Преимущества токена перед флешкой. Как сделать из флешки usb-токен? Средняя стоимость внедрения систем контроля доступа

Человечество постоянно изобретает новые способы защиты от злоумышленников. Один из них – это USB-токен. Каков механизм его работы? Чем он является? Что такое токен вообще? Вот краткий перечень вопросов, которые будут нами рассмотрены.

Что такое токен?

Так называют аппаратное устройство, которое умеет формировать ключевую пару и ставить электронную цифровую подпись. Для того чтобы с его помощью можно было выполнять операции, необходимо внести ПИН-код. При этом для его взаимодействия с компьютером не нужно устанавливать различные дополнения или драйвера. Токен в данном случае определяется ЭВМ как HID-устройство. Также он часто имеет в качестве дополнительного функционала небольшое хранилище данных. Но его главная цель – это именно выступать в качестве хранилища ключа. Подобрать пароль злоумышленнику будет весьма трудно ввиду того, что после третьей неудачной попытки ввода он заблокируется. Вот что такое токен.

Другие функции

Кроме уже рассмотренных вариантов, это устройство может выполнять и другие задачи, которые поставлены перед ним. Среди них:

1. Шифровка/дешифровка данных с использованием а/симметрического алгоритма.
2. Формирование и проверка ЭЦП.
3. Хеширование данных.
4. Генерация ключей шифрования.

Для полноты образа токена его можно представить в виде «черного ящика». Так, при криптографических операциях данные поступают на вход, в самом устройстве преобразуются (для этого используется ключ) и передаются на выход. Токены имеют довольно много общего с микрокомпьютерами. Так, информация подаётся и выводится с использованием USB-порта, у устройства есть собственная оперативная и долговременная (к тому же ещё и защищенная) память, а также свой процессор.

О паролях

Они стали классикой современности. Главное преимущество паролей, благодаря которому они так распространены, – это простота их использования. Но наша забывчивость, передача с использованием незащищенных каналов, их набор на клавиатуре, предсказуемость и много других аспектов ставят под сомнение нашу безопасность. Также остро состоит проблема шифрования. Давайте рассмотрим криптографический ключ на 256 бит. Если использовать генератор псевдослучайных чисел, то получившийся пароль будет обладать хорошими статистическими свойствами. А что собой представляют комбинации, которые выбирают для защиты своих данных люди? Во многих случаях пароли – это слова из словаря или что-то важное для них (их имя, дата рождения и прочее).

Достаточно только прочитать новости об очередном взломе базы данных крупного сайта или компании и посмотреть, какие комбинации выбирают себе люди. Очень часто здесь встречаются цифры, идущие подряд, начиная с единицы, или соединение имени и год рождения. Это, безусловно, очень плохо. Вот для таких случаев и предусмотрено использование токенов. Ведь они смогут защищать данные на высшем уровне с использованием рекомендованных параметров, когда просто подобрать пароль злоумышленникам будет сложно. Ведь код токена будет составлен по всем правилам криптографических протоколов. В качестве примера можно рассмотреть аутентификацию. Благодаря тому, что будет реализован принцип «любой из тысячи», даже если злоумышленником будет перехвачен трафик, или пропадёт база данных с сервера – шанс на успех у преступника настолько маловероятен, что его можно назвать несуществующим. К тому же, можно забыть пароль, но ключ – нет. Ведь он будет храниться на токене.

Шифрование данных

Мы разобрали, что такое токен, теперь давайте рассмотрим, как же работает указанная система безопасности. Сами данные шифруются с помощью криптографического ключа. Он, в свою очередь, защищается паролем. Последний не всегда удовлетворяет требованиям безопасности и так же успешно может быть забыт. В таком случае есть два варианта:

1. Ключ находится на токене, при этом он не покидает устройство. Этот вариант подходит тогда, когда есть небольшой объем информации. В этом случае мы имеем небольшую скорость дешифрования и тот факт, что нарушителю его извлечь практически невозможно.
2. Ключ находится на устройстве, и, когда шифруются данные, он передаётся в оперативную память. Этот вариант используется при работе с большим объемом данных. Заполучить ключ в данном случае возможно. Но это нелегкая задача – всё тот же пароль легче украсть.

