Публикация научных статей.
Вход на сайт
E-mail:
Пароль:
Запомнить
Регистрация/
Забыли пароль?

Научные направления

Поделиться:
Разделы: Информационные технологии
Размещена 22.12.2013. Последняя правка: 22.12.2013.
Просмотров - 7348

Классификация и сравнительный обзор токенов авторизации

Мандрыкин Евгений Сергеевич

NVision Group, НГТУ

Инженер-стажер

Аннотация:
В данной статье рассматриваются принципы PKI, определяются типы токенов авторизации, проводится сравнительный обзор двух популярных на рынке токенов авторизации.


Abstract:
This article describes the principles of PKI, identifies the types of security tokens, a comparative review of two popular market security tokens.


Ключевые слова:
Инфрастуктура открытых ключей, токены авторизации, средства защиты электронной подписи

Keywords:
PKI, security token, eToken, Rutoken


УДК 004.087.5

Прежде чем проводить классификацию и анализ токенов, стоит немного рассказать об инфраструктуре открытых ключей (Public Key Infrastructure, в дальнейшем будет называть коротко - PKI) в целом.

PKI – это совокупность различных средств (технических, материальных и т.д.), служб и компонентов, в целом используемых для поддержки криптозадач на основе открытого и закрытого ключей. Основывается она на криптографической системе с открытым ключом и на четырех принципах.

Коротко о системе с открытым ключом, или об ассиметричном шифровании. Суть системы – возможность создания общего секретного ключа, которым можно будет пользоваться для передачи сообщения в зашифрованном виде. Генерация происходит в пять этапов.

  • Первый этап – генерация закрытого ключа, который никому не выдается и не показывается.
  • Второй этап – определение открытых параметров, с помощью которых будет вычисляться открытый ключ. Эти параметры устанавливаются открыто, любой заинтересованный в их значении при желании может узнать их.
  • Третий этап – вычисление открытого ключа. Вычисляется ключ с использованием открытых параметров и закрытого ключа через умножение по модулю (что является односторонней функцией – главным принципом ассиметричного шифрования).
  • Четвертый этап – обмен получившимся открытым ключом с другой стороной.
  • И последний пятый этап – вычисление секретного ключа с помощью открытого ключа другой стороны и собственного закрытого ключа.

В результате этих действий, каждая сторона получает одно и то же значение, посчитанное независимо друг от друга.

 Вернемся к PKI. Помимо ассиметричного шифрования, инфраструктура основывается на четырех основных принципах:

  • Закрытый ключ знает только его владелец (основано целиком и полностью на ассиметричном шифровании).
  • Удостоверяющий центр (УЦ) создает сертификат открытого ключа, т.е. удостоверяет этот ключ.
  • Все доверяют УЦ, никто не доверяет друг другу.
  • Подтверждение или опровержение принадлежности открытого ключа заданному лицу, которое владеет соответствующим закрытым ключом, осуществляется УЦ.

Т.е., PKI – это совокупность компонентов, основными из которых являются УЦ и пользователи, которые общаются между собой через УЦ. Реализуется она в модели клиент-сервер (проверка любой информации происходит по инициативе клиента).

Основным компонентами PKI являются:

  • УЦ – формирует цифровые сертификаты зависимых центров сертификации и пользователей. Является главным компонентом, поскольку является доверенной третьей стороной, и, также, это сервер, на котором и происходит управление сертификатами.
  • Сертификат открытого ключа (или сертификат) – данные пользователя и его открытый ключ, подписанные в УЦ.
  • Регистрационный центр (РЦ) – предназначен для регистрации пользователей, обычно предоставляется web-интерфейс. УЦ доверят ему проверку информации о пользователе. Подтвердив информацию, РЦ подписывает ее своим ключом и передает УЦ, который, проверив ключ РЦ, выписывает сертификат. РЦ может работать с несколькими УЦ, т.е. быть в составе нескольких PKI. В свою очередь, УЦ также может работать с несколькими РЦ, а иногда и выполнять кроме функций УЦ еще и функции РЦ.
  • Репозиторий – хранилище, где находятся сертификаты и списки отозванных сертификатов. Кроме хранения репозиторий отвечает за распространение соответствующих сертификатов среди пользователей.
  • Архив сертификатов – хранилище всех созданных сертификатов (даже тех, у которых истек срок действия). Применение – проверка подлинности электронной подписи, которой заверялись какие-либо документы.
  • Пользователи – под этим подразумеваются не только пользователь, как человек, но и приложения или системы, которые владеют сертификатом.

