- Что такое yubikey?
- Что делать, если вы входите в систему с помощью смартфона или планшета?
- Etoken
- Шипка
- Сравнительные характеристики устройств rutoken, etoken и шипка
- Rutoken
- Ssh-ключ и u2f на примере github
- Yubikey 4 — покупка, доставка и получение
- Ваша учетная запись имеет дополнительную безопасность без раздражения
- Возможности устройств
- Возможность
- Устройство
- Душевное спокойствие или удобство?
- Его преимущества
- Если кто-то получит ваш ключ пароль учетной записи, ваша учетная запись взломана
- Есть ли альтернативы yubikey?
- Как вы это настраиваете?
- Как это работает?
- Недостатки
- Работает только в chrome
- Разные учетные записи требуют разных ключей
- Шипка
- Это дешево
- Это чрезвычайно просто в использовании
Что такое yubikey?
YubiKey — это USB-флешка, изготовленная компанией Yubico. Они делают различные продукты, все из которых выполняют схожую работу. Но для целей этой статьи я собираюсь сосредоточиться на Fido U2F (универсальный 2-фактор), который я получил. Его легко установить и использовать, и он, очевидно, не поддается разрушению.
С сайта:
«Все YubiKeys почти неразрушимы. YubiKey стандартного размера (например, YubiKey Standard, YubiKey NEO, YubiKey Edge и FIDO U2F Security Key) изготовлен из литого под давлением пластика, окружающего схему, в то время как экспонированные элементы состоят из упрочненного золота военного качества. Водонепроницаемый и устойчивый к повреждениям, YubiKey стандартного размера крепится к вашей связке ключей рядом с ключами от дома и автомобиля ».
Что делать, если вы входите в систему с помощью смартфона или планшета?
Это было одним из первых, что пришло в голову. Я вхожу во все мои аккаунты Google много на моих устройствах iOS. Мои iDevices замечательные и все, но у них есть одна слабость — у них нет USB-порта. Так куда же уходит YubiKey, когда спрашивает меня?
После проверки в компании, кажется, что если вы войдете в свою учетную запись через телефон или планшет, YubiKey обнаружит это, и на экране входа автоматически по умолчанию будет выбран метод двухфакторной аутентификации y0ur (SMS, Authy или Google Authenticator).
). Сам YubiKey будет запрашиваться только в том случае, если он обнаружит, что вы используете настольный компьютер или ноутбук, что-то, что будет иметь порт USB.
Стоит также отметить, что если вы направите свою электронную почту через локальный клиент, такой как Apple Mail или Outlook, то ни YubiKey, ни 2FA не поддерживаются. В этом случае вам нужно будет использовать специальный пароль приложения из рассматриваемого приложения.
Etoken
Такая архитектура имеет просто несравнимые с руТокен возможности. Архитектура ядра 8051 хоть и не идеальна для реализации криптографических алгоритмов, но все же имеет на порядок большие возможности. Наличие достаточно большой памяти для программ позволяет создавать резидентное ПО достаточно большого размера, в том числе и на языках высокого уровня. Огромным преимуществом является наличие встроенной в чип памяти EEPROM достаточно большого объема.
Таким образом, чип SLE66CX160S можно охарактеризовать как удачный пример законченной криптосистемы, имеющей приемлемые характеристики для реализации типичного набора функций, присущего смарткартам.
Единственным недостатком является отсутствие возможности реализации российских криптоалгоритмов, причем обусловленное не техническими, а, скорее всего, лицензионными ограничениями (техническая возможность создавать пользовательские программные расширения имеется).
Шипка
Рассмотрим теперь архитектуру USB-брелока «Шипка».
ШИПКА – это USB-устройство, в котором аппаратно реализованы:
- все стандартные российские криптографические алгоритмы:
- шифрование (ГОСТ 28147-89),
- вычисление хэш-функции (ГОСТ Р 34.11-94),
- вычисление и проверка ЭЦП (ГОСТ Р 34.10-94; ГОСТ Р 34.10-2001),
- вычисление ЗКА.