Если есть желание получить токен, то необходимо понимать, что за это придётся платить. Несмотря на то, что данные устройства могут выполнять целый ряд различных криптографических операций, которые довольно сложны для понимания большинством людей, само применение таких приборов не создаст проблем, ведь этот процесс является интуитивно понятным. От пользователя не требуется профильных специальных знаний, а также понимания происходящего в токене.

Заключение

Вот мы и рассмотрели, что такое токен. Теоретически, распространение данного решения обеспечения безопасности в будущем поможет избегать случаев, когда крадутся ценные данные или пароли. В конечном итоге это обернётся увеличением уровня безопасности.

Электронные ключи появились давно, но пока не сумели вытеснить стандартную процедуру идентификации по логину и паролю. Это более чем странно, учитывая, что современные USB-токены обеспечивают высокую степень защиты данных, практически неуязвимы перед внешними атаками и в достаточном количестве представлены на российском рынке. Главное, не ошибиться с выбором.

Пароль «устарел»

Идентификация с помощью «логина» и «пароля» — вещь обыденная. Однако, такая схема «распознавания» пользователя системой несколько устарела с точки зрения безопасности и удобства использования. Зачастую, увеличение акцента на защиту информации снижает комфортность контроля доступа для пользователя. Так, пароли созданные в соответствии с предъявляемыми требованиями к сложности (использование букв разного регистра, цифр, знаков препинания и служебных символов, длина минимум 8 символов) тяжелы для запоминания конечному пользователю. Таким образом, главной проблемой становится человеческий фактор.

К проблемам парольной аутентификации можно отнести еще и легкость подбора по словарю (если паролем служит слово или фраза из какого-нибудь языка, даже при условии замены букв на спецсимволы, например, P@ssw0rd), и перебором (особенно коротких паролей.) Также пароль может быть перехвачен или подсмотрен при его вводе либо получен путем применения насилия к его владельцу. Проблемы аутентификации пользователей в информационной системе выявлены очень давно, и уже были предложены различные решения. Современная тенденция — использование двухфакторной аутентификации на основе USB-токенов. В России доля таких устройств занимает доминирующее положение по отношению к смарт-картам и автономным токенам в результате более позднего формирования рынка аппаратных устройств аутентификации и мощной маркетинговой политики компаний-производителей. Основными игроками на Российском рынке USB-ключей (токенов) являются компании Aladdin, Rainbow Technologies, «Актив» совместно с «Анкад», RSA Security, а также Feitian Technologies с ее продуктом ePass.

Сколько стоит современная защита?

Интеллектуальные USB-ключи предназначены для работы в приложениях, к которым предъявляются повышенные требования с точки зрения защиты данных. USB-ключи можно назвать преемниками контактных смарт-карт, они практически повторяют их устройство, но не требуют специальных считывателей, что упрощает их внедрение и уменьшает стоимость. Таким образом, экономическое преимущество при использовании USB-ключей по сравнению со смарт-картами достигается тогда, когда за компьютером работает один пользователь, если же необходимо, чтобы на одной машине работало несколько человек, то выгоднее приобрести один считыватель и несколько смарт-карт, так как стоимость самой карточки ниже стоимости токена. Отметим, что USB-ключи, не выполненные по архитектуре «смарт-карта + карт-ридер», например, ruToken, «Шипка», выполнены на серийном микроконтроллере и программно эмулируют функциональность смарт-карт. Это сильно снижает их безопасность. В частности, они используют внешний чип памяти со всеми вытекающими последствиями (у смарт-карточных токенов память находится внутри чипа смарт-карты, и атаковать ее очень сложно).

Средняя стоимость внедрения систем контроля доступа

Источник: CNews Analytics, 2006

Продемонстрируем это на примере продукции Aladdin. Один электронный USB-ключ eToken PRO/32K стоит $49. Смарт-карта eToken PRO/SC обойдется в $23, считыватель смарт-карт для eToken ASEDrive IIIe USB V2 — $40.

