Режим смарт-карты Yubikey без дополнительного оборудования

Идею первой смарт-карты запатентовал французский изобретатель Роланд Морено еще в 1974 году. А сегодня мы уже используем эту технологию каждый день, и не представляем, как можно без нее обходиться: в режиме смарт-карт работают SIM-карты, электронные проездные билеты и паспорта, ключи от номеров в гостинице, пропуски работников закрытых предприятий, банковские платежные карты.

В бизнесе смарт-карты являются незаменимыми помощниками, особенно, если нужно защитить IT-инфраструктуру от взлома и фишинга. Но для чтения таких карт обычно требуется дополнительное оборудование, которое может считывать информацию. Да и срок службы пластиковых смарт-карт в основном составляет 2-3 года, а значит расходы на информационную безопасность растут. Что делать?

Есть довольно изящное решение этого вопроса: некоторые серии ключей безопасности YubiKey (разработка США) могут не только открывать доступ к личным или корпоративным аккаунтам, но и работать в режиме смарт-карт. Кроме того, они будут служить по меньшей мере в три раза дольше благодаря ударопрочности, водонепроницаемости и отсутствию съемных/выдвижных частей.

Рассмотрим особенности смарт-карт и эффективность их замены ключами безопасности YubiKey.

Что такое смарт-карты

Смарт-карты – это небольшие устройства со встроенной микросхемой, иногда микропроцессором и операционной системой, позволяющие генерировать ключи, сохранять идентификационную информацию о владельце и производить криптографические вычисления.

Они выглядят чаще всего как пластиковые карты и работают только в связке со считывающим оборудованием — терминалом, передающим данные на компьютер.

Но, как мы упомянули выше, бывают и исключения. Некоторые производители выпускают аппаратные устройства, которые по функциям и свойствам аналогичны смарт-картам, к тому же они уже содержат функцию чтения карт. Это токены или ключи безопасности с интерфейсом USB, например YubiKey. Последние считаются одними из лучших в соотношении цена-качество.

Смарт-карты используются для подлинности личности их владельцев (идентификации и аутентификации), поскольку они надежно защищены от несанкционированного доступа благодаря встроенному программному обеспечению. Содержащиеся на них данные нельзя скопировать, а сами устройства перепрограммировать. Не зря смарт-карты пользуются разнообразными финансовыми и государственными структурами, ресторанным/гостиничным бизнесом, научными/учебными центрами и крупными IT-компаниями.

Основные функции смарт-карты:

• хранение идентификационных данных владельца (например, ID);
• аутентификация по принципу «вызов-ответ» (способ, при котором секрет или пароль не передается по каналу связи);
• хранение и проверка PIN-кодов для двухфакторной/многофакторной аутентификации;
• генерация и хранение цифровой подписи, ключей или сертификатов.

Примером решения этих задач являются SIM-карты мобильных операторов — с помощью них можно доказать, что абонент, подключившийся к сети по определенному номеру, действительно клиент оператора и ему доступны услуги в рамках своего тарифа.

Примечание. Ключи безопасности YubiKey имеют все перечисленные функции. К тому же для их использования не требуется дополнительное оборудование, такое как считыватели или картридеры, поскольку ключи могут напрямую подключаться к компьютерам..

Виды смарт-карт

Смарт-карты различаются по функциональности:

• карты памяти (как карты для микроплатежей в транспорте);
• интеллектуальные карты (как биометрические паспорта, SIM-карты).

Также смарт-карты отличаются по способу взаимодействия с другими устройствами:

• контактные, со стандартом ISO 7816 (базовый стандарт для всех смарт-карт, наиболее часто применяемый в банковских карточках);
• контактные, с USB-разъемом (к ним относятся не только карты ISO 7816 со встроенным USB, но и токены, ключи безопасности);
• бесконтактные (такие карты имеют радиочастотные считыватели/передатчики или так называемые RFID-метки RFID-идентификаторы).

Примечание. Ключи YubiKey относятся к интеллектуальным видам оборудования и могут подключаться через USB или бесконтактно, передавая данные через NFC..

Режим смарт-карты в YubiKey

Ключи безопасности YubiKey поддерживают протоколы:

• смарт-карта PIV (personal identity verification) – подтверждение личности;
• смарт-карта CCID (integrated circuit card interface device) — интерфейсное устройство с интегральной схемой, позволяющее подключаться через USB и не нуждающееся в считывателях.

Это позволяет использовать следующие функции:

• управление ключами;
• подпись документов;
• шифрование почтовых сообщений;
• подключение двухфакторной аутентификации (фактор владения – карта, фактор знания – PIN-код);
• подключение беспарольной аутентификации.

