«Лаборатория Касперского» получила патент на технологию восстановления пароля и ключей шифрования данных на мобильных устройствах, которая практически полностью исключает возможность компрометации секретной информации. Хотя патент получен лишь недавно, технология уже доступна в защитном решении для мобильных устройств Kaspersky Internet Security для Android.
Шифрование давно доказало свою надежность в защите конфиденциальных данных. Однако нередко люди забывают или теряют пароли для доступа к зашифрованным данным. Это, с одной стороны, создает опасность потери важной информации – ведь если пароль нельзя восстановить, то невозможно будет восстановить и зашифрованные данные. С другой стороны, если пароль восстановить можно, то возникает риск несанкционированного доступа к ценной информации, поскольку метод защиты резервных копий паролей, который использует вендор, может содержать уязвимости.
Разрабатывая собственную технологию восстановления паролей и ключей шифрования, которые используются для защиты данных на мобильном устройстве, специалисты «Лаборатории Касперского» стремились найти компромисс между удобством в использовании и уровнем защиты.
Для восстановления паролей и ключей шифрования данных запатентованная технология «Лаборатории Касперского» использует три независимых фактора: идентификатор пользователя, идентификатор мобильного устройства и случайное число.
Когда пользователь впервые устанавливает на мобильное устройство защитное решение «Лаборатории Касперского», система аутентификации просит его ввести адрес электронной почты. Kaspersky Internet Security для Android вычисляет хэш адреса почты (последовательность символов, полученную в результате преобразования буквенного адреса почты по специальному алгоритму) и, кроме того, опираясь на ряд аппаратных характеристик устройства, создает его уникальный идентификатор, а также генерирует случайное число. После регистрации случайное число в зашифрованном виде вместе с хэшами почты и ID устройства передается на серверы «Лаборатории Касперского».
Случайное число используется для того, чтобы обеспечить своеобразную «защиту защиты». Как и многие другие решения, для обеспечения безопасности данных Kaspersky Internet Security для Android использует специальный ключ шифрования. Обычно ключ защищается с помощью пароля пользователя. Всякий раз, когда пользователь вводит пароль, сначала расшифровывается ключ и только потом – информация, зашифрованная с его помощью. Соответственно, если пароль утерян или забыт, расшифровать ключ практически невозможно. Именно поэтому Kaspersky Internet Security для Android, использующий запатентованную технологию, хранит на устройстве две копии ключа: основную, зашифрованную с помощью пароля пользователя, и резервную, зашифрованную с помощью сгенерированного ранее случайного числа.
В случае если пользователь устройства теряет или забывает пароль, он обращается на сервис восстановления паролей «Лаборатории Касперского», где вводит адрес своей электронной почты. Сервис вычисляет хэш этого адреса и сверяет его с теми, что хранятся в собственной базе данных. Если соответствие обнаружено, система отсылает на email, указанный пользователем при регистрации, его уникальное число, а также инструкцию по созданию нового пароля. Kaspersky Internet Security для Android использует это уникальное число для расшифровки резервного ключа, который, в свою очередь, открывает пользователю доступ к данным, хранящимся на устройстве.
В результате специалистам «Лаборатории Касперского» удалось реализовать с одной стороны удобный, а с другой – безопасный алгоритм восстановления данных, поскольку ни одна из сторон, участвующих в этом процессе, не имеет доступа ко всем данным, необходимым для расшифровки секретных сведений. «Лаборатория Касперского» не хранит ни резервные копии паролей, ни копии ключей, ни какие-либо персональные данные клиентов на своих серверах – только зашифрованные значения специфических сведений, которые могут помочь пользователю вернуть доступ к его данным и которые окажутся абсолютно бесполезными для злоумышленника.
«Как бы хорошо ни был защищен ключ от сейфа, если злоумышленник получит доступ к этому ключу, он получит и доступ к сейфу. Однако если разделить этот ключ на составляющие и спрятать его в разных концах света, злоумышленник скорее пойдет искать другой сейф, с более простой конструкцией. Наша технология работает примерно так же: она «прячет» элементы, необходимые для доступа к секретным данным, в разных местах и условиях. По требованию пользователя эти элементы «собираются» в одном месте. Особых дополнительных действий для этого владельцу устройства предпринимать не нужно, а вот злоумышленнику придется очень постараться, чтобы собрать все элементы «ключа» воедино», – рассказывает один из авторов технологии Виктор Яблоков, руководитель отдела разработки решений для защиты почты, веб-систем и инфраструктуры, «Лаборатория Касперского».
