USB-ключи и брелоки
В рубрику "Криптография" | К списку рубрик | К списку авторов | К списку публикаций
USB-ключи и брелоки
Светлана Конявская,
кандидат филологических наук, ЗАО "ОКБ САПР"
По мере увеличения темпа жизни все меньше хочется тратить время на переоборудование, требующее отвертки и хотя бы минимальных специальных умений. Поэтому неудивительно, что возможность подключения через интерфейс USB существенно повышает ценность любого устройства. Через этот интерфейс сегодня можно подключать не только привычные мышь, клавиатуру и флеш-память, но и довольно необычные устройства типа USB-подогревателей, USB-вентиляторов с подсветкой и многие другие, не менее удивительные устройства. В области защиты информации тематику USB-устройств можно разделить на два больших поля: защита от USB-устройств и защита с помощью USB-устройств. USB-ключами, как правило, называют именно USB-устройства для защиты информации. Они, в свою очередь, тоже бывают довольно разные, но достаточно легко группируются в три класса: изделия типа HASP, USB-токены (аналоги смарт-карт) и ПСКЗИ (персональные средства криптографической защиты информации).
Изделия типа HASP
HASP - это аббревиатура, она расшифровывается как Hardware Aganst Software Piracy. To есть это система защиты программ и данных от нелегального использования и несанкционированного распространения. Механизм ее использования примерно такой: в комплект поставки ПО помимо собственно ПО на том или ином носителе входит также USB-ключ, необходимый для того, чтобы подтвердить легальность копии - без этого ключа ПО работать не будет. Логика этого метода защиты очевидна и правильна: купил ПО, то есть стал его владельцем, человек, а не компьютер, соответственно возможность легального использования этого ПО должна быть связана именно с определенным владельцем, а не с определенным компьютером.
Наличие такого изделия в линейке продуктов, безусловно, очень выгодно производителю, поскольку тиражи его продаж могут быть очень велики. К сожалению, реализация этой технологии сегодня еще зачастую бывает несовершенна: эмулировать действие таких ключей ненамного сложнее, чем ввести "уникальный" серийный номер или лицензионный ключ; иногда такие аппаратные средства реализованы настолько неудачно, что использовать "защищенный" таким образом продукт вообще невозможно - приходится покупать три-четыре копии ПО, чтобы найти среди них работоспособную.
USB-токены
USB-токены являются аналогами смарт-карт не только в функциональном, но и в буквальном - технологическом смысле. Это USB-устройство, построенное на смарт-карточном кристалле. И именно это определяет их функциональную идентичность, поскольку функциональность смарт-карты строго ограничена возможностями ее микросхемы. Этих возможностей вполне достаточно для того, чтобы реализовать различные процедуры аутентификации, в том числе с использованием криптографических алгоритмов - ЭЦП или шифрования. Такие изделия могут применяться для аутентификации при локальном входе в компьютер, входе в домен Wndows, для шифрования или подписи сообщений электронной почты, получения сертификатов подписи - для использования пространства PK (пока в нашей стране эта инфраструктура, к сожалению, еще недостаточно развита для того, чтобы было возможно ее массовое использование).
В этом смысле совершенно логично, что USB-токены и позиционируются как средства аутентификации, или средства строгой аутентификации. Под последней, предположительно, понимается двухфакторная/трехфакторная аутентификация.
Интересным представляется тот факт, что по отношению к USB-токенам используется не только понятие USB-ключ, но и USB-брелок. При всей пространственной близости брелоков и ключей как материальных объектов в обычной жизни довольно редко удается использовать одно вместо другого.
ПСКЗИ
ПСКЗИ - это аббревиатура, расшифровывающаяся как персональное средство криптографической защиты информации. Принципиальная характеристика ПСКЗИ - широта и гибкость функциональности изделия. Для того чтобы обладать такими свойствами, устройство должно иметь архитектуру, обеспечивающую не просто большой потенциал, но и возможность наращивания ресурсов, а также быть перепрограммируемым. В общем случае оба эти требования могут быть выполнены при использовании микропроцессора, а не смарт-карточной микросхемы.
Возможность модификации как firmware, так и аппаратной составляющей определяет два важных для пользователя следствия. С одной стороны, это линейка изделий с существенно различающимися показателями, из которой можно выбрать необходимое и достаточное изделие - без ущерба для решения своих задач, но и без удорожающих покупку "навязанных услуг". С другой стороны, возможность перепрограммирования без изменения аппаратной базы позволит не покупать лишний раз новое изделие, если производитель добавил новую, нужную пользователю функцию уже после того, как изделие было приобретено. Можно получить обновление на уже имеющийся экземпляр устройства.
В тех случаях, когда USB-устройство должно быть интегрировано в разрабатываемую систему, перепрограммируемость также, если не более, важна: пользователь-разработчик не будет вынужден встраивать средство защиты информации "как есть" - возможна работа "навстречу" и соответственно более комфортное решение.
"Защищенные флешки"
Помимо перечисленных USB-устройств, возможно, имеет смысл упомянуть еще так называемые "защищенные флешки" - USB-флеш память, защищенную аутентифицирующими мерами (например, биометрически) или шифрованием. Сами по себе эти устройства полезны и заслуживают отдельного рассмотрения, но они не являются средствами защиты информации в собственном смысле слова.
Заканчивая статью, конечно, хочется поставить вопрос "что делать?". Но ответ представляется вполне очевидным: USB-устройства для защиты информации делятся на группы с совершенно разной функциональностью, а значит, для того чтобы не оказаться в ситуации сложного выбора, потенциальному пользователю достаточно просто более или менее точно понимать, для каких целей он выбирает устройство.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2007
