Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

ВоздухоКлюч AirKey

Аватар пользователя zlonov
Автор: Комаров Алексей,
(0)
()

Не так давно я рассуждал об особенностях использования ЭЦП в облаке (Облачная ЭЦП или сейф с картонкой). Основной моей претензией к такого рода сервисам было то, что надёжные и проверенные годами технологии (строгая двухфакторная аутентификация, асимметричная криптография) подменяются чем-то более простым — паролем, SMS-ками или чем-то подобным, что придумает использовать владелец такого сервиса для проверки подлинности пользователя, заходящего в свой личный кабинет или иным способом получающего доступ к ЭЦП, находящейся в облаке.

Не такой уж большой секрет, что часто проблемы с безопасностью возникают не по причине уязвимостей в используемых алгоритмах (шифрования, например) и технологиях, а из-за ошибок при их реализации. В уязвимости клиента ДБО средней руки банка я верю больше, чем в уязвимости алгоритма AES или ГОСТ.

Так же и тут — без грамотной релизации с учётом требований к безопасности такие предложения по упрощению жизни пользователю даже если и выглядят маркетингово привлекательно, на практике могут оказаться уязвимы к простейшим атакам.

Другое дело, когда есть внятное описание принципов работы, а решение предлагают профессиональные разработчики ИБ решений с опытом и репутацией. По моему личному глубокому убеждению коллеги из Индид (Indeed ID) относятся как раз к таким, поэтому и решил рассказать про их новинку-старинку AirKey.

Новинка, потому что соответствующий анонс в их блоге появился буквально на днях (да-да, я подписан на многих и отслеживаю даже тех, про кого пока ни разу ещё не писал =) ), а старинка, потому что статья про AirKey была опубликована в Information Security ещё в 2014 году в #4.

Собственно, суть идеи, лежащей в основе AirKey, проста — вместо реальной смарт-карты или токена используется виртуальный вариант, который хранится в хранилище на сервере либо на смартфоне пользователя. При этом эмулируется полноценная работа смарт-карты (стандарт PKCS#11 и интерфейс Microsoft CryptoAPI) и с точки зрения остальной уже, например, имеющейся PKI-инфраструктуры никаких изменений не требуется.

Более детальная схема работы и компоненты решения описаны на сайте разработчика. Понятно, что для работы AirKey потребуется развернуть соответствующую серверную часть внутри компании, если мы говорим про использование AirKey сотрудниками, либо внутри банка/провайдера услуг/etc, если речь про сервис для клиентов или партнёров.

Конечно, чудес не бывает и виртуальная смарт-карта совсем не так безопасна как аппаратный вариант, но разработчики со своей стороны сделали максимум, чтобы повысить безопасность: каналы связи шифруются, вместо SMS используются push уведомления, закрытые ключи могут генерироваться на самом смартфоне, а для их защиты от несанкционированного использования применяются PIN, Touch ID, Keychain, Jailbreak Detection (пока приложение есть только для iPhone, что разумно — всё же в экосистеме Apple с безопасностью чуть получше, чем у Android).

Кстати, AirKey поддерживает работу и с ГОСТом — в демонстрационном ролике как раз показана работа КриптоПро AirKey. Правда, в этом случае уже не скачаешь мобильное приложение для работы с AirKey из AppStore, а если без ГОСТа, то вот оно — по ссылке.

Продукт интересный, а по приведённым мною выше ссылкам можно познакомится с ним ещё ближе. Тем не менее, думаю, что можно договориться с разработчиками о более детальном его тестировании, если вам как читателям это будет интересно. Решать вам (прямая ссылка на опрос на сайте PollDaddy).

P.S. Обратил внимание, что по привычке всё ещё использую аббревиатуру ЭЦП, хотя пора бы уже и перейти на ЭП. Ну, зато хотя бы слово криптование не применяю =)

Оригинал записи ВоздухоКлюч AirKey опубликован на сайте ZLONOV.ru. Подписка на RSS-ленту: http://bit.ly/zlonov-RSS

 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.