основное назначение и что он обеспечивает
Hi-Tech
Apple pay – это новый сервис платежей бесконтактным способом. На территории России он был
Hi-Tech
Приложение относится к категории пакета Office. Настроить почту в Outlook целесообразно для упорядоченной работы
Hi-Tech
Гибернация – энергосберегающий режим работы для персонального компьютера или портативного ноутбука, позволяющий перед выключением
Hi-Tech
Телефон разряжается в самый неподходящий момент. Когда нужно совершить жизненно важный звонок, срочно отправить
Hi-Tech
После официального выхода Windows 8 многие пользователи разочаровались в продукции Microsoft. Эксплуатация «восьмерки» выявила
Hi-Tech
Функция ВПР (вертикальный просмотр) в Excel используется для поиска в таблице требуемого значения, соответствующего
Защита компьютера с помощью электронных ключей eToken
Наверное, не нужно напоминать, что информация, хранимая на рабочем или домашнем компьютере, нуждается в серьёзной защите. При этом чаще всего меры по защите конфиденциальных данных ограничиваются лишь установкой на ПК антивирусной программы.
Однако нужно понимать, что антивирусы не способны уберечь ваш компьютер от целого ряда вполне реальных угроз. В частности они не могут предотвратить несанкционированный доступ к информации, хранимой на вашем ПК, реальному злоумышленнику.
Действительно, насколько сложно запустить ваш рабочий компьютер, находящийся в офисе, в ваше отсутствие? Вполне возможно, что на нём даже не установлен пароль для входа в Windows или, как часто это бывает, этот пароль написан на стикере, прикреплённом к монитору. Кроме того, большинство паролей очень легко определяются методом простого перебора.
Таким образом, любая служебная или личная информация, хранящаяся на офисном ПК, может очень просто «уплыть» в руки постороннего человека или, хуже того, злоумышленника.
Мы уже не говорим о таких распространённых случаях, как кража ноутбука или домашнего компьютера, когда в руки преступников попадает огромное количество личных данных. Избежать подобных проблем можно с помощью электронных ключей eToken, которые являются широко распространённым средством для защиты информации.
Что такое электронный ключ eToken?
Электронный ключ eToken представляет собой устройство, внешне напоминающее обычную флешку, и предназначен он для выполнения широкого круга задач в области защиты информации, как частного лица, так и крупных корпоративных клиентов.
Так же как и обычный компьютер, eToken имеет модули памяти и процессор, которые работают под управлением собственной операционной системы. При этом электронные ключи обеспечивают надёжное хранение вашей персональной информации и защищены от несанкционированного вмешательства.
Где применяется и для чего нужен электронный ключ eToken?
Чаще всего eToken применяется для организации процесса двухфакторной аутентификации (подробнее об аутентификации — здесь). Говоря простым языком, электронные ключи позволяют организовать такой защищённый вход в компьютер, когда пользователь, чтобы загрузить его, должен в обязательном порядке подключить к USB-порту компьютера свой eToken и ввести пароль.
Таким образом, любой посторонний человек, который попытается включить ваш компьютер, потерпит неудачу, так как у него не будет на руках электронного ключа и его пароля.
Ключи eToken также могут использоваться совместно с одной из лучших программ для защиты данных на ПК — Secret Disk 5, которая предназначена для кодирования информации, размещённой на компьютере пользователя.
Кодируя информацию на ПК, Secret Disk 5 делает её невидимой для постороннего человека, а для того, чтобы получить доступ к закодированным данным как раз и применяется электронный ключ eToken — закодированная информация становится доступной после подсоединения ключа к USB-порту компьютера и ввода пароля.
Добавим, что область применения электронных ключей eToken крайне широка и в данной статье мы осветили только её малую часть. Более подробно ознакомиться с возможностями электронных ключей данного семейства можно здесь.
Купить электронные ключи eToken вы можете в нашей компании.
Источник: Эримекс — защита информации, данных и программного обеспечения
Что такое токен — Электронная подпись — СКБ Контур
Токен — это устройство в виде USB-флешки с защищенной паролем картой памяти, на которой хранится информация для создания подписи. Токен обеспечивает двухфазную аутентификацию пользователя: для работы необходимо вставить токен в USB-разъем компьютера и ввести пароль.
Закрытый ключ, с помощью которого генерируются электронные подписи, находится на ключевом носителе или, по-другому, токене.
Токен — это устройство в виде USB-флешки с защищенной паролем картой памяти, на которой хранится информация для создания подписи. Токен обеспечивает двухфазную аутентификацию пользователя: для работы необходимо вставить токен в USB-разъем компьютера и ввести пароль.
