WM Keeper Light: безопасное хранение сертификатов

Это системы WebMoney Transfer (http://www.webmoney.ru) и Яндекс.Деньги (http://money.yandex.ru/). Воспользовавшись услугами названных систем можно не только передать электронную наличность от одного частного лица к другому, но и оплатить разные товары, услуги, в том числе и такие как сотовую и междугородную связь, интернет, услуги спутникового телевиденья (электронная коммерция сектор В2С). Появилось и несколько новых не слишком крупных и потому не очень известных большинству пользователей сети Интернет систем электронных платежей (например, Деньги@Mail.Ru - национальная система платежей и переводов http://money.mail.ru/ или MoneyMail - деньги и кредиты по e-mail https://www.moneymail.ru/). Общая тенденция развития систем электронных платежей с ориентацией на рядовых пользователей сети Интернет прослеживается довольно четко – электронная наличность перестала быть экзотикой, превратившись в удобное средство оплаты товаров и услуг в Сети. За прошедший год в Санкт-Петербурге значительно возросло число автоматов позволяющих превращать бумажные деньги в электронные. Например, аппараты Уникассы (http://www.unikassa.ru/ - универсальная система платёжных терминалов) можно найти практически на всех крупных станциях метро.

Конвертация обычных денег в электронные всегда была узким местом, поэтому приятно отметить, что теперь не только жители Москвы, но и других городов страны могут воспользоваться автоматизированными устройствами для быстрого пополнения своих электронных кошельков. Широкое использование удобной для расчетов электронной наличности - несомненный плюс, но появились и минусы, связанные с обеспечением безопасной работы. Всем известно, что места, где появляются серьезные деньги, притягивают разного рода мошенников желающих поживиться за чужой счет. Системы электронных платежей с увеличением объемов передаваемых средств становятся все привлекательней для хакеров, а потому разработчики программ для работы с электронной наличностью объективно вынуждены вводить дополнительные меры защиты и усиливать уже существующие. Причем эти нововведения порой хоть и повышают защищенность системы в целом, но создают дополнительные неудобства пользователям, делая работу менее комфортной.

Существует два разных подхода к развертыванию клиентской части системы электронных платежей на компьютерах пользователей. Первый состоит в том, что на рабочее место пользователя устанавливается специальное программное обеспечение (программа-клиент) для работы с выбранной пользователем системой электронных платежей. Положительный момент – специально разработанный довольно дружественный пользовательский интерфейс и вполне очевидный минус – программа-клиент имеет большой размер и ее, как правило, необходимо устанавливать на компьютер, обладая весьма высоким уровнем полномочий (например, продвинутый пользователь, администратор). Это не всегда удобно, а иногда просто невозможно, если, например, выходишь в Интернет с чужого компьютера в интернет кафе. Альтернативный вариант – использование веббраузера (например, на компьютере с ОС Windows XP по умолчанию всегда установлен Internet Explorer). Очевидно, что если пользователь выходит в Интернет, то у него де-факто должно быть установлено средство для просмотра страниц гипертекста, а потому остается только запросить у пользователя пароль для доступа к ресурсу, используя, например, безопасный протокол передачи данных https. В идеале второй подход более привлекателен, так как не нужно скачивать файлы большого объема и затем заниматься установкой, но на практике только одного пароля для обеспечения надежной и безопасной работы бывает не достаточно. Существуют программы для перехвата или подбора паролей, которыми может воспользоваться хакер, поэтому часто используют не только парольную защиту, но и специальные сертификаты для обеспечения конфиденциальности и безопасности, устанавливаемые в браузер. Для обеспечения повышенной безопасности можно организовать двухфакторную аутентификацию – пользователь должен знать нечто (пароль) и иметь нечто надежное и уникальное, что нельзя легко и просто сдублировать (например, аппаратный ключ защиты eToken, ruToken, hasp, и т.д.).

