JaCarta U2F
Разработчик: Аладдин Р.Д.
Универсальный USB-токен, предназначенный для использования в качестве второго фактора при парольной аутентификации конечных пользователей онлайн-сервисов, поддерживающих стандарт FIDO U2F.
Универсальный USB-токен, предназначенный для использования в качестве второго фактора при парольной аутентификации конечных пользователей онлайн-сервисов, поддерживающих стандарт FIDO U2F.
Универсальный USB-токен, предназначенный для использования в качестве второго фактора при парольной аутентификации конечных пользователей онлайн-сервисов, поддерживающих стандарт FIDO U2F.
Описание:
Универсальный USB-токен, предназначенный для использования в качестве второго фактора при парольной аутентификации конечных пользователей онлайн-сервисов, поддерживающих стандарт FIDO U2F.
Области применения:
- «Облачные» сервисы (Dropbox, Google Cloud Platform).
- Почтовые сервисы (Gmail).
- Файловый хостинг, видеохостинг, хостинг IT-проектов и их совместной разработки (Google Drive, YouTuBe, GitHub).
- Электронные платежные системы (Google Wallet).
- Социальные сети (Google+).
Решаемые задачи:
- Усиление парольной аутентификации пользователей при доступе к Web-ресурсам за счёт перехода к двухфакторной аутентификации с использованием токена.
- Избавление пользователей от необходимости запоминать сложные пароли. За счёт использования второго фактора аутентификации требования к сложности пароля могут быть существенно снижены.
- Использование одного устройства для доступа к различным ресурсам.
Функциональные возможности:
- Аутентификация по стандарту FIDO U2F
Ключевые особенности:
Токен JaCarta U2F обладает рядом особенностей, отличающих его от токенов, использующих альтернативные технологии аутентификации.
- Cмостоятельная регистрация пользователей - в отличие от систем аутентификации на основе традиционных PKI-токенов, в процессе регистрации токена JaCarta U2F на конкретном Web-ресурсе не требуется участия администратора. Для регистрации необходимо просто ввести логин и пароль, подключить токен к компьютеру и нажать на кнопку (тем самым подтвердив физическое присутствие пользователя за компьютером). В процессе регистрации пользователем своего U2F-токена на Web-ресурсе происходит генерация ключевой пары (открытый и закрытый ключ) без сертификата открытого ключа. Сгенерированная ключевая пара используется для дальнейшей аутентификации.
- Концепция «один ко многим» - один токен может использоваться для доступа к множеству различных Web-ресурсов (количество ресурсов ограничено лишь объёмом памяти токена, используемой для хранения аутентификационных данных).
- Защита от фишинга - каждый закрытый ключ, хранящийся в памяти токена и используемый для доступа к конкретному ресурсу, «связан» с адресом данного ресурса (URL). Таким образом, если злоумышленник попытается перенаправить пользователя на «поддельный» ресурс, пользователь не сможет пройти аутентификацию, так как закрытый ключ, соответствующий «поддельному» ресурсу, не будет найден.
U2F-протокол
Основная идея
- К существующей схеме парольной аутентификации пользователя на Web- ресурсах добавляется второй фактор (токен).
- Предполагается наличие у пользователя криптографического устройства (токена, смарт-карты), подключаемого к ПК, планшету, смартфону.
- Токен должен воспринимать внешнее воздействие (волеизъявление).
- Нажатие на кнопку, введение в зону действия беспроводного интерфейса (NFC).
- Способы взаимодействия токена с устройством доступа (ПК, планшет,..):
- HID-протокол – необходимо подключение токена к USB-порту.
- Bluetooth-протокол – для бесконтактного взаимодействия с устройством.
- NFC-протокол.
- При этом запоминаемый пароль пользователя (как фактор аутентификации на целевом ресурсе) сохраняется, но требования к его качеству снижаются:
- Например, он может быть сокращён до 4-х цифр.
Архитектура типового решения
Основные компоненты типового решения U2F- аутентификации
- Браузер Chrome (v41+):
- Имеет встроенную поддержку U2F-токенов.
- С сентября 2015 г. Google закрыл поддержку NPAPI в Chrome для браузерных плагинов.
- О планах поддержать U2F заявили и др. производители браузеров.
- U2F-токен:
- Yubico - YubiKey - первые и самые известные.
- Аладдин - JaCarta U2F.
- Аладдин стал участников FIDO-Альянса.
- Аладдин наладил массовое производство U2F-токенов в России.
- Аладдин подал свои U2F-токены на сертификацию «FIDO U2F Ready».
Как это работает
Аутентификация на Web-ресурсе
- Как и раньше - логин - пароль.
- Если для пользователя в системе уже зарегистрирован его U2F-токен, Web- сервер формирует дополнительный запрос.
- Запрос от сервера содержит идентификатор Web-ресурса и идентификатор ключевой пары на токене, которую надо использовать для аутентификации.
- Браузер (Google Chrome) имеет встроенную поддержку протокола U2F.
- Браузер «знает», что полученный запрос на U2F-аутентификацию надо направить на U2F-токен.
- Браузер «умеет» это делать безо всяких дополнительных плагинов и пр.
- Пользователь должен подтвердить своё присутствие в момент транзакции – нажать кнопку на корпусе U2F-токена:
- «Разрешение» пользователя на работу.
- U2F-токен выбирает нужную ключевую пару (по идентификатору Web- ресурса), на закрытом ключе подписывает запрос и отправляет его браузеру, браузер - Web-ресурсу для проверки.
- Web-сервер (ресурс) проверяет подпись под запросом и предоставляет доступ.
Главные особенности U2F
- Защита от клонирования и проверка подлинности токена.
- В токенах JaCarta используется защищённый смарт- карточный чип с подтверждённой невозможностью его взлома и клонирования (сертификация EMVCo).
- Secure by design - сделан как безопасный и для целей обеспечения безопасности.
- В токене также хранится счётчик аутентификаций, подписанное значение вместе с URL передаётся на сервер для проверки.
- Проверка подлинности токена - подписываемый токеном запрос на ключе для Web-ресурса можно ещё подписать и на ключе производителя U2F-токена.
- Сервер можно настроить на работу только с доверенными токенами, а не с любыми.