03.05.2006

Токены от Aladdin'а. Часть 1

Infobez.ru, май/2006, Марат Давлетханов

Сегодня вопросами, касающимися надёжности аутентификации пользователей в информационных системах, в России начали заниматься серьезно. И в этом нет ничего удивительного. До сих пор в большинстве компаний для аутентификации пользователей используются стандартные средства операционной системы, то есть, проще говоря, парольная защита. Ну а надёжность последней, мягко говоря, невелика. Прекрасной альтернативой парольной защиты является имущественная аутентификация. Суть её заключается в предъявлении пользователем для входа в информационную систему определённого устройства, которое ему выдал администратор. Впрочем, здесь всегда остается риск того, что злоумышленник украдёт или с помощью угроз или шантажа заберёт "метку" у законного владельца. Или же человек просто-напросто потеряет её. Именно поэтому оптимальными устройствами для реализации имущественной аутентификации являются различные токены. Принципиальное их отличие от остальных носителей информации является защищённая память, доступ к которой ограничен. Это знают все. Но лишь немногие представляют себе, а как же вообще устроен токен, почему он является надёжным хранителем любых секретов. Давайте мы с вами, уважаемые читатели, исправим это упущение. А для примера мы возьмем один из лидеров рынка токенов - устройство eToken PRO, разработанное и выпускаемое компанией Aladdin Knowledge Systems.

Собственно говоря, eToken PRO - это целая серия, состоящая из двух совершенно разных устройств. По крайней мере, так кажется на первый взгляд. Первое из них - смарт-карта. Для её использования компьютер должен быть оборудован любым стандартным PC/SC-совместимым ридером. Второе устройство - аппаратный USB-ключ, то есть защищённый носитель, который подключается прямо к любому USB-порту ПК. Однако на самом деле оба описанных ключа - это одно и тоже. Оказывается, USB-токен - это миниатюрный ридер, в который "зашит" один чип смарт-карты. Таким образом, можно говорить, что eToken PRO - это одно устройство, выпускаемое в двух различных форм-факторах. USB-ключ и смарт-карта полностью взаимозаменяемы и могут работать с любым программным обеспечением, в котором встроена поддержка защищённых носителей компании Aladdin.

Аппаратная архитектура ключа eToken PRO

Основой ключа eToken PRO является микросхема смарт-карты Infineon семейства SLE66CX, работающая под управлением одной из версий операционной системы Siemens CardOS/M4. Она состоит из 16-ти битного процессора с набором инструкций ECO 2000, специальной памяти с кодом операционной системы (эта память доступна только для чтения), оперативной памяти для работы ОС, специальной памяти для хранения пользовательских данных (EEPROM, Electrically Erasable Programable Read Only Memory), аппаратного генератора случайных чисел и специального криптопроцессора, ускоряющего выполнение шифрования и расшифровывания информации. Фактически, данная микросхема обеспечивает всё необходимое для защиты информации. В частности, именно в ней на аппаратном уровне реализованы симметричные и асимметричные криптографические алгоритмы, генерация ключей шифрования, а также защищённое хранение информации пользователя.

Собственно говоря, архитектура устройства eToken PRO, выпущенного в виде смарт-карты, на этом и заканчивается. Описанная микросхема просто размещается на пластиковой карточке стандартного размера. Ну а все функции по обмену данными с компьютерами берёт на себя ридер. Архитектура USB-ключей несколько сложнее. В них к микросхеме добавляется ещё защищённый микроконтроллер, который обеспечивает все коммуникационные функции. Фактически, по своей функциональности, он мало чем отличается от карт-ридеров стандарта PC/SC. Помимо этого в рассматриваемых ключах имеется разъем USB для подключения устройства к компьютеру, светодиод для отображения текущего режима работы и герметичный полупрозрачный пластиковый корпус, который невозможно вскрыть без следов.

PIN-код в ключах eToken PRO

После подключения устройства eToken к компьютеру для получения доступа к его памяти пользователю нужно ввести правильный PIN-код. Что это такое? PIN-код - это специально заданный пароль, превращающий простую имущественную аутентификацию в многофакторную: его применение позволяет требовать от пользователя не только обладание определенным устройством, но и знание ключевой информации, необходимой для доступа к нему.