- ряд зарубежных алгоритмов:
- шифрование RC2, RC4 и RC5, DES, 3DES, RSA
- хэш-функции MD5 и SHA-1,
- ЭЦП (RSA, DSA).
- два изолированных энергонезависимых блока памяти:
- для хранения критичной ключевой информации – память объемом 4 Кбайт, размещенная непосредственно в вычислителе,
- для хранения разнообразной ключевой информации, паролей, сертификатов и т.п. – память объемом до 2 Мбайт, часть которой может быть выделена для организации защищенного диска небольшого объема.
- аппаратный генератор случайных чисел.
Все это значит, что с помощью устройства ШИПКА можно решать самые разные задачи защиты информации как персонального, так и корпоративного уровня.
Это, например,
- шифрование и/или подпись файлов;
- защищенное хранилище паролей для различных web-сервисов;
- аппаратная идентификация пользователя в бездисковых решениях типа “тонкий клиент”;
- аппаратная идентификация пользователя для ПАК “Аккорд-NT/2000”, установленного на ноутбуках;
- аппаратная авторизация при загрузке ОС Windows на ПК;
- хранилище ключей и аппаратный датчик случайных чисел для криптографических приложений;
- “смарт-карта” в типовых решениях – таких, как, например, авторизация при входе в домен Windows, шифрование и/или подпись сообщений в почтовых программах, например, Outlook Express; для получения сертификатов Удостоверяющего Центра для пар “имя пользователя открытый ключ”, если необходимо, чтобы открытый ключ считался легальным в PKI,
- для защиты информационных технологий с помощью ЗКА.
Аппаратная реализация вычислений – без привлечения ресурсов компьютера – это важное отличие устройства ШИПКА от других известных решений на базе USB-ключей, которые фактически представляют собой только энергонезависимую память и адаптер USB-интерфейса, а весь критичный уровень вычислений реализован в них программно. В ШИПКА программно реализуются только не влияющие на безопасность транспортные процедуры и процедуры согласования форматов данных, все остальные функции выполняются аппаратно.
Это значит, что никто не сможет вмешаться в протекание процессов аутентификации, шифрования или ЭЦП и фальсифицировать их. Также это значит, что после отключения ШИПКА в памяти компьютера не остается никаких следов секретных ключей, и никто другой ими не воспользуется. При этом можно применять все эти возможности на любом компьютере, поскольку вся ключевая информация хранится в ШИПКА. Это совершенно естественно – ведь это секретные ключи человека, а не его компьютера.
Однако это не значит, что любой, кто завладеет ШИПКА автоматически завладеет и всей хранящейся в ней информацией – доступ к ней защищен PIN-кодом и в случае превышения допустимого числа неверных введений устройство блокируется и вся информация на нем уничтожается.
Возможность хранения в ШИПКА паролей позволит не выбирать между надежностью пароля и простотой его запоминания, и при этом избежать таких распространенных ошибок, как хранение паролей записанными в блокнот или на листочках, а также использование одного и того же пароля в разных случаях. ШИПКА не забудет и не перепутает пароли.
Кроме того, устройство ШИПКА является полностью программируемым. Это дает возможность легко расширять его функциональность.
Микроконтроллер ATMEGA128 имеет значительно большие вычислительные возможности, чем вышеперечисленные устройства. Кроме того, его архитектура намного более пригодна для реализации криптографических алгоритмов, чем архитектуры как типа 8051, так и CY7C63613. Он функционирует на частоте 16 МГц, причем большинство команд выполняется за 1 такт. ATMEGA128 имеет 32 регистра общего назначения и до трех регистров указателей, причем может эффективно работать с данными, расположенными как в памяти данных, так и в памяти для программ.
Для иллюстрации этих возможностей приведем цифры – реализация шифрования по ГОСТ 28147-89 превышает скорость руТокен примерно в 200-500 раз при сравнимой стоимости.