Тонкости выбора USB-токенов

USB-токен — это симбиоз считывателя и смарт-карты, только в нем карта впаяна, и ее нельзя поменять. Процесс инсталляции аналогичен установке считывателя, а его подключение/извлечение аналогично подключению/извлечению карты в считыватель. Чтобы начать использовать USB-токен в приложениях, его необходимо отформатировать специальной утилитой. Не все приложения, которые работают с USB-токенами, будут поддерживать именно конкретную модель токена, это необходимо проверить. Зачастую, выбор токена определяется не его качественными характеристиками, а возможностью работы с определенными приложениями или операционными системами. При покупке не стоит руководствоваться размерами памяти токена, маленький размер памяти смарт-карты здесь является преимуществом, поскольку это не позволяет сотрудникам записывать другую конфиденциальную информацию с рабочего компьютера. При покупке комплекта — программа плюс USB-токен — надо убедиться, что вас обеспечат драйверами для USB токена, и выяснить, каким образом будет произведено форматирование токена: самой программой или отдельной утилитой.

Файловая система токена разделяется между несколькими приложениями и службами. Пользователю не нужно знать множество паролей — их запоминает токен. Следует запомнить лишь короткий PIN-код, удостоверяющий пользователя как владельца всех паролей, хранящихся в памяти ключа. После нескольких неудачных попыток ввода PIN-кода процессор «запирает» токен до вмешательства администратора безопасности, поскольку предполагается, что ключ был украден или потерян.

Для обеспечения строгой аутентификации необходимо гарантировать надежность и достоверность принципала (объекта аутентификации — отправитель или получатель), А потому должны использоваться надежные криптографические алгоритмы и продуманные схемы аутентификации. Строгая аутентификация в данном контексте означает, что информация, непосредственно аутентифицирующая пользователя, не выходит за пределы токена, а лишь участвует в криптографических вычислениях, результатом которых будут некоторые последовательности нулей и единиц, расшифровав которые другой принципал абсолютно надежно, точно и достоверно определит отправителя. Именно, поэтому важно покупать модели со встроенным генератором ключей, чтобы такая важная информации не попадала из токена в компьютер. Кроме того, все важные криптографические вычисления по проверке сертификатов должны быть реализованы аппаратно, что также исключает возможность компрометации на уровне компьютерных приложений.

Основные характеристики предлагаемых на рынке продуктов

Сегодня все чаще используются токены. Но несмотря на это многие люди не понимают, что это за устройства. Далее пойдет речь о том, для чего используют токены, что такое применение дает. Рассматриваться будут именно USB-устройства, подключаемые к ПК.

на токенах

Хочется сразу же объяснить, что данное устройство не является флеш-накопителем. Несомненно, на нем может храниться небольшое но оно ограничено, к примеру 64 килобайтами. Существуют также и токены, содержащие в себе память на несколько гигабайт. Но данные в этой памяти хранятся по той же технологии, что и на обычной карте памяти. По этой причине функцию хранения данных можно считать побочной или второстепенной. Для чего же нужны устройство делает?

Первоначальное предназначение - неизвлекаемое хранение некой ключевой информации. Сразу заметно, что тут мало общего с картой памяти. Неизвлекаемое хранение - это такое, при котором код токена не попадет никуда из устройства. Он не может быть извлечен, к примеру, в оперативную память компьютера. Возможны варианты, когда это происходит, но в зашифрованном виде. Существует опция экспортирования ключа и в открытом виде, но даже это намного безопаснее, чем его хранение на флешке. Почему так надежнее хранить ключ? Токен предполагает знание PIN-кода для экспорта, а флешка - нет.

Из этого следует вывод, что даже при простейших настройках безопасности лучше хранить ключи на токене.

Другие функции

Хранение ключа - главное, для чего предназначены токены. Что такое устройство может помимо этого? Вот прочие функции:

1. Самостоятельные шифрование и расшифровка.
2. Генерация ключа шифрования.
3. Формирование и проверка ЭЦП.
4. Хеширование данных.