Цифровые сертификаты

Сертификат – документ, удостоверяющий личность владельца или безопасность веб-узла. В обозревателе Internet Explorer используется два вида сертификатов - «Личный сертификат» и «Сертификат веб-узла». Первый гарантирует, что пользователь является именно тем человеком, за которого себя выдает. «Сертификат веб-узла» подтверждает подлинность веб-узла, гарантируя, что с ним безопасно работать, так как другие веб-узлы не могут использовать идентификатор исходного защищенного узла. Любой сертификат сопоставляет идентификатор с «открытым ключом». Соответствующий «закрытый ключ» известен только владельцу сертификата. «Закрытый ключ» позволяет владельцу ставить «цифровую подпись», а так же расшифровывать данные, зашифрованные его «открытым ключом». Отправляя свой сертификат посторонним лицам, пользователь фактически передает им свой открытый ключ, используя который они могут посылать пользователю зашифрованную информацию, расшифровать и прочитать которую сможет только владелец закрытого ключа. Цифровая подпись сообщает получателю, что данная информация действительно пришла от определенного пользователя и не была испорчена или подделана посторонними лицами. Чтобы получить возможность посылать зашифрованные или подписанные цифровой подписью сообщения, пользователю нужно получить сертификат, а затем настроить Internet Explorer на работу с этим сертификатом. При посещении пользователем защищенного веб-узла (набираем «https://»), узел автоматически отправит ему свой сертификат.

WM Keeper Light

Система WebMoney Transfer предлагает пользователям специальное программное обеспечение-клиент как базовую версию (http://download.webmoney.ru/wm2.exe) и облегченный вариант WM Keeper Light (http://www.webmoney.ru/light.shtml). WM Keeper Light не требует установки программы на компьютере пользователя, так как выполняется на сервере приложений системы. Результаты работы передаются в браузер клиента по защищенному https-соединению с использованием 128-разрядного SSL. Для работы с WM Keeper Light следует установить на компьютер сертификат WebMoney Transfer и запустить браузер. WM Keeper Light поддерживает различные версии браузеров, поэтому возможна работа на любой платформе. Регистрация и получение персонального сертификата возможно в Microsoft Internet Explorer или Netscape и выполняется на сайте http://www.wmcert.com. Регистрация в системе выполняется за четыре шага:

  • Заполнение регистрационных данных, заключение соглашений и ознакомление с документами (выбор варианта для генерации закрытого ключа).
  • Генерация пары ключей (открытого и закрытого) на компьютере пользователя, сохранение приватного ключа (в хранилище сертификатов или в файле).
  • Передача запроса к серверу сертификации WebMoney Transfer на создание сертификата.
  • Получение сертификата и его сохранение (после успешного завершения регистрации, в общем случае, сертификат помещается в хранилище сертификатов).

Наиболее приемлемым вариантом установки персонального сертификата на компьютере пользователя является режим «Сильной защиты закрытого ключа». Режим выставляется флагом «Enable strong private key protection» в диалоге, запрашивающем пароль при установке персонального сертификата. Не рекомендуется устанавливать персональный сертификат в экспортируемом режиме, чтобы не позволить хакеру выполнить экспорт сертификата даже в том случае, если он получит доступ к вашему компьютеру. Однако в случае установки персонального сертификата в режиме запрета экспорта следует убедиться, что файл с резервной копией сохранен в надежном месте. Иначе сертификат нельзя будет установить заново при переустановке системы (не секрет, что временами ОС Windows начинает работать не устойчиво и ее приходится устанавливать заново). В режиме «Сильной защиты закрытого ключа» каждый раз при обращении к персональному сертификату отображается диалоговое окно с запросом на разрешение программе воспользоваться закрытым ключом. Устанавливать режим обращения к закрытому ключу с использованием пароля целесообразно в том случае, если к персональному компьютеру могут в любой момент получить доступ посторонние лица (например, компьютер находится на работе или дополнительная перестраховка против вторжения хакеров). В режиме «Сильной защиты закрытого ключа» с установкой пароля получить доступ к вашей электронной наличности посторонним людям будет весьма не просто, но возможно, например, если удастся запустить специальную утилиту подбора паролей или скрытно разместить перехватчик паролей (кейлогер).

