Уже на ранних этапах смарт-карты могли вмещать небольшие объемы зашифрованных данных, к примеру, чтобы хранить несколько паролей для отдельных приложений. Так были сделаны первые шаги на пути к многофункциональным устройствам. Сейчас карты содержат микросхемы радиочастотной идентификации (Radio Frequency Identification, RFID) и штрих-коды для обеспечения доступа в помещение. На них можно печатать фотографии и личные идентификационные номера, если необходимо использовать их в качестве пропуска в помещения компании.
Следующим достижением в развитии смарт-карт стала возможность размещения на них небольших приложений от различных производителей. Это обеспечивают специальные многоцелевые операционные системы — Java Card или MultOS. В результате стало возможным применение корпоративной инфраструктуры с открытыми ключами (Public Key Infrastructure, PKI), которая вместе со смарт-картами позволяла предоставлять доступ при помощи однократных паролей. Дополнительно удавалось сохранять на картах небольшие объемы данных.
Однако определенные ограничения все еще оставались. Доступное место для хранения данных было, по современным меркам, мизерным (в среднем 4-32 Кбайт) и чаще всего резервировалось для определенных приложений. Причем этой мобильной картой можно было пользоваться только там, где были установлены считывающие устройства, промежуточное программное обеспечение (мiddleware) и/или соответствующие драйверы. Если требовалась детальная верификация, к примеру, по биометрическим параметрам, то приходилось устанавливать отдель-ные биометрические сенсоры.
ПРОРЫВ БЛАГОДАРЯ USB
Несколько лет назад появились многофункциональные устройства, подключаемые к стандартным портам USB. Одно и то же устройство может показывать одноразовый пароль (One-Time Password, OTP), содержать функции PKI или оснащаться флэш-памятью во встроенном компоненте смарт-карты (см. Рисунок 1).
Такие устройства расширяют диапазон применения переносных решений для обеспечения безопасности, охватывая новые среды и приложения, что ранее не удавалось многоцелевым смарт-картам. Теперь даже с чужого компьютера возможен доступ к удаленному серверу без специальных драйверов и даже промежуточного ПО для смарт-карт. При таком сценарии интегрированные решения с нулевым воздействием (zero impact) позволяют отображать одноразовые пароли на дисплее устройства. Они вводятся в окно вызываемого сервера; подключение кстройства к целевой системе или локальному клиенту не требуется. Более емкие флэш-накопители позволяют, помимо этого, сохранять приложения для обеспечения безопасности (к примеру, клиенты удаленного доступа или мобильные браузеры) на том же устройстве, которое содержит права PKI.
Супертокены предоставляют еще целый ряд весомых преимуществ, как для конечных пользователей, так и для организаций:
-
конвергенция. Объединение нескольких устройств в одном снижает затраты на администрирование. Одновременно с этим прогресс в развитии систем предоставления позволяет осуществлять централизованное управление сертификатами, ключами и другими цифровыми правами доступа. Это приводит к значительной экономии средств;
-
универсальное покрытие. Предприятия не должны оказываться перед выбором, какими приложениями следует управлять в безопасной среде, а какими — нет. К примеру, обращение к приложению, доступ к которому осуществляется через PKI, не должно ограничиваться или осуществляться с более низкой степенью защиты лишь потому, что устройство не в состоянии поддер-живать желаемую функцию. Супертокены, как правило, достаточно гибки, чтобы поддерживать самые разнообразные решения обеспечения безопасности;
-
простота. Универсальное устройство заменяет сразу несколько других. Как правило, доступ к защищенным приложениям выполняется за один шаг. Упрощение приложений обеспечения безопасности для конечных пользователей означает, что они могут сконцентрироваться на своей работе, вместо того чтобы заботиться о протоколах безопасности. Это позволяет избежать ненужных ошибок.
Рынок требует полностью портативных решений. Иногда такой подход называют «нулевым отпечатком» («Zero Footprint») или «нулевым воздействием» («Zero Impact»). В техническом плане разработчики стремятся к решению, которое работало бы на локальных компьютерах без установки какого-либо программного обеспечения (или с помощью «тихой» фоновой установки) и без особых привилегий (наподобие прав администратора). Флэш-накопители USB подключаются к любой платформе, будь то Mac, Linux или Windows, поскольку их применение стандартизировано. До уровня стандартного компонента развивается еще один драйвер класса USB для поддержки смарт-карт — CCID. Превращение этой технологии в универсальную становится вполне реальным благодаря тому, что на операционных системах уже имеются драйверы Plug&Play.
Сегодня уже существуют решения, предлагающие следующие функции в одном устройстве:
-
криптографические функции (как симметричные, так и асимметричные) для PKI, OTP и других задач;
-
сильная аутентификация пользователей с помощью встроенного сканера отпечатков пальцев, паролей устройств или комбинации из биометрии и пароля (двухфакторная аутентификация), аппаратное шифрование (256-разрядный AES) и высокая емкость хранения;
-
поддержка высоконадежных протоколов — SAML и WS Trust;
-
разделение жестких дисков для мобильных приложений;
-
встроенные теги RFID для физической безопасности.
В результате можно получить, к примеру, такой перечень одновременно доступных приложений и вариантов применения супертокена:
-
регистрация в Windows на основе сертификата;
-
цифровая подпись электронной почты и шифрование данных;
-
авторизация в Internet посредством однократного пароля или сертификата;
-
сильная двух- или трехфакторная верификация для удаленного доступа через VPN;
-
сильная верификация для шифрования всего диска до его загрузки;
-
сильная аутентификация для корпоративной однократной регистрации (Enterprise Single Sign On);
-
защищенный транспорт данных;
-
наличие мобильных приложений, в частности, надежных браузеров и клиентов электронной почты;
-
операционные системы для выполнения на виртуальных машинах;
-
загрузка в защищенную операционную систему с USB.
Однако некоторые приложения не будут функционировать совместно с системой безопасности, если их компоненты не зарегистрированы и не установлены на этой системе. Так обстоят дела, к примеру, с Microsoft Crypto API. Решение обеспечения безопасности для сертификатов на стороне клиента в Internet Explorer или подписей электронной почты в Outlook не реализуемо без установки на системе криптопровайдера (Crypto Service Provider, CSP). Чтобы обеспечить мобильность, приходится идти обходными путями и использовать другой браузер или почтовый клиент.
Еще один фактор, который следует учитывать, делая выбор в пользу супертокенов, — требования к администрированию. Поскольку на одном устройстве представлено множество функций и цифровых идентификаторов, приходится управлять большим количеством элементов, хотя сокращение числа устройств изначально облегчает этот процесс. Упростить работу администратора поможет интеграция ПО для управления устройствами в другие системы верификации, к примеру, в системы сертификатов и серверы выдачи OTP.
Чем больше приложений обеспечения безопасности установлено на супертокене, тем сильнее будет отрицательное влияние на продуктивность сотрудника в случае утраты или блокировки такого устройства. Поэтому необходимо разработать адекватную систему поддержки и алгоритмы для проблемных ситуаций.
Лэрри Хэмид — старший технический директор компании MXI Security.
© AWi Verlag