Режим смарт-картки Yubikey без додаткового обладнання
Ідею першої смарт-картки запатентував французький винахідник Роланд Морено ще 1974 року. А сьогодні ми вже використовуємо цю технологію щодня, і не уявляємо, як можна без неї обходитися: в режимі смарт-карток працюють SIM-картки, електронні проїзні квитки та паспорти, ключі від номерів у готелі, пропуски працівників закритих підприємств, банківські платіжні картки.
У бізнесі смарт-картки є незамінними помічниками, особливо якщо потрібно захистити IT-інфраструктуру від зламу та фішингу. Але для читання таких карток зазвичай потрібне додаткове обладнання, яке може зчитувати інформацію. Та й термін служби пластикових смарт-карток здебільшого становить 2-3 роки, а значить витрати на інформаційну безпеку зростають. Що робити?
Є досить витончене розв’язання цього питання: деякі серії ключів безпеки YubiKey (розробка США) можуть не лише відкривати доступ до особистих або корпоративних облікових записів, але й працювати в режимі смарт-карт. Крім того, вони служитимуть щонайменше втричі довше завдяки удароміцності, водонепроникності та відсутності знімних/висувних частин.
Розглянемо особливості смарт-карт та ефективність їх заміни на ключі безпеки YubiKey.
Що таке смарт-картки
Смарт-картки – це невеликі пристрої з вбудованою мікросхемою, іноді мікропроцесором та операційною системою, які дозволяють генерувати ключі, зберігати ідентифікаційну інформацію про власника та робити криптографічні обчислення.
Виглядають вони найчастіше як пластикові карти та працюють тільки у зв’язці зі зчитувальним обладнанням — терміналом, що передає дані на комп’ютер.
Але, як ми згадали вище, бувають і винятки. Деякі виробники випускають апаратні пристрої, які за функціями та властивостями аналогічні смарт-карткам, до того ж вони вже містять функцію читання карт. Це токени або ключі безпеки з інтерфейсом USB, наприклад YubiKey. Останні вважаються одними з найкращих у співвідношенні ціна-якість.
Смарт-картки використовуються для встановлення справжності особистості їхніх власників (ідентифікації та аутентифікації), оскільки вони надійно захищені від несанкціонованого доступу завдяки вбудованому програмному забезпеченню. Дані, що містяться на них, не можна скопіювати, а самі пристрої перепрограмувати. Не дарма смарт-картами користуються різноманітні фінансові та державні структури, ресторанний/готельний бізнес, наукові/навчальні центри та великі IT-компанії.
Основні функції смарт-картки:
- зберігання ідентифікаційних даних власника (наприклад, ID);
- автентифікація за принципом «виклик-відповідь» (спосіб, у якому секрет чи пароль не передається каналом зв’язку);
- зберігання та перевірка PIN-кодів для двофакторної/багатофакторної автентифікації;
- генерація та зберігання цифрового підпису, ключів чи сертифікатів.
Прикладом розв’язання цих задач є SIM-картки мобільних операторів — за допомогою них можна довести, що абонент, який під’єднався до мережі за певним номером, дійсно є клієнтом оператора і йому доступні послуги в рамках свого тарифу.
Примітка. Ключі безпеки YubiKey мають всі перелічені функції. До того ж для їх використання не потрібне додаткове обладнання, таке як зчитувачі або картридери, оскільки ключі можуть безпосередньо підключатися до комп’ютерів.
Види смарт-карток
Смарт-картки розрізняються за функціональністю:
- картки пам’яті (як картки для мікроплатежів у транспорті);
- інтелектуальні карти (як біометричні паспорти, SIM-картки).
Також смарт-картки відрізняються за способом взаємодії з іншими пристроями:
- контактні, зі стандартом ISO 7816 (базовий стандарт для всіх смарт-карток, що найчастіше застосовується в банківських картках);
- контактні, з USB-роз’ємом (до них відносяться не тільки карти ISO 7816 з вбудованим USB, але й токени, ключі безпеки);
- безконтактні (такі карти мають радіочастотні зчитувачі/передавачі або так звані RFID-мітки — RFID-ідентифікатори).
Примітка. Ключі YubiKey належать до інтелектуальних видів обладнання і можуть підключатися через USB або безконтактно, передаючи дані через NFC.
Режим смарт-картки в YubiKey
Ключі безпеки YubiKey підтримують протоколи:
- смарт-картка PIV (personal identity verification) — підтвердження особистості;
- смарт-картка CCID (integrated circuit card interface device) — інтерфейсний пристрій з інтегральною схемою, що дозволяє підключатися через USB і не потребує зчитувачів.
Це дозволяє використовувати такі функції:
- керування ключами;
- підпис документів;
- шифрування поштових повідомлень;
- підключення двофакторної автентифікації (фактор володіння — карта, фактор знання — PIN-код);
- підключення безпарольної автентифікації.