В России два вида токенов:
- Рутокен – ключевой носитель, разработанный и широко применяемый в России. Продукты на базе Рутокена широко используются в коммерческих и государственных проектах. Кроме того, безопасность рутокенов постоянно повышается — в частности, в новых версиях операции шифрования документа выполняются не только на компьютере, но и в самом устройстве. Это делает электронную подпись более защищенной от вирусов и хакерских атак.
- Е-токен – европейский вариант ключевого носителя. Е-токены могут содержать практически любой дополнительный чип RFID (радио-метку) для интеграции с системами контроля и управления доступом в помещения.
Только СКБ Контур выпускает электронные подписи со встроенной лицензией. Это позволяет подписывать файлы с любого рабочего места — лицензия СКЗИ уже есть на токене. Команды СКБ Контур и Рутокена взаимодействовали на этапе разработки, благодаря чему пользователи наших услуг получают качественный и удобный носитель, который легко устанавливать и использовать.
УЦ СКБ Контур выпускает все виды электронных подписей.
Подобрать подписьeToken жил, eToken жив, eToken будет жить / Habr
В последнее время меня часто спрашивают, что случилось с ключами eToken и почему их перестали продавать. Так же наблюдается некоторая паника по этому поводу, ввиду того, что большинство мировых вендоров поддерживает данные ключи в своих продуктах, а заменить их, получается нечем.Ключи eToken никуда не исчезли, они продолжают выпускаться и продаваться на российском рынке. Да, они поменяли своё название и немного по-другому выглядят, но это всё те же eToken.
А теперь немного подробнее.
Знаменитый и самый узнаваемый ключ SafeNet eToken Java 72k, в простонародии «рыбка» теперь называется Gemalto SafeNet eToken 5100 и выглядит немного иначе:
| Было | Стало |
Однако, это тот же самый ключ и он точно так же поддерживается и работает во всех решениях, которые поддерживали SafeNet eToken Java 72k.
Смарт-карты eToken теперь тоже называются Gemalto SafeNet eToken 4100, но выглядит так же как и раньше – белый пластик с чипом:
| Было | Стало |
Выглядит так же, но называется по-другому.
При этом, сохранилась возможность имплантировать RFID-метки в карту для интеграции со СКУД.
Комбинированные SafeNet eToken NG-Flash так же в строю, и называются теперь Gemalto SafeNet eToken 7300. Внешний вид так же претерпел изменения:
| Было | Стало |
Так что, если Вам кто-то скажет, что eToken больше не продаётся, не расстраивайтесь и не верьте, eToken есть, только он называется теперь по-другому.
Небольшая памятка:
Почему так произошло?
Во всём виноваты…. Да никто на самом деле не виноват. Просто таков бизнес.
После 2010 года израильская компания Aladdin Knowledge Systems была приобретена компанией SafeNet. Все продукты и решения, а также команда разработчиков из Aladdin Knowledge Systems перешли SafeNet и теперь там поддерживают и развивают решения по аутентификации. Естественно после приобретения был запущен процесс ребрендинга, который на российском рынке прошёл совсем незаметно.
Что нового?
После поглощения (или кому-то больше нравится слово слияние) и ребрендинга, компания SafeNet выпустила облачный продукт для аутентификации по одноразовым паролям, который пока является единственным решением, сертифицированным ФСТЭК. Данный продукт называется Gemalto SafeNet Authentication Service и доступен как в виде сервиса, так и в виде standalone сервера для развёртывания в корпоративной сети.
Теперь для OTP аутентификации доступны не только SafeNet eToken PASS, но и множество других аппаратных и программных генераторов:
Система управления жизненным циклом ключей и смарт-карт SafeNet Authentication Manager так же продолжает поддерживаться и развиваться компанией Gemalto (Safenet). В текущем году нас ожидает выпуск новой версии продукта Gemalto Safenet Authentication Manager 10.
Так же стоит упомянуть, что в конце 2015 года произошло слияние компаний Safenet и Gemalto. Так что в ближайшее время ключ eToken постигнет очередной ребрендинг, но сам ключ останется той же «рыбкой» eToken Pro.
Токен (криптовалюта) — Википедия
Материал из Википедии — свободной энциклопедии
У этого термина существуют и другие значения, см. Токен.Токен — это единица учёта, не являющаяся криптовалютой, предназначенная для представления цифрового баланса в некотором активе[1], иными словами выполняющая функцию «заменителя ценных бумаг» в цифровом мире[2]. Токены представляют собой запись в регистре, распределенную в блокчейн-цепочке. Управление токеном обычно реализуется с помощью смарт-контракта, в котором записаны значения остатков на счетах держателей токенов, и который предоставляет возможность перевода токенов с одного счёта на другой. Получить доступ к токену можно через специальные приложения, которые используют схемы электронной подписи. Основная часть существующих на сегодняшний день токенов формируется на протоколе Blockchain от Ethereum в соответствии со стандартом ERC-20 (англ.)русск.. Сегодня существует много разновидностей токенов, есть даже токен в честь 8 марта[3].
Токены приложений или токены-жетоны[править | править код]
Токены приложений, также называемые как Аппкойны (Appcoins), утилитарные токены[4], пользовательские токены[5], предназначены для получения доступа к сервисам, которые предоставляет распределенная сеть. Например, для создания приложений в сети Ethereum Вам необходимо приобрести токен Эфир. Чтобы записать файлы в распределенную сеть для хранения файлов Sia, понадобятся токены Сиакойны (SC). Для оплаты децентрализированных сетевых сервисов Emercoin также потребуются одноименные токены.
Токены-акции[править | править код]
Токены-акции предназначены для привлечения инвестиций, необходимых для развития существующих проектов разработки или для построения сети с нуля[6]. В отличие от токенов-жетонов они не используются для доступа к приложениям сети, они выступают в качестве цифровых акций компании. Токены-акции являются цифровым аналогом классических акций фондового рынка: инвесторы, владельцы токенов, покупают токены с целью получения дивидендов, представляющих собой процент от дохода или часть комиссий за транзакции сети. К примеру, Sia выплачивает владельцам токенов 3,9 % от дохода за хранение информации. В ДАО, например, токены-акции выступают в качестве доли компании.
Кредитные токены[править | править код]
Кредитные токены — это токены, которые используются с целью краткосрочного заимствования денежных средств с дальнейшей выплатой процентной ставки от суммы займа. Одним из первых проектов, использующих кредитные токены стала сеть Steemit, использующая токены SD (Steem Dollar)[7]. Покупая этот токен, пользователь должен получать 10 процентов годовых, при этом выплаты осуществляются в виде самого же токена SD[8].
Уникальные токены[править | править код]
Уникальные токены, или NFT (англ. Non-fungible token) — токены, обладающие свойством невзаимозаменяемости. Они могут быть использованы для записи в блокчейн информации о владении игровыми предметами, объектами цифрового искусства, движимым и недвижимым имуществом [9].
Чем токен отличается от криптовалюты[править | править код]
Токен и криптовалюта — это не одно и то же. В отличие от криптовалют, токены могут выпускаться и управляться полностью централизовано. Важно отметить, что ниже будут приведены отличия токена от криптовалют в понимании создателя биткоина Сатоши Накамото.
Отличия токена от криптовалюты:
- эмиссия токенов может проходить централизовано и децентрализовано, криптовалют — только децентрализовано;
- верификация транзакций токенов может проходить централизовано и децентрализовано, криптовалют — только децентрализовано;
- на цену токенов может влиять очень широкий список факторов, помимо спроса и предложения (выпуск дополнительных токенов, привязка к другим активам), цена приптовалют полностью регулируется рынком;
- токены необязательно должны быть запущены на собственном блокчейне, криптовалюты же всегда имеют собственный блокчейн[10].
Токены vs Пароли / Habr
Пост навеян недавней темой про токены, в комментариях к которой царила некоторая неразбериха. Я сделал вывод, что многие не до конца понимают или даже вообще не понимают, что такое токен, с чем его едят и чем токен не является. Желание расставить все точки над i привело к написанию нижеследующего текста. Далее речь пойдет именно о USB-токенах, которые можно подключать к компьютеру, давать команды и получать результаты их выполнения. Приступим.Аспекты хранения информации на токенах
Сразу хочется пояснить, что токен – это не флэшка. Конечно, он может хранить некоторое количество информации, но весьма ограниченное, например, 64 Кб. Существуют токены, которые содержат в себе флэш-память на несколько Гб. Однако данные хранятся в этой флэш-памяти при помощи той же самой технологии, что и на обычной флэшке. Поэтому функцию хранения больших объемов данных можно расценивать как второстепенную или побочную.
Можно сказать, что первоначальная функция токенов – это не извлекаемое хранение ключевой информации. Очевидно, с флэшкой общего мало. Что значит «не извлекаемое»? Это значит, что ключ из токена никогда не попадает никуда извне, например, в оперативную память компьютера. Данную строгую политику можно ослабить до того, что разрешается экспорт ключа из токена в оперативную память только в зашифрованном виде. Также существует опция экспорта ключа в открытом виде. Но даже при выборе владельца токена использовать только эту опцию, уровень безопасности все равно выше, чем хранение ключа на обычной флэшке. Выше он потому, что для экспорта ключа требуется знание PIN-кода, а для копирования ключа с флэшки PIN-код не требуется. Многие скажут: так можно же хранить ключ на флэшке и шифровать его паролем при помощи, например, RAR-а, и токен не нужен! Но, чтобы перебрать все пароли к архиву у нарушителя будет сколь угодно большое количество попыток, а токен после трех последовательных попыток ввода неверного PIN-а блокируется. Вывод: даже при самых скромных настройках безопасности хранить ключ на токене безопаснее, чем на флэшке. С хранением ключей все.
Другие функции токена
Что ещё умеет делать токен? Токен может самостоятельно:
1. Шифровать\расшифровывать в соответствии с алгоритмами симметричного и асимметричного шифрования
2. Генерировать ключи шифрования
3. Формировать и проверять ЭЦП
4. Хешировать данные и т.д.
Токен представляет собой некий «черный ящик» во время осуществления криптографических операций: данные поступают на вход, преобразуются с помощью ключа и передаются на выход. Его можно сравнить с микрокомпьютером. Ввод и вывод информации для токена происходит по USB, есть свой процессор, оперативная и защищенная долговременная память.
Для чего нам нужны пароли?
Для большинства из нас повсеместное использование паролей стало стандартом «де факто» или, если угодно, классикой современности. Хотим аутентифицироваться на почте или соцсетях – легко, зашифровать файл RAR-ом – пожалуйста. Главное преимущество паролей в простоте их использования. Однако, такие вопросы как забывчивость, передача по незащищенным каналам (теще по телефону), набор пароля на клавиатуре, предсказуемость и т.д. ставят под сомнение некоторые важные с точки зрения безопасности операции.
Если сравнивать пароль с криптографическим ключом, то выводы напрашиваются весьма неутешительные. В ГОСТ 28147-89 длина ключа составляет 256 бит (32 байта). При использовании генератора псевдослучайных чисел, ключ обладает хорошими статистическими свойствами. Пароль же, который является, например, словом из словаря, можно свести к псевдослучайному числу длиной 16 бит, что короче ГОСТ-ового ключа в 16 раз. Это сравнение само по себе представляет по криптографическим понятиям полный и безоговорочный fail!
Мое утверждение состоит в следующем: токены способны решать все те задачи, для которых сейчас применяются пароли. Все без исключения. И решать их более качественно и безопасно. Считаю, давно пора заменить схемы на паролях на полноценные криптографические протоколы с ключами. И в этом деле, лучшего помощника, нежели токен, не найти. Чтобы не быть голословным, рассмотрим пару конкретных примеров: аутентификация и шифрование данных.
Аутентификация
Подробно останавливаться на минусах парольной аутентификации нет смысла. Слишком много сообщений о взломанных страничках и почтовых ящиках нам приходилось слышать. А с помощью криптографии на токенах реально реализовать «любой из тысячи» существующих протоколов аутентификации, для которого ни перехват с модификацией трафика, ни кража БД с сервера не дадут результата для нарушителя. Пользователь может забыть пароль, но не может забыть ключ, т.к. последний надежно хранится на токене. Аутентифицироваться с токеном также удобно, как и по паролю.
Шифрование данных
Обычно данные шифруются на криптографическом ключе, а сам ключ шифруется на пароле. Безопасность всей схемы целиком и полностью зависит от пароля, который опять же не всегда сложен и случаен, набирается на клавиатуре, может быть забыт и т.д. В случае с токеном, возможны два варианта решения:
1. Ключ хранится на токене и не покидает его. Такой способ подходит только для малых объемов информации, т.к. скорость дешифрования при помощи токена не достаточно велика. Нарушителю извлечь ключ нереально.
2. Ключ хранится на токене, но при шифровании попадает в оперативную память. Этот способ применяется, например, для де/шифрования тома целиком. Извлечь ключ возможно, но не совсем тривиально. Пароль же украсть гораздо проще.