Для работы WM Keeper Light через браузер IE в хранилище сертификатов должен быть установлен персональный сертификат. Установка сертификата из файла в хранилище сертификатов Microsoft Windows запускается двойным нажатием на PFX-файле в проводнике (демонстрацию установки можно посмотреть на веб-странице http://www.webmoney.ru/pfx_import_wiz.html). Сертификат, содержащий только открытый ключ, (стандарт PKCS #7; расширение файла по умолчанию — .cer) не предоставляет доступа, так как не может аутентифицировать клиента из-за отсутствия секретного ключа, присутствующего в персональном сертификате (стандарт PKCS #12; расширение файла по умолчанию — .pfx). В браузере должны быть установлены так же корневые сертификаты системы WebMoney Transfer - нужны для корректной работы браузера с сайтами и сервисами системы (сертификаты устанавливаются автоматически при регистрации).

Регистрацию нового пользователя работающего с системой с WM Keeper Light начинаем на странице https://www.wmcert.com/regEnum/info.aspx?l=ru. Выбираем “Использование персонального сертификата” и нажимаем кнопку “Далее>>”. На следующей странице вводим пароль, работающий адрес электронной почты (на него придет письмо с информацией для активации), а так же, выставив флажки в чекбоксах, соглашаемся со всеми правилами работы, установленными в этой системе (Соглашение о борьбе с незаконной торговлей и так далее). Нажимаем кнопку “Зарегистрироваться” и положительно отвечаем на все вопросы системы (разрешаем сохранить сертификат).

Если все прошло успешно, то получаем сообщение вида "WM id: 408189992932. Сертификат успешно установлен. Ваш новый сертификат установлен в хранилище сертификатов на локальном компьютере. Запустите из меню 'Опции...' браузера Интернет Эксплорер (закладка: Содержание, кнопка: Сертификаты...) или команду CertMgr.exe для сохранения персонального сертификата и удаления его из хранилища. В демонстрации PFX-экспорта (https://www.wmcert.com/Rus/Asp/export_wiz.html) можно посмотреть какие параметры необходимо устанавливать на каждом из шагов." Каждый пользователь системы получает уникальный идентификатор (WM id) состоящий из 12 цифр. Жмем кнопку “Запуск”. Приступаем к работе на странице https://light.webmoney.ru/login.aspx выбрав метод авторизации: "Сертификат X.509". После нажатия кнопки "Логин" появляется окно “Выбор цифрового сертификата”, в котором выбираем сертификат с нашим WM id номером. Следует запрос на активацию – необходимо указать электронный адрес, на который будет выслан цифровой код. После получения кода активации его следует ввести в поле формы или перейти по ссылке, указанной в письме. После успешного прохождения процедуры активации следует последний этап – ввод информации о пользователе. Необходимо указать псевдоним, имя, фамилию, номер телефона, а так же по желанию и прочую информацию. (Внимание! После заполнения Ф.И.О. изменить нельзя – это сделано специально для обеспечения большей безопасности).

После ввода данных пользователь получает номер кошелька для работы с электронными долларами (вида Z353056735159). При желании можно создать кошельки для работы с другими видами электронных валют, например, для работы с рублями. Однако это еще не все - для проведения операций со средствами необходимо произвести регистрацию и проверку номера телефона. Для этого указываем номер мобильного телефона, с которого затем отправляем sms с предлагаемым системой набором цифр. Видно, что для нормальной работы требуется двойная активация – по электронной почте и по телефону. Такая довольно муторная и неудобная процедура введена для повышения безопасности работы пользователей с системой электронных платежей (за счет уменьшения числа регистраций с фиктивными данными).

