Огромное количество людей по всему миру выбрали интернет как основное средство коммуникации.Парадоксально, но пользователи часто выкладывают в сети информацию, которой онини за что не поделились бы в реальном мире: откровенные фотографии, сведения о банковских счетах, дорогих покупках, конфиденциальная переписка и т.д.Закономерно, что появились и охотники за этими персональными данными. В ролижертвы все чаще и чаще оказываются обычные граждане по всему миру, пренебрегающиеэлементарными средствами информационной безопасности.

«Бизнес, особенно это касается крупных компаний, тратит немалые средства на информационнуюбезопасность, потому что понимает ценность той информации, которой владеет. В то же время, обычные пользователи – физические лица – остаются крайнеуязвимыми, так как, кроме антивирусов, почти никакие средства персональнойзащиты на массовом рынке не представлены, – комментирует заместитель директорадепартамента информационной безопасности компании «РТС-Тендер» Дмитрий Скрипкин. – По моему мнению,активное развитие социальных сетей и мессенджеров, должно-таки образумить людейи заставить уделить внимание защите своих аккаунтов в интернете».

Новая международная структура FIDO Alliance, объединившая ведущих мировыхИТ-вендоров, банки и представителей электронной торговли, начала разрабатывать стандартыстрогой аутентификации для, так называемого, масс-маркета. В качестве второго факторабыл выбран U2F-токен.

Безопасный выбор

Плюсы и минусы присущи всем технологиям безопасности. Важен их баланс. Токен (он же электронныйключ, криптографический токен) – это миниатюрный защищенный программно-аппаратныйкомплекс, предназначенный для идентификации его владельца, обеспечения безопасногоудаленного доступа к информационным ресурсам, хранения информации и т.д. В корпоративном секторе они давно нашли свое применение.

Альтернативой аппаратным средствам могут быть различные технологии, например, биометрия.Достаточно часто можно встретить как внешние, так и встроенные в смартфонсканеры отпечатков пальцев. Кто-то использует для аутентификации голос,радужную оболочку глаз, рисунок вен ладони. Особенно биометрический методпопулярен у производителей мобильных устройств.

Существуют и технологии, которые привлекают третьи доверенные стороны (сервисы) для надежной аутентификации. Например, это может быть SMSс одноразовым кодом для ввода в браузер с клавиатуры.

У всех технологий есть свои минусы. Например, у обычных брелоков (которыегенерируют и отображают на экране некий секретный одноразовый пароль) и SMS есть несколько родовых болезней. В первую очередь, это необходимость использования клавиатуры компьютера для вводацифр и текста, сгенерированного брелоком или присланного в SMS. Именно здесь пользовательскиеучетные данные может поджидать вредоносное ПО, способное перехватить и скомпрометировать их. И не всегда антивирус способен предотвратить кражу, онтоже не всесилен. Например, если между разъемами клавиатуры и компьютераинсайдерами установлены перехватывающие устройства – снифферы.

Злоумышленники уже научились перехватывать SMS,скрывать их от пользователя и имитировать. Поэтому в качестве серьезноговторого фактора аутентификации их рассматривать не рекомендуется.

Что касается биометрии, то ее плюсы очевидны – отпечаток пальца, скажем, потерятьнельзя, он всегда с собой. Но подделать этот отпечаток, как и SMS, особенного труда не стоит.

Ключевая пара, как гарантия стандарта U2F

В результате глубокого анализа массы различных факторов и технологическихограничений, экспертами FIDO Alliance в качестве физического носителя второгофактора аутентификации был выбран именно U2F-токен. Практически это выглядиттак: в процессе аутентификации пользователя, помимо проверки имени пользователяи пароля, целевой сайт убеждается в наличии у пользователя U2F-токена путемпроверки электронной подписи, созданной этим устройством.

«По факту, U2F-токен – это персональное «мобильное» устройство, позволяющее защититьдоступ к своим данным в сети, одно из самых простых и доступных решений для пользователя. К тому же, если такое устройство оснащено технологией на основеNFC или Bluetooth, оно может стать универсальным решением как для «десктопных»решений, так и для мобильных девайсов, которые в последнее время набирают всебольшую популярность», – добавляет Дмитрий Скрипкин.