Конечно, за решения с помощью токенов придется платить, но к счастью, рублями, а не нервами и временем. Несмотря на то, что токены содержат полный арсенал криптографических операций, достаточно сложных для понимания большинством пользователей, само применение токена не представляет особого труда и интуитивно понятно. Токен действительно не требует от пользователя специальных профильных знаний и глубокого понимания заложенных в него механизмов. И он потенциально способен прийти на смену паролей и всего, что с ними связано.
Заключение
Уверен, что при распространенности решений на основе токенов удастся избежать различных неприятных случаев, связанных с кражей паролей, а также увеличить уровень безопасности в глобальном смысле.
Искренне надеюсь, что у читателей остались вопросы, ведь рассказал о токенах я крайне мало. С удовольствием отвечу на них в комментариях!
Токенизация (информационная безопасность) — Википедия
Это схематический пример того, как токенизация используется в мобильных платежах при оплате с кредитной карты в мобильном приложении.[1][2] В платежных терминалах также могут быть использованы иные методы, кроме сканирования отпечатков пальцев или PIN-кодов.Токенизация, применяемая в области информационной безопасности, представляет собой процесс замены конфиденциального элемента данных на неконфиденциальный эквивалент, называемый токеном, который не имеет самостоятельного смысла/значения для внешнего или внутреннего использования. Токен — это ссылка (то есть идентификатор), которая сопоставляется с конфиденциальными данными через систему токенизации. Сопоставление исходных данных с токеном использует методы, которые делают невозможным обратное преобразование токенов в исходные данные вне системы токенизации, например, с использованием токенов, созданных при помощи случайных чисел.[3] Система токенизации должна быть защищена и проверена на основе самых эффективных мер[4] по обеспечению безопасности, применяемых к защите конфиденциальных данных, хранению, аудиту, аутентификации и авторизации. Система токенизации предоставляет приложениям обработки данных полномочия и интерфейсы для запроса токенов или расшифровку конфиденциальных данных из токенов.
Для обеспечения преимущества токенизации с точки зрения безопасности и снижения риска требуется, чтобы система токенизации была логически изолирована и сегментирована от систем обработки данных и приложений, которые ранее обрабатывали или хранили конфиденциальные данные, заменяемые токенами. Только система токенизации позволяет получить из конфиденциальных данных соответствующие токены или выполнить обратное преобразование. Неопровержимо, что метод генерации токенов обладает таким свойством, что не существует подходящих средств преобразования токенов в действующие конфиденциальные данные посредством прямой атаки, криптоанализа, анализа побочных каналов, экспонирования таблицы сопоставления токенов или методом полного перебора.
Доступ к конфиденциальным данным сводится к минимуму для таких приложений, электронных магазинов, людей и процессов, где реальные данные в системах заменяются токенами, уменьшая риск компрометации, случайного воздействия и несанкционированного доступа к конфиденциальным данным. Приложения могут работать с токенами, а не с реальными данными, за исключением небольшого числа доверенных приложений, которым явно разрешено обратное преобразование токенов в действующие данные, когда это строго необходимо для утвержденных бизнес-целей. Системы токенизации могут быть выстроены и внутри центра обработки данных в качестве изолированного сегмента, обеспечивающего безопасность, и как дополнительный сервис поставщика услуг безопасности.
Токенизация может быть использована для защиты таких конфиденциальных данных, как банковские счета, финансовые ведомости, медицинские карты, судимости, водительские удостоверения, сcуды, биржевые сделки, регистрация избирателей и прочая личная информация. Токенизация часто используется при оформлении кредитных карт. Совет PCI DSS определяет токенизацию как «процесс, при котором первичный номер счета (PAN-кода) заменяется суррогатным значением, называемым токеном. Детокенизация — это обратный процесс получения значения PAN-кода по целевому токену. Безопасность отдельного токена зависит, главным образом, от невозможности определения исходного PAN-кода, зная только суррогатное значение».[5] Выбор токенизации в качестве альтернативы другим методам, например, таким, как шифрование, зависит от конкретных нормативных требований и стандартов, принятых соответствующими органами аудита или оценки. Существуют и прочие технические, архитектурные и эксплуатационные ограничения, которые возникают при практическом применении токенизации.
Alex Rofle «Падение и рост токенизации», Май 13, 2015:
Концепция токенизации, принятая сегодня в отрасли, существует с тех пор, как столетия назад появились первые валютные системы в качестве средства снижения риска при обращении с дорогостоящими финансовыми инструментами путем их замены суррогатными эквивалентами. В физическом мире токены (денежный знак) имеют долгую историю использования в качестве замены таких финансовых инструментов, как монеты и банкноты. В современной истории жетоны метро и фишки казино применяются в соответствующих местах, чтобы исключить физические валютные риски и риски оборота наличных денег, такие как кража.