Кроме того, микроконтроллер ATMEGA128 имеет быстрый аппаратный умножитель. Именно это делает возможным реализацию за приемлемое время таких алгоритмов, как модулярная экспонента.
Память программ имеет весьма значительный объем (128 Кбайт), что позволяет с успехом писать встроенное ПО на языках высокого уровня. Встроенное ПО может иметь весьма высокий уровень сложности, например – полноценная реализация функций файловой системы, интерпретатора пользовательского байт-кода, протокола USB mass storage и т.п. Возможность выделения части памяти программ для загрузчика позволяет легко организовать процесс обновления firmware без дополнительного оборудования непосредственно у пользователя.
Очень важно, что микроконтроллер ATMEGA128 имеет достаточно большой объем оперативной памяти – 4 Кбайт. Это дает возможность для реализации весьма критичных к количеству памяти криптоалгоритмов, например вычисления ЭЦП по ГОСТ 34.10-2001 (ЭЦП на эллиптических кривых).
Кроме того, микроконтроллер имеет 4 Кбайт встроенной защищенной энергонезависимой памяти типа EEPROM для хранения критичных ключевых данных.
Внешняя энергонезависимая память типа DataFlash имеет значительно большую скорость обмена, чем примененная в руТокен, кроме того – микроконтроллер ATMEGA128 имеет аппаратный контроллер интерфейса SPI, позволяющий иметь скорость чтения флэш-памяти до 500 КБайт/с без накладных расходов.
Примененный в устройстве USB-контроллер поддерживает режим работы full-speed, что позволяет получить скорости обмена, недостижимые как в ruToken, так и в eToken PRO. На практике удается получить скорости примерно 200 Кбайт/с для однонаправленных алгоритмов и 100 Кбайт/с для двунаправленных.
Наконец, может быть самое главное преимущество подхода, примененного при проектировании устройства Шипка – полная программируемость и верифицируемость.
Очевидно, что без особых проблем можно расширить функциональность устройства без снижения надежности, что весьма затруднительно при применении eToken PRO и принципиально невозможно для ruToken. Кроме того, встроенное ПО устройства Шипка всегда может быть проверено на наличие НДВ, что вряд ли возможно в случае применения eToken PRO (и других подобных устройств на базе чипов для смарткарт).
Сравнительные характеристики устройств rutoken, etoken и шипка
Rutoken
Микроконтроллер CY7C63613 основан на 8-битном RISC ядре, имеется однократно программируемая память команд емкостью 8 Кбайт, 256 байт оперативной памяти и периферийные устройства, такие как контроллер USB-интерфейса, 12-битный таймер и порты ввода/вывода.
Можно отметить, что примененный контроллер USB-интерфейса поддерживает лишь стандарт low-speed (поддерживаются только запросы типа control и interrupt). Из этого следует, что предельное значение скорости обмена с таким контроллером составляет 8 Кбайт/с для однонаправленных функций (таких, как вычисление хэш-функции) или 4 Кбайт/с для двунаправленных (таких, как шифрование).
Ядро микроконтроллера имеет очень слабые вычислительные возможности. Тактовая частота ядра составляет 12 МГц, при этом одна команда выполняется от 4 до 14 тактов (среднее значение – 6 тактов). Таким образом, частота исполнения команд составляет примерно 2 МГц. Имеется всего два 8-битных регистра (аккумулятор и индексный регистр).
Микроконтроллер не имеет встроенного контроллера SPI, что вынуждает реализовывать временную диаграмму обмена с энергонезависимой памятью программно (при помощи команд управления портами ввода/вывода).
Вычислительных возможностей, предоставляемых данной архитектурой, вполне достаточно для организации пересылок небольших объемов данных по интерфейсу USB (реализации устройств типа мышь, джойстик и т.п.). Однако такая архитектура малопригодна для реализации алгоритмов шифрования, в частности шифрования по ГОСТ 28147-89.
