Виртуальный ключ
Виртуальный ключ — это программно-аппаратное средство аутентификации, представляющее собой цифровой аналог физического ключа или брелока, который генерирует, хранит и использует криптографические данные для подтверждения личности пользователя или устройства в информационных системах. Виртуальные ключи применяются для защиты доступа к учётным записям, корпоративным ресурсам, банковским приложениям, а также для подписания электронных документов. В отличие от традиционных паролей, виртуальные ключи обеспечивают более высокий уровень безопасности за счёт использования асимметричной криптографии и устойчивости к фишинговым атакам.
История
Концепция виртуального ключа возникла как развитие технологии двухфакторной аутентификации (2FA) и аппаратных токенов, таких как USB-ключи (например, YubiKey). Первые программные реализации появились в начале 2010-х годов, когда мобильные устройства стали массовыми и получили встроенные средства защиты (Trusted Execution Environment, TEE). В 2014 году альянс FIDO (Fast IDentity Online) опубликовал спецификацию U2F (Universal 2nd Factor), которая легла в основу многих современных виртуальных ключей. В 2018 году были выпущены стандарты FIDO2 и WebAuthn, позволяющие использовать виртуальные ключи непосредственно в веб-браузерах без установки дополнительного программного обеспечения.
В России развитие виртуальных ключей связано с требованиями законодательства о цифровой подписи (Федеральный закон № 63-ФЗ) и необходимостью импортозамещения в сфере криптографической защиты. С 2020 года ряд российских банков и государственных порталов (например, «Госуслуги») внедрили поддержку виртуальных ключей на базе мобильных приложений, сертифицированных ФСБ России.
Принцип работы
Виртуальный ключ основан на асимметричной криптографии: он генерирует пару ключей — закрытый (приватный) и открытый (публичный). Закрытый ключ хранится в защищённой области памяти устройства (например, в TEE, Secure Enclave или на SIM-карте) и никогда не покидает её. Открытый ключ регистрируется на сервере аутентификации. При попытке входа в систему виртуальный ключ подписывает уникальный вызов (challenge) от сервера с помощью закрытого ключа. Сервер проверяет подпись открытым ключом и, в случае успеха, подтверждает личность пользователя.
Процесс аутентификации обычно включает следующие этапы:
- Пользователь вводит логин и пароль (первый фактор).
- Сервер отправляет запрос на виртуальный ключ (например, через Bluetooth, NFC или QR-код).
- Пользователь подтверждает действие на устройстве (биометрией, PIN-кодом или жестом).
- Виртуальный ключ генерирует подпись и отправляет её на сервер.
- Сервер проверяет подпись и предоставляет доступ.
Классификация
Виртуальные ключи классифицируются по нескольким признакам:
По способу хранения закрытого ключа
- Программные ключи: закрытый ключ хранится в зашифрованном виде в файловой системе устройства (например, в приложении-аутентификаторе). Примеры: Google Authenticator, Microsoft Authenticator.
- Аппаратно-программные ключи: закрытый ключ хранится в защищённом элементе (Secure Element, TEE) мобильного устройства или компьютера. Примеры: Touch ID, Face ID, Windows Hello.
- Облачные ключи: закрытый ключ генерируется и хранится на сервере провайдера, а доступ к нему осуществляется через защищённый канал. Примеры: Apple Passkeys, Google Password Manager.
По протоколу аутентификации
- FIDO U2F: протокол второго фактора, используемый совместно с паролем.
- FIDO2 / WebAuthn: протокол, поддерживающий беcпарольную аутентификацию (passwordless).
- OAuth 2.0 с PKCE: протокол для делегирования доступа, часто используемый в мобильных приложениях.
По типу устройства
- Мобильные ключи: реализованы в виде приложений для смартфонов (iOS, Android).
- Десктопные ключи: реализованы в виде программ для ПК (Windows, macOS, Linux).
- Встраиваемые ключи: реализованы в виде микропрограммы в SIM-картах, банковских картах или IoT-устройствах.