Токен является неким черным ящиком в то время, когда осуществляются криптографические операции. Так, данные поступают на вход, при помощи ключа преобразуются и отправляются на выход. Можно сравнить токен с микрокомпьютером: ввод и вывод информации осуществляется через USB, имеется собственный процессор, оперативная, а также долговременная память.

Сравнение с паролями

Для большинства стало стандартом то, что всюду используются пароли. Это уже современная классика. Человек хочет зайти в соцсеть или купить что-то - использует пароль. Главное их преимущество - в простоте использования. Но в то же время есть аспекты, которые ставят некоторые операции, важные с позиции безопасности, под вопрос. Это могут быть забывчивость, передача пароля по незащищенному каналу, набор на клавиатуре, предсказуемость.

Токены вполне способны решить абсолютно все те задачи, для которых в наши дни применяют пароли. И решить их более безопасно и качественно.

Шифрование данных

Данные, как правило, шифруются на криптографическом ключе, который, в свою очередь, шифруется на пароле. И безопасность такой схемы полностью зависит только от пароля, который не во всех случаях является сложным, может набираться на клавиатуре либо забывается. При использовании токена есть два варианта решения:

• Ключ находится на токене и его не покидает. Данный способ годится только для небольших объемов информации, поскольку скорость расшифровки при помощи токена высокой не является. Нарушитель не сможет извлечь ключ.
• Ключ находится на токене, но в процессе шифрования попадает в оперативную память компьютера. Такой способ применяют, к примеру, для шифрования и дешифрования тома полностью. Ключ извлечь возможно, но не очень легко. Пароль украсть намного проще.

Заключение

Можно с уверенностью сказать, что удастся избежать самых разных неприятных ситуаций при использовании и распространенности решений, основанных на токенах. Кража паролей будет исключена, а уровень безопасности увеличится в глобальном смысле. Именно для безопасности и используются токены. Что такое использование дает? Только преимущества и надежность. Даже если полностью отказаться от паролей в пользу токенов, преимущества очевидны. Ведь и при потере ключа никто им воспользоваться не сможет.

Подскажите пожалуйста, есть такие программы, которые мгут сделать из флэшки USB-токен. Т.е. смысл таков: я прихожу к компу, втыкаю флэшку, меня авторизовывает и я могу работать. Вытаскиваю флэшку и всё: доступа нету, данные невозможно получить даже вытащив hdd и призвав экстрасенса)

Навигация по записям

Как сделать из флешки usb-токен? : 7 комментариев

1. soulcub

   Guardant - это не совсем то, что нужно.
   Посмотрите Рутокен (http://www.rutoken.ru) - это и есть USB-токен. Российский, недорогой, надежный и проверенный на сотнях тысяч внедрений.
   Если у вас все так серьезно, то кроме токена потребуется либо докупить софтинку (смотрите там же на сайте раздел «Решения партнеров»), либо поплясать с настройками оси.
   Как уже говорилось, сделать из флешки токен не получится, потому что это суть разные устройства, несмотря на схожий форм-фактор. Если грубо - на токене вы не можете хранить обычные файлы. Поскольку внутренняя память шифруется ресурсами самого токена, ее объем ограничен и используется для хранения существенной информации, напрмер, ключей шифрования, сертификатов и т.д. Для шифрования же больших объемов данных процессоры, применяемые в устройствах класса USB-токен, не предназначены: мощность невелика для таких задач, да и надежная криптография быстрой не бывает. Поэтому на рынке нет полноценных USB-токенов с шифруемым накопителем.

