Правила за избор на USB токени # сигурност # EDMS #ECMJ
Електронните ключове са се появили отдавна, но все още не са успели да заменят стандартната процедура за идентификация с вход и парола. Това е повече от странно, като се има предвид, че съвременните USB токени осигуряват висока степен на защита на данните, практически са неуязвими за външни атаки и са представени в достатъчно количество на руския пазар. Основното нещо е да не се бъркате с избора.
Паролата изтече
Идентифицирането с помощта на „вход“ и „парола“ е често срещано нещо. Тази схема на „разпознаване“ на потребителя от системата обаче е донякъде остаряла по отношение на сигурността и използваемостта. Често повишеният акцент върху защитата на информацията намалява комфорта на контрола на достъпа за потребителя. Така че паролите, създадени в съответствие с изискванията за сложност (като се използват букви от различни букви, цифри, препинателни знаци и символи на услугата, дължината е най-малко 8 знака), е трудно да се запомни от крайния потребител. Така човешкият фактор се превръща в основен проблем.
Колко струва съвременната защита?
Средна цена на внедряване на системи за контрол на достъпа
USB ключ
500 потребители, 500 компютъра
500 потребители, 250 компютъра
Тънкости при избора на USB токени
Състав на USB ключ
● Процесор (обикновено RISC процесор) - контрол и обработка на данни;
● Процесор за решаване на криптографски проблеми на хардуерно ниво - внедряване на алгоритми GOST 28147-89, DES, 3DES, RSA, DSA, MD5, SHA-1 и други криптографски трансформации;
● USB контролер - осигуряване на интерфейс с USB порт на компютъра;
● RAM памет - съхранение на променливи данни;
● Препрограмируем EEPROM - съхранение на ключове за шифроване, пароли, сертификати и други важни данни;
ROM с постоянна памет - съхраняване на команди и константи.
Файловата система на маркерите се споделя между множество приложения и услуги. Потребителят не трябва да знае много пароли - токенът ги запомня. Трябва само да запомните кратък ПИН-код, който удостоверява потребителя като собственик на всички пароли, съхранявани в паметта на ключовете. След няколко неуспешни опита за въвеждане на ПИН, процесорът „заключва“ маркера, докато се намеси администраторът на защитата, тъй като се предполага, че ключът е откраднат или изгубен.
За да се осигури силна автентификация, е необходимо да се гарантира надеждността и автентичността на принципала (обекта за удостоверяване - подателят или получателят) и следователно трябва да се използват силни криптографски алгоритми и обмислени схеми за удостоверяване. Силното удостоверяване в този контекст означава, че информацията, която директно удостоверява потребителя, не надхвърля маркера, а само участва в криптографски изчисления, резултатът от които ще бъдат някои последователности от нули и единици, декриптиране на които друг принципал ще абсолютно надеждно, точно и надеждно идентифицира подателя. Ето защо е важно да купувате модели с вграден генератор на ключове, така че такава важна информация да не попада от маркера в компютъра. Освен това всички важни криптографски изчисления за проверка на сертификати трябва да бъдат внедрени в хардуер, което също изключва възможността за компромис на ниво компютърни приложения.
Основни характеристики на продуктите, предлагани на пазара
Продукт
Капацитет на паметта, kb
Ширина на серийния номер
Поддържана ОС
Алгоритми за криптиране/хеширане
Rainbow Technologies, iKey 2032
Windows 95, 98, NT, сертифициран до 2000, XP, 2003, Windows 95, 98, NT, сертифициран до 2000, XP, 2003, RedHat Linux, Mandrake, SuSe (сертифициран от FSTEC на Русия)
MD5, RSA 1024/2048, DSA, DES, 3DES, RC2, RC4, SHA-1