Данный алгоритм имеет ярко выраженный 32-битный характер. Выполнение же 32-битных операций на используемом микроконтроллере крайне неэффективно из-за наличия всего одного регистра с функцией аккумулятора. Кроме того, из-за наличия всего одного индексного регистра резко снижается эффективность работы с операндами, лежащими в оперативной памяти.
По той же причине крайне неэффективна организация циклов. Реализация функции прохождения 32-битного операнда через узел замены также не может быть решена эффективно из-за чрезвычайно неудобного и медленного способа обращения к операндам, размещаемым в памяти программ.
Трудно представить себе более неудачный выбор вычислительной платформы для реализации алгоритма шифрования по ГОСТ 28147-89, чем примененный в ruToken.
Результат вполне закономерен – скорость шифрования не будет превышать 200-300 байт/с.
Если же говорить о реализации файловой системы по ISO 7816, то, без сомнения, имеется в виду реализация файловой системы на программном уровне при помощи ПО, исполняемого процессором компьютера. Реализация же функций файловой системы при помощи микроконтроллера просто невозможна из-за ограниченного объема памяти программ.
Также нельзя рассматривать руТокен в качестве надежного генератора случайных чисел. РуТокен не имеет физического датчика случайных чисел. По-видимому, для генерации случайных чисел в руТокен используется некоторый алгоритм генерации псевдослучайной последовательности, задающий элемент которой генерируется от встроенного таймера.
Ssh-ключ и u2f на примере github
С помощью SSH-ключа можно клонировать репозиторий на гитхабе. Для этого добавляем публичный ключ в аккаунт на гитхабе. Теперь попробуем клонировать репозиторий по SSH:
Yubikey 4 — покупка, доставка и получение
Итак, определившись с выбором ключа для 2FA, я начал поиски продавца для покупки Yubikey 4.
Первым делом был обследован русскоязычный сегмент интернета. Оказалось, что существуют две организации, которые вроде бы занимаются реализацией продукции Yubico.
В первую очередь — это сайт yubico.ru. В настоящее время он не работает. (Хинт — работает прямая ссылка на файл в формате PDF «yubikey_manual.pdf» — на русском языке, кому нужно). Но в тот момент, когда я делал анализ и выбор продавца ключа, этот сайт ещё функционировал. Тем не менее, даже тогда я обратил внимание на странную вещь — на сайте для продажи не были представлены современные устройства — например, интересный мне ключ Yubikey 4. Также в описании к существующим продуктам были указаны старые версии ПО. Более того, сайт, предлагающий продукт, обеспечивающий цифровую безопасность, был на простом http. И ещё более того. Когда я поинтересовался в почтовой переписке о возможности купить ключ, ответ мне пришёл с почтового домена mail.ru.
Можно было сделать предположение, что новых устройств продавец не предлагает. Предположение оказалось верным, сайт работу по факту прекратил.
Вторая организация, которая предлагала продажу Yubikey была ещё более странной. Она называется >the_kernel. Интернет магазина я не нашёл, предлагалось отправить заявку через форму на сайте. С одной стороны, цены указаны такие же как и у производителя, но отсутствие возможности сделать заказ, оплатить и ждать доставку меня немного удивило. Для XXI века это — мягко говоря — странность. Специально для тех, кто не любит ходить по ссылкам, живёт в первопрестольной и хочет иметь Yubikey, даю контактную информацию с сайта. Возможно, данные ещё актуальны. Вот они:
121357, г. Москва, ул. Верейская, д. 29, стр. 33, офис D216.2 (БЦ Верейская Плаза 3) Тел. 7 499 648-8848 Email info [dot] ru [at] thekernel [dot] com Web www.thekernel.ru
Вот здесь, на Тостере также есть небольшая ветка по вопросам приобретения устройств Yubico.
Один из участников обсуждения (@Driwars) упомянул о том, что таможня не пропустила до адресата купленный на Амазоне ключ. Имейте это ввиду.
Так, в РФ ситуация с продажей в розницу ключей Yubikey более менее ясна. Что же может предложить нам западный (для кого-то — восточный) рынок?
