В современных корпоративных системах предусмотрены программные средства предотвращения несанкционированного доступа: как минимум, при входе в систему требуется ввести имя пользователя и пароль. Однако применение паролей имеет ряд недостатков: во-первых, пароль должен быть достаточно длинным, чтобы злоумышленнику было трудно его подобрать. Во-вторых, в момент ввода имя пользователя и его пароль могут быть опознаны и похищены хакером. Поэтому зачастую требуются более продвинутые, многофакторные, механизмы аутентификации пользователя.

Существует много способов доказательства идентичности субъекта, но любой способ предусматривает предъявление одного из четырех возможных идентифицирующих признаков:

• того, что субъект имеет (например, аппаратный ключ);

• того, что субъект знает (например, пароль);

• того, чем субъект является (биометрика — отпечатки пальцев, рисунок радужной оболочки глаза);

• того, что субъект делает (например, клавиатурный почерк).

Если последние два критерия аутентификации до сих пор являются экзотическими и применяются довольно редко, то электронные ключи получают достаточно широкое распространение. Более того, во многих электронных ключах используется встроенная двухфакторная аутентификация пользователя: основная часть кода доступа хранится в электронном ключе и считывается компьютером в тот момент, когда ключ вставляется в соответствующий порт; после этого пользователь должен ввести еще PIN-код в подтверждение того, что именно он является владельцем ключа.

Основой технологии электронных ключей является специализированная микросхема либо защищенный от считывания микроконтроллер, имеющий уникальный для каждого ключа алгоритм работы. Ключи также имеют защищенную энергонезависимую память небольшого объема, а более сложные устройства могут иметь встроенный криптопроцессор для реализации шифрующих алгоритмов.

Принцип действия электронных ключей относительно прост. Ключ присоединяется к компьютеру, а защищенная с его помощью система отправляет ему информацию, которая обрабатывается в соответствии с заданным алгоритмом и возвращается обратно.

Функция электронных ключей может быть существенно шире, нежели процесс аутентификации в корпоративной сети либо защищенный доступ к бизнес-приложениям. Их использование позволяет применять процедуры шифрования данных на серверах и рабочих станциях, обеспечивать защиту персональных данных, обезопасить финансовые операции в системах дистанционного банковского обслуживания. Отдельной сферой применения, получающей все большую актуальность, становится аппаратная поддержка использования электронной цифровой подписи (ЭЦП).

Функционал для интеграции с электронными ключами содержат многие современные корпоративные системы, включая ERP, системы электронного документооборота, а также решения, ориентированные на защиту от утечек данных.

Наконец, существует специальная категория ключей для осуществления лицензирования — ограничения числа работающих в сети копий приложения. В этом случае достаточно одного ключа на всю локальную сеть. Он устанавливается на любой рабочей станции, а защищенные приложения обращаются к ключу по локальной сети.

На российском рынке электронных ключей наиболее популярны решения компаний «Aладдин Р.Д.» и «Актив». Их аппаратно-программные комплексы (семейства eToken и RuToken соответственно) одобрены ФСТЭК России и ФСБ России.

Безопасные операции

«Русь-Банк» завершил проект по повышению защищенности системы дистанционного банковского обслуживания юридических лиц и индивидуальных предпринимателей. Благодаря внедрению электронных ключей eToken Pro был обеспечен высокий уровень безопасности финансовых операций при использовании удаленных банковских сервисов. Система дистанционного обслуживания банка предоставляет возможность управлять банковскими счетами через Интернет, отслеживать движение денежных средств, формировать и отправлять электронные платежные документы. Необходимый уровень безопасности при работе юридических лиц и были призваны обеспечить электронные USB-ключи. Они предназначены для безопасного хранения ключей электронной цифровой подписи, необходимой для ведения юридически значимого документооборота в системе интернет-банкинга.