Хранения персональных сертификатов на USB ключах eToken Pro

Чем более крупные суммы денег хранит пользователь на своих электронных кошельках, тем больше его опасения за сохранность средств. Стандартная рекомендация по повышению безопасности – хранить электронные ключи, цифровые сертификаты и другу важную информацию на внешних носителях, например на дискете или флешке, которые следует использовать только непосредственно во время работы с системами электронных платежей, а все остальное время хранить в надежном месте. Рекомендация хороша тем, что не требует от пользователя каких либо дополнительных затрат. Но использование таких носителей, не приспособленных специально для хранения конфиденциальной информации, имеет ряд недостатков. Отмечу наиболее существенные из них. Во-первых, на носитель невозможно поставить пароль, предотвращающий чтение информации (некоторые современные флешки поддерживают такую функцию, однако практически нет устройств, которые блокировали бы доступ после определенного заданного пользователем числа неудачных попыток ввода пароля). Во-вторых, не каждая программа может быть легко сконфигурирована для работы с таким внешним носителем. Специализированные средства для работы с защищенной информацией поддерживают множество полезных функций, например, таких как невозможность копирования файлов из аппаратного ключа защиты, но разрешение избранным приложениям работать с этими файлами, защиту от перебора паролей, мгновенную блокировку доступа в случае отсоединения аппаратного ключа и так далее. В качестве примера укажу два сайта производителей и распространителей аппаратных средств защиты http://www.aladdin.ru/ (компания «Aladdin») и http://www.rutoken.ru (компания «Актив»).

Рассмотрим подробнее работу с аппаратным USB-ключом eToken PRO (разработчик: Aladdin Knowledge Systems, Ltd), рекомендуемым к использованию персоналом системы электронных платежей WebMoney Transfer в качестве средства для безопасного хранения персональных сертификатов WM Keeper Light. eToken PRO - защищенное устройство, предназначенное для строгой аутентификации, безопасного хранения секретных данных, выполнения криптографических вычислений и работы с асимметричными ключами и цифровыми сертификатами. Ключи выпускаются в нескольких модификациях, различающихся, в том числе, и объемом памяти - 16, 32, 64 Кб. Стоимость электронного ключа eToken PRO/32K - наиболее популярной на текущей момент марки, примерно 1400 руб. (зависит от числа приобретаемых ключей и места приобретения). Инструкции по использованию и программное обеспечение для работы с ключами можно бесплатно загрузить с сайта производителя (http://www.aladdin.ru/support/down//img.megaobzor.com/old/load/category177). Для работы с eToken PRO следует установить драйвер eToken RTE (а так же модуль поддержки русского языка eToken RUI, если не хотите работать с англоязычным интерфейсом) и пакет утилит eToken Utilities (eToken Certificate Converter, eToken PRO Format, eToken Application Viewer, eToken Password Quality Tool).

Предположим, что мы успешно зарегистрировались на сайте https://light.webmoney.ru/ как было рассказано выше и нам остается только перенести сертификат из хранилища сертификатов браузера на ключ eToken. Операция не представляет большой сложности, но обратите внимание на то, что драйвера для ключа eToken должны быть установлены в системе Windows до первого присоединения ключа к USB порту. Ключ не является стандартным устройством, поэтому если попытаться сначала присоединить ключ, а потом устанавливать для него драйвера, то установка пройдет не правильно и успешная работа с ключом будет невозможна. Итак, подсоединяем ключ eToken PRO к USB порту и запускаем утилиту "eToken Certificate Converter" (StartProgramseTokenUtilitieseToken Certificate Converter) или (ПускПрограммыeTokenUtilitieseToken Certificate Converter). В окне "Hard drive and other physical stores" выбираем сертификат с требуемым WM ID. Отмечаем пункт "Delete original certificate and keys" и нажимаем кнопку "Import to eToken". Вводим пароль доступа к ключу eToken (новые ключи поставляются с паролем 1234567890, пароль естественно следует сменить на другой) и нажимаем "Ok". По завершении конвертации, сертификат выбранного WM ID будет перенесен на ключ eToken и станет отображаться в окне " eToken physical store". Процедура сохранения сертификата в ключе eToken PRO успешно завершена, заканчиваем работу с утилитой "eToken Certificate Converter". Отмечу, что для осуществления этой же самой операции переноса можно воспользоваться и утилитой «Свойства eToken», позволяющей быстро и легко переносить сертификаты между компьютером и eToken, а также импортировать ключи в память eToken.

