Etoken aladdin что это

Подавляющее большинство российских компаний по-прежнему использует традиционную пару «логин-пароль» для идентификации и разграничения доступа пользователя к корпоративным ресурсам. Однако этот способ давно устарел с точки зрения безопасности. При этом, постоянное увеличение сложности пароля (использование букв разного регистра, цифр, знаков препинания и служебных символов, длина минимум 8 символов) для повышения уровня безопасности нередко приводит к снижению комфортности контроля доступа для пользователя. Сложные пароли просто-напросто тяжелы для запоминания.

К проблемам парольной аутентификации можно отнести еще и легкость подбора по словарю (если паролем служит слово или фраза из какого-нибудь языка, даже при условии замены букв на спецсимволы, например, Р@ssw0rd). Также пароль может быть перехвачен или подсмотрен при его вводе. Проблемы аутентификации пользователей в информационной системе выявлены очень давно, и уже были предложены различные решения. Современная тенденция — использование двухфакторной аутентификации на основе USB-токенов. В России такие устройства занимают доминирующее положение по отношению к смарт-картам и автономным токенам в результате более позднего формирования рынка аппаратных устройств аутентификации и мощной маркетинговой политики компаний-производителей. Основными игроками на российском рынке USB-ключей (токенов) являются компании Aladdin, Rainbow Technologies, «Актив» (совместно с «Анкад»), RSA Security, а также Feitian Technologies.

USB-токены предназначены для работы в приложениях, к которым предъявляются повышенные требования с точки зрения защиты данных. Их можно назвать преемниками контактных смарт-карт, они практически повторяют их устройство, но не требуют специальных считывателей, что упрощает их внедрение и уменьшает стоимость. Таким образом, экономическое преимущество при использовании USB-токенов по сравнению со смарт-картами достигается тогда, когда за компьютером работает один пользователь. Если же необходимо, чтобы на одной машине работало несколько человек, то выгоднее приобрести один считыватель и несколько смарт-карт, так как стоимость самой карточки ниже цены токена. Отметим, что USB-токены, не основанные на архитектуре «смарт-карта + кард-ридер», например, ruToken, «Шипка», выполнены на серийном микроконтроллере и программно эмулируют функциональность смарт-карт. Это сильно снижает их безопасность. В частности, они используют внешний чип памяти со всеми вытекающими последствиями (у смарт-карточных токенов память находится внутри чипа смарт-карты, и атаковать ее очень сложно).

Таблица 1 Средняя стоимость внедрения систем контроля доступа

USB-токен — это симбиоз считывателя и смарт-карты, только в нем карта впаяна, и ее нельзя поменять. Процесс инсталляции аналогичен установке считывателя, а его подключение/извлечение аналогично подключению/извлечению карты из считывателя. Чтобы начать использовать USB-токен в приложениях, его необходимо отформатировать специальной утилитой. Не все приложения, которые работают с USB-токенами, будут поддерживать именно конкретную модель, это необходимо проверить. Зачастую выбор токена определяется не его качественными характеристиками, а возможностью работы с определенными приложениями или операционными системами. При покупке не стоит руководствоваться размерами памяти токена: маленький объем памяти смарт-карты здесь является преимуществом, поскольку это не позволит сотрудникам записывать другую конфиденциальную информацию с рабочего компьютера. При покупке комплекта программа + USB-токен надо убедиться, что вас обеспечат драйверами для USB-токена, и выяснить, каким образом будет произведено форматирование токена: самой программой или отдельной утилитой.

Файловая система токена разделяется между несколькими приложениями и службами. Пользователю не нужно знать множество паролей — их запоминает токен. Следует помнить лишь короткий PIN-код, удостоверяющий пользователя как владельца всех паролей, хранящихся в памяти ключа. После нескольких неудачных попыток ввода PIN-кода процессор «запирает» токен до вмешательства администратора безопасности, поскольку предполагается, что ключ был украден или потерян.