2. S-ergey

   Сделать из флешки USB-токен невозможно, по-моему. Флешка — это накопитель. USB-токен — это не только накопитель, но и встроенный процессор, который выполняет криптографические операции. Насчет "Вытаскиваю флэшку и доступа нету…" можно с помощью usb-токена авторизоваться в операционной системе, и таким образом не имея токена, будет очень трудно авторизоваться. Но вся информация на жестком диске шифроваться не будет, так что "экстрасенс" все-таки скорее всего сможет получить информацию…

3. coopjmz
4. Кот Федот

   http://www.guardant.ru/
   они у нас были на тестировании…. Они шифруют всю информацию и без этого ключа-флешки ты же не можешь пользоваться компьютером.(придется сносить винду, если вдруг что)

5. Igor Titov

   Если про идею шифровки то true crypt, или DiskCryptor это софтверная часть которая собственно и шифрует информацию, а USB токен нужен лишь как ключь, но гораздо удобнее использовать пароль на загрузчике (этих же утилит, а не виндосовский), проще купить ттот самый юсби токен так как его стоимость копеечная (без софта шифровки, который отлично заменяют вышеуказанные утилиты), а флешку под него переделать не получится, совершенно разные устройства
   true cryp позволяет создать, загрузочный cd диск (около 2 мегабайт) который в случае утери ключа/забывания пороля расшифровывает систему(содержит в себе копию вашего ключа) его естественно нужно хранить в укромном месте, так как в случае системного сбоя диск расшифровывается именно им (в этом огромное преимущество этой утилиты)

С каждым годом электронный документооборот между удаленными контрагентами получает все большую популярность. С его помощью преодолевается главное препятствие - расстояние, сокращается время, облегчается процедура взаимодействия.

Для подтверждения подлинности документа и его заверения была разработана программа генерации уникального кода - электронная подпись, которая законодательно признана идентичной собственноручной подписи на бумажном носителе (№ 63-ФЗ от 06.04.2011). Но чем больше пользователей вовлекается в процесс электронного взаимодействия, тем острее встает вопрос о защите ЭП от злоумышленников.

Лазерные диски и компьютерные флешки не способны уберечь записанную на них конфиденциальную информацию от вредоносных программ и копирования. Отличную защиту обеспечивают смарт-карты, созданные на основе микрочипа, принцип работы которого идентичен использованию пластиковых карт. Но для работы с такими смарт-картами требуется оснащать рабочее место специальным считывающим оборудованием.

Преимущества USB-ключа eToken PRO (Java)

Идеальным решением проблемы является USB-ключ eToken PRO (Java), который отличается удобством и надежной защитой. Двухфакторный электронный ключ eToken PRO (Java) выполнен в виде USB-брелока и может использоваться на всех типах компьютеров и мобильных устройств, имеющих USB-разъем. Встроенная микросхема, как на смарт-картах, обеспечивает максимальную защиту, основанную на двухфакторной аутентификации.

Корпус USB-ключа eToken PRO (Java) выполнен из формованного пластика. Его невозможно разобрать, не оставив следов попытки взлома. Миниатюрные размеры токена и его незначительный вес позволяют владельцу всегда держать его при себе.

Возможности USB-ключа eToken PRO (Java)

В отличие от традиционного USB-флеш-накопителя токен имеет ограниченный объем памяти. В модели eToken PRO (Java) он составляет 72КБ. Этого размера памяти достаточно для хранения 10 ключевых контейнеров, загрузки дополнительных приложений на языке Java и драйвера с функцией автоматической загрузки.

Заводской выпуск eToken PRO (Java) предусмотрен в синем цвете. Но при заказе большой партии цвет корпуса может быть изменен по желанию заказчика, на него наносится логотип компании или название организации.

При необходимости изготавливаются USB-ключи eToken PRO (Java) со встроенным радиочастотным транспондером - пассивной радиометкой RFID.

Технические характеристики USB-ключа eToken PRO (Java)

• назначение - государственные учреждения, коммерческие организации, частные лица;
• встроенный чип Atmel AT90SC25672R;
• объем защищенной памяти 72 КБ;
• совместимость: Windows, Linux, Mac OC;
• безопасность - двухфакторная аутентификация;
• сертифицировано ФСТЭК РФ;
• производитель ЗАО «Аладдин Р. Д.».

Продукты линейки eToken сняты с продаж с начала 2017 года.