«Лаборатория Касперского» разработала безопасную технологию восстановления зашифрованных данных

«Лаборатория Касперского» получила патент на технологию восстановления пароля и ключей шифрования данных на мобильных устройствах, которая призвана практически полностью исключить возможность утечки секретной информации. Она уже применяется в Kaspersky Internet Security для Android.

Нередко люди забывают или теряют пароли для доступа к зашифрованным данным. Это, с одной стороны, создает опасность потери важной информации — ведь если пароль нельзя восстановить, то невозможно будет восстановить и зашифрованные данные. С другой стороны, если пароль восстановить можно, то возникает риск несанкционированного доступа к ценной информации, поскольку метод защиты резервных копий паролей, который использует вендор, может содержать уязвимости.

Разрабатывая собственную технологию восстановления паролей и ключей шифрования, которые используются для защиты данных на мобильном устройстве, специалисты «Лаборатории Касперского» стремились найти компромисс между удобством в использовании и уровнем защиты.

Для восстановления паролей и ключей шифрования данных новая технология использует три независимых фактора: идентификатор пользователя, идентификатор мобильного устройства и случайное число.

Когда пользователь впервые устанавливает на мобильное устройство Kaspersky Internet Security, система аутентификации просит его ввести адрес электронной почты. Затем вычисляет хэш адреса почты (последовательность символов, полученную в результате преобразования буквенного адреса почты по специальному алгоритму) и, кроме того, опираясь на ряд аппаратных характеристик устройства, создает его уникальный идентификатор, а также генерирует случайное число. После регистрации случайное число в зашифрованном виде вместе с хэшами почты и ID устройства передается на серверы компании.

Случайное число используется для того, чтобы обеспечить своеобразную «защиту защиты». Как и многие другие решения, для обеспечения безопасности данных решение использует специальный ключ шифрования. Обычно ключ защищается с помощью пароля пользователя. Всякий раз, когда пользователь вводит пароль, сначала расшифровывается ключ и только потом — информация, зашифрованная с его помощью. Соответственно, если пароль утерян или забыт, расшифровать ключ практически невозможно. Именно поэтому Kaspersky Internet Security хранит на устройстве две копии ключа: основную, зашифрованную с помощью пароля пользователя, и резервную, зашифрованную с помощью сгенерированного ранее случайного числа.

В случае если пользователь теряет или забывает пароль, он обращается в сервис восстановления паролей «Лаборатории Касперского», где вводит адрес своей электронной почты. Сервис вычисляет хэш этого адреса и сверяет его с теми, что хранятся в собственной базе данных. Если соответствие обнаружено, система отсылает на email его уникальное число, а также инструкцию по созданию нового пароля. Kaspersky Internet Security использует это уникальное число для расшифровки резервного ключа, который, в свою очередь, открывает пользователю доступ к данным, хранящимся на устройстве.