Оптический токен от SafeNet (vs трастскрины)

Оптический токен от SafeNet (vs трастскрины)
В целях обеспечения безопасности систем дистанционного банковского обслуживания (ДБО) разработчики предлагают всё новые и новые способы защиты. В прошлый раз рассмотрели две новинки российского рынка, теперь перенесёмся за границу: речь пойдёт об оптическом токене от компании SafeNet.
name='more'>
Чьи именно технологические разработки легли в основу нового устройства сказать сложно - SafeNet за последние годы скупила довольно много игроков рынка информационной безопасности. Название, однако, заимствовано из продуктовой линейки купленной в 2009 году компании Aladdin Knowledge Systems: устройство носит имя eToken 3500.

Новый токен позиционируется как оптический и суть его работы сводится к следующему:

  1. Пользователь при входе в интернет-банк вводит одноразовый пароль, сгенерированный при помощи eToken 3500 (устройство фактически получается гибридное). В данном смысле eToken 3500 ничем особо не отличается от любого другого OTP-генератора (генератора одноразовых паролей - One-Time Password).
  2. Пользователь заполняет платёжное поручение, указывая платёжные реквизиты и сумму платежа. Основной риск, с которым позволяет бороться eToken 3500, заключается в том, что троян, внедрённый на компьютер пользователя, может отображать в браузере одни значения, а в банк (или на подпись в подключенный токен) передавать иные.
  3. Программное обеспечение системы ДБО на основании введённых пользователем данных генерирует специальное динамическое изображение и выводит его на экран. В данном изображении могут быть закодированы критические параметры платежа: например, сумма и номер счёта.
  4. При помощи встроенного оптического сканера eToken 3500 распознаёт полученное изображение, для чего устройство нужно поднести к экрану. Очевидно, что невозможность встраивания сканера с высокой разрешающей способностью ввиду миниатюрности устройства, и послужило причиной того, что распознаётся специально подготовленное динамическое изображение, а не просто цифры с экрана.
  5. Считанные с экрана параметры (сумму и номер счёта) eToken 3500 выводит на своём экране и просит пользователя нажатием кнопки подтвердить их правильность.
  6. Устройство генерирует ЭЦП для считанных им и подтверждённых пользователем значений параметров и выводит на экран некий код, вычисленный на основе полученной ЭЦП, длинной до 10 цифр.
  7. Полученный код пользователь вводит в окно запроса системы ДБО.
  8. Банк получает параметры платежа и код, вычисленный токеном, и проверят правильность транзакции.
Общий принцип работы eToken 3500 во многом похож на принципы работы трастскринов, рассмотренных ранее : пользователю предлагается проверить критические параметры платёжного поручения на доверенном устройстве до вычисления ЭЦП. Таким образом, пользователь может быть уверен в том, что банк получит поручение именно с теми значениями, которые он вводил: подмена критических параметров платежа трояном будет выявлена на стороне банка из-за несовпадения кода ЭЦП, а поменять этот код злоумышленник не может, так как он вычисляется внутри устройства на основе отображаемых на экране и подтверждаемых пользователем параметров.

Плюсы eToken 3500 по сравнению с трастскринами:
  • большая мобильность (устройство имеет размеры 65x30x11 мм)
  • возможность использования без подключения к компьютеру, теоретически возможно даже использование смартфонов
  • нет необходимости приобретать дополнительное устройство (для использования SafeTouch, например, обязательно требуется ещё смарт-карта)
  • есть встроенная аутентификация по одноразовым паролям (OTP)
Недостатки eToken 3500 по сравнению с трастскринами:
  • выводимая для проверки пользователем информация может быть только цифровая и иметь длину не более 10 цифр
  • используется не ЭЦП, а лишь некая её производная, по длине не превышающая 7 бит (существует всего 10*10 вариантов выводимого кода, что меньше, чем 2^7=128 )
  • нет поддержки ГОСТ алгоритмов
  • большие временные затраты на подпись одного платёжного поручения из-за необходимости распознавания динамического изображения
Устройство, без сомнения, интересное, но вот практическая сторона его применения остаётся под вопросом. По опыту, такие устройства будят любопытство пользователей, но продаются плохо.

токен SafeNet банк
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Алексей Комаров

Всё, что я пишу в этом блоге, отражает только мою личную точку зрения и не имеет никакого отношения к точке зрения организации, в которой я работаю (работал) или с которой у меня существуют (существовали) официальные или неофициальные отношения.