Как правило, наиболее низкую цену может предложить сам производитель, поэтому будет разумно поискать возможность покупки товара напрямую у Yubico. Однако, учитывая стоимость доставки, которая может составлять существенную величину в общей стоимости товара, имеет смысл посмотреть и у других игроков рынка, например — Амазон.
Приступим.
Вопрос — занимается ли компания Yubico непосредственно продажами устройств? Ответ — да, занимается. Открывая заглавную страницу сайта www.yubico.com мы видим вверху кнопку «BUY NOW», и при нажатии на неё переходим сразу к возможности купить товар. Это уже хорошо! Кроме того, обращаем внимание на то, что при покупке есть возможность оформить дисконт — для пользователей GitHub и для учащихся. Насколько можно видеть, скидка одинаковая и составляет 20%, а это уже весьма и весьма неплохо!
Переходим к процедуре оплаты, но перед этим смотрим на доставку (Shipping). И тут — раз — и видим такую фразу:
*no shipping to: Afghanistan, North Korea, Iran, Russia, Sudan, Syria
Вот это да! Как неожиданно! Россия между Ираном и Суданом, в приятном соседстве с Северной Кореей и Сирией… Для контраста можете полистать список стран, где можно приобрести и получить устройство с доставкой от Yubico.
Так, какие же могут быть варианты? Для России — на оффсайте указан >the_kernel. Можете попробовать связаться с представителями этой ТНК.
А что с Амазоном? Давайте посмотрим поближе.
Находим в поиске Yubikey, меняем справа в поле «Ship to» страну на Russian Federation и видим в поле описания товара и доставки следующее:
This item does not ship to Russian Federation.
Вот так.
Что же делать, если вам всё же хотелось иметь для тестирования либо функционального применения устройство Yubikey?
Вариантов может быть несколько:
1. Если вы имеете возможность по работе или по личной инициативе бывать за границей, едете туда и покупаете там. Либо предварительно оплатив товар и доставку, либо в отпуске, либо через друзей и знакомых.
2. Попросите ваших живущих за границей друзей/родных/коллег/знакомых купить устройство и выслать вам. Условия согласуйте сами.
3. Воспользоваться услугами пересыльщиков. Типа Шопотама и Бандерольки. Полагаю, противозаконного в этом ничего нет.
4. Бартер. Скажем, с индусами. Вы им — код, они вам — ключ.
5. Something else. Insert your own point.
Что до меня? Как я покупал ключ? Я воспользовался пунктом 3, посчитав предварительно все расходы. Итого, в реализации получилось вот так:
стоимость самого ключа Yubikey4: $40
скидка: -$8
доставка на адрес в USA: $5
налог: $2.88
итого — на выходе с Yubico: $39.88
Услуги пересылки: $5.78 (и я считаю это весьма гуманной стоимостью)
Итого, в сумме получается $45.66, что по текущему курсу составляет 2 735,52 рубля.
Успехов!
P.S. Есть новое в линейке продуктов. Появился ключ с интерфейсом USB-C.
Ваша учетная запись имеет дополнительную безопасность без раздражения
Как я уже упоминал, 2FA — это хорошо, но это может раздражать. Когда я разговариваю с кем-то, у кого нет 2FA, нормальным оправданием является то, что «это слишком много хлопот». Но мой контраргумент всегда звучит так: «а сколько хлопот связано с попытками восстановить взломанный аккаунт?».
Но тем не менее я все еще понимаю. 2FA включает в себя вход в телефон, получение кода и его ввод. Делать это один раз не составляет особого труда, но когда вы делаете это регулярно, это становится утомительным. Даже я несколько раз испытывал соблазн отключить все это, и мне все равно, что кто-то может взломать мои аккаунты, и я не одинок в этом.
YubiKey устраняет это раздражение и делает вас более склонным к использованию дополнительной защиты. Однако вам все равно понадобится настроить 2FA, если вы получите доступ к своим онлайн-аккаунтам через смартфон или планшет. Таким образом, вы не можете полностью избежать 2FA.
