новый пароль должен быть уникальным, поэтому неавторизованный пользователь по ранее использованным паролям не сможет догадаться, каким может быть новый пароль.
Токены могут содержать чипы с различными функциями от очень простых, до очень сложных, в том числе и несколько методов аутентификации. Простейшим токенам безопасности не нужны никакие подключения к компьютеру. Токены имеют физический дисплей; Пользователь просто вводит отображаемое число для входа. Другие токены подключаются к компьютерам, используя беспроводные технологии, такие как Bluetooth. Эти токены передают ключевую последовательность локальному клиенту или ближайшей точке доступа. Кроме того, другой широко доступной формой токена является мобильное устройство, которое взаимодействует с использованием внеполосного канала (например, SMS или USSD). Тем не менее, другие токены подключаются к компьютеру, и может потребоваться PIN-код. В зависимости от типа токена, операционная система компьютера или прочитает ключ от токена и выполнит криптографические операции на нём, или попросит, чтобы программируемое оборудование токена выполнило эти операции самостоятельно. Таким приложением является аппаратный ключ (электронный ключ), необходимый для некоторых компьютерных программ, чтобы доказать право собственности на программное обеспечение. Ключ помещается в устройство ввода, и программное обеспечение получает доступ к рассматриваемому устройству ввода / вывода, чтобы разрешить использование данного программное обеспечение. Коммерческие решения предоставляются различными поставщиками, каждый со своими собственными (и часто запатентованными) функциями безопасности. Проекты токенов, соответствующие определённым стандартам безопасности, удостоверены в Соединённых Штатах как совместимые с FIPS 140, федеральный стандарт безопасности США. Токены без какой-либо сертификации часто не отвечают стандартам безопасности принятым правительством США, они не прошли тщательное тестирование, и, вероятно, не могут обеспечить такой же уровень криптографической защиты, как токены, которые были разработаны и проверены сторонними агентствами.
Токены без подключения[править | править код]
Токены без подключения не имеют ни физического, ни логического подключения к компьютеру клиента. Как правило, они не требуют специального устройства ввода, а вместо этого используют встроенный экран для отображения сгенерированных данных аутентификации, которые, в свою очередь, пользователь вводит вручную с помощью клавиатуры. Токены без подключения являются наиболее распространённым типом токена (авторизации), используемый (обычно в сочетании с паролем) в двухфакторной аутентификации для онлайн-идентификации.[1]
Модель RSA SecurID SID700 представляет собой небольшой брелок.[2]
Токены с подключением[править | править код]
Пример схемы использования токенаТокены с подключением должны быть физически связаны с компьютером, на котором пользователь проходит проверку подлинности (аутентификацию). Токены данного типа автоматически передают информацию для аутентификации на компьютер клиента, как только устанавливается физическая связь, что избавляет пользователя от необходимости вводить данные аутентификации вручную. Использование токена с подключением требует наличия соответствующего разъёма подключения. Наиболее распространённые токены с подключением — это смарт-карты и USB, которые требуют смарт-карт ридер и USB порт, соответственно.
PC Card широко используются в ноутбуках. Предпочтительными в качестве токена являются карты типа II, потому что они в 2 раза тоньше чем, карты типа III.
Аудио вход (audio jack port) может быть использован для установления связи между мобильными устройствами, такими как iPhone, iPad и Android. Наиболее известное устройство — это Square, карт ридер для iPhone и Android.
Технология передачи данных с помощью данного устройства скрыта патентом компании Apple, но преподаватели и студенты факультета электротехники и компьютерных наук Мичиганского университета разработали устройство «HiJack», которое позволяет обмениваться данными между периферическим устройством с низким энергопотреблением и i устройством. Небольшой мощности, которую получает HiJack с аудио порта, достаточно для питания микроконтроллера TI MSP430 и соединения HiJack со специально разработанным для iOS приложением.[3]
Токены могут также использоваться в качестве фото удостоверения личности. Сотовые телефоны и PDAs могут служить токенами безопасности при правильном программировании.
Смарт-карты[править | править код]
Многие токены с подключением используют технологии смарт-карт. Смарт-карты очень дешёвые и содержат проверенные механизмы безопасности (которые используются финансовыми учреждениями, как расчётные карты). Однако, вычислительная производительность смарт-карт весьма ограничена из-за низкого энергопотребления и требования ультра тонких форм.
Смарт-карты на основе USB токенов, которые содержат чип смарт-карты внутри, обеспечивают функциональность как USB, так и смарт-карт. Они включают широкий ряд решений по безопасности и обеспечивают защиту традиционной смарт-карты, не требуя уникального устройства ввода. С точки зрения операционной системы компьютера, такой токен является подключённым через USB смарт-карт ридером с одной несъёмной смарт-картой внутри.[4]
Пример использования токена[править | править код]
С помощью токена можно защитить учётную запись на компьютере, используя сложный пароль, не запоминая его. Для этого вы должны купить программное обеспечение(например: eToken Network Logon) и токен, подходящий к нему. С помощью программы токен получит ключ для входа в систему. При повторном запуске вам потребуется вставить токен (например в USB порт) и ввести PIN. После проделанных операций вы получаете доступ к системе.