Задачи PKI:

  • Обеспечение конфиденциальности информации
  • Обеспечение целостности информации
  • Обеспечение аутентификации пользователей
  • Обеспечение возможности подтверждения совершенных действий с информацией

Суть PKI – выдача и аннулирование сертификатов, хранение информации, проверяющей правильность сертификатов. Сертификат – это электронный документ, содержащий электронный ключ пользователя – информацию о пользователе, удостоверяющую подпись и информацию о сроке действия. Также используется понятие ключевой пары – набор, состоящий из двух ключей: секретного (secret key) и открытого (public key). Ключи создаются вместе и полностью повторяют принципы ассиметричного шифрования. Примеры приложений PKI: защищенная электронная почта, протоколы платежей, электронные чеки, документы с электронной цифровой подписью и т.д.

Один из способов идентификации пользователя, создания электронной цифровой подписи – это использование токена (также его называют USB-ключ). Токен – это компактное физическое устройство, которое призвано облегчить процесс аутентификации. Предназначен для  электронного удостоверения личности, можно использовать его как вместе с паролем, так и вместо него. Обычный токен обладает небольшим размером, поэтому его можно носить в кармане, или в кошельке.

 

Рис 1. Смарт-карта и USB-ключи от Aladdin Knowledge Systems

Различают несколько видов токенов:

  • Без подключения – такие токены не имеют никакого подключения к компьютеру клиента, у них отсутствует устройство ввода. Вместо этого используется экран, на котором отображаются сгенерированные данные аутентификации, которые пользователь вводит вручную. Довольно распространены.
  • С подключением – токены, для которых необходимо физическое соединение с компьютером, на котором происходит аутентификация. При установлении связи, токен сразу же передает  всю нужную для аутентификации информацию на компьютер, что избавляет пользователя от ввода вручную. Самые распространенные токены с подключением – смарт-карты и USB.
  • Беспроводные – данные токены устанавливают логическую связь вместо физической. Именно отсутствие необходимости физически подключать токен к компьютеру и делает привлекательным для использования данный тип. Однако, этот способ не лишен недостатков. Самый неприятный из них – низкий срок службы  (для сравнения, у беспроводных токенов от 3 до 5 лет, в то время как у USB-токенов – до 10 лет).

Кроме срока службы у токенов имеются еще и другие недостатки. Самый простой из них – это потеря или кража токена. Критическим этот недостаток становится, если не используются технологии двух- или трехфакторной аутентификации, т.е. процесс идентификации зависит полностью от одного токена. Другой недостаток связан с проблемой использования ненадежной сети. Пользователь, аутентифицирующийся через ненадежную сеть, рискует подвергнуться атаке «человека посередине» (т.е. человека, который способен перехватить сообщение, прочитать его, видоизменить при необходимости и послать адресату).

Рынок PKI в России развивается очень быстро, причем большую часть рынка занимают отечественные разработки на основе ассиметричного алгоритма ГОСТ-Р 34.10-2001, иностранные решения занимают лишь небольшую часть. Связано это с  жесткими требованиями ФСБ России к средствам шифрования и электронной цифровой подписи. В настоящее время насчитывается около 200 организаций, которые оказывают услуги удостоверяющих центров.

Компании «Aladdin Knowledge Systems» и «Актив» также входят в этот перечень. У этих компаний имеются конкурирующие разработки в виде смарт-карт и USB-токенов, а именно eToken («Aladdin») и Rutoken («Актив»).

Таблица 1. Сравнительные характеристики устройств ruToken, eToken

Элемент архитектуры

eTokenPRO

ruToken

Процессор

Микросхема для смарт-карт SLE66CX160S

Микроконтроллер CY7C63613

Регистры

8 регистров общего назначения (каждый может быть индексным) и 1 регистр с функцией аккумулятора

1 индексный и 1 регистр с функцией аккумулятора

Тактовая частота

5 МГц

12 МГц

Тактов на команду

1-3 (большинство команд – 1)

4-14 (в среднем – 6)

Частота исполнения команд

Средняя 3,8 МГц (не более 5 МГц)

В среднем 2 МГц

Память программ

32 Кбайта

8 КБайт

Оперативная память

1280 байт

256 байт

Встроенная защищенная энергонезависимая память

EEPROM 16 КБайт

-

Контроллер для обмена с внешней памятью

-

SPI

Программный.

Скорость не может превышать 85 Кбайт/с, реально – около 20 Кбайт/с

Средства повышения производительности криптографических преобразований

аппаратный криптографический ускоритель

-

 

 

 

Поддержка файловой системы

По стандарту

ISO/IEC 7816

ПО микроконтроллера

По стандарту

ISO/IEC 7816

скорее всего, через драйвера ОС

Аппаратный датчик случайных чисел

есть

нет

Контроллер USB-интерфейса

нет

Low-speed, поддерживает только запросы типа control и interrupt.

Порты ввода/вывода

нет

есть

Внешняя память

нет

SPI до 128 КБайт

Контроллер USB-интерфейса

СY7C63001A

Low-speed

Скорость обмена не более 8 Кбайт/с для однонаправленных функций и 4 Кбайта/с для двунаправленных

нет

 
Таблица 2. Возможности устройств

ВОЗМОЖНОСТЬ
Устройство
eTokenPRO
ruToken
Аппаратная реализация российских криптографических алгоритмов
нет
ГОСТ 28147-89
Скорость 200-300 байт/с
Аппаратная реализация зарубежных криптографических алгоритмов
RSA,
DES, TripleDES, SHA-1,
MAC, iMAC
(DSA и MD5 – по запросу)
-
(«дополнительные возможности» - RSA,
DES (TripleDES), RC2, RC4, MD4, MD5, SHA-1)
Обмен данными по USB-интерфейсу с РС, скорость
не более 8 Кбайт/с для однонаправленных функций и 4 Кбайта/с для двунаправленных
не более 8 Кбайт/с для однонаправленных функций и 4 Кбайта/с для двунаправленных
Обмен данными с собственной внешней памятью
Нет, поскольку нет внешней памяти
Программно, с использованием вычислительных ресурсов и памяти программ
Скорость не может превышать 85 Кбайт/с, реально – около 20 Кбайт/с
Хранение ключевой информации внутри вычислителя
Есть встроенная память EEPROM 16 КБайт
нет
Генерация случайных чисел
С помощью аппаратного ГСЧ
Нет физического датчика случайных чисел. По-видимому, для генерации случайных чисел в руТокен используется какой-то алгоритм генерации псевдослучайной последовательности, задающий элемент которой генерируется от встроенного таймера.
Создание резидентного ПО
Возможно достаточно большого размера даже на языках высокого уровня
Невозможно

Как видно из характеристик, токены имеют небольшое отличие в разных категориях, имеют некоторое преимущество над конкурентом, но, в целом, обладают одинаковыми возможностями и могут равноправно использоваться для решения задач безопасной идентификации. Изменить ситуацию призвана новая линейка токенов от «Aladdin»  - JaCarta. Но, на данный момент, еще нет подробных характеристик и не обозначены преимущества по сравнению с eToken или Рутокен.

Библиографический список:

1. Полянская О. Ю., Горбатов В. С. Инфраструктура открытых ключей. Учебное пособие., Москва, 2007.
2. Alladin-rd.ru [Электронный ресурс]: Электронный ключи и USB-карты eToken. – Режим доступа: http://www.aladdin-rd.ru/catalog/etoken/
3. Rutoken.ru [Электронный ресурс]: Рутокен S. – Режим доступа: http://www.rutoken.ru/products/all/rutoken-s/
4. Anti-malware.ru [Электронный ресурс]: Рынок PKI в России. – Режим доступа: http://www.anti-malware.ru/node/11617




Рецензии:

22.12.2013, 17:08 Минин Игорь Владиленович
Рецензия: Напоминает реферат студента, а не статью того же студента... сноски литературы "скопом" а не по тексту...анализ поверхностный. Руждается в переработке.

24.12.2013, 21:03 Назарова Ольга Петровна
Рецензия: Рекомендуется к печати.



Комментарии пользователей:

Оставить комментарий


 
 

Вверх