Открыть сервис

Виртуальный ключ

Виртуальный ключ — это программно-аппаратное средство аутентификации, представляющее собой цифровой аналог физического ключа или брелока, который генерирует, хранит и использует криптографические данные для подтверждения личности пользователя или устройства в информационных системах. Виртуальные ключи применяются для защиты доступа к учётным записям, корпоративным ресурсам, банковским приложениям, а также для подписания электронных документов. В отличие от традиционных паролей, виртуальные ключи обеспечивают более высокий уровень безопасности за счёт использования асимметричной криптографии и устойчивости к фишинговым атакам.

История

Концепция виртуального ключа возникла как развитие технологии двухфакторной аутентификации (2FA) и аппаратных токенов, таких как USB-ключи (например, YubiKey). Первые программные реализации появились в начале 2010-х годов, когда мобильные устройства стали массовыми и получили встроенные средства защиты (Trusted Execution Environment, TEE). В 2014 году альянс FIDO (Fast IDentity Online) опубликовал спецификацию U2F (Universal 2nd Factor), которая легла в основу многих современных виртуальных ключей. В 2018 году были выпущены стандарты FIDO2 и WebAuthn, позволяющие использовать виртуальные ключи непосредственно в веб-браузерах без установки дополнительного программного обеспечения.

В России развитие виртуальных ключей связано с требованиями законодательства о цифровой подписи (Федеральный закон № 63-ФЗ) и необходимостью импортозамещения в сфере криптографической защиты. С 2020 года ряд российских банков и государственных порталов (например, «Госуслуги») внедрили поддержку виртуальных ключей на базе мобильных приложений, сертифицированных ФСБ России.

Принцип работы

Виртуальный ключ основан на асимметричной криптографии: он генерирует пару ключей — закрытый (приватный) и открытый (публичный). Закрытый ключ хранится в защищённой области памяти устройства (например, в TEE, Secure Enclave или на SIM-карте) и никогда не покидает её. Открытый ключ регистрируется на сервере аутентификации. При попытке входа в систему виртуальный ключ подписывает уникальный вызов (challenge) от сервера с помощью закрытого ключа. Сервер проверяет подпись открытым ключом и, в случае успеха, подтверждает личность пользователя.

Процесс аутентификации обычно включает следующие этапы:

  1. Пользователь вводит логин и пароль (первый фактор).
  2. Сервер отправляет запрос на виртуальный ключ (например, через Bluetooth, NFC или QR-код).
  3. Пользователь подтверждает действие на устройстве (биометрией, PIN-кодом или жестом).
  4. Виртуальный ключ генерирует подпись и отправляет её на сервер.
  5. Сервер проверяет подпись и предоставляет доступ.

Классификация

Виртуальные ключи классифицируются по нескольким признакам:

По способу хранения закрытого ключа

  • Программные ключи: закрытый ключ хранится в зашифрованном виде в файловой системе устройства (например, в приложении-аутентификаторе). Примеры: Google Authenticator, Microsoft Authenticator.
  • Аппаратно-программные ключи: закрытый ключ хранится в защищённом элементе (Secure Element, TEE) мобильного устройства или компьютера. Примеры: Touch ID, Face ID, Windows Hello.
  • Облачные ключи: закрытый ключ генерируется и хранится на сервере провайдера, а доступ к нему осуществляется через защищённый канал. Примеры: Apple Passkeys, Google Password Manager.

По протоколу аутентификации

  • FIDO U2F: протокол второго фактора, используемый совместно с паролем.
  • FIDO2 / WebAuthn: протокол, поддерживающий беcпарольную аутентификацию (passwordless).
  • OAuth 2.0 с PKCE: протокол для делегирования доступа, часто используемый в мобильных приложениях.

По типу устройства

  • Мобильные ключи: реализованы в виде приложений для смартфонов (iOS, Android).
  • Десктопные ключи: реализованы в виде программ для ПК (Windows, macOS, Linux).
  • Встраиваемые ключи: реализованы в виде микропрограммы в SIM-картах, банковских картах или IoT-устройствах.