Для обеспечения строгой аутентификации необходимо гарантировать надежность и достоверность принципала (объекта аутентификации — отправителя или получателя), а потому должны использоваться надежные криптографические алгоритмы и продуманные схемы. Строгая аутентификация в данном контексте означает, что информация, непосредственно идентифицирующая пользователя, не выходит за пределы токена, а лишь участвует в криптографических вычислениях, результатом которых будут некоторые последовательности нулей и единиц, расшифровав которые, другой принципал абсолютно надежно, точно и достоверно определит отправителя. Именно поэтому важно покупать модели со встроенным генератором ключей, чтобы такая информация не попадала из токена в компьютер. Кроме того, все важные криптографические вычисления по проверке сертификатов должны быть реализованы аппаратно, что также исключает возможность компрометации на уровне компьютерных приложений.

Таблица 2 Основные характеристики наиболее популярных на российском рынке продуктов

Перечисленные в таблице 2 модели подходят для построения системы аутентификации на основе открытых ключей (PKI) с использованием сертификатов. Рассмотрим механизм такой аутентификации. Технология PKI построена на использовании двух математически связанных ключей — открытого и секретного (закрытого). С помощью открытого ключа сообщение шифруется, а с помощью секретного расшифровывается, при этом естественно, что, зная открытый ключ, нельзя получить закрытый. Такие криптографические преобразования реализовываются на основе RSA или DSA. Криптостойкость зашифрованных сообщений обеспечивается неразрешимостью за полиномиальное время двух математических задач: факторизации больших чисел на простые множители (RSA) и дискретного логарифмирования в простом конечном поле (DSA). Важнейшим плюсом, является то, что аутентификационная информация пользователя совсем не передается по сети, а лишь участвует в вычислениях, как на клиентской, так и на серверной стороне, что соответствует принципам строгой аутентификации. По такому принципу строится протокол аутентификации «запрос-ответ» (Handshake Authentication Protocol).

Заметим, что поддержка работы RSA и DSA, в том числе и аппаратная генерация их ключей, с размером ключа 2048 бит является хорошим гарантом безопасности, который в принципе не может быть обеспечен протоколами симметричного шифрования, — например, семейством алгоритмов DES. Обычно данные протоколы используются для шифрования трафика с использованием ключа, полученного после аутентификации принципала. Интересной особенностью продуктов ruToken является аппаратная реализация российского стандарта симметричного шифрования ГОСТ 28147-89, к числу достоинств которого можно отнести бесперспективность силовой атаки, эффективность реализации и высокое быстродействие на современных компьютерах.

Сегодня на российском рынке
представлено множество USB-токенов
с различным уровнем защиты

Компании-производители указывают огромное количество реализованных алгоритмов шифрования/хеширования в своих описаниях к продуктам, однако большинство из них — алгоритмы хеширования. Они представляют собой односторонние функции и используются для преобразования, например, PIN-кода или другой чувствительной информации для хранения в файловой системе токена, так как из хеша сложно восстановить PIN-код в понятном человеку виде. Таким образом, наличие большого числа алгоритмов хеширования не определяет «качество» токена. Хотя в некоторых случаях хеш-преобразования используются другими алгоритмами в качестве вспомогательных, поэтому стоит сразу определиться, поддержка каких алгоритмов вам нужна в работе информационной системы.

Последнее, на что хотелось бы обратить внимание, это поддержка программного обеспечения и операционных систем, ведь зачастую инфраструктура PKI внедряется в сети, давно действующей, где уже сформировался круг необходимых приложений для поддержания бизнес-задач. Так, для работы в Linux-среде лучшими решениями будут ключи iKey и eToken PRO. В действительности стоит обращать внимание на совместимость предлагаемого производителем готового решения с другими продуктами, а также на решения под определенные платформы, что в конечном итоге лишь облегчит как внедрение токенов, так и их использование.