В цифровом мире аналогичные методы замещения использовались с 1970-х годов в качестве средства изоляции элементов реальных данных от воздействия других систем данных. Например, в базах данных значения суррогатных ключей используются с 1976 года для изоляции данных, связанных с внутренними механизмами баз данных и их внешними эквивалентами, для различного применения в обработке данных. В последнее время эти концепции были расширены для обеспечения тактики изоляции и выполнения мер безопасности, применяемых в целях защиты данных.[6]
В индустрии платежных карт токенизация является одним из средств защиты конфиденциальных данных о держателях карт в целях соответствия отраслевым стандартам и государственным нормам.
В 2001 году TrustCommerce создал концепцию токенизации для защиты конфиденциальных платежных данных клиентов компании Classmates.com.[7] Компания привлекла TrustCommerce, потому что риск хранения данных держателя карты был слишком велик, если бы вдруг их системы подверглись взлому. TrustCommerce разработал систему TC Citadel®, благодаря которой покупатели могли ссылаться на токен вместо данных держателя карты, а TrustCommerce обрабатывал платеж от имени продавца.[8] Такая система защиты позволила клиентам надежно и безопасно совершать повторяющиеся платежи без необходимости хранить платежную информацию о держателе карты. Токенизация заменяет основной номер счета (PAN-код) на безопасные, случайно сгенерированные токены. В случае перехвата данные не содержат информации о держателях карт, что делает их бесполезными для хакеров. PAN-код не может быть получен, даже если токен и системы, в которых он находится, взломаны, и токен не может быть обратно преобразован в PAN-код.
Токенизация была применена к данным платежных карт компанией Shift4 Corporation[9] и обнародована во время отраслевого саммита по безопасности в Лас-Вегасе, штат Невада, в 2005 году.[10] Технология предназначена для предотвращения кражи информации о кредитной карте на запоминающем устройстве. Shift4 определяет токенизацию, как «концепцию использования неуязвимого к расшифровке фрагмента данных для представления конфиденциальных или секретных данных посредством ссылки на него. В контексте индустрии платежных карт (PCI DSS) токены используются для ссылки на данные о держателях карт, которые управляются в системе токенизации, приложении или на удаленном безопасном сервере.»[11]
Для обеспечения защиты данных на протяжении всего жизненного цикла токенизация часто комбинируется со сквозным шифрованием при передаче данных в систему или службу токенизации, включая обратное преобразование токена в исходные данные. Например, чтобы избежать риска кражи вредоносными программами из систем с низким уровнем доверия, таких как точки продаж (POS), как в случае хакерской атаки 2013 года, шифрование данных о держателях карт должно выполняться до ввода данных карт в POS, а не после. Шифрование происходит в рамках защищенного и проверенного устройства для чтения карт, и данные остаются зашифрованными до тех пор, пока не будут получены хостом обработки. Подход, впервые примененный платежными системами Heartland Payment Systems[12] в качестве средства защиты платежных данных от продвинутых угроз, в настоящее время широко используется технологическими и промышленными компаниями по обработке платежей.[13] Совет PCI DSS также в соответствующих документах определил специфические требования к сквозному шифрованию (сертифицированное шифрование вида точка-точка — P2PE) для различных сфер применения.
Токенизация и «классическое» шифрование эффективно защищают данные, если они реализованы должным образом, и идеальное решение для обеспечения безопасности будет использовать оба этих метода. Несмотря на сходство в некоторых отношениях, токенизация и классическое шифрование различаются в некоторых ключевых аспектах. Оба эти метода обеспечивают криптографическую защиту данных и выполняют по существу одну и ту же функцию, однако делают они это различными способами и оказывают различное влияние на данные, которые защищают.[14]
Токенизация — это нематематический подход, который заменяет конфиденциальные данные на неконфиденциальные заменители без изменения типа или длины данных. Это важное отличие от шифрования, поскольку изменение длины и типа данных может сделать информацию нечитаемой в промежуточных системах, таких как базы данных. Токенизированные данные безопасны, но они все еще могут быть обработаны устаревшими системами, что делает токенизацию более гибкой, чем классическое шифрование.
Другое отличие заключается в том, что для обработки токенов требуется значительно меньше вычислительных ресурсов. При токенизации определенные данные полностью или частично остаются видимыми для обработки и анализа, а конфиденциальная информация — скрытой. Это позволяет быстрее обрабатывать токенизированные данные и снижает нагрузку на системные ресурсы. Это может стать ключевым преимуществом в системах, которые ориентированы на высокую производительность и низкое потребление.[15]
Существует множество способов классификации токенов: одноразовый или многоцелевой, криптографический или некриптографический, обратимый или необратимый, аутентифицируемый или неаутентифицируемый, и различные их комбинации.
В контексте платежей важную роль играет разница между большой и маленькой разрядностью токенов.[16]
Многоразрядные токены[править | править код]
Многоразрядные токены служат в качестве суррогатов для фактических PAN-кодов в платежных операциях и используются в качестве инструмента для завершения платежной операции. Чтобы функционировать они должны выглядеть как настоящие PAN-коды. Несколько таких токенов могут сопоставляться с одним PAN-кодом и одной физической кредитной картой без ведома владельца.[17]
Кроме того, многоразрядные токены могут быть ограничены определенной сетью и/или продавцами, а PAN-коды нет.
Многоразрядные токены также могут быть привязаны к конкретным устройствам, так что непривычные сочетания между физическим устройством, использующим токен, и его географическим местоположением могут рассматриваться как потенциально мошеннические.
Малоразрядные токены или токены безопасности[править | править код]
Малоразрядные токены также действуют как суррогаты для фактических PAN-кодов в платежных транзакциях, однако, они служат для другой цели. Такие токены не могут быть использованы для завершения платежной транзакции. Для того чтобы малоразрядный токен функционировал, должна быть возможность сопоставить его с фактическим PAN-кодом, который он представляет, но только строго контролируемым образом. Использование токенов для защиты PAN-кодов становится неэффективным, если нарушена система токенизации, поэтому крайне важно обеспечить безопасность самой системы токенизации.[18]
Система операций, ограничения и эволюция[править | править код]
Системы токенизации первого поколения используют базу данных для сопоставления реальных данных с замещающими их токенами и обратно. Чтобы избежать потери данных это требует хранения, управления и непрерывного резервного копирования для каждой новой транзакции, добавленной в базу данных токенов. Другой проблемой является обеспечение согласованности между центрами обработки данных, что требует непрерывной синхронизации баз данных токенов. При таком подходе неизбежны значительные компромиссы между согласованностью, доступностью и производительностью в соответствии с теоремой CAP. Эти накладные расходы усложняют обработку транзакций в реальном времени, чтобы избежать потери данных и обеспечить целостность данных в центрах обработки данных, а также ограничивают масштаб. Хранение всех конфиденциальных данных в одном месте создает привлекательную цель для атаки и нанесения ущерба, а также приводит к появлению юридических рисков обобщения данных, конфиденциальных в Интернете, в частности в ЕС.
Другим ограничением технологий токенизации является измерение уровня безопасности для данного решения путем независимой проверки. С отсутствием стандартов, последнее имеет решающее значение для установления надежности токенизации, предлагаемой, когда токены используются для соответствия нормативным требованиям. Совет PCI DSS рекомендует независимую проверку и подтверждение всех требований безопасности и соответствия: «Продавцы, рассматривающие использование токенизации, должны провести тщательную оценку и анализ рисков для выявления и документирования уникальных характеристик их конкретной реализации, включая все взаимодействия с данными платежных карт и конкретными системами и процессами токенизации».[5]
Метод создания токенов также может иметь ограничения с точки зрения безопасности. Что же касается безопасности и атак на генераторы случайных чисел, которые обычно используются для создания токенов и таблиц их сопоставления, то необходимо провести тщательное исследование, чтобы гарантировать, что используется действительно проверенный и надежный метод.[19]Генераторы случайных чисел имеют ограничения с точки зрения скорости, энтропии, отбора и смещения, и свойства безопасности должны быть тщательно проанализированы и измерены для предотвращения предсказуемости и компромисса.
По мере все более широкого внедрения токенизации появились новые подходы к данной технологии для устранения подобных операционных рисков и сложностей, а также для расширения масштабов, подходящих для новых случаев использования больших данных и высокопроизводительной обработки транзакций, особенно в финансовых и банковских услугах.[20] Технологии отказоустойчивой токенизации и токенизации без отслеживания состояния[21] были независимо протестированы и утверждены, чтобы значительно ограничить количество применимых элементов управления стандарта безопасности данных PCI DSS, чтобы уменьшить количество оценок. Токенизация без отслеживания состояния позволяет произвольно сопоставлять текущие элементы данных с суррогатными значениями без использования базы данных, сохраняя при этом свойства изоляции токенизации.
В ноябре 2014 года American Express выпустила сервис токенов, который соответствует стандарту токенов EMV.[22]
Применение к альтернативным платежным системам[править | править код]
Создание альтернативной платежной системы требует совместной работы ряда организаций для предоставления конечным пользователям коммуникации ближнего поля (NFC) или других технологий, основанных на платежных сервисах. Одной из проблем является совместимость между участниками. Для решения этой проблемы предлагается роль доверенного менеджера услуг (TSM) для установления технической связи между операторами сотовой связи (ОСС) и поставщиками услуг, чтобы эти субъекты могли работать вместе. Токенизация может играть посредническую роль для таких субъектов.
Токенизация как стратегия безопасности заключается в возможности заменить реальный номер карты на суррогатный (сокрытие цели) и установить последующие ограничения, наложенные на суррогатный номер карты (снижение риска). Если суррогатный номер можно использовать неограниченным образом или даже в широком смысле, как в Apple Pay, то токен приобретает такое же значение, как и реальный номер кредитной карты. В этих случаях токен может быть защищен вторым динамическим токеном, который уникален для каждой транзакции и также связан с определенной платежной картой. Пример динамических токенов, специфичных для транзакций, включает в себя криптограммы, используемые в спецификации EMV.
Payment Card Industry Data Security Standard, отраслевой набор требований, необходимых для соблюдения любой организацией, которая хранит, обрабатывает или передает данные о держателях карт, предписывает, что данные кредитных карт должны быть защищены при хранении.[23] Токенизация, применяемая к данным платежных карт, часто реализуется для выполнения этого стандарта, заменяя номера кредитных карт и ACH в некоторых системах случайным значением или строкой символов.[24] Токены могут быть отформатированы различными способами. Некоторые поставщики токенов или системы токенизации создают суррогатные значения таким образом, чтобы они соответствовали формату исходных конфиденциальных данных. В случае данных платежной карты токен может иметь ту же длину, что и основной номер счета (банковской карты), и содержать такие элементы исходных данных, как последние четыре цифры номера карты. При запросе авторизации платежной карты для проверки законности транзакции вместо номера карты продавцу может быть возвращен токен, а также код авторизации транзакции. Токен хранится в принимающей системе, а фактические данные о держателе карты сопоставляются с токеном в защищенной системе токенизации. Хранение токенов и данных платежных карт должно соответствовать действующим стандартам PCI DSS, включая использование надежной криптографии.[25]
В настоящее время токенизация находится в определении стандартов в ANSI X9 как Х9.119 часть 2. X9 отвечает за отраслевые стандарты финансовой криптографии и защиты данных, включая управление PIN-кодами платежных карт, шифрование кредитных и дебетовых карт, а также связанные с ними технологии и процессы.
Совет PCI DSS также заявил о поддержке токенизации для снижения риска утечки данных в сочетании с другими технологиями, такими как двухточечное шифрование (P2PE), и оценками соответствия рекомендациям PCI DSS.[26]
Visa Inc. выпустила Visa Tokenization Best Practices[27] для использования токенизации в приложениях и услугах по обработке кредитных и дебетовых карт.
В марте 2014 года, EMVCo LLC выпустила свою первую спецификацию оплаты токена для EMV.[28]
NIST стандартизировал алгоритмы шифрования с сохранением формата FF1 и FF3 в своей специальной публикации 800-38G.[29]
При правильной проверке и соответствующей независимой оценке токенизация может затруднить злоумышленникам доступ к конфиденциальным данным вне системы или службы токенизации. Внедрение токенизации может упростить требования PCI DSS, поскольку системы, которые больше не хранят или не обрабатывают конфиденциальные данные, могут иметь сокращение применяемых элементов управления, требуемых рекомендациями PCI DSS.
В качестве передового опыта в области безопасности[30] необходимо провести независимую оценку и проверку любых технологий, используемых для защиты данных, включая токенизацию, для установления безопасности и прочности метода и реализации, прежде чем можно будет предъявлять какие-либо претензии в отношении соблюдения конфиденциальности, соответствия нормативным требованиям и безопасности данных. Эта проверка особенно важна для токенизации, поскольку токены используются совместно для общего пользования и, следовательно, подвергаются риску в средах с низким уровнем доверия. Невозможность обращения токена или набора токенов к действительным конфиденциальным данным должна быть установлена с использованием общепринятых в отрасли измерений и доказательств соответствующими экспертами, независимыми от поставщика услуг или решения.