Применение

Банковская сфера

Виртуальные ключи активно используются в российских банках для подтверждения операций и входа в мобильные приложения. Например, в системе СберБанк Онлайн виртуальный ключ генерируется на основе биометрических данных (отпечаток пальца или Face ID) и используется для подписания платежей. ВТБ и Альфа-Банк применяют виртуальные ключи на базе технологии FIDO2 для входа без пароля.

Государственные услуги

Портал «Госуслуги» с 2022 года поддерживает вход с помощью виртуального ключа через мобильное приложение. Пользователь может настроить аутентификацию по биометрии (Face ID, Touch ID) или PIN-коду, что заменяет ввод логина и пароля. Это соответствует требованиям постановления Правительства РФ № 977 о цифровой идентификации.

Корпоративная безопасность

Виртуальные ключи применяются для защиты доступа к корпоративным VPN, облачным сервисам (например, Microsoft 365, Google Workspace) и внутренним системам. В российских компаниях, использующих решения «Лаборатории Касперского» или «Код Безопасности», виртуальные ключи интегрируются в системы управления доступом (IAM).

Электронная подпись

Виртуальные ключи могут использоваться для создания простой электронной подписи (ПЭП) в соответствии с законом № 63-ФЗ. Например, в приложении «Госключ» (разработанном Минцифры России) виртуальный ключ на базе мобильного устройства позволяет подписывать документы без физического носителя.

Преимущества и недостатки

Преимущества

  • Устойчивость к фишингу: виртуальный ключ не передаёт закрытый ключ по сети, что предотвращает его перехват.
  • Удобство: не требуется носить с собой физический токен; достаточно смартфона или компьютера.
  • Масштабируемость: один виртуальный ключ может использоваться для множества сервисов.
  • Биометрическая интеграция: возможность использования отпечатка пальца или лица для подтверждения действий.

Недостатки

  • Зависимость от устройства: потеря или поломка смартфона может привести к блокировке доступа, если не настроены резервные копии.
  • Уязвимость к вредоносному ПО: если устройство заражено трояном или кейлоггером, виртуальный ключ может быть скомпрометирован.
  • Необходимость поддержки протоколов: не все сервисы и браузеры поддерживают FIDO2 или WebAuthn.
  • Юридические ограничения: в России для использования виртуальных ключей в качестве электронной подписи требуется сертификация ФСБ, что усложняет внедрение.

Критика

Основные претензии к виртуальным ключам связаны с безопасностью хранения закрытых ключей на мобильных устройствах. Исследователи из Positive Technologies (2023) выявили, что в ряде российских банковских приложений виртуальные ключи хранятся в незащищённой области памяти, что делает их уязвимыми для атак с использованием root-доступа. Кроме того, отсутствие единого стандарта в России (например, на базе ГОСТ Р 34.10-2012) приводит к несовместимости решений разных производителей.

Перспективы развития

Ожидается, что к 2025—2026 годам виртуальные ключи вытеснят пароли в большинстве крупных онлайн-сервисов. В России это стимулируется программой «Цифровая экономика» и требованиями к импортозамещению в сфере криптографии. Разрабатываются решения на базе квантово-устойчивых алгоритмов (например, на основе решёток), которые должны защитить виртуальные ключи от атак с использованием квантовых компьютеров. Также активно внедряются виртуальные ключи на базе SIM-карт (eSIM), что позволяет операторам связи предоставлять услуги аутентификации без установки дополнительных приложений.

Источники

  1. Федеральный закон от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи».
  2. Спецификация FIDO2 (WebAuthn) — W3C Recommendation, 2019.
  3. Постановление Правительства РФ от 15 июля 2022 г. № 977 «Об утверждении Правил использования простой электронной подписи».
  4. Доклад Positive Technologies «Уязвимости мобильных аутентификаторов в России», 2023.
  5. Материалы Минцифры России о проекте «Госключ», 2022—2024.
  6. Стандарт ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →