15.11.2010 15:11eToken для Webmoney.

В последнее время в блогах и твиттере всё чаще и чаще читаю сообщения от людей, занимающихся интернет бизнесом о краже денег с кошельков Webmoney, паролей и просто информации с компьютеров.

В этой и некоторых последующих статьях я расскажу про устройство eToken, которое позволяет решить большинство этих и других проблем.

eToken – это персональное устройство аутентификации, имеющее внутри себя микросхему смарт-карты, предназначенное для строгой аутентификации, выполнения криптографических вычислений и безопасного хранения личных данных. Устройство выполнено в виде смарт-карты или USB ключа.

Основная идея при использовании eToken заключается в двух-факторной аутентификации. Для авторизации в системе пользователь должен предъявить само устройство (первый фактор) и ввести его PIN-код (второй фактор).

eToken для Webmoney

Для работы с Webmoney большинство людей используют Webmoney Keeper Classic, а для авторизации используют набор ключей и пароль, набор ключей, зачастую хранится на компьютере и похитить его не составляет труда. Частично эту проблему решает система ENUM, но я хотел бы предложить более удобный, но в тоже время безопасный способ. Способ заключается, как несложно догадаться, в использовании eToken для хранения ключей в нём. Для аутентификации в Webmoney с использованием eToken возможно использовать как WM Keeper Classic так и WM Keeper Light. Лично я предпочитаю второй вариант, так как он наиболее удобен и мобилен.

Webmoney Keeper Light предлагает три способа аутентификации – пароль, enum и цифровой сертификат X.509. В нашем случае интерес представляет третий способ – цифрой сертификат. При использовании этого способа, используется криптографическая пара ключей – открытый и закрытый ключи. Закрытый ключ всегда должен находиться у пользователя, а открытый на сервере. Без закрытого ключа доступ к системе получить невозможно. Именно этот закрытый ключ и нужно хранить на eToken.

Теперь от слов к делу.

Нам понадобится:

Сам eToken. На данный момент в продаже модель eToken Java c объемом защищенной памяти 72 Кб, приобрести в Петрозаводске его можно в Инфолайне, правда только по безналу, либо купить в Интернет-магазине, например, тут.
Драйверы к нему – eToken PKI Client. Скачать можно с сайта “Аладдин Р.Д.”.
Браузер Mozilla Firefox.

Для начала нужно установить в систему eToken PKI Client, подключить eToken и проинициализировать его (задать имя eToken, PIN-код и пароль администратора). Все это делается с помощью утилиты eToken Properties:

В случае, если Вы у вас уже есть сертификат для доступа к WM Keeper Light, необходимо экспортировать его из Вашего браузера вместе с закрытым ключом и импортировать в защищенное хранилище eToken:

Для Mozilla Firefox заходим в “Tools” – “Options” – “Advanced” – “Encryption” – “View Certificates” – “Your Certificates”, выбираем сертификат от WM Transfer Ltd и нажимаем кнопку “Backup…”

Выбираем куда сохранить файл, придумываем и вводим пароль для защиты ключа и нажимаем “Ok”.

Мы выгрузили сертификат с закрытым ключом из хранилища Firefox в файл, теперь закрытый ключ и сертификат из этого файла необходимо импортировать в защищенноё хранилище eToken. Для этого запускаем утилиту eToken Properties, в верхней панели выбираем “Advanced View”, левой панели выбираем eToken, и нажимаем кнопку “Import Certificate”.

В появившемся окне устанавливаем переключатель в “Import a certificate from a file”, выбираем файл выгруженный на предыдущем этапе, вводим PIN-код для eToken, заданный на этапе инициализации eToken.

Вводим пароль от резервной копии сертификата (он был задан при экспорте из Firefox) и нажимаем “Ok”. Сертификат и закрытый ключ экспортированы в защищенное хранилище eToken. Удаляем сертификат и закрытый ключ из хранилища Mozilla Firefox, файл с резервной копией сертификата сохраняем в надежном месте (но не на компьютере) или удаляем. Если резервной копии сертификата с закрытым ключом не будет, то при поломке или утрате eToken доступ к Webmoney восстановить будет весьма проблематично.

Теперь можно открыть в Firefox Webmoney Keeper Light, выбрать метод авторизации “Сертификат X.509” нажать кнопку “Логин”, ввести PIN-код для eToken, и в появившемся окне выбрать нужный сертификат.

Если закрытый ключ не был скомпрометирован ранее, и его резервные копии надежно защищены или удалены, то теперь Ваши WM кошельки полностью защищены. Закрытый ключ невозможно каким-либо образом экспортировать из защищенного хранилища eToken, он не передается по сети и каким-либо другим образом, он всегда остается внутри ключа eToken. Таким образом увести Ваши деньги можно только в том случае, если кто-то украдет Ваш eToken и узнает его PIN-код. Подбор PIN-кода затруднителен, так как по-умолчанию после 15 неверных попыток его ввода ключ блокируется. Так что даже в случае утери eToken Ваш кошелек скорее всего останется не тронутым.

Если у Вас еще нет сертификата X.509 для авторизации в Webmoney, его можно сгенирировать на сайте Webmoney, причём генерацию криптопары можно производить прямо в самом eToken, в этом случае закрытый ключ, в принципе не может быть перехвачен.

Хранить ключи Webmoney на eToken так же можно и при использовании Webmoney Keeper Classic, но есть некоторые особенности. Webmoney Keeper Classic поддерживает работу лишь по старыми моделями eToken PRO, которые уже сняты с продаж.

На этом пока всё. В следующих статьях я расскажу, как можно использовать eToken для аутентификации в OpenSSH серверах, как обезопасить данные на компьютерах и ноутбуках от несанкционированного доступа и о других областях применения eToken.