В ключах eToken минимальная длина PIN-кода составляет 4 символа. Впрочем, сами разработчики, равно как и эксперты в области информационной безопасности, советуют применять пароли, состоящие не менее чем из 7 букв, цифр и специальных символов. Интересно, что качество PIN-кодов в пределах своей компании может легко обеспечить администратор безопасности. Для этого ему достаточно задать различные критерии: минимальное число символов в PIN-кодах, проверку их по словарю, обязательное использование двух регистров, цифр и спецсимволов, запрет на использование имён пользователей, номеров телефонов, машин и т.д.

У PIN-кодов в ключах eToken есть надёжная защита от атак с использованием методов полного перебора и подбора по словарю. Реализована она с помощью встроенного счетчика неправильного ввода. По умолчанию его значение равно 15 (администратор может изменить это значение). При каждом некорректном вводе пароля счётчик уменьшается на единицу. А как только пользователь использует правильный PIN-код, его значение опять вернётся к первоначальному. Таким образом, у злоумышленника есть только 15 (или любое другое определённое администратором число) попыток ввода PIN-кода. Так что угадать состоящий из 7 символов пароль просто-напросто невозможно.

В том случае, если счётчик неправильных вводов PIN-кода достигнет нуля, ключ будет заблокирован. Это значит, что доступ к его памяти полностью закроется. Разблокировать ключ может только администратор с помощью своего пароля (см. раздел про уровни доступа). Другой вариант - полное переформатирование ключа. Естественно, вся пользовательская информация в этом случае будет уничтожена. Таким образом, PIN-код надёжно защищает устройство eToken от несанкционированного доступа к защищённой памяти.

Уровни доступа к памяти ключа eToken PRO

Ключ eToken PRO, подключённый к компьютеру, может работать в четырёх различных режимах. Первый из них - гостевой доступ. Для работы в нём пользователю не требуется знания PIN-кода. Достаточно просто присоединить USB-токен к ПК или вставить смарт-карту в ридер. При этом будет доступна только открытая информация (ID-номер/идентификатор смарт-карты, информация о ключе, открытые файлы и каталоги) и только для чтения.

Второй режим работы ключа eToken - пользовательский доступ. Он требует от человека ввода правильного PIN-кода, установленного администратором. Именно в этом режиме осуществляют работу простые пользователи. В нём разрешено чтение и запись как открытой, так и закрытой информации.

Следующий режим работы также относится к закрытым, то есть для его использования необходим ввод правильного пароля, который задаётся при форматировании токена. Его должен знать только администратор, поскольку при работе в этом режиме возможна разблокировка ключа, закрытого из-за многократного ввода неправильного PIN-кода пользователя.

Последний режим - специальный. Он предназначен для повторной инициации, то есть форматирования ключа. Использование этой функции, естественно, приведет к потере всех пользовательских данных. Поэтому при первой инициации администратор может задать специальный PIN-код, знание которого будет необходимо для работы в данном режиме.

Жизненный цикл ключа eToken PRO

Жизненный цикл ключей eToken PRO начинается на собственном заводе компании Aladdin со всеми параметрами, установленными по умолчанию. После приобретения токенов IT-служба компании инициализирует их. При этом производится форматирование, устанавливаются некоторые параметры, загружаются сертификаты организации. Далее все ключи передается ответственному за безопасность сотруднику. Он на каждом ключе задаёт пароль администратора и PIN-код пользователя, загружает в память сертификат и ключ человека. После этого токены передаются конечным пользователям. Последние могут постоянно работать с ним, менять свой PIN-код и т.д.

В случае если токен будет заблокирован из-за многократного неправильного ввода PIN-кода, он может быть передан либо офицеру безопасности для разблокирования, либо в IT-службу компании для переформатирования. Это зависит от политики организации в области информационной безопасности. В некоторых случаях разблокирование ключа оказывается вообще невозможно. Тогда токен подлежит списанию и утилизации. Это же происходит и при выходе его из строя в результате нарушений условий эксплуатации (падение с большой высоты, попадание в неблагоприятную внешнюю среду и т.п.).

Сертифицированная модель eToken PRO

Помимо основной модели ключа eToken PRO существует еще одна, сертифицированная ФСТЭК России. Собственно говоря, она отличается от описанного нами устройства только одним - предустановленными в соответствии с требованиями и рекомендациями Гостехкомиссии режимами настройки безопасности (наличием пароля администратора и более жёстких критериев, предъявляемых к качеству PIN-кода). Помимо этого сертифицированные модели могут выпускаться со встроенными радиометками (RFID), которые часто используются в корпоративных системах физического доступа в помещения. Таким образом, одно устройство может использоваться для решения двух различных задач, что не только удобно для конечных пользователей, но и выгодно для компании.