Компания «Аладдин Р.Д.» анонсировала новую разработку — USB-токен JaCarta U2F. Продукт создан на основе спецификаций альянса FIDO (Fast IDentity Online). Состав альянса весьма представительный — это и технологические компании (NXP, ARM, Infineon, Samsung, RSA, Blackberry, Google, Microsoft), и провайдеры интернет-сервисов (Google, AliExpress Group, Microsoft, Alibaba), и финансовые структуры (Bank of America, Goldman Sachs, MasterCard, Visa, PayPal, AliPay). Цель альянса — разработка стандартов строгой аутентификации для доступа к онлайн-ресурсам без использования паролей.

К настоящему времени альянс предложил два протокола. Первый, UAF (Universal Authentication Framework), предназначен для создание систем строгой аутентификации, в которых для доступа к устройству используются биометрические или иные данные пользователя, а для доступа к информационному ресурсу используются данные, сохраненные в этом устройстве. Второй протокол, U2F (Universal 2nd Factor), описывает усиление парольной аутентификации за счет использования физического устройства.

Представляя новую разработку своей компании, Сергей Груздев, генеральный директор «Аладдин Р.Д.», отметил, что у каждого из нас есть множество аккаунтов на веб-ресурсах, а потому необходимо или помнить большое количество паролей (с риском их забыть), или пользоваться одним и тем же для многих сайтов (что небезопасно). Заводить средства аппаратной идентификации для каждого ресурса тоже не выход, поскольку ходить со связкой токенов некомфортно, и, опять же, если ее потерять, то последствия будут крайне неприятными.

U2F-токен
U2F-токен может использоваться с любыми устройствами, с которыми работают USB-носители
Источник: «Аладдин Р.Д.»

Именно поэтому в FIDO, как сообщил Груздев, приняли естественное решение — создать открытый U2F-протокол, который позволит одним токеном «открывать» практически любое число интернет-ресурсов. При этом токен, что существенно, может быть куплен у любого производителя, главное, чтобы он поддерживал протокол U2F.

Для того чтобы самостоятельно зарегистрировать свой U2F-токен на сайте, поддерживающем протокол (все сервисы Google, сервис для разработчиков GitHub, платформа для создания веб-сайтов WordPress, сетевой диск Dropbox и ряд других ресурсов) пользователь, после регистрации по паролю, в личном кабинете должен, при вставленном в USB-порте токене, выставить «галочку» в соответствующем чекбоксе, а после запроса сервера – нажать кнопку на токене. Затем при входе на данный сайт, после ввода пароля (который становится вспомогательным средством и может быть сокращен до минимальной длины, разрешенной конкретным ресурсом), необходимо опять просто вставить токен и нажать кнопку на нем. Токен генерирует ключевую пару, связанную с данным сервисом, открытый ключ передается на сервер, закрытый — хранится в токене.

В дальнейшем при входе на данный сайт сервером формируется дополнительный запрос, содержащий идентификатор веб-ресурса и идентификатор ключевой пары на токене.

Браузер, в который встроена поддержка U2F (пока что это современные версии Google Chrome, но на подходе и продукты других производителей), посылает запрос на аутентификацию на токен. Последний выбирает нужную ключевую пару, подписывает запрос и отправляет его браузеру, а тот — ресурсу для проверки. Наконец сайт, проверив подпись под запросом, предоставляет доступ. Пользователь в ходе этого процесса подтверждает свое присутствие нажатием кнопки на корпусе токена.

Аладдин Р.Д.
В «Аладдин Р.Д.» много внимания уделили конструкции токена — оптимальности размеров, расположению кнопки подтверждения, обеспечению устойчивости к статическому электричеству
Источник: «Аладдин Р.Д.»

Для пользователя вышеописанный процесс выглядит гораздо проще: вставил токен, по требованию — нажал на кнопку.

Важность физического действия, по словам Груздева, заключается в том, что удаленно его нажатие имитировать невозможно, а значит, сервер может быть уверен, что запрос на аутентификацию подает владелец токена, а не злоумышленник. Более того, с этой же целью время от времени сервер может просить подтвердить владельца токена его, владельца, присутствие, для чего необходимо опять-таки нажать на кнопку.

На один токен могут быть записаны сотни ключевых пар, поэтому пользователям теоретически не придется носить с собой множество устройств. На практике, конечно, банк вполне может отказаться принимать токен, выпущенный кем-то еще.

Для защиты токенов JaCarta от взлома и копирования используется чип, прошедший сертификацию EMVCo, в нем хранится счетчик аутентификаций, значение с него передается при аутентификации на сервер, при несовпадении количеств входа токен блокируется.

Стоить токен от «Аладдин Р.Д.» будет около тысячи рублей. К достоинствам разработки своей компании Груздев отнес, кроме защищенности от взлома, продуманность конструкции — отсутствие выступающих металлических деталей предотвращает пробой статическим электричеством, расположение кнопки таково, что при нажатии на нее не будет расшатываться USB-порт компьютера. К этому нужно прибавить российское происхождение продукта: популярные токены компании Yubico, по словам Груздева, в России исчезли после введения санкций.

Кроме собственно базовой модели JaCarta U2F планируется выпускать и более сложные варианты, например токены с генератором одноразовых паролей, для работы с электронной подписью или сочетающие все перечисленные технологии.

Всего в 2016 году, как надеются в «Аладдин Р.Д.», будет продан примерно миллион U2F-токенов компании.