Как правило, чем большей безопасности необходимо добиться, тем большие неудобства приходится создавать себе и окружающим. В мире информационных технологий это ощущается особенно остро, ведь обычно пользователи не только не стремятся надлежащим образом защитить свои системы, но и не знают, как это правильно сделать. Потому самые удачные решения стараются максимально исключить человеческий фактор, а один из примеров того, как этого достичь, и описан в статье.
 |
Любят ли пользователи пароли? Очевидно, что нет. Ведь чем они надежнее, тем сложнее их запоминать. Записки с паролями, наклеенные на монитор, давно уже стали притчей во языцех. А ведь для homo informaticus их требуется все больше! Традиционно проблему надежной идентификации преодолевают с помощью различных аппаратных решений, к примеру средств биометрического контроля или привычных смарт-карт. Однако как раз последние отличаются необходимой простотой и гибкостью, особенно в вопросах интеграции в современные информационные системы. Достаточно сказать, что соответствующая поддержка присутствует в Windows начиная с версии 2000, а ведь именно эта ОС является основой IT-инфраструктуры во многих компаниях. Тем не менее технология смарт-карт также имеет свои ограничения, скажем, подразумевает использование специальных считывателей.
Поэтому следующим шагом в развитии технологий аппаратной идентификации стало объединение идей смарт-карт с современными компьютерными интерфейсами, в первую очередь USB. Что из себя представляют такие решения, мы увидим на примере USB-ключей iKey 2032, которые сегодня выпускает североамериканская компания SafeNet. Внешне они чрезвычайно напоминают флэш-накопители, принципиальных отличий попросту нет, а дополнительно функцию брелока подчеркивает специальное ушко для крепления, скажем, к связке обычных ключей – вполне уместное решение исходя из назначения данного устройства.
Маркировка 2032, в свою очередь, подчеркивает, что ключ снабжен 32 КБ памяти (существуют и другие модификации) для хранения электронных ключей и сертификатов. Кроме того, имеется 8-битовый процессор, обеспечивающий, например, внутреннюю генерацию частных ключей – таким образом, они фактически никогда не покидают устройства, за счет чего достигается дополнительная безопасность. Аппаратно решаются и некоторые другие функции.
 |
| Программное обеспечение для iKey эмулирует считыватель смарт-карт, а специальный комплект утилит позволяет обслуживать электронные ключи |
Стандартное программное обеспечение для iKey совместимо с PKCS#11, Apple Native PC/SC и MSCAPI (Microsoft Cryptographic Application Programming Interface), а значит, формально – с любыми решениями, основанными на данных интерфейсах. В частности, сертификаты на iKey могут использоваться для цифровой подписи или шифрования сообщений e-mail. Данные функции присутствуют практически во всех современных почтовых клиентах, а применение iKey делает всю процедуру еще более надежной – хотя бы за счет того, что все необходимые реквизиты хранятся в закрытом виде и не копируются на жесткий диск. Аналогично Internet Explorer и другие интернет-браузеры умеют использовать сертификаты для аутентификации на безопасных веб-сайтах.
Кроме того, драйверы iKey эмулируют считыватели смарт-карт, за счет чего обеспечивается целый ряд дополнительных применений. Типичным примером служит ОС Windows 2000/XP/Vista, где смарт-карты могут использоваться для входа в систему. Для этого в домене должна быть развернута соответствующая инфраструктура, в частности соответствующим образом настроенный сервер сертификатов, в остальном же процедура остается совершенно прозрачной. После генерации нужных сертификатов подключение iKey к USB-разъему рабочей станции будет аналогично вводу пользовательского пароля.
 |
| StrongDisk – одна из программ, умеющих работать с ключами iKey. На них она хранит информацию, используемую для шифрования дисков |
При этом дополнительно запрашивается PIN-код (или более корректно – ключевая фраза, поскольку в ней могут использоваться любые символы, а не только цифры), и, соответственно, процедура аутентификации является по сути двухуровневой. PIN-код предоставляет естественную и удобную защиту iKey, на котором может храниться достаточно большое число идентификационных данных любой сложности, – при попытке его подбора устройство попросту блокируется.
Смарт-карты, а стало быть и iKey, также могут применяться при организации VPN-доступа – достаточно лишь указать это при настройке соединения в Windows.
Не менее удобно и эффективно использовать iKey и со сторонним программным обеспечением, особенно рассчитанным на решение различных задач безопасности. Список его довольно велик, мы же познакомились только с одним таким приложением – StrongDisk российской компании «Физтех-софт». Оно предназначено для создания на системном уровне защищенных дисков – закодированных файлов или целых разделов. При этом используются современные алгоритмы шифрования, а дополнительно можно скрыть сам факт присутствия на компьютере защищенной таким образом информации, настроить систему на экстренное отключение и пр.
Особенностью же StrongDisk является возможность многоуровневой аутентификации пользователя, в том числе и с применением электронных ключей – в списке поддерживаемых присутствует и iKey. Преимущества все те же: надежное хранение аутентификационных данных любой сложности и защита от их хищения. StrongDisk корректно распознает подключенное устройство и формирует на нем требующиеся для работы реквизиты, которые дополнительно можно защитить паролем. Кроме того, обеспечивается необходимый минимум функций обслуживания (вроде смены PIN-кода), хотя для большей надежности лучше использовать утилиты, предоставляемые производителем ключа.
Ключ iKey 2032 и программное обеспечение для тестирования
предоставлены компанией «ИнфоБезпека»,
www.infobezpeka.com