Применение
Банковская сфера
Виртуальные ключи активно используются в российских банках для подтверждения операций и входа в мобильные приложения. Например, в системе СберБанк Онлайн виртуальный ключ генерируется на основе биометрических данных (отпечаток пальца или Face ID) и используется для подписания платежей. ВТБ и Альфа-Банк применяют виртуальные ключи на базе технологии FIDO2 для входа без пароля.
Государственные услуги
Портал «Госуслуги» с 2022 года поддерживает вход с помощью виртуального ключа через мобильное приложение. Пользователь может настроить аутентификацию по биометрии (Face ID, Touch ID) или PIN-коду, что заменяет ввод логина и пароля. Это соответствует требованиям постановления Правительства РФ № 977 о цифровой идентификации.
Корпоративная безопасность
Виртуальные ключи применяются для защиты доступа к корпоративным VPN, облачным сервисам (например, Microsoft 365, Google Workspace) и внутренним системам. В российских компаниях, использующих решения «Лаборатории Касперского» или «Код Безопасности», виртуальные ключи интегрируются в системы управления доступом (IAM).
Электронная подпись
Виртуальные ключи могут использоваться для создания простой электронной подписи (ПЭП) в соответствии с законом № 63-ФЗ. Например, в приложении «Госключ» (разработанном Минцифры России) виртуальный ключ на базе мобильного устройства позволяет подписывать документы без физического носителя.
Преимущества и недостатки
Преимущества
- Устойчивость к фишингу: виртуальный ключ не передаёт закрытый ключ по сети, что предотвращает его перехват.
- Удобство: не требуется носить с собой физический токен; достаточно смартфона или компьютера.
- Масштабируемость: один виртуальный ключ может использоваться для множества сервисов.
- Биометрическая интеграция: возможность использования отпечатка пальца или лица для подтверждения действий.
Недостатки
- Зависимость от устройства: потеря или поломка смартфона может привести к блокировке доступа, если не настроены резервные копии.
- Уязвимость к вредоносному ПО: если устройство заражено трояном или кейлоггером, виртуальный ключ может быть скомпрометирован.
- Необходимость поддержки протоколов: не все сервисы и браузеры поддерживают FIDO2 или WebAuthn.
- Юридические ограничения: в России для использования виртуальных ключей в качестве электронной подписи требуется сертификация ФСБ, что усложняет внедрение.
Критика
Основные претензии к виртуальным ключам связаны с безопасностью хранения закрытых ключей на мобильных устройствах. Исследователи из Positive Technologies (2023) выявили, что в ряде российских банковских приложений виртуальные ключи хранятся в незащищённой области памяти, что делает их уязвимыми для атак с использованием root-доступа. Кроме того, отсутствие единого стандарта в России (например, на базе ГОСТ Р 34.10-2012) приводит к несовместимости решений разных производителей.
Перспективы развития
Ожидается, что к 2025—2026 годам виртуальные ключи вытеснят пароли в большинстве крупных онлайн-сервисов. В России это стимулируется программой «Цифровая экономика» и требованиями к импортозамещению в сфере криптографии. Разрабатываются решения на базе квантово-устойчивых алгоритмов (например, на основе решёток), которые должны защитить виртуальные ключи от атак с использованием квантовых компьютеров. Также активно внедряются виртуальные ключи на базе SIM-карт (eSIM), что позволяет операторам связи предоставлять услуги аутентификации без установки дополнительных приложений.
Источники
- Федеральный закон от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи».
- Спецификация FIDO2 (WebAuthn) — W3C Recommendation, 2019.
- Постановление Правительства РФ от 15 июля 2022 г. № 977 «Об утверждении Правил использования простой электронной подписи».
- Доклад Positive Technologies «Уязвимости мобильных аутентификаторов в России», 2023.
- Материалы Минцифры России о проекте «Госключ», 2022—2024.
- Стандарт ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →