Один из самых простых и распространенных способов защиты — использование паролей. Его недостаток заключается в том, что запомнить надежную комбинацию (т. е. содержащую цифры, буквы, специальные знаки, нижний и верхний регистр) довольно сложно. К тому же для доступа к разным ресурсам приходится запоминать несколько паролей. В результате уже на второй «абракадабре» пользователи начинают путаться и забывать пароли, в итоге записывают их на бумажку, что, во-первых, не всегда удобно, а во-вторых, отрицательно сказывается на информационной безопасности.
Одним из решений проблемы стали идентификаторы Рутокен, разработанные российскими компаниями «Актив» и «Анкад». Это небольшие электронные устройства, базирующиеся на защищенном микроконтроллере. Они представляют собой аналоги смарт-карт, но не требуют дополнительного оборудования для считывания и подключаются к порту USB, который есть в любом современном компьютере. Главное отличие Рутокен от аналогичных устройств зарубежных производителей — аппаратно реализованный российский стандарт шифрования ГОСТ 28147-89.
Рутокен предназначен для аутентификации пользователей при доступе к секретной информации, безопасного хранения паролей, ключей шифрования, цифровых сертификатов, данных пользователей. Так, в комплексе с другими программными и аппаратными средствами Рутокен способен решать проблемы авторизации и разделения доступа в сетях, контролировать доступ к защищенным информационным ресурсам, обеспечивать необходимый уровень безопасности при работе с электронной почтой.
На брелоке Рутокен хранится закрытый ключ клиента и подтверждающий его сертификат, содержащий открытый ключ. Фактически он представляет собой средство аутентификации пользователя, которому вместо запоминания множества паролей доступа достаточно иметь такой брелок и помнить PIN-код к нему (так называемая двухфакторная аутентификация — по факту наличия ключа и по знанию PIN-кода). Это и удобно, и безопасно. PIN-код сложно подобрать, потому что число попыток его ввода ограничено (блокировку может снять ответственное лицо, введя свой PIN-код). Считывать информацию напрямую бессмысленно, так как она зашифрована, а соответствующий уникальный ключ хранится на встроенном в Рутокен микропроцессоре. Последний, в свою очередь, защищен на аппаратном уровне. Взломать процессор, конечно, можно, но для этого потребуются немалые средства (в большинстве случаев ценность добываемой информации просто не покроет таких расходов) и, самое главное, время. Ведь при утере Рутокен хранящиеся на нем сертификат и ключи сразу же аннулируются администратором (естественно, при оперативном оповещении) и становятся бесполезными для злоумышленников. Пользователю необходимо получить новый сертификат и ключи вместе с новым брелоком.
Устройство Рутокен хорошо подходит для решения стандартных задач информационной безопасности в ОС семейства Windows при помощи стандартных технологий, предоставляемых Microsoft (PKI). В марте компания «Актив» выпускает программный продукт «Рутокен для MS Windows» — стартовый комплект, с помощью которого развертывается инфраструктура для последующего внедрения решений на основе Рутокен. Он включает набор инструкций для решения различных задач авторизации пользователей в клиентских и серверных ОС семейства Windows, один электронный идентификатор Рутокен и ПО для него, а также лицензию на использование продукта в рамках одной организации. Стартового комплекта достаточно для того, чтобы произвести все необходимые настройки в сети и подготовиться к переходу от обычной парольной защиты к двухфакторной аутентификации на основе Рутокен. Для такой миграции потребуется лишь приобрести необходимое количество идентификаторов Рутокен.
Первый сценарий применения Рутокен — это цифровая подпись и защита электронной почты с использованием приложения Microsoft Outlook. При всех достоинствах этого почтового клиента у него нет всех тех атрибутов, которые подтверждают подлинность бумажного письма, — подписей, печатей, водяных знаков, особой фактуры листа. Именно их заменяет электронно-цифровая подпись. В ее формировании задействованы текст самого сообщения, время его отправления и закрытый ключ отправителя.
Второй сценарий — авторизация клиента. Здесь можно назвать четыре основных варианта:
- вход в домены Microsoft Windows;
- доступ к защищенным сайтам, выполненным на базе Internet Information Server;
- доступ к VPN (виртуальным частным сетям);
- подключение к терминальным службам на базе Microsoft Windows.
Для аутентификации пользователя администратору достаточно выдать сертификат типа Smart-Card User или Smart-Card Logon. Одновременно с этим выдаются закрытый и открытый ключи, вся информация записывается на брелок. Систему настраивают так, чтобы аутентификация проходила по принципу смарт-карты, а драйвер Рутокен сам обеспечивает обращение к USB-порту. Еще раз подчеркнем, что пользователь получает единый ключ и достаточно легко запоминаемый PIN-код к нему вместо нескольких громоздких паролей.
В комплект поставки «Рутокен для MS Windows» входит ПО, необходимое для работы и обслуживания устройства: драйверы, утилита администрирования и браузер сертификатов. Утилита администрирования позволяет получать сведения о выбранном Рутокен, форматировать его память, изменять PIN-коды и т. п. Браузер сертификатов предоставляет удобную среду для работы с сертификатами, хранящимися в памяти Рутокен.