Також деякі серії ключів YubiKey підтримують технологію NFC, що дозволяє під’єднуватися до пристроїв безконтактно. Зокрема, це такі серії:
- YubiKey 5 NFC;
- YubiKey 5C NFC;
- Security Key NFC;
- Security Key C NFC;
- YubiKey 5 NFC FIPS;
- YubiKey 5C NFC FIPS.
Нижче наведено їх фото та посилання, де можна детальніше ознайомитися з характеристиками пристроїв.
Примітка. Ключі серії YubiKey FIPS зовні схожі на ключі серії YubiKey 5, але мають посилений захист — розроблені спеціально для державних службовців та співробітників підприємств, ці ключі надаються лише за індивідуальним замовленням.
Серії YubiKey з режимом смарт-картки
Режим смарт-картки підтримується в серіях YubiKey:
- YubiKey 5;
- YubiKey 5 FIPS.
Кожна з них має по 6 видів ключів, що відрізняються формфакторами.
YubiKey 5
Ключі цієї серії підтримують не тільки режим смарт-картки, але й протоколи FIDO2, U2F, OTP, OpenPGP 3. Також ключі мають стійкість до роздавлювання та водонепроникність, відповідаючи ступеню захисту IP68.
У цій серії YubiKey представлені такі продукти:
- YubiKey 5 NFC — апаратний ключ з роз’ємом USB-A та технологією бездротового зв’язку NFC;
- YubiKey 5C NFC — апаратний ключ з роз’ємом USB-С та технологією бездротового зв’язку NFC;
- YubiKey 5C — апаратний ключ з роз’ємом USB-C;
- YubiKey 5Ci — апаратний ключ з роз’ємом USB-C та Lightning;
- YubiKey 5 Nano — мініатюрний пристрій з мінімально виступаючим за межі ПК корпусом і роз’ємом USB-A;
- YubiKey 5C Nano – мініатюрний пристрій з мінімально виступаючим за межі ПК корпусом і роз’ємом USB-C.
Ключі YubiKey 5 можна придбати як бізнесу, так і пересічному користувачеві, що переймається мережевою безпекою, інтернет-платежами, має заощадження на біржах криптовалюти або є фрилансером/віддаленим співробітником.
YubiKey 5 FIPS
Як ми згадали вище, ключі даної серії є окремою розробкою, яка ідеально підходить для співробітників великого бізнесу, банківської сфери або державних органів. Саме вони підтримують режим смарт-карти PIV (підтвердження особистості), а також мають можливості:
- керування ключами;
- підключення одно-/двох-/ багатофакторної автентифікації (підтримка протоколів FIDO, FIDO2, FIDO U2F);
- генерація OTP-паролів з урахуванням фактора часу або лічильника;
- збереження до 32 облікових записів.
Поза тим, ключі YubiKey FIPS можна пронумерувати для можливості відстеження місцеперебування співробітників на підприємстві або активних сеансів співробітників на персональних комп’ютерах за ID. У випадку, якщо працівник звільниться, є можливість перепрограмування ключів для перепризначення іншій особі.
У серії YubiKey FIPS є такі продукти:
- YubiKey 5 NFC FIPS – ключ безпеки з інтерфейсом USB-A та технологією бездротового зв’язку NFC;
- YubiKey 5C NFC FIPS – ключ безпеки з інтерфейсом USB-С та технологією бездротового зв’язку NFC;
- YubiKey 5C FIPS – ключ безпеки з інтерфейсом USB-C;
- YubiKey 5Ci FIPS – ключ з інтерфейсом USB-C та Lightning;
- YubiKey 5 Nano FIPS – мініатюрний пристрій з мінімально виступаючим за межі ПК корпусом та інтерфейсом USB-A;
- YubiKey 5C Nano FIPS – мініатюрний пристрій з мінімально виступаючим за межі ПК корпусом та інтерфейсом USB-C.
Примітка. Нагадуємо, що ключі серії YubiKey FIPS надаються лише за індивідуальним замовленням.
Де взяти ключі YubiKey з функцією смарт-карток
Ключі безпеки YubiKey виробляє США разом зі Швецією. Ми, компанія The Kernel, є офіційним дистриб’ютором компанії Yubico в Україні та пропонуємо своїм клієнтам оригінальну продукцію.
Ви можете замовити у нас продукцію оптом, зв’язавшись з менеджером за телефоном +38 (044) 35 31 999, або в роздріб — на офіційному сайті нашого інтернет-магазину.
Потрібна допомога у підборі продукції чи консультація щодо особливих уподобань у забезпеченні безпеки на виробництві? Звертайтесь. Ми працюємо у сфері інформаційної безпеки понад 30 років, тому, крім замовлення продукції YubiKey, ми можемо запропонувати рекомендації щодо розв’язання будь-яких питань, пов’язаних із захистом вашої IT-інфраструктури.