Возможности устройств
Возможность | Устройство | ||
ЕТокен PRO | руТокен | ШИПКА | |
Аппаратная реализация российских криптографических алгоритмов | нет | ГОСТ 28147-89 Скорость 200-300 байт/с | ГОСТ 28147-89 ГОСТ Р 34.11-94 ГОСТ Р 34.10-94 1/4.5 с – 512 бит, 3.9/16.9 – 1024 бит) ГОСТ Р 34.10-2001 4.7/15 с |
Аппаратная реализация зарубежных криптографических алгоритмов | RSA, DES, TripleDES, SHA-1, MAC, iMAC (DSAи MD5 – по запросу) | – («дополнительные возможности» – RSA, DES (TripleDES), RC2, RC4, MD4, MD5, SHA-1) | RSA, DSA, DES, TripleDES, MD5, SHA-1, RC2, RC4, RC5, |
Обмен данными по USB-интерфейсу с РС, скорость | не более 8 Кбайт/с для однонаправленных функций и 4 Кбайта/с для двунаправленных | не более 8 Кбайт/с для однонаправленных функций и 4 Кбайта/с для двунаправленных | 200 Кбайт/с для однонаправленных функций, 100 Кбайт/с для двунаправленных |
Обмен данными с собственной внешней памятью | Нет, поскольку нет внешней памяти | Программно, с использованием вычислительных ресурсов и памяти программ Скорость не может превышать 85 Кбайт/с, реально – около 20 Кбайт/с | С помощью аппаратного контроллера SPI-интерфейса. Предельная скорость 1 Мбайт/с, реальная – 500 Кбайт/с без накладных расходов |
Хранение ключевой информации внутри вычислителя | Есть встроенная память EEPROM 16 КБайт | нет | Есть встроенная память EEPROM 4 КБайта |
Генерация случайных чисел | С помощью аппаратного ГСЧ | Нет физического датчика случайных чисел. По-видимому, для генерации случайных чисел в руТокен используется какой-то алгоритм генерации псевдослучайной последовательности, задающий элемент которой генерируется от встроенного таймера. | С помощью аппаратного ГСЧ |
Создание резидентного ПО | Возможно достаточно большого размера даже на языках высокого уровня | невозможно | Возможно даже на языках высокого уровня, при этом встроенное ПО может иметь весьма высокий уровень сложности, например – полноценная реализация функций файловой системы, интерпретатора пользовательского байт-кода, протокола USBmassstorageи т.п. |
Возможность обновления firmwareбез дополнительного оборудования у пользователя | нет | нет | есть |
Душевное спокойствие или удобство?
Полное исследование концепции YubiKey подняло, во всяком случае, для меня весь вопрос о том, что мы должны быть готовы вынести во имя безопасности. Двухфакторная аутентификация — это отличный способ убедиться, что ваша учетная запись заблокирована, но, как я уже говорил, это может быть очень неприятно. Это заставляет многих говорить: «Черт, я отключаю это!».
С другой стороны, что-то вроде YubiKey или NitroKey делает весь процесс удобным. Нажмите кнопку, и вы вошли. Но если вы потеряете ключ, и кто-то сможет легко угадать ваш пароль, у вас будет очень плохой день. Таким образом, душевное спокойствие (и собирается несколько дополнительных шагов хлопот) или нажатие кнопки на ключе и экономия 60 секунд? В какой лагерь вы попали? Напишите нам в комментариях.
Его преимущества
Давайте теперь рассмотрим некоторые преимущества использования такого ключа.
Если кто-то получит ваш ключ пароль учетной записи, ваша учетная запись взломана
Что касается 2FA, то для получения SMS-кода или кода Google Authenticator любому злоумышленнику потребуется физический доступ к вашему телефону. Если у вас есть код доступа на вашем телефоне (что вы должны, особенно в свете разборок между Apple и ФБР
), тогда доступ к вашим кодам 2FA будет невозможен для посторонних лиц. Если ваш код не является чем-то чрезвычайно очевидным (например, ваш день рождения), и злоумышленник знает вас достаточно хорошо, чтобы догадаться об этом.
