Безопасное восстановление зашифрованных данных

--> Дата: Июл 25, 2013 43

Компания «Лаборатория Касперского» получила патент на технологию восстановления пароля и ключей шифрования данных на мобильных устройствах, которая практически полностью исключает возможность компрометации информации. Эта технология уже доступна в решении для защиты мобильных устройств Kaspersky Internet Security для Android.

Шифрование – надежный метод защиты конфиденциальных данных, однако пароли для доступа к таким данным могут быть утеряны. Здесь возникает дилемма: если пароль нельзя восстановить, то невозможно восстановить и зашифрованные данные. Но если восстановить пароль можно, то возникает риск несанкционированного доступа к информации.

Разрабатывая технологию восстановления паролей и ключей шифрования, которые используются для защиты данных на мобильном устройстве, специалисты «Лаборатории Касперского» стремились к компромиссу между удобством в использовании и уровнем защиты. В созданной ими технологии используется три независимых фактора: идентификатор пользователя, идентификатор мобильного устройства и случайное число.

Когда пользователь устанавливает на мобильное устройство решение «Лаборатории Касперского», система аутентификации просит его ввести адрес электронной почты. Kaspersky Internet Security для Android вычисляет хэш адреса почты (последовательность символов, полученную в результате преобразования буквенного адреса почты по специальному алгоритму) и, опираясь на аппаратные характеристики устройства, создает его уникальный идентификатор, а также генерирует случайное число. После регистрации случайное число в зашифрованном виде вместе с хэшами почты и ID устройства передается на серверы «Лаборатории Касперского».

Случайное число обеспечивает своего рода «защиту защиты». Kaspersky Internet Security для Android, как и другие решения, для обеспечения безопасности данных использует специальный ключ шифрования. Обычно ключ защищается с помощью пароля пользователя. Всякий раз, когда пользователь вводит пароль, сначала расшифровывается ключ и только потом информация, зашифрованная с его помощью. На случай утери пароля Kaspersky Internet Security для Android хранит на устройстве две копии ключа: основную, зашифрованную с помощью пароля пользователя, и резервную, зашифрованную с помощью сгенерированного ранее случайного числа.

Если пользователь устройства теряет или забывает пароль, он обращается на сервис восстановления паролей «Лаборатории Касперского», где вводит адрес своей электронной почты. Сервис вычисляет хэш этого адреса и сверяет его с теми, что хранятся в собственной базе данных. Если соответствие обнаружено, система отсылает на адрес, указанный пользователем при регистрации, его уникальное число, а также инструкцию по созданию нового пароля. Kaspersky Internet Security для Android использует это уникальное число для расшифровки резервного ключа, который, в свою очередь, открывает пользователю доступ к данным, хранящимся на устройстве. В итоге ни одна из сторон, участвующих в процессе, не имеет доступа ко всем данным, необходимым для расшифровки секретных сведений.

«Лаборатория Касперского» отмечает, что она не хранит ни резервные копии паролей, ни копии ключей, ни какие-либо персональные данные клиентов на своих серверах — только зашифрованные значения специфических сведений, которые могут помочь вернуть пользователю доступ к его данным, но абсолютно бесполезны для злоумышленника.