Компания Indeed ID разработала новую виртуальную смарт-карту

Александр Панасенко 16 Декабря 2015 - 20:59

Корпорации

Компания Индид

Системы аутентификации

Карты доступа

Средства криптографической защиты информации

...

Компания Indeed ID разработала первую на российском ИБ-рынке технологию сетевой виртуальной смарт-карты, которая полностью эмулирует поведение аппаратных ключевых носителей и позволяет выполнять полный набор операций, поддерживаемый физическими аналогами.

Современные компании все шире используют технологии электронной цифровой подписи, строгой аутентификации пользователей и шифрования данных. Для этого предприятия разворачивают инфраструктуру открытых ключей (PKI, Public Key Infrastructure). Данные технологии требуют наличия у сотрудников персональных носителей ключевой информации: смарт-карт и USB-токенов. Если пользователь забыл устройство дома, потерял его или оно вышло из строя, доступ к данным и их защита становятся невозможны.

Компания Indeed ID разработала технологию сетевой виртуальной смарт-карты Indeed Enterprise AirKey, исключающую необходимость применения аппаратной составляющей при использовании смарт-карт в рамках инфраструктуры PKI.

Виртуальная смарт-карта Indeed AirKey Enterprise полностью эмулирует поведение физической смарт-карты и позволяет выполнять весь спектр операций и пользовательских сценариев, доступный аппаратным ключевым носителям: электронно-цифровая подпись, расшифровка данных, двухфакторная аутентификация пользователей, организация доступа в режиме Single Sign-On.

Разработанная технология реализует виртуальную смарт-карту несколькими способами. В одном случае физический носитель заменяется специальным хранилищем ключей и цифровых сертификатов на сервере системы, в другом - роль персонального ключевого носителя выполняет смартфон с установленным на него приложением AirKey.

Работа виртуальной смарт-карты Indeed AirKey Enterprise осуществляется в соответствии со штатными протоколами, интерфейсами и механизмами PKI-инфраструктуры. Так же, как обычные криптографические ключевые носители, для выполнения криптоопераций виртуальная смарт-карта использует стандарт PKCS#11 и интерфейс Microsoft CryptoAPI.

В зависимости от реализации технологии виртуальной смарт-карты, закрытые ключи шифрования хранятся в зашифрованном виде в базе данных на сервере системы или в защищенной памяти смартфона и не передаются на ПК пользователя. Все криптографические операции, соответственно, также выполняются на сервере системы или на смартфоне пользователя. При таком подходе закрытые ключи не могут быть скомпрометированы злоумышленником или вредоносным ПО на рабочем месте сотрудника.

Для обеспечения безопасности выполняется шифрование каналов связи между всеми элементами системы (сервером, ПК и/или смартфоном пользователя) с применением асимметричных алгоритмов шифрования по протоколу TLS. На ПК пользователя доставляется уже готовый результат криптооперации.

Отсутствие аппаратной составляющей определяет ряд преимуществ виртуальной смарт-карты по сравнению с традиционными ключевыми носителями. Для получения смарт-карты не требуется личный визит сотрудника к оператору системы — доставка виртуальной смарт-карты на компьютер пользователя осуществляется удаленно. Для специалистов ИБ значительно упрощается процедура изъятия карты из системы: чтобы прекратить ее использование администратору достаточно выполнить удаленный отзыв смарт-карты с уничтожением закрытых ключей.

Для операционной системы компьютера и целевых приложений, с которыми работает пользователь, виртуальная смарт-карта неотличима от физического аналога. Исключая из процесса использования PKI-инфраструктуры аппаратную составляющую на стороне пользователя, виртуальная смарт-карта Indeed Enterprise AirKey позволяет сделать этот процесс непрерывным и более эффективным.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Татьяна Никитина 04 Февраля 2026 - 21:18

Уязвимости программ Домашние пользователи Корпорации

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий: