поиск по сайту
Двухфакторная аутентификация в браузере

Двухфакторная аутентификация в браузере

П.А. Мульцын

Московский физико-технический институт (государственный университет)

В настоящее время при разработке СЗИ существует класс задач, которые целесообразно решать внедрением веб-интерфейсов в продукты. Примером такой задачи может быть реализация подсистемы управления СЗИ. Одним из требований к таким системам является наличие двухфакторной аутентификации пользователя [1]. Существующие решения двухфакторной аутентификации подразумевают использование специального кода в виде SMS, одноразовые пароли, USB-ключи и смарт-карты.

Universal second factor (U2F) – протокол двухфакторной аутентификации, предназначенный для усиления парольной аутентификации за счет использования физических устройств (токенов), основанный на криптосистеме с открытым ключом [2]. U2F является открытым протоколом, задействует интерфейс USB HID, который поддерживается в ОС по умолчанию, не требует установки дополнительного ПО и плагинов, в связи с чем является привлекательным вариантом для реализации.

На данный момент уже выпускаются устройства, поддерживающие U2F. Однако серьезным минусом их устройств для российского рынка является отсутствие реализации протокола с использованием отечественных криптографических алгоритмов [3], [4].

Объектами протокола U2F (рис. 1) являются клиент и сервер, связь между которыми осуществляется по сетевому протоколу передачи данных посредством использования U2F JS API.

В связи с этим работа над поддержкой протокола велась в двух направлениях – реализация логики протокола на готовой аппаратной платформе ШИПКА [5] с высокопроизводительным основным компонентом – микроконтроллером LPC1820 [6] и разработка соответствующей серверной библиотеки, обеспечивающей функциональность работы протокола для семейства операционных систем Windows.

По итогу работы был получен прототип U2F устройства и серверная библиотека, использующие российские криптографические алгоритмы, что позволяет использовать устройство как второй фактор аутентификации пользователя на онлайн-ресурсе или в любом сервисе, поддерживающем логику протокола U2F, в том числе как аутентификатор в мобильном приложении.

 

Рис. 2. Схема взаимодействия объектов протокола

Литература

  1. Методический документ. Меры защиты информации в государственных информационных система: утвержден ФСТЭК России 11 февраля 2014 г.
  2. Malte Kahrs, Dr. Kim Nguyen. Future Ecosystems for Secure Authentication and Identification // ISSE 2015. — Springer Vieweg, 2015. P. 12–21. 315 p.
  3. ГОСТ Р 34.11-2012. Информационная технология. Криптографическая защита информации. Функция хеширования. – Введ. 2012-08-07. – М.: Стандартинформ, 2012.
  4. ГОСТ Р 34.10-2012. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи. – Введ. 2012-08-07 – М.: Стандартинформ, 2012.
  5. Аппаратные идентификаторы [Электронный ресурс].
  6. LPC1850/30/20/10 [Электронный ресурс] / 32-bit ARM Cortex-M3 flashless MCU; up to 200 kB SRAM; Ethernet, two HS USB, LCD, and external memory  controller;  Rev.  6.7  —  14  March 2016 Product data sheet – Режим доступа: https://www.nxp.com/docs/en/data-sheet/LPC1850_30_20_10.pdf, свободный.