Источник

Статьи и публикации

Токены от Aladdin’а. Часть 1

Аппаратная архитектура ключа eToken PRO

Основой ключа eToken PRO является микросхема смарт-карты Infineon семейства SLE66CX, работающая под управлением одной из версий операционной системы Siemens CardOS/M4. Она состоит из 16-ти битного процессора с набором инструкций ECO 2000, специальной памяти с кодом операционной системы (эта память доступна только для чтения), оперативной памяти для работы ОС, специальной памяти для хранения пользовательских данных (EEPROM, Electrically Erasable Programable Read Only Memory), аппаратного генератора случайных чисел и специального криптопроцессора, ускоряющего выполнение шифрования и расшифровывания информации. Фактически, данная микросхема обеспечивает всё необходимое для защиты информации. В частности, именно в ней на аппаратном уровне реализованы симметричные и асимметричные криптографические алгоритмы, генерация ключей шифрования, а также защищённое хранение информации пользователя.

PIN-код в ключах eToken PRO

В ключах eToken минимальная длина PIN-кода составляет 4 символа. Впрочем, сами разработчики, равно как и эксперты в области информационной безопасности, советуют применять пароли, состоящие не менее чем из 7 букв, цифр и специальных символов. Интересно, что качество PIN-кодов в пределах своей компании может легко обеспечить администратор безопасности. Для этого ему достаточно задать различные критерии: минимальное число символов в PIN-кодах, проверку их по словарю, обязательное использование двух регистров, цифр и спецсимволов, запрет на использование имён пользователей, номеров телефонов, машин и т.д.

У PIN-кодов в ключах eToken есть надёжная защита от атак с использованием методов полного перебора и подбора по словарю. Реализована она с помощью встроенного счетчика неправильного ввода. По умолчанию его значение равно 15 (администратор может изменить это значение). При каждом некорректном вводе пароля счётчик уменьшается на единицу. А как только пользователь использует правильный PIN-код, его значение опять вернётся к первоначальному. Таким образом, у злоумышленника есть только 15 (или любое другое определённое администратором число) попыток ввода PIN-кода. Так что угадать состоящий из 7 символов пароль просто-напросто невозможно.

Уровни доступа к памяти ключа eToken PRO

Следующий режим работы также относится к закрытым, то есть для его использования необходим ввод правильного пароля, который задаётся при форматировании токена. Его должен знать только администратор, поскольку при работе в этом режиме возможна разблокировка ключа, закрытого из-за многократного ввода неправильного PIN-кода пользователя.

Жизненный цикл ключа eToken PRO

Жизненный цикл ключей eToken PRO начинается на собственном заводе компании Aladdin со всеми параметрами, установленными по умолчанию. После приобретения токенов IT-служба компании инициализирует их. При этом производится форматирование, устанавливаются некоторые параметры, загружаются сертификаты организации. Далее все ключи передается ответственному за безопасность сотруднику. Он на каждом ключе задаёт пароль администратора и PIN-код пользователя, загружает в память сертификат и ключ человека. После этого токены передаются конечным пользователям. Последние могут постоянно работать с ним, менять свой PIN-код и т.д.

В случае если токен будет заблокирован из-за многократного неправильного ввода PIN-кода, он может быть передан либо офицеру безопасности для разблокирования, либо в IT-службу компании для переформатирования. Это зависит от политики организации в области информационной безопасности. В некоторых случаях разблокирование ключа оказывается вообще невозможно. Тогда токен подлежит списанию и утилизации. Это же происходит и при выходе его из строя в результате нарушений условий эксплуатации (падение с большой высоты, попадание в неблагоприятную внешнюю среду и т.п.).

Сертифицированная модель eToken PRO

Источник

• Популярная книга Круть доступна для чтения прямо сейчас на нашем сайте boochi.ru. Скачать книгу в формате FB2, TXT, PDF, EPUB бесплатно без регистрации. →