Доклады, выступления, видео и электронные публикации

USB-ключи и брелоки

По мере увеличения темпа жизни все меньше хочется тратить время на переоборудование, требующее отвертки и хотя бы минимальных специальных умений. Поэтому неудивительно, что возможность подключения через интерфейс USB существенно повышает шансы на успех любого устройства. Через этот интерфейс сегодня можно подключать не только привычные мышь, клавиатуру, и флеш-память, но и довольно экзотичные вещи типа USB-подогревателей, USB-вентиляторов с подсветкой и многого другого, не менее удивительного.

В области защиты информации тематику USB-устройств можно разделить на два большие поля: защита от USB-устройств и защита с помощью USB-устройств. USB-ключами, как правило, называют именно USB-устройства для защиты информации.

Они, в свою очередь, тоже бывают довольно разные, но достаточно легко группируются в три класса: изделия типа HASP, USB-токены (аналоги смарт-карт) и ПСКЗИ (персональные средства криптографической защиты информации).

1. Изделия типа HASP.

HASP - это аббревиатура, она расшифровывается как Hardware Against Software Piracy. То есть это система защиты программ и данных от нелегального использования и несанкционированного распространения. Механизм ее использования примерно такой - в комплект поставки ПО помимо собственно ПО на том или ином носителе входит также USB-ключ, необходимый для того, чтобы подтвердить легальность копии - без этого ключа ПО работать не будет.

Логика этого метода защиты очевидна и правильна: купил ПО - а стало быть, является его владельцем - человек, а не компьютер, соответственно возможность легального использования этого ПО должна быть связана именно с определенным владельцем, а не с определенным компьютером.

Наличие такого изделия в линейке продуктов, безусловно, очень выгодно производителю, поскольку тиражи его продаж могут быть очень велики.

К сожалению, реализация этой технологии сегодня еще зачастую бывает несовершенна: эмулировать действие таких ключей не намного сложнее, чем введение "уникального" серийного номера или лицензионного ключа, а иногда такие аппаратные средства реализованы настолько неудачно, что использовать "защищенный" таким образом продукт вообще невозможно - приходится покупать три-четыре копии ПО, чтобы найти среди них работоспособную.

2. USB-токены.

USB-токены являются аналогами смарт-карт не только в функциональном, но и в буквальном - технологическом смысле. Это USB-устройство, построенное на смарт-карточном кристалле. И именно это определяет их функциональную идентичность, поскольку функциональность смарт-карты строго ограничена возможностями ее микросхемы. Этих возможностей вполне достаточно для того, чтобы реализовать различные процедуры аутентификации - в том числе, для аутентификации с использованием криптографических алгоритмов - ЭЦП или шифрования. Такие изделия могут применяться для аутентификации при локальном входе в компьютер, входе в домен Windows, для шифрования или подписи сообщений электронной почты, получения сертификатов подписи - для использования пространства PKI (пока в нашей стране эта инфраструктура, к сожалению, еще недостаточно развита для того, чтобы было возможно ее массовое использование).

В этом смысле совершенно логично, что USB-токены и позиционируются как средства аутентификации, или средства строгой аутентификации. Под последней, предположительно, понимается двухфакторная/трехфакторная аутентификация.

Интересным представляется тот факт, что по отношению к USB-токенам используется не только понятие USB-ключ, но и USB-брелок. При всей пространственной близости брелков и ключей как материальных объектов в обычной жизни довольно редко удается использовать одно вместо другого.

3. ПСКЗИ

ПСКЗИ - это аббревиатура, расшифровывающаяся как Персональное Средство Криптографической Защиты Информации. Характеристика ПСКЗИ, являющаяся принципиальной, - это широта и гибкость функциональности изделия. Для того чтобы обладать такими свойствами, устройство должно иметь архитектуру, обеспечивающую не просто большой потенциал, но и возможность наращивания ресурсов, а также быть перепрограммируемым. В общем случае оба эти требования могут быть выполнены при использовании микропроцессора, а не смарт-карточной микросхемы.

Возможность модификации как firmware, так и аппаратной составляющей определяет два важных для пользователя следствия. С одной стороны, это линейка изделий с существенно различающимися показателями, из которой можно выбрать необходимое и достаточное - без ущерба для решения своих задач, но и без удорожающих покупку "навязанных услуг". С другой стороны, возможность перепрограммирования без изменения аппаратной базы позволит не покупать лишний раз новое изделие, если производитель выпустил новую, нужную пользователю функцию уже после того, как изделие было приобретено. Можно получить обновление на уже имеющийся экземпляр устройства.

В тех случаях, когда USB-устройство должно быть интегрировано в разрабатываемую систему, перепрограммируемость так же, если не более, важна: пользователь-разработчик не будет вынужден встраивать средство защиты информации "как есть" - возможна работа "навстречу", и соответственно, более комфортное решение.

Помимо перечисленных, возможно, имеет смысл упомянуть еще так называемые "защищенные флешки" - USB-флеш память, защищенную аутентифицирующими мерами (например, биометрически) или шифрованием. Сами по себе эти устройства полезны и заслуживают отдельного рассмотрения, но они не являются средствами защиты информации в собственном смысле слова.

В заключении статьи, конечно, хочется поставить вопрос "что делать?". Но ответ представляется вполне очевидным: USB-устройства для защиты информации делятся на группы с совершенно разной функциональностью, а значит, для того, чтобы не оказаться в ситуации сложного выбора, потенциальному пользователю достаточно просто более менее точно понимать, для каких целей он выбирает устройство.

Автор: Конявская-Счастная (Конявская) С. В.

Дата публикации: 01.01.2007

Библиографическая ссылка: Конявская С. В. USB-ключи и брелоки // Information Security. М., 2007. № 2 (февраль-март). С. 50.


Scientia potestas est
Кнопка связи