Режим смарт-картки Yubikey без додаткового обладнання

Ідею першої смарт-картки запатентував французький винахідник Роланд Морено ще 1974 року. А сьогодні ми вже використовуємо цю технологію щодня, і не уявляємо, як можна без неї обходитися: в режимі смарт-карток працюють SIM-картки, електронні проїзні квитки та паспорти, ключі від номерів у готелі, пропуски працівників закритих підприємств, банківські платіжні картки.

У бізнесі смарт-картки є незамінними помічниками, особливо якщо потрібно захистити IT-інфраструктуру від зламу та фішингу. Але для читання таких карток зазвичай потрібне додаткове обладнання, яке може зчитувати інформацію. Та й термін служби пластикових смарт-карток здебільшого становить 2-3 роки, а значить витрати на інформаційну безпеку зростають. Що робити?

Є досить витончене розв’язання цього питання: деякі серії ключів безпеки YubiKey (розробка США) можуть не лише відкривати доступ до особистих або корпоративних облікових записів, але й працювати в режимі смарт-карт. Крім того, вони служитимуть щонайменше втричі довше завдяки удароміцності, водонепроникності та відсутності знімних/висувних частин.

Розглянемо особливості смарт-карт та ефективність їх заміни на ключі безпеки YubiKey.

Що таке смарт-картки

Смарт-картки – це невеликі пристрої з вбудованою мікросхемою, іноді мікропроцесором та операційною системою, які дозволяють генерувати ключі, зберігати ідентифікаційну інформацію про власника та робити криптографічні обчислення.

Виглядають вони найчастіше як пластикові карти та працюють тільки у зв’язці зі зчитувальним обладнанням — терміналом, що передає дані на комп’ютер.

Але, як ми згадали вище, бувають і винятки. Деякі виробники випускають апаратні пристрої, які за функціями та властивостями аналогічні смарт-карткам, до того ж вони вже містять функцію читання карт. Це токени або ключі безпеки з інтерфейсом USB, наприклад YubiKey. Останні вважаються одними з найкращих у співвідношенні ціна-якість.

Смарт-картки використовуються для встановлення справжності особистості їхніх власників (ідентифікації та аутентифікації), оскільки вони надійно захищені від несанкціонованого доступу завдяки вбудованому програмному забезпеченню. Дані, що містяться на них, не можна скопіювати, а самі пристрої перепрограмувати. Не дарма смарт-картами користуються різноманітні фінансові та державні структури, ресторанний/готельний бізнес, наукові/навчальні центри та великі IT-компанії.

Основні функції смарт-картки:

• зберігання ідентифікаційних даних власника (наприклад, ID);
• автентифікація за принципом «виклик-відповідь» (спосіб, у якому секрет чи пароль не передається каналом зв’язку);
• зберігання та перевірка PIN-кодів для двофакторної/багатофакторної автентифікації;
• генерація та зберігання цифрового підпису, ключів чи сертифікатів.

Прикладом розв’язання цих задач є SIM-картки мобільних операторів — за допомогою них можна довести, що абонент, який під’єднався до мережі за певним номером, дійсно є клієнтом оператора і йому доступні послуги в рамках свого тарифу.

Примітка. Ключі безпеки YubiKey мають всі перелічені функції. До того ж для їх використання не потрібне додаткове обладнання, таке як зчитувачі або картридери, оскільки ключі можуть безпосередньо підключатися до комп’ютерів.

Види смарт-карток

Смарт-картки розрізняються за функціональністю:

• картки пам’яті (як картки для мікроплатежів у транспорті);
• інтелектуальні карти (як біометричні паспорти, SIM-картки).

Також смарт-картки відрізняються за способом взаємодії з іншими пристроями:

• контактні, зі стандартом ISO 7816 (базовий стандарт для всіх смарт-карток, що найчастіше застосовується в банківських картках);
• контактні, з USB-роз’ємом (до них відносяться не тільки карти ISO 7816 з вбудованим USB, але й токени, ключі безпеки);
• безконтактні (такі карти мають радіочастотні зчитувачі/передавачі або так звані RFID-мітки — RFID-ідентифікатори).

Примітка. Ключі YubiKey належать до інтелектуальних видів обладнання і можуть підключатися через USB або безконтактно, передаючи дані через NFC.

Режим смарт-картки в YubiKey

Ключі безпеки YubiKey підтримують протоколи:

• смарт-картка PIV (personal identity verification) — підтвердження особистості;
• смарт-картка CCID (integrated circuit card interface device) — інтерфейсний пристрій з інтегральною схемою, що дозволяє підключатися через USB і не потребує зчитувачів.

Це дозволяє використовувати такі функції:

• керування ключами;
• підпис документів;
• шифрування поштових повідомлень;
• підключення двофакторної автентифікації (фактор володіння — карта, фактор знання — PIN-код);
• підключення безпарольної автентифікації.

Також деякі серії ключів YubiKey підтримують технологію NFC, що дозволяє під’єднуватися до пристроїв безконтактно. Зокрема, це такі серії:

• YubiKey 5 NFC;
• YubiKey 5C NFC;
• Security Key NFC;
• Security Key C NFC;
• YubiKey 5 NFC FIPS;
• YubiKey 5C NFC FIPS.

Нижче наведено їх фото та посилання, де можна детальніше ознайомитися з характеристиками пристроїв.

Примітка. Ключі серії YubiKey FIPS зовні схожі на ключі серії YubiKey 5, але мають посилений захист — розроблені спеціально для державних службовців та співробітників підприємств, ці ключі надаються лише за індивідуальним замовленням.

Серії YubiKey з режимом смарт-картки

Режим смарт-картки підтримується в серіях YubiKey:

• YubiKey 5;
• YubiKey 5 FIPS.

Кожна з них має по 6 видів ключів, що відрізняються формфакторами.

YubiKey 5

Ключі цієї серії підтримують не тільки режим смарт-картки, але й протоколи FIDO2, U2F, OTP, OpenPGP 3. Також ключі мають стійкість до роздавлювання та водонепроникність, відповідаючи ступеню захисту IP68.

У цій серії YubiKey представлені такі продукти:

• YubiKey 5 NFC — апаратний ключ з роз’ємом USB-A та технологією бездротового зв’язку NFC;
• YubiKey 5C NFC — апаратний ключ з роз’ємом USB-С та технологією бездротового зв’язку NFC;
• YubiKey 5C — апаратний ключ з роз’ємом USB-C;
• YubiKey 5Ci — апаратний ключ з роз’ємом USB-C та Lightning;
• YubiKey 5 Nano — мініатюрний пристрій з мінімально виступаючим за межі ПК корпусом і роз’ємом USB-A;
• YubiKey 5C Nano – мініатюрний пристрій з мінімально виступаючим за межі ПК корпусом і роз’ємом USB-C.

Ключі YubiKey 5 можна придбати як бізнесу, так і пересічному користувачеві, що переймається мережевою безпекою, інтернет-платежами, має заощадження на біржах криптовалюти або є фрилансером/віддаленим співробітником. 

YubiKey 5 FIPS

Як ми згадали вище, ключі даної серії є окремою розробкою, яка ідеально підходить для співробітників великого бізнесу, банківської сфери або державних органів. Саме вони підтримують режим смарт-карти PIV (підтвердження особистості), а також мають можливості:

• керування ключами;
• підключення одно-/двох-/ багатофакторної автентифікації (підтримка протоколів FIDO, FIDO2, FIDO U2F);
• генерація OTP-паролів з урахуванням фактора часу або лічильника;
• збереження до 32 облікових записів.

Поза тим, ключі YubiKey FIPS можна пронумерувати для можливості відстеження місцеперебування співробітників на підприємстві або активних сеансів співробітників на персональних комп’ютерах за ID. У випадку, якщо працівник звільниться, є можливість перепрограмування ключів для перепризначення іншій особі.

У серії YubiKey FIPS є такі продукти:

• YubiKey 5 NFC FIPS – ключ безпеки з інтерфейсом USB-A та технологією бездротового зв’язку NFC;
• YubiKey 5C NFC FIPS – ключ безпеки з інтерфейсом USB-С та технологією бездротового зв’язку NFC;
• YubiKey 5C FIPS – ключ безпеки з інтерфейсом USB-C;
• YubiKey 5Ci FIPS – ключ з інтерфейсом USB-C та Lightning;
• YubiKey 5 Nano FIPS – мініатюрний пристрій з мінімально виступаючим за межі ПК корпусом та інтерфейсом USB-A;
• YubiKey 5C Nano FIPS – мініатюрний пристрій з мінімально виступаючим за межі ПК корпусом та інтерфейсом USB-C.

Примітка. Нагадуємо, що ключі серії YubiKey FIPS надаються лише за індивідуальним замовленням.

Де взяти ключі YubiKey з функцією смарт-карток

Ключі безпеки YubiKey виробляє США разом зі Швецією. Ми, компанія The Kernel, є офіційним дистриб’ютором компанії Yubico в Україні та пропонуємо своїм клієнтам оригінальну продукцію.

Ви можете замовити у нас продукцію оптом, зв’язавшись з менеджером за телефоном +38 (044) 35 31 999, або в роздріб — на офіційному сайті нашого інтернет-магазину.

Потрібна допомога у підборі продукції чи консультація щодо особливих уподобань у забезпеченні безпеки на виробництві? Звертайтесь. Ми працюємо у сфері інформаційної безпеки понад 30 років, тому, крім замовлення продукції YubiKey, ми можемо запропонувати рекомендації щодо розв’язання будь-яких питань, пов’язаних із захистом вашої IT-інфраструктури.