ПЕРВЫЙ ВЗГЛЯД
Тестовой лаборатории "СК Пресс" хорошо знакома разработка российских компаний "Анкад" и "Актив" - программно-аппаратный комплекс ruToken. Мы уже проводили испытания этой системы безопасности, основанной на двухфакторной аутентификации с применением токенов - электронных ключей, выполненных в виде компактного брелока с USB-интерфейсом (см. PC Week/RE, N 48/2003, с. 25). Однако полтора года назад ruToken представлял собой лишь комплект для разработчика - в него входили утилиты и программные библиотеки, но готовых приложений, ориентированных на конечного пользователя, не было.
Разработчики не теряли время даром: на этот раз в наше распоряжение попал уже готовый продукт, который можно применять в сетях, построенных и управляемых на базе доменов Windows. В предоставленный для испытаний стартовый комплект входят один ключ ruToken и компакт-диск с полной и подробной документацией на русском языке, необходимыми драйверами и утилитами. Для внедрения ruToken на предприятии администратор сети должен установить на сервере - контроллере домена - службу работы с сертификатами, внести изменения в политики безопасности домена и выдать пользователям запрограммированные токены (для этого, разумеется, руководство должно докупить необходимое количество электронных ключей).
Прежде чем перейти к функциональным возможностям программно-аппаратного комплекса ruToken, расскажем о его аппаратной части. Электронные ключи ruToken представляют собой USB-брелоки со встроенным защищенным микроконтроллером и энергонезависимой памятью (в нашем случае ее объем был равен 32 Кб). Каждый брелок ruToken имеет уникальный 32-разрядный серийный номер.
Электронные ключи ruToken полностью совместимы с библиотекой Microsoft SmartCard API и могут быть использованы в большинстве приложений, работающих со смарт-картами, - достаточно установить драйвер устройства. Этим объясняется легкость интеграции в Windows-системы, ведь начиная с ОС Windows Server 2000 средства безопасности, ориентированные на использование смарт-карт, встроены в систему. Необходимо отметить, что работать с ключами ruToken проще и выгоднее, чем со смарт-картами, так как им не нужен специальный считыватель: портом USB оснащен любой современный ПК.
Возможности "начинки" ruToken удовлетворяют требованиям российского ГОСТ 28147-89. В его микроконтроллере на аппаратном уровне реализованы различные алгоритмы шифрования, в том числе MD5 и SHA-1.
Основная функция комплекса ruToken - двухфакторная аутентификация, в которой для идентификации пользователя параллельно с вводимым с клавиатуры паролем задействуется записанная в электронном ключе информация - это значительно повышает надежность аутентификации. Для функционирования системы ruToken необходимо на сервере установить службу сертификатов - примечательно, что в памяти ключа может быть записано несколько сертификатов, и это позволяет гибко настраивать доступ к тем или иным ресурсам. Содержимое памяти токена зашифровано, причем в ключе шифрования содержится и уникальный идентификатор устройства, который не может быть считан, - он применяется только внутри микросхемы токена.
С помощью комплекта ruToken можно организовать защищенный доступ к таким ресурсам, как Windows-домен, виртуальная частная сеть предприятия, защищенный Web-узел или терминальный сервер. Кроме того, данные сертификата, содержащиеся в памяти ключа, могут быть использованы для цифровой подписи сообщений, отправляемых через MS Outlook. Настройка соответствующих служб сравнительно проста и не должна вызвать никаких сложностей у опытных администраторов. Нашим испытателям на установку ПО (программная часть ruToken включает драйвер электронных ключей, средства администрирования и утилиту управления сертификатами), изучение документации и настройку сервера понадобилось всего около часа.
Нами отмечено единственное неудобство: программное обеспечение и драйвер ruToken должны быть установлены на каждой клиентской машине, а в случае использования ruToken для доступа к защищенному Web-узлу нужно соответствующим образом настроить и MS Internet Explorer (с другими браузерами испытания не проводились). Для компаний, где нет системы централизованной установки ПО, это может стать проблемой.
В остальном комплекс ruToken проявил себя с лучшей стороны: его установка и настройка довольно просты, и он очень удобен для конечного пользователя.