  • Для начала работы с WM Keeper Light при размещении персонального сертификата на USB-ключах eToken Pro следует выполнить три действия:
  • Вставить ключ eToken в USB-порт компьютера, если ключ не был подсоединен ранее.
  • Запустить серверное приложение WM Keeper Light, зайдя на сайт https://light.webmoney.ru .
  • В появившемся окне запроса сертификата выбрать ваш WM ID и нажать Ok. Далее работаем с WM Keeper Light так как обычно (подробную информацию по загрузке сертификата в ключ и о работе с WM Keeper Light при размещении персонального сертификата на USB-ключах eToken Pro можно прочитать на странице http://www.webmoney.ru/eToken_light.shtml).

Подводя итоги

Использование возможностей веббраузера, основанных на применении персональных сертификатов для доступа к защищенным ресурсам сети, позволяет пользователям работать с системами электронных платежей с высоким уровнем безопасности и не требует установки на компьютер пользователя дополнительного программного обеспечения. Использование WM Keeper Light удобно и тем, что для работы не требуется доступ к специальному порту - например, для программы WM Keeper Classic порт 2802 должен быть открыт для доступа. Однако многие интернет провайдеры закрывают редко используемые порты для доступа, чтобы уменьшить риск несанкционированного вторжения со стороны хакеров.

WM Keeper Light для своей работы требует протокол https, используемый повсеместно и к редким протоколам не относящийся. Использование WM Keeper Light в базовом варианте, возможно, несколько уступает в плане безопасности WM Keeper Classic, но использование аппаратного ключа защиты с соблюдением всех правил работы по обеспечению безопасности делает WM Keeper Light настолько хорошо защищенным, что практически 100% гарантирует сохранность электронной наличности в кошельках пользователей.

Аппаратный ключ eToken Pro удобен в работе, но есть и недостатки. Наиболее существенный из них тот, что необходима установка драйверов, так как без них Windows не может правильно работать с ключом. Можно предположить, что новые версии операционной системы будут корректно поддерживать USB ключи, так как операция установки драйверов так же требует достаточно больших полномочий, а именно невозможность установки специализированного ПО систем электронных платежей как раз и заставляет пользователей обращаться к облегченным версиям, использующим веббраузер и не требующим больших полномочий. Следует отметить и то, что программно-аппаратный комплекс (USB ключи и драйвера для их работы) достаточно сложная система, поэтому могут возникнуть проблемы совместимости с конкретной версией интернет браузера, установленного на компьютере пользователя. Если говорить о таком относительном недостатке как высокая стоимость аппаратных ключей защиты, то следует помнить о том, что разработка и производство USB ключей защиты в настоящее время достаточно сложный технологический процесс, но можно предположить, что с ростом числа используемых ключей будет снижаться и себестоимость их производства.

Аппаратные ключи защиты давно перестали быть экзотикой, так же как и системы электронных платежей, и все чаще можно увидеть USB ключи на одной связки вместе с обычными ключами для открывания дверей…

Автор: Игорь Ананченко
Комментарии и отзывы WM Keeper Light
МегаОбзор
ЭЛ № ФС 77 - 68301. Выходные данные СМИМегаОбзор
Яндекс.Метрика
2006-2021
© MegaObzor