ВоздухоКлюч AirKey
Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.
Не так давно я рассуждал об особенностях использования ЭЦП в облаке (Облачная ЭЦП или сейф с картонкой). Основной моей претензией к такого рода сервисам было то, что надёжные и проверенные годами технологии (строгая двухфакторная аутентификация, асимметричная криптография) подменяются чем-то более простым - паролем, SMS-ками или чем-то подобным, что придумает использовать владелец такого сервиса для проверки подлинности пользователя, заходящего в свой личный кабинет или иным способом получающего доступ к ЭЦП, находящейся в облаке.
Не такой уж большой секрет, что часто проблемы с безопасностью возникают не по причине уязвимостей в используемых алгоритмах (шифрования, например) и технологиях, а из-за ошибок при их реализации. В уязвимости клиента ДБО средней руки банка я верю больше, чем в уязвимости алгоритма AES или ГОСТ.
Так же и тут - без грамотной релизации с учётом требований к безопасности такие предложения по упрощению жизни пользователю даже если и выглядят маркетингово привлекательно, на практике могут оказаться уязвимы к простейшим атакам.
Другое дело, когда есть внятное описание принципов работы, а решение предлагают профессиональные разработчики ИБ решений с опытом и репутацией. По моему личному глубокому убеждению коллеги из Индид (Indeed ID) относятся как раз к таким, поэтому и решил рассказать про их новинку-старинку AirKey.
Новинка, потому что соответствующий анонс в их блоге появился буквально на днях (да-да, я подписан на многих и отслеживаю даже тех, про кого пока ни разу ещё не писал =) ), а старинка, потому что статья про AirKey была опубликована в Information Security ещё в 2014 году в #4.
Собственно, суть идеи, лежащей в основе AirKey, проста - вместо реальной смарт-карты или токена используется виртуальный вариант, который хранится в хранилище на сервере либо на смартфоне пользователя. При этом эмулируется полноценная работа смарт-карты (стандарт PKCS#11 и интерфейс Microsoft CryptoAPI) и с точки зрения остальной уже, например, имеющейся PKI-инфраструктуры никаких изменений не требуется.
Более детальная схема работы и компоненты решения описаны на сайте разработчика. Понятно, что для работы AirKey потребуется развернуть соответствующую серверную часть внутри компании, если мы говорим про использование AirKey сотрудниками, либо внутри банка/провайдера услуг/etc, если речь про сервис для клиентов или партнёров.
Конечно, чудес не бывает и виртуальная смарт-карта совсем не так безопасна как аппаратный вариант, но разработчики со своей стороны сделали максимум, чтобы повысить безопасность: каналы связи шифруются, вместо SMS используются push уведомления, закрытые ключи могут генерироваться на самом смартфоне, а для их защиты от несанкционированного использования применяются PIN, Touch ID, Keychain, Jailbreak Detection (пока приложение есть только для iPhone, что разумно - всё же в экосистеме Apple с безопасностью чуть получше, чем у Android).
Кстати, AirKey поддерживает работу и с ГОСТом - в демонстрационном ролике как раз показана работа КриптоПро AirKey. Правда, в этом случае уже не скачаешь мобильное приложение для работы с AirKey из AppStore, а если без ГОСТа, то вот оно - по ссылке.
Продукт интересный, а по приведённым мною выше ссылкам можно познакомится с ним ещё ближе. Тем не менее, думаю, что можно договориться с разработчиками о более детальном его тестировании, если вам как читателям это будет интересно. Решать вам (прямая ссылка на опрос на сайте PollDaddy).
[polldaddy poll=”9238224”]
P.S. Обратил внимание, что по привычке всё ещё использую аббревиатуру ЭЦП, хотя пора бы уже и перейти на ЭП. Ну, зато хотя бы слово криптование не применяю =)
Комментарии из Telegram
Комментарии ВКонтакте