Описание:

Универсальный USB-токен, предназначенный для использования в качестве второго фактора при парольной аутентификации конечных пользователей онлайн-сервисов, поддерживающих стандарт FIDO U2F.

Области применения:

• «Облачные» сервисы (Dropbox, Google Cloud Platform).
• Почтовые сервисы (Gmail).
• Файловый хостинг, видеохостинг, хостинг IT-проектов и их совместной разработки (Google Drive, YouTuBe, GitHub).
• Электронные платежные системы (Google Wallet).
• Социальные сети (Google+).

Решаемые задачи:

• Усиление парольной аутентификации пользователей при доступе к Web-ресурсам за счёт перехода к двухфакторной аутентификации с использованием токена.
• Избавление пользователей от необходимости запоминать сложные пароли. За счёт использования второго фактора аутентификации требования к сложности пароля могут быть существенно снижены.
• Использование одного устройства для доступа к различным ресурсам.

Функциональные возможности:

• Аутентификация по стандарту FIDO U2F

Ключевые особенности:

Токен JaCarta U2F обладает рядом особенностей, отличающих его от токенов, использующих альтернативные технологии аутентификации.

• Cмостоятельная регистрация пользователей - в отличие от систем аутентификации на основе традиционных PKI-токенов, в процессе регистрации токена JaCarta U2F на конкретном Web-ресурсе не требуется участия администратора. Для регистрации необходимо просто ввести логин и пароль, подключить токен к компьютеру и нажать на кнопку (тем самым подтвердив физическое присутствие пользователя за компьютером). В процессе регистрации пользователем своего U2F-токена на Web-ресурсе происходит генерация ключевой пары (открытый и закрытый ключ) без сертификата открытого ключа. Сгенерированная ключевая пара используется для дальнейшей аутентификации.
• Концепция «один ко многим» - один токен может использоваться для доступа к множеству различных Web-ресурсов (количество ресурсов ограничено лишь объёмом памяти токена, используемой для хранения аутентификационных данных).
• Защита от фишинга - каждый закрытый ключ, хранящийся в памяти токена и используемый для доступа к конкретному ресурсу, «связан» с адресом данного ресурса (URL). Таким образом, если злоумышленник попытается перенаправить пользователя на «поддельный» ресурс, пользователь не сможет пройти аутентификацию, так как закрытый ключ, соответствующий «поддельному» ресурсу, не будет найден.

U2F-протокол

Основная идея

• К существующей схеме парольной аутентификации пользователя на Web- ресурсах добавляется второй фактор (токен).
• Предполагается наличие у пользователя криптографического устройства (токена, смарт-карты), подключаемого к ПК, планшету, смартфону.
• Токен должен воспринимать внешнее воздействие (волеизъявление).
  • Нажатие на кнопку, введение в зону действия беспроводного интерфейса (NFC).
• Способы взаимодействия токена с устройством доступа (ПК, планшет,..):
  • HID-протокол – необходимо подключение токена к USB-порту.
  • Bluetooth-протокол – для бесконтактного взаимодействия с устройством.
  • NFC-протокол.
• При этом запоминаемый пароль пользователя (как фактор аутентификации на целевом ресурсе) сохраняется, но требования к его качеству снижаются:
  • Например, он может быть сокращён до 4-х цифр.

Архитектура типового решения

Основные компоненты типового решения U2F- аутентификации

• Браузер Chrome (v41+):
  • Имеет встроенную поддержку U2F-токенов.
  • С сентября 2015 г. Google закрыл поддержку NPAPI в Chrome для браузерных плагинов.
  • О планах поддержать U2F заявили и др. производители браузеров.
• U2F-токен:
  • Yubico - YubiKey - первые и самые известные.
  • Аладдин - JaCarta U2F.
  • Аладдин стал участников FIDO-Альянса.
  • Аладдин наладил массовое производство U2F-токенов в России.
  • Аладдин подал свои U2F-токены на сертификацию «FIDO U2F Ready».

Как это работает

Аутентификация на Web-ресурсе

• Как и раньше - логин - пароль.
• Если для пользователя в системе уже зарегистрирован его U2F-токен, Web- сервер формирует дополнительный запрос.
  • Запрос от сервера содержит идентификатор Web-ресурса и идентификатор ключевой пары на токене, которую надо использовать для аутентификации.
• Браузер (Google Chrome) имеет встроенную поддержку протокола U2F.
  • Браузер «знает», что полученный запрос на U2F-аутентификацию надо направить на U2F-токен.
  • Браузер «умеет» это делать безо всяких дополнительных плагинов и пр.
• Пользователь должен подтвердить своё присутствие в момент транзакции – нажать кнопку на корпусе U2F-токена:
  • «Разрешение» пользователя на работу.
• U2F-токен выбирает нужную ключевую пару (по идентификатору Web- ресурса), на закрытом ключе подписывает запрос и отправляет его браузеру, браузер - Web-ресурсу для проверки.
• Web-сервер (ресурс) проверяет подпись под запросом и предоставляет доступ.

Главные особенности U2F

• Защита от клонирования и проверка подлинности токена.
• В токенах JaCarta используется защищённый смарт- карточный чип с подтверждённой невозможностью его взлома и клонирования (сертификация EMVCo).
• Secure by design - сделан как безопасный и для целей обеспечения безопасности.
• В токене также хранится счётчик аутентификаций, подписанное значение вместе с URL передаётся на сервер для проверки.
• Проверка подлинности токена - подписываемый токеном запрос на ключе для Web-ресурса можно ещё подписать и на ключе производителя U2F-токена.
• Сервер можно настроить на работу только с доверенными токенами, а не с любыми.