Но если кто-то завладеет вашим YubiKey, а также узнает пароль вашей учетной записи, то он попадет в учетную запись быстрее, чем горячий нож сквозь масло. У них не будет пароля для смартфона, чтобы обойти. Это предполагает, что у вас есть пароль на вашем телефоне для начала. Если нет, то нет никакой разницы между использованием 2FA и использованием YubiKey.
Лучший способ решить эту проблему — использовать очень длинный, трудно угадываемый пароль учетной записи.
(и храните его в зашифрованном менеджере паролей
). Таким образом, даже если ключ попадет в чужие руки, выяснить пароль учетной записи будет чрезвычайно сложно, если не невозможно. Без пароля ключ оказался бы бесполезным куском пластика.
Есть ли альтернативы yubikey?
После осмотра, единственной альтернативой YubiKey кажется Nitrokey. Примерно по той же цене, что и YubiKey, NitroKey производится в Германии и гордится тем, что является открытым исходным кодом. Похоже, что он делает гораздо больше, чем YubiKey, что заставляет меня задуматься о том, чтобы купить его и протестировать для сравнения. Продукт ранее назывался Crypto-Key и был проверен Дэнни еще в 2022 году.
Но приятно видеть, что, по крайней мере, еще одна компания делает конкурирующий продукт и в процессе, продвигая всю концепцию ключа безопасности. Соперничество способствует исследованиям, и исследования в конечном итоге приводят к получению лучших продуктов (обычно).
Как вы это настраиваете?
YubiKey очень легко настроить, как вы увидите ниже. Ключ U2F работает для
и Дашлан
, В этой статье я использую учетные записи Google, но остальные будут более или менее следовать той же процедуре. Просто разные скриншоты.
Перейдите на страницу двухэтапной аутентификации Google и нажмите на Ключи безопасности Вкладка.
Затем вы попадете на страницу настройки. Следуйте инструкциям, изложенным на странице. Это все очень просто и понятно.
Когда ключ был успешно зарегистрирован, кнопка «Регистрация» внизу станет зеленой и покажет «Зарегистрировано». Если этого не произойдет, начните снова с самого начала, пока это не произойдет.
Вы можете проверить, был ли ключ успешно зарегистрирован, вернувшись к Ключи безопасности Вкладка.
И это, дамы и господа, все.
Как это работает?
YubiKey — это аппаратная часть, которая поддерживает одноразовые пароли, шифрование и аутентификацию с открытым ключом и протокол универсального 2-го фактора (U2F), разработанный Альянсом FIDO. Вы можете использовать его для безопасного входа в свои поддерживаемые учетные записи с помощью одноразового пароля или пары открытого и секретного ключей на основе FIDO.
генерируется устройством. После ввода ключа вы нажимаете золотую кнопку, и прикосновение пальца вызывает небольшой электрический заряд, который активирует устройство.
Недостатки
Хотя, на мой взгляд, YubiKey — отличное устройство, есть некоторые заметные недостатки, о которых вам следует знать.
Работает только в chrome
На момент написания этой статьи YubiKey работает только в Google Chrome версии 38 или более поздней. Так что удачи пользователям Firefox, Safari, Opera и Edge
, Вполне возможно, что они придут на борт в будущем, но сейчас они не поддерживают YubiKey. На всю жизнь я не могу понять, почему поддерживается только Chrome. Это как бы отталкивает большое количество пользователей браузера.
Разные учетные записи требуют разных ключей
Юбико делает 7 разных продуктов, и все они делают разные вещи. Например, мой ключ, Fido U2F, открывает счета только в менеджерах паролей Google, Dropbox, Github и Dashlane (только для премиум-аккаунтов).
Но — и вот это действительно большое, но — если вы хотите защитить свои учетные записи операционной системы, Paypal, Evernote или WordPress, вам понадобятся разные YubiKeys. Однако если все, что вам нужно, это разблокировать вашу учетную запись Gmail, тогда достаточно U2F. Все остальное похоже на использование танка, чтобы ударить муху.
YubiKey 4 практически все делает, но за 50 долларов он может оказаться слишком дорогим для тех, кто просто хочет получить доступ к своей электронной почте.
Шипка
Рассмотрим теперь архитектуру USB-брелока «Шипка».
ШИПКА – это USB-устройство, в котором аппаратно реализованы:
- все стандартные российские криптографические алгоритмы:
- шифрование (ГОСТ 28147-89),
- вычисление хэш-функции (ГОСТ Р 34.11-94),
- вычисление и проверка ЭЦП (ГОСТ Р 34.10-94; ГОСТ Р 34.10-2001),
- вычисление ЗКА.
- ряд зарубежных алгоритмов:
- шифрование RC2, RC4 и RC5, DES, 3DES, RSA
- хэш-функции MD5 и SHA-1,
- ЭЦП (RSA, DSA).
- два изолированных энергонезависимых блока памяти:
- для хранения критичной ключевой информации – память объемом 4 Кбайт, размещенная непосредственно в вычислителе,
- для хранения разнообразной ключевой информации, паролей, сертификатов и т.п. – память объемом до 2 Мбайт, часть которой может быть выделена для организации защищенного диска небольшого объема.
- аппаратный генератор случайных чисел.
Все это значит, что с помощью устройства ШИПКА можно решать самые разные задачи защиты информации как персонального, так и корпоративного уровня.
Это, например,
- шифрование и/или подпись файлов;
- защищенное хранилище паролей для различных web-сервисов;
- аппаратная идентификация пользователя в бездисковых решениях типа “тонкий клиент”;
- аппаратная идентификация пользователя для ПАК “Аккорд-NT/2000”, установленного на ноутбуках;
- аппаратная авторизация при загрузке ОС Windows на ПК;
- хранилище ключей и аппаратный датчик случайных чисел для криптографических приложений;
- “смарт-карта” в типовых решениях – таких, как, например, авторизация при входе в домен Windows, шифрование и/или подпись сообщений в почтовых программах, например, Outlook Express; для получения сертификатов Удостоверяющего Центра для пар “имя пользователя открытый ключ”, если необходимо, чтобы открытый ключ считался легальным в PKI,
- для защиты информационных технологий с помощью ЗКА.
Аппаратная реализация вычислений – без привлечения ресурсов компьютера – это важное отличие устройства ШИПКА от других известных решений на базе USB-ключей, которые фактически представляют собой только энергонезависимую память и адаптер USB-интерфейса, а весь критичный уровень вычислений реализован в них программно.
Это значит, что никто не сможет вмешаться в протекание процессов аутентификации, шифрования или ЭЦП и фальсифицировать их. Также это значит, что после отключения ШИПКА в памяти компьютера не остается никаких следов секретных ключей, и никто другой ими не воспользуется.
Однако это не значит, что любой, кто завладеет ШИПКА автоматически завладеет и всей хранящейся в ней информацией – доступ к ней защищен PIN-кодом и в случае превышения допустимого числа неверных введений устройство блокируется и вся информация на нем уничтожается.
Это дешево
по соображениям безопасности, а во-вторых, YubiKeys не может получить вирусы, так как на него невозможно переместить какие-либо файлы. Это не такое устройство USB. Добавьте к этому тот факт, что информация, содержащаяся на клавише, защищена от записи, и компьютер распознает клавишу как клавиатуру. Так что не стоит беспокоиться на этот счет.
Это чрезвычайно просто в использовании
Там действительно нет способа испортить что-то подобное. Как только он будет правильно настроен, просто вставьте ключ в USB-порт и нажмите светящуюся кнопку один раз. Это оно. Теперь, как кто-то может ошибиться?
