Тестовой лаборатории “СК Пресс” хорошо знакома разработка российских компаний “Анкад” и “Актив” — программно-аппаратный комплекс ruToken. Мы уже проводили испытания этой системы безопасности, основанной на двухфакторной аутентификации с применением токенов — электронных ключей, выполненных в виде брелока с USB-интерфейсом. Однако полтора года назад ruToken представлял собой лишь комплект для разработчика — в него входили утилиты и программные библиотеки, но готовых приложений, ориентированных на конечного пользователя, не было.

Разработчики не теряли времени даром: на этот раз в наше распоряжение попал уже готовый продукт, который можно применять в сетях, построенных и управляемых на базе доменов Windows. В предоставленный для испытаний стартовый комплект входят один ключ ruToken и компакт-диск с полной и подробной документацией, необходимыми драйверами и утилитами. Для внедрения ruToken на предприятии администратор сети должен установить на сервере — контроллере домена — службу работы с сертификатами, внести изменения в политики безопасности домена и выдать пользователям запрограммированные токены.

Прежде чем перейти к функциональным возможностям программно-аппаратного комплекса ruToken, расскажем о его аппаратной части. Электронные ключи ruToken представляют собой USB-брелоки со встроенным защищенным микроконтроллером и энергонезависимой памятью (в нашем случае ее объем был равен 32 Кб). Каждый брелок ruToken имеет уникальный 32-разрядный серийный номер.

Электронные ключи ruToken полностью совместимы с библиотекой Microsoft SmartCard API и могут быть использованы в большинстве приложений, работающих со смарт-картами, — достаточно установить драйвер устройства. Этим объясняется легкость интеграции в Windows-системы, ведь начиная с ОС Windows Server 2000 средства безопасности, ориентированные на использование смарт-карт, встроены в систему. Необходимо отметить, что работать с ключами ruToken проще и выгоднее, чем со смарт-картами, так как им не нужен специальный считыватель: портом USB оснащен любой современный ПК.
В микроконтроллере ruToken на аппаратном уровне реализованы различные алгоритмы шифрования, в том числе MD5 и SHA-1.

Основная функция комплекса ruToken — двухфакторная аутентификация, в которой для идентификации пользователя параллельно с вводимым с клавиатуры паролем задействуется записанная в электронном ключе информация — это значительно повышает надежность аутентификации. Для функционирования системы ruToken необходимо на сервере установить службу сертификатов — примечательно, что в памяти ключа может быть записано несколько сертификатов, и это позволяет гибко настраивать доступ к тем или иным ресурсам. Содержимое памяти токена зашифровано, причем в ключе шифрования содержится и уникальный идентификатор устройства, который не может быть считан, — он применяется только внутри микросхемы токена.

С помощью комплекта ruToken можно организовать защищенный доступ к таким ресурсам, как Windows-домен, виртуальная частная сеть предприятия, защищенный web-узел или терминальный сервер. Кроме того, данные сертификата, содержащиеся в памяти ключа, могут быть использованы для цифровой подписи сообщений, отправляемых через MS Outlook. Настройка соответствующих служб сравнительно проста и не должна вызвать никаких сложностей у опытных администраторов. Нашим испытателям на установку ПО (программная часть ruToken включает драйвер электронных ключей, средства администрирования и утилиту управления сертификатами), изучение документации и настройку сервера понадобилось всего около часа.

Нами отмечено единственное неудобство: программное обеспечение и драйвер ruToken должны быть установлены на каждой клиентской машине, а в случае использования ruToken для доступа к защищенному web-узлу нужно соответствующим образом настроить и MS Internet Explorer (с другими браузерами испытания не проводились). Для компаний, где нет системы централизованной установки ПО, это может стать проблемой.

В остальном комплекс ruToken проявил себя с лучшей стороны: его установка и настройка довольно просты, и он очень удобен для конечного пользователя.