کلید امنیتی کیپر

یک کلید امنیتی (Security Key) در حقیقت سخت‌افزاری است که به وسیله نرم‌افزاری که از سوی کارخانه بر روی آن بارگذاری شده است مجهز به پروتکل‌های امنیتی شده است، این سخت‌افزار توانایی تبادل داده به صورت دو طرفه با سیستم امنیتی احراز هویت را دارد و از این طریق می­‌تواند فرآیند دسترسی و احراز هویت مقاوم‌تری(در برابر حملات هکری) را به دستگاه‌­ها، سیستم­‌های آنلاین و اپلیکیشن­‌ها اعمال کند، به این کلید­های امنیتی، توکن­‌های امنیتی (Security Token) نیز گفته می‌­شود.

توکن امنیتی می‌­تواند نرم‌افزاری باشد و داده امنیتی جهت احراز هویت را از طریق اپلکیشن تبادل کند و یا می‌­تواند به یک یا چند لایه سخت افزاری دیگر همانند پورت USB، کیت NFC و یا سخت‌افزار­های بیومتریک همچون اثر انگشت (Finger Print) برای امنیت بیشتر مجهز شده باشد.

توکن­‌های امنیتی، در پروتکل­‌های امنیتی مورد استفاده نیز متفاوت هستند. پروتکل‌های عامه در گذشته از فناوری OTP بهره می‌بردند که عمدتا به دو دسته  TOTP و HOTP تقسیم می‌­شوند.

TOTP: رمز یک‌بار مصرفی است که اساس کارکرد آن فریم­‌های زمانی است و بعد از مدت مشخصی به عنوان مثال 60 ثانیه منقضی می­‌شود.

HOTP: رمز یک‌بار مصرفی است که اساس کارکرد آن هماهنگی شمارنده­­‌های سمت سرویس‌دهنده و سرویس‌گیرنده است.

امروزه توکن‌­های امنیتی fido که در حقیقت اساس کارکرد آن بر پایه رمزنگاری نامتقارن و ایجاد کلید­های خصوصی و عمومی است از محبوبیت بیشتری برخوردار هستند اما در دسته توکن­‌هایی هستند که نیازمند به یک لایه سخت‌افزاری می­‌باشند. در این نوع توکن‌­ها استاندارد لایه امنیتی به گونه‌­­­ای است که حملات سایبری بر روی سرویس‌دهنده جهت استراق رمز کافی نبوده چرا که تمامیت امنیت کاربر توسط سرویس‌دهنده تامین نمی­‌شود و تا زمانی که با کاربر تبادل داده دو طرفه اتفاق نیافتد، هویت حقیقی احراز نمی‌­شود. محبوبیت این توکن­‌ها در حقیقت از همین تمرکززدایی امنیت از سرویس‌دهنده ناشی می­‌شود. پروتکل­‌هایی که تا به امروز در این زمینه به روز رسانی شده‌اند، fido(U2F) و fido2 می­‌باشند که البته پروتکل fido2 نمونه تکامل یافته­‌ی fido می­‌باشد و توانایی تطبیق با fido را دارد.

در این راستا Qiper ، کلید امنیتی QiprKi را با بهره­‌مندی از پروتکل­­‌های خانواده fido، در قالب سخت‌افزاری پورت USB ارائه کرده است، که می­‌تواند بنا به در خواست مشتری مجهز به تشخیص حضور حقیقی کاربر از طریق حسگر اثر انگشت نیز شود.