publicarea pe Internet a tehnologiilor înalte

USB-token-uri: reguli de selecție

chei electronice apărut cu mult timp în urmă, dar încă nu a reușit să înlăture procedura standard de identificare de utilizator și parola. Acest lucru este mai mult decât ciudat, având în vedere că actualul USB-token oferă un grad ridicat de protecție a datelor, practic imun la atacuri externe și sunt bine reprezentate pe piața românească. Principalul lucru nu este de a fi confundat cu o alegere.

Identificarea cu „numele de utilizator“ și „parola“ - un lucru de zi cu zi. Cu toate acestea, un astfel de sistem „recunoaștere“ utilizator schemă oarecum învechite în ceea ce privește siguranța și ușurința de utilizare. De multe ori, creșterea accentul pe securitatea informațiilor reduce confortul controlului de acces pentru utilizator. Astfel, parole create în funcție de complexitatea stringente (utilizarea de scrisori de diferite registre, numere, semne de punctuație sau caractere, lungimea de cel puțin 8 caractere) grele pentru stocarea utilizatorul final. Astfel, problema principala este factorul uman.

Cât de mult protecție avansată?

Costul mediu al punerii în aplicare a sistemelor de control al accesului

Subtilitățile USB-jeton de selecție

• Procesor (de obicei, RISC-CPU) - gestionarea și prelucrarea datelor;
• Procesor pentru soluții de sarcini criptografice în hardware - punerea în aplicare a algoritmilor GOST 28147-89, DES, 3DES, RSA, DSA, MD5, SHA-1 și alte transformări criptografice;
• USB-Controller - software-ul de interfață de la portul USB;
• RAM RAM - stocarea datelor variabile;
• Memoria EEPROM reprogramabil - stocarea cheilor de criptare, parole, certificate și alte date importante;
• ROM Memoria permanentă - comenzi de stocare și constante.

sistem de fișiere Indicativul este împărțit între mai multe aplicații și servicii. Utilizatorul nu are nevoie să știe o mulțime de parole - acestea amintesc token-ul. Este necesar să ne amintim doar un scurt cod PIN, care certifică utilizatorul ca proprietarul tuturor parolele stocate în cheia de memorie. După mai multe încercări nereușite de a introduce procesor PIN-cod „blochează“ token-ul la intervenția administratorului de securitate, deoarece se presupune că cheia a fost furat sau pierdut.

Pentru a asigura o autentificare puternică este necesară pentru a asigura fiabilitatea și precizia principal (obiectul de autentificare - expeditorul sau destinatarul), și, prin urmare, trebuie să utilizeze o încredere algoritmi de criptare și scheme de autentificare proiectate. Autentificarea puternică în acest context, înseamnă că informațiile autentifică direct către utilizator, nu depășește jeton, ci participă numai în calcule criptografice, rezultatul care ar fi unele zerouri și altele, care au descifrat celălalt principalul absolut sigur, cu precizie și de a identifica în mod fiabil expeditorul. Prin urmare, este important să se cumpere un model cu un built-in generator de cheie pentru astfel de informații importante nu se scurge din token-ul în computer. În plus, toate importante de calcul validarea certificatelor criptografice ar trebui să fie pus în aplicare în hardware-ul, ceea ce exclude, de asemenea, posibilitatea de compromis la nivelul aplicațiilor informatice.

Principalele caracteristici ale produselor de pe piață

Listat în modele de masă sunt potrivite pentru construirea sistemului de autentificare bazat pe chei publice (PKI) cu ajutorul certificatelor. Luați în considerare mecanismul de astfel de autentificare. Tehnologia PKI se bazează pe utilizarea a două chei matematic legate - publice și private (închise). Cu ajutorul mesajului cheii publice este criptat și decriptat cu un secret, în acest caz, desigur, cunoscând cheia publică, nu puteți obține în interior. Astfel de transformări criptografice sunt puse în aplicare bazate pe RSA sau DSA. mesaje criptate criptografici furnizate de insolubilitate în timp polinomial, două probleme matematice: factoring mare număr în factori de prime (RSA) și logaritmul discret într-un prim câmp finit (DSA). Cel mai important avantaj este faptul că informațiile de autentificare a utilizatorului nu este transmis prin rețea, și utilizate numai pentru calcule, atât pe client și pe partea de server, care corespunde principiilor de autentificare puternice. Conform acestui principiu se bazează protocol de autentificare „cerere-răspuns» (Handshake Authentication Protocol).

Rețineți că suportul de operare RSA și DSA, inclusiv generarea de hardware de chei, o dimensiune-cheie de 2048 biți este o garanție de bună de securitate, care, în principiu, nu poate fi asigurată protocoale de criptare simetrică - de exemplu, familia algoritmilor DES. De obicei, aceste protocoale sunt folosite pentru a cripta traficul cu ajutorul cheii obținute după autentificarea principalului. O caracteristică interesantă este ruToken implementarea produselor hardware românesc de criptare simetrică standardului GOST 28147-89, o serie de avantaje care includ putere de atac deznădejde, eficiența și punerea în aplicare de înaltă performanță pe computerele moderne.

companiile producătoare înregistrează o cantitate foarte mare de implementat de criptare / hash în descrierile lor de produse de algoritmi, cu toate acestea, cele mai multe dintre ele - algoritmi de hashing. Acestea sunt funcții cu sens unic, și sunt folosite pentru a converti, de exemplu, codul PIN sau alte informații sensibile să fie stocate în sistemul de fișiere al token-ul, ca de hash dificil de a restabili codul PIN a fost într-o formă ușor de citit uman. Astfel, prezența unui număr mare de algoritmi de criptare nu definește „calitate“ a token-ul. Cu toate că, în unele cazuri, conversia hash folosește un algoritm diferit ca suport, astfel încât ar trebui să determine imediat ce algoritmi de asistență necesare în sistemul de informații.

În unele cazuri, necesară autentificarea reciprocă - autentificarea reciprocă a participanților de schimb de informații (nu numai atunci când serverul autentifică utilizatorul, dar, de asemenea, vice-versa). „Cerere - răspuns“ protocoale sunt ideale pentru autentificarea reciprocă cu unele adăugiri (un astfel de protocol este adesea numit „strângere de mână“).

De asemenea, poate doriți să acorde o atenție la prezența certificatului de stat într-un anumit produs. Dar, desigur, absența sa nu înseamnă eșec produs. Toate acestea sunt realizate în conformitate cu cerințele internaționale și pentru a îndeplini standardele internaționale. Certificări mai atractive pentru agenții guvernamentale, pentru că nu este obligată să folosească numai securitatea informațiilor certificate. Poate că, uneori, merită să cumpere o soluție mai ieftin (de exemplu, ruToken), dar care va fi în măsură, în acest context, pentru a asigura nivelul necesar de securitate. De aceea este atât de important evaluarea corectă a propriilor nevoi înainte de a implementa un sistem de autentificare bazat pe USB token.

Caracteristicile de bază ale token-uri:

Ultimul lucru pe care doresc să acorde o atenție este suportul sistemelor software și de operare, pentru că de multe ori, infrastructura PKI implementată în rețea, cu acțiune prelungită, care a format deja un cerc de aplicații necesare pentru a menține obiectivele de afaceri. Deci, pentru a lucra în Linux-mediu, cele mai bune soluții sunt cheile Ikey și eToken Pro. De fapt, ar trebui să acorde o atenție la compatibilitatea producătorului propus de soluție gata făcute cu alte produse, precum și soluții pentru platforme specifice, care în cele din urmă doar facilitează atât introducerea de token-uri, și utilizarea acestora.