Что лучше, PKCS#11 токен или смарт карта ?

/в /от

Наши клиенты часто просят нас порекомендовать им модель USB токена либо смарт карты для внедрения Rohos Logon Key. Давайте разберемся есть ли какие либо плюсы/минусы от использования PKCS#11 токенов  и смарткарт таких как RFID либо JavaCard?

Есть конечно различия и несколько моментов о которых следует знать при проектировании и внедрении системы безопасности. Начнем по порядку.

Политики Безопасности

Если вы используете Rohos Logon Key то PKCS#11 токены и смарт-карты практически одинаковы в этом плане, только со своими особенностями. Для того чтобы ознакомиться с токеном достаточно изучить утилиту для Административного управления токеном которую обязан предоставить производитель.

Список особенностей:

  • PIN код. Например у некоторых токенов минимальная длина PIN кода 8 символов и ее нельзя уменьшить.
    Жесткие требования к длине PIN кода, как часто его менять и насколько сложным он должен быть — это все может усложнить жизнь конечным пользователям.
  • Политики block\unblock карты\ключа при неверном вводе ПИН кода могут немного отличаться.
    Есть токены которые при блокировке (например неверно ввели ПИН 4 раза) полностью выходят из строя — администратор должен инициализировать токен заново либо выдать новый. Соответственно надо иметь как минимум 5 запасных токенов либо смарт карт под рукой.
  • У всех PKCS#11 токенов есть возможность задать PIN код для административного доступа — это необходимо делать обязательно. В обеих случаях для токенов и смарт карт производитель должен предоставить утилиту для Административного управления токеном.

Установка драйверов

— В обеих случаях , в зависимости от производителя PKCS токена либо карт ридера — возможно надо будет ставить драйвер (а иногда и PKCS11 модуль отдельно). В каждом конкретном случае надо выяснять по поводу установки драйвера. Существуют такие модели токенов которые при подключении к ПК тутже подключают свой виртуальный CD-ROM с драйверами.

В нашей практике было так что и для PKCS ключа и для кард ридера не требовались драйвера (Win7). Это надо уточнять сразу у производителя.

Совместимость

JavaCard (да и вообще смарткарты) — «одноразовые». Например JavaCard карта от Futako жестко заточена под Один вариант использования. тот софт который его начал использовать — форматирует карту и другие программы не смогут использовать такую карту в дальнейшем. Одновременно использовать и Rohos Logon и другие решения врядли будет невозможным.

PKCS#11 ключи — можно форматировать и инициализировать неоднократно и одновременно использовать и Rohos Logon и для подписи и для других решений (возможен конечно вариант конфликтов).

Стабильность в руках пользователя\сотрудника

В зависимости от производителя PKCS токена и условий использования — корпус USB ключа (либо USB слот) может быть изношен довольно сильно в течении года, так что придеться менять USB ключ. А для этого необходимо иметь в запасе десяток ключей, если у вас например 50 пользователей.

Считыватель смарткарт и сама смарткарта более долговечны в этом случае. Но если идет реч о ноутбуках — смарт карты с ридером конечно не удобны. Хотя все чаще ноутбуки стационарно стоят на рабочих местах.

Стоимость

Для сравнения приведем примеры самых доступные токенов от разных производителей. Мы укажем интервал цен в зависимости от способа закупки.

Feitian — от 9-15 USD за штуку (ePass 2003 Auto)

Aktiv — от 18 USD за штуку (ruToken Lite, S, S Micro)

SafeNet — от 20 USD за iKey 1032