Банк и клиент: под надёжным укрытием криптозащиты

Функции современной криптозащиты сводятся не только к обеспечению элементарной безопасности коммуникаций, но и к созданию доверенной среды, позволяющей экономить ресурсы и время.

Современная криптозащита берёт за основу инфраструктуру открытого ключа - PKI (Public Key Infrastructure). Суть PKI сводится к созданию пары: закрытого (личного, секретного) и открытого (публичного) ключей. Личный ключ принадлежит его владельцу и более никому не известен, открытый ключ доступен всем. Между открытым и закрытым ключами существует прямое соответствие: зная личный ключ, можно легко вычислить публичный. Однако обратное действие невозможно, поэтому данные ключи называются ассиметричными.

Ключ представляет собой некоторую последовательность бит, длина которой может варьироваться: 256 б, 512 б, 1024 б и т.д. От длины ключа зависит его криптостойкость, но чем она больше, тем сложнее и медленнее протекают процессы, для которых ключ используется. Между тем скорость выполнения операций бывает принципиально важна, например при шифровании web-трафика. Кроме того, начиная с определенного значения длины, криптостойкость ключа настолько велика, что подобрать его невозможно, даже потратив на это занятие несколько лет. Таким образом, дальнейшее увеличение длины ключа не имеет смысла.

Вместе с открытым ключом создается сертификат, который выдаётся удостоверяющим центром (УЦ) либо генерируется владельцем закрытого ключа самостоятельно (во втором случае подобный сертификат называют самоподписным). Сертификат открытого ключа можно просмотреть с помощью интернет-браузера или специальных криптографических средств, например диспетчера сертификатов, который встроен в операционную систему Windows и самостоятельно открывает ключ. При этом появляется возможность узнать имя владельца ключа, наименование удостоверяющего центра, который выпустил (подписал) и заверил данный сертификат, а также иную служебную информацию, представляющую интерес технически подкованным пользователям.

"Когда нам необходимо обеспечить шифрование данных web-сайта, представленного клиентам, например личного кабинета в интернет-банке, то без сертификата, подписанного одним из доверенных удостоверяющих центров, не обойтись. В противном случае клиент просто не смог бы с нами общаться: интернет-браузер выдавал бы ему предупреждение. Для некоторых операций, например для подписания электронных документов, удостоверение внешнего УЦ не требуется, поэтому мы подписываем и выдаём ключи клиенту при помощи банковского удостоверяющего центра", - рассказывает эксперт финансово-кредитной организации, входящей в ТОП-30 российских банков.

Закрытый и открытый ключи обычно хранятся на так называемом ключевом носителе (USB-токен, смарт-карта и др.), который содержит хранилище с одним или несколькими сертификатами. Хранилище защищено паролем во избежание взлома злоумышленником в случае утери ключевого носителя.

К числу основных средств крипто-защиты информации (СКЗИ) при создании доверенной среды между клиентом и кредитной организацией относятся следующие: шифрование интернет-трафика, которым обмениваются клиент и банк, посредством криптозащиты взломостойкими алгоритмами, сертифицированными ФСБ; двусторонняя (клиент-серверная) аутентификация при использовании web-ресурсов банка (например, интернет-банка); односторонняя (серверная) аутентификация; клиентский ключ для авторизации клиента; подписание юридически значимых документов (например, платёжных поручений, отправляемых в банк) электронной подписью (ЭП).

Шифрование интернет-трафика состоит в использовании сертифицированных ФСБ, криптостойких (устойчивых к взлому) алгоритмов шифрования, которые сводят к минимуму вероятность перехвата ценной информации. К таковой относятся различные пароли для доступа, а также персональные данные, которыми клиент обменивается в ходе совершения операций через ДБО. При использовании криптографически слабых алгоритмов либо при отсутствии шифрования информация может быть легко перехвачена злоумышленниками (например, при помощи снифферов) и использована в мошеннических целях. SSL, или TLS, применяется для шифрования трафика, а HTTPS (hypertext transfer protocol secure) -при использовании web-доступа к ДБО. То есть речь идёт о HTTP-взаимодействии, зашифрованном при помощи SSL/TLS.

Согласно требованиям ФСБ России при передаче персональных данных клиента через удалённые каналы должно производиться шифрование интернет-трафика с использованием алгоритмов, соответствующих документу "Алгоритм криптографического преобразования ГОСТ 28147-89". В ГОСТ упоминается 256-битовый ключ. В настоящее время данная величина является стандартом размера ключа для симметричных криптоалгоритмов, он поддерживается в том числе и в США. Американский стандарт DES (размер ключа равен 56 бит), существовавший до появления ГОСТ 28147-89, не прошёл теста на выдержку современными вычислительными средствами.

Двусторонняя (клиент-серверная) аутентификация заключается в использовании клиентского ключа для контроля доступа со стороны ДБО. При этом в отличие от односторонней, или серверной, при двусторонней аутентификации у пользователя в обязательном порядке запрашивается его клиентский сертификат. Если владелец не смог предъявить корректный ключ, то сервер сбрасывает соединение. Данный метод гарантирует, что услугами ДБО воспользуется только тот клиент, который владеет валидным сертификатом, то есть клиент, являющийся доверенным со стороны банка.

Клиент обязан надёжно хранить ключ, так как при его утере или краже злоумышленник может совершать операции от имени владельца. Обнаружив потерю, клиент немедленно должен сообщить об этом банку, в результате сертификат отзывается и помещается в специальное хранилище чёрных списков. Если сертификат отозван, то клиент не может пользоваться им для получения доступа к удалённому кабинету интернет-банка. Но и злоумышленникам, похитившим ключ, не удастся с его помощью совершить действия, способные причинить вред кредитной организации или клиенту.

Односторонняя (серверная) аутентификация - частный случай двусторонней, только в данном случае сервер не требует от клиента сертификата, не проверяет его. Однако сервер по-прежнему предъявляет клиенту свой открытый ключ, по которому пользователь может определить, действительно ли он соединился с сервером, которому можно доверять. Достигается это путём подписания серверного банковского открытого ключа одним из всемирно известных доверенных УЦ (VeriSign, Thawte).

Ещё одним средством защиты при взаимодействии через удалённые каналы обслуживания является клиентский ключ для авторизации пользователя. В данном случае при предъявлении клиентом ключа банк по информации, содержащейся в сертификате, авторизует пользователя, можно сказать, узнаёт его в лицо. После этого клиенту становится доступна именно та информация, которая относится к его счетам в банке, картам и т.д. При этом криптографией гарантируется, что никто не сможет представиться именем другого клиента: каждому выдаётся индивидуальный сертификат, который невозможно подделать, не зная банковского секретного ключа, он держится кредитной организацией в строгой тайне.

МНЕНИЕ ЭКСПЕРТА Сергей КОТОВ, эксперт по информационной безопасности компании "Аладдин Р.Д."

Так как о безопасности систем ДБО уже почти всё сказано, попытаюсь изложить способы и методы защиты максимально коротко, в виде призывов.

Клиенты банков! Если вы не желаете думать о собственной безопасности - не пользуйтесь интернет-банкингом вообще, а мобильным банкингом в особенности! Не для того, чтобы не быть ограбленными (в этом случае вас всё равно ограбят, только на выходе из банка), а для того, чтобы не доставлять кредитным организациям лишних хлопот.

Если вы чувствуете себя достаточно продвинутыми пользователями ИТ-технологий, следуйте советам банков. При их простоте они совсем не глупы. Обновляйте антивирусы и прочий софт регулярно и из надёжных источников. Ни в коем случае не отключайте Firewall. Используйте отчуждаемые средства аутентификации и электронной подписи, лучше с неизвлекаемыми ключами, и не держите их в подключённом состоянии дольше, чем требуется. Проверяйте строку адреса в соответствующем поле браузера и т.д. и т.п. Если же вы продвинутый пользователь, то и сами не раз читали всё это.

Тем, кто просто использует Интернет для дела и отдыха, не желая тратить всю свою жизнь на изучение проблем, методов и средств информационной безопасности, какое-то время, а также какое-то количество денег на освоение хотя бы простейших методов безопасности придётся потратить. Если нет уверенности, что на компьютере у вас всё в порядке (этим мало кто может похвастаться), используйте токены с неизвлекаемыми ключами вместе с аппаратными решениями для их изолированного от компьютерной среды функционирования, например "Антифрод-терминал". Это позволит безопасно вводить PIN-коды и видеть то, что вы реально собираетесь подписать, а не то, что в данный момент изображено на экране монитора. Думаю, в ближайшее время на рынок выйдут и надёжные решения для мобильного банкинга. Технические проблемы решены, организационные - преодолимы.

Банки! Дайте своим клиентам чуть больше, чем сочувствие. Например, выбор методов и средств защиты. Меньше придется сочувственно вздыхать и оправдываться. Нынешняя тактика, при которой лучшее средство защиты - решение, реализованное на данный момент в банке, прямо скажем, выдохлась. Актуальная пословица: смело тянет за верёвку тот, кто уверен, что другой её конец не закреплён у него на шее.