Пользователь может применять один и тот же U2F-токен для доступа к различным веб-ресурсам –в этом смысле его можно сравнить со связкой ключей к различным сайтам. Когда пользовательсайта регистрирует токен для своей учетной записи, на нем создается ключеваяпара, которая используется для взаимодействия только с этим сайтом.

«Стандартами FIDO заложено, что проверяющая сторона может определить основные характеристикииспользуемого клиентом U2F-токена – например, кто является его производителем,как именно в нем реализована функциональность электронной подписи – аппаратноили программно. Это позволяет, скажем, поставщику финансовых услуг принятьрешение о поддержке аппаратных U2F-токенов только определенного производителя. Дополнительнойгарантией надежности и защищенности U2F-токенов должны стать различныесертификации с привлечением третьих сторон», – поясняет Анатолий Лебедев, доцент кафедры информационной безопасности МГТУ им. Н.Э. Баумана.

Протокол U2F позволяет воспользоваться браузером или любым другим приложением,поддерживающим его, для обмена данными с U2F-токеном пользователя с цельюобеспечения строгой аутентификации. Регистрация U2F-токена и аутентификация с его помощью осуществляется пользователем из среды браузера, никакогодополнительного ПО не требуется. При этом само устройство определяетсякомпьютером или мобильным устройством, как стандартная клавиатура, что не требует никаких дополнительных драйверов и делает технологию по-настоящему универсальной.

U2F-токен стал высокотехнологичным устройством

U2F-токен может быть выполнен в различных вариантах, как то: USB-брелок, NFC-устройство,устройство Bluetooth LE. Настоятельно рекомендуется обеспечивать безопасностьаппаратными средствами, однако это не является необходимым требованиемстандарта. Кроме того, протокол U2F предоставляет аттестационный механизм,который позволяет проверяющей онлайн-службе идентифицировать основныехарактеристики U2F-токена и на основе этих данных в зависимости от установленной политики разрешить или запретить обмен данными с ним.

Российская компания «Аладдин Р.Д.» выпускает U2F-токены по требованиям этого стандарта с 2015года. Устройства изготавливаются на собственном производстве – это позволяетполностью исключить вероятность аппаратных «закладок».

«Как говорится, не было бы счастья, да несчастье помогло, – вспоминает Антон Крячков, руководитель направленияуправления знаниями компании «Аладдин Р.Д.». – Некоторые из клиентов нашейкомпании, помимо токенов JaCarta, использовали в своей работе также и U2F-токены, произведенные шведской компаниейYubico. Нас уже давно спрашивали, почему мы не сделаем такие же устройства.Точкой принятия решения стал день, когда мы узнали, что во исполнение санкцийпрекратились поставки на российский рынок U2F-токенов этого известного бренда. Мыпоняли, что это шанс для нашей компании, возможность помочь пользователям и углубилисьв изучение спецификаций U2F, написание программного кода и так далее. И вот,пожалуйста, продукт мирового уровня под брендом JaCarta производится у нас в стране и использует полностью отечественное ПО».

Конечно же, опыт Yubico было бы глупо не использовать. Поэтому в токене применяются отличнозарекомендовавшие себя по банковским, смарт- и SIM-картам защищенные микроконтроллерыпроизводства компании NXP Semiconductors N. V. с использованием операционнойсистемы Java Card Open Platform (JCOP).

JCOP — это операционная система для смарт-карт с виртуальной машиной Java Card для систем сильной идентификации личности и платежных систем. Первоначально JCOP была разработана корпорацией IBM,затем получила широкую поддержку альянса Globa lPlatform, международнойорганизации гражданской авиации ICAO. Благодаря открытой архитектуре стороннимразработчикам предоставляется возможность писать свои криптографическиеприложения (апплеты) в соответствии с национальными стандартами, чем не преминули воспользоваться программисты «Аладдин Р.Д.».

Таким образом, развитие технологий производства компонентов для смарт-карт и универсального ПО для их работы позволило FIDO Alliance рекомендовать всемпользователям сети интернет для надежной двухфакторной аутентификациитехнологию U2F-токенов, избавленной от множества недостатков иных технологий на базе биометрии и т.д. А дополнительную гарантию безопасности привнеслиотечественные разработчики и производители программно-аппаратных устройств,полностью совместимых с международным стандартом U2F.

Татьяна Ведешкина