Также некоторые серии ключей YubiKey поддерживают технологию NFC, позволяющую подключаться к устройствам бесконтактно. В частности, это следующие серии:

• YubiKey 5 NFC;
• YubiKey 5C NFC;
• Security Key NFC;
• Security Key C NFC;
• YubiKey 5 NFC FIPS;
• YubiKey 5C NFC FIPS.

Ниже приведены их фото и ссылки, где можно подробнее ознакомиться с характеристиками устройств.

Примечание. Ключи серии YubiKey FIPS внешне похожи на ключи серии YubiKey 5, но имеют усиленную защиту — разработаны специально для государственных служащих и сотрудников предприятий, эти ключи предоставляются только по индивидуальному заказу.

Серии YubiKey с режимом смарт-карты

Режим смарт-карты поддерживается в сериях YubiKey:

• YubiKey 5;
• YubiKey 5 FIPS.

Каждая из них имеет по 6 видов ключей, отличающихся формфакторами.

YubiKey 5

Ключи этой серии поддерживают не только режим смарт-карты, но протоколы FIDO2, U2F, OTP, OpenPGP 3. Также ключи обладают устойчивостью к раздавливанию и водонепроницаемости, соответствуя степени защиты IP68.

В этой серии YubiKey представлены следующие продукты:

• YubiKey 5 NFC – аппаратный ключ с разъемом USB-A и технологией беспроводной связи NFC;
• YubiKey 5C NFC – аппаратный ключ с разъемом USB-С и технологией беспроводной связи NFC;
• YubiKey 5C – аппаратный ключ с разъемом USB-C;
• YubiKey 5Ci – аппаратный ключ с разъемом USB-C и Lightning;
• YubiKey 5 Nano – миниатюрное устройство с минимально выступающим за пределы ПК корпусом и разъемом USB-A;
• YubiKey 5C Nano – миниатюрное устройство с минимально выступающим за пределы ПК корпусом и разъемом USB-C.

Ключи YubiKey 5 можно приобрести как бизнесу, так и рядовому пользователю, который занимается сетевой безопасностью, интернет-платежами, имеет сбережения на биржах криптовалюты или является фрилансером/удаленным сотрудником.

YubiKey 5 FIPS

Как мы упомянули выше, ключи данной серии являются отдельной разработкой, идеально подходящей для сотрудников крупного бизнеса, банковской сферы или государственных органов. Именно они поддерживают режим смарт-карты PIV (подтверждение личности), а также имеют возможности:

• управление ключами;
• подключения одно-/двух-/ многофакторной аутентификации (поддержка протоколов FIDO, FIDO2, FIDO U2F);
• генерации OTP-паролов с учетом фактора времени или счетчика;
• сохранения до 32 аккаунтов.

Кроме того, ключи YubiKey FIPS можно пронумеровать для возможности отслеживания местонахождение сотрудников на предприятии или активных сеансов сотрудников на персональных компьютерах по ID. В случае, если работник уволится, есть возможность перепрограммирования ключей для переназначения другому лицу.

В серии YubiKey FIPS есть следующие продукты:

• YubiKey 5 NFC FIPS – ключ безопасности с интерфейсом USB-A и технологией беспроводной связи NFC;
• YubiKey 5C NFC FIPS – ключ безопасности с интерфейсом USB-С и технологией беспроводной связи NFC;
• YubiKey 5C FIPS – ключ безопасности с интерфейсом USB-C;
• YubiKey 5Ci FIPS – ключ с интерфейсом USB-C и Lightning;
• YubiKey 5 Nano FIPS – миниатюрное устройство с минимально выступающим за пределы ПК корпусом и интерфейсом USB-A;
• YubiKey 5C Nano FIPS – миниатюрное устройство с минимально выступающим за пределы ПК корпусом и USB-C интерфейсом.

Примечание. Напоминаем, что ключи серии YubiKey FIPS продаются толькопо индивидуальному заказу.

Где взять ключи YubiKey с функцией смарт-карт

Ключи безопасности YubiKey производит США совместно со Швецией. Мы, компания The Kernel, являемся официальным дистрибьютором компании Yubico в Украине и предлагаем своим клиентам оригинальную продукцию.

Вы можете заказать у нас продукцию оптом, связавшись с менеджером по телефону +38 (044) 35 31 999 или в розницу — на официальном сайте нашего интернет-магазина.

Нужна помощь в подборе продукции или консультация по особым предпочтениям в обеспечении безопасности на производстве? Обращайтесь. Мы работаем в сфере информационной безопасности более 30 лет, поэтому кроме заказа продукции YubiKey мы можем предложить рекомендации по решению любых вопросов, связанных с защитой вашей IT-инфраструктуры.