Беспроводные токены[править | править код]
В отличие от токенов с подключением, беспроводные токены формируют логическую связь с компьютером клиента и не требуют физического подключения. Отсутствие необходимости физического контакта делает их более удобными, чем токены с подключением и токены без подключения. В результате данный тип токенов является популярным выбором для систем входа без ключа и электронных платежей, таких как Mobil Speedpass, которые используют RFID, для передачи информации об аутентификации от токена брелока. Тем не менее существуют различные проблемы безопасности, после исследований в Университете имени Джонса Хопкинса, и Лаборатории RSA обнаружили, что RFID метки могут быть легко взломаны.[5] Ещё одной проблемой является то, что беспроводные токены имеют относительно короткий срок службы 3-5 лет, в то время как USB токены могут работать до 10 лет.
Bluetooth-токен РутокенBluetooth-токены[править | править код]
Bluetooth-токены удобны в применении, поскольку для их использования не требуется физического подключения устройства, токен может находиться в кармане пользователя. Также одним из преимуществ Bluetooth-токенов является возможность работы с мобильными устройствами, многие из которых не поддерживают возможность физического подключения. Стоит отметить, что Bluetooth-токенам необходимо собственный элемент питания для работы беспроводного модуля и криптографического устройства, поэтому в них устанавливается аккумулятор, который периодически необходимо заряжать (для современных устройств время работы составляет около 40 часов). Зарядка встроенного аккумулятора осуществляется либо с помощью специального блока питания, либо с помощью обычного USB-штекера, который одновременно позволяет использовать USB-подключение, если нет возможности подключения через Bluetooth. Bluetooth-аутентификация работает на расстоянии около 10 метров, что позволяет выполнять определённые действия, если пользователь отлучился (например, заблокировать рабочий компьютер).
Некоторые виды единого входа используют токены для хранения программного обеспечения, которое позволяет быстро пройти аутентификацию. Поскольку пароли хранятся на токене, то пользователю не требуется запоминать его, тем самым можно использовать более безопасные, сложные пароли.
Работа с веб-приложениями посредством плагина[править | править код]
При использовании токена или смарт-карты в веб-приложениях взаимодействие браузера и средства электронной подписи осуществляется через специальный плагин. С помощью плагина веб-приложение получает с подключённых токенов перечень доступных сертификатов, запрашивает установку электронной подписи.
В то же время использование плагина от определённого производителя затрудняет применение средств электронной подписи других вендоров. Для решения этой задачи разрабатываются универсальные плагины, например:
- плагин для работы с порталом государственных услуг, поддерживающий наиболее распространённые средства электронной подписи. Плагин предназначен для использования в инфраструктуре электронного правительства, поддерживает исключительно квалифицированные средства электронной подписи. По состоянию на начало 2016 г. не работает в последних версиях Mac OS X и в браузере Google Chrome.
Мобильные устройства в качестве токена[править | править код]
Мобильные вычислительные устройства, такие как смартфоны или планшеты, могут быть использованы в качестве токена. Они также обеспечивают двухфакторную аутентификацию, которая не требует, чтобы пользователь носил с собой дополнительное физическое устройство. Некоторые производители предлагают решение для аутентификации через мобильное устройство, использующее криптографический ключ для аутентификации пользователя. Это обеспечивает высокий уровень безопасности, включая защиту от атаки «человек посередине».
Простейшая уязвимость с любым токеном — это его потеря или кража. Вероятность случая компрометации может быть уменьшена с помощью личной безопасности, например: замки, электронная привязь, сигнализация. Украденные токены бесполезны для вора, если использована технология двухфакторной аутентификации. Как правило для проверки подлинности требуется вводить персональный идентификационный номер (PIN) вместе с информацией на токене.
Любая система, которая позволяет пользователям аутентифицироваться через ненадёжную сеть (например, Интернет) является уязвимой для атаки «человек посередине». MITM-атака (англ. Man in the middle) — термин в криптографии, обозначающий ситуацию, когда криптоаналитик (атакующий) способен читать и видоизменять по своей воле сообщения, которыми обмениваются корреспонденты, причём ни один из последних не может догадаться о его присутствии в канале. Метод компрометации канала связи, при котором взломщик, подключившись к каналу между контрагентами, осуществляет активное вмешательство в протокол передачи, удаляя, искажая информацию или навязывая ложную.
Надёжная, как обычная рукописная подпись, цифровая подпись должна быть сделана с помощью закрытого ключа, известного только лицу, уполномоченному сделать подпись. Токены, которые позволяют безопасное генерирование и хранение закрытых ключей, обеспечивают безопасную цифровую подпись, а также могут быть использованы для проверки подлинности пользователя, закрытый ключ также служит для идентификации пользователя.
Технология TrustScreen призвана повысить безопасность онлайн операций в дистанционном банковском обслуживании (ДБО) и других ответственных приложениях. Её задача состоит в защите от подмены злоумышленником подписываемого документа или его хеша в процессе подписи, а также от выполнения несанкционированных операций в случае успешного перехвата PIN-кода. Технология делает возможным визуальный контроль подписываемых данных, которые отображаются на экране устройства непосредственно перед подписью. Все значимые операции над отправленными на подпись данными производятся «на борту» устройства:
- визуализация документа на экране с целью контроля корректности,
- вычисление хеша документа,
- подпись хеша документа производится на неизвлекаемом ключе,
- ввод PIN-кода или команды подтверждения подписи, минуя клавиатуру компьютера.
|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
![Token+ [Лохотрон] — отзывы о проекте Виктора Громова](/800/600/https/i.ytimg.com/vi/NOcwIwXVZrU/hqdefault.jpg)
