w w w. a l a d d i n. r u Руководитель направления контент- безопасности Владимир Бычек Киев, 22 апреля 2010 года Средства строгой аутентификации в новой парадигме: от защиты объекта - к защите взаимодействия

w w w. a l a d d i n. r u Средство аутентификации -> eToken Система -> ДБО 2

w w w. a l a d d i n. r u 3 Содержат Java карту, полностью соответствующую спецификациям Java Card (SUN) и Global Platform Java Card Platform Specification ( Global Platform ( В карту могут быть загружены разнообразные апплеты, реализующие: Западные криптографические алгоритмы (eToken PRO) Российские криптографические алгоритмы (eToken ГОСТ) Другие национальные криптографические алгоритмы Дополнительные апплеты независимых разработчиков Модельный ряд ключей eToken eToken PASS (Генератор одноразовых паролей) eToken PRO (Java) (USB-ключ/смарт-карта) eToken NG-OTP (Java) (Комбинированный USB-ключ с генератором одноразовых паролей) eToken NG-FLASH (Java) (Комбинированный USB-ключ с дополнительным модулем flash-памяти) eToken Anywhere (USB-ключ нового поколения) Ключи eToken Java

w w w. a l a d d i n. r u 4 eToken PASS – аппаратный OTP токен Решает проблемы Кражи регистрационных данных клиента Перехвата SMS с одноразовым паролем Мобильности (ПК, КПК, телефон …) Плюсы решения +Генерация ключа OTP в токене +Аутентификация на Radius сервере или в приложении +Удобство использования +Простота встраивания (1-2 дня) +Невысокая цена Минусы решения Подтверждение только факта транзакции, но не ее содержания eToken PASS

w w w. a l a d d i n. r u eToken PRO (Java) – защищенное хранилище ключей и сертификатов Позволяет Значительно снизить вероятность компрометации ключей ЭЦП Обеспечить усиленную двухфакторную аутентификацию Плюсы решения +Высокая защищенность хранимых данных +Соответствие ряду международных стандартов - Common Criteria EAL4+, VISA, USB Реализация ряда западных криптографических алгоритмов + Нативная поддержка eToken в популярных информационных системах и приложениях (Windows, Lotus Notes Domino, Oracle etc.) + Поддержка большинства СКЗИ, сертифицированных как в России, так и странах бывшего СНГ (Казахстан, Беларусь) + Невысокая цена Минусы решения В процессе подписи электронного документа закрытый ключ покидает токен и может быть дискредитирован 5 eToken PRO (Java)

w w w. a l a d d i n. r u 6 eToken NG-OTP (Java) Вес транзакции: до $100 от $100 до $1000 > $1000 eToken NG-OTP (Java) - Комбинированный USB-ключ с генератором одноразовых паролей

w w w. a l a d d i n. r u 7 Типичная система ДБО Сервер ДБО Клиент ДБО СКЗИ eToken C&C VPN

w w w. a l a d d i n. r u Наглядный пример атаки 8

w w w. a l a d d i n. r u Клиентское ПО Аппаратный ключ ( в хорошем случае) ПО СКЗИ (драйверы etc.) Руководство пользователя 9 Что получает клиент после заключения договора: Особенности толстого клиента Не доверенная среда Не контролируемая среда Почему не контролируемая среда? Мы изначально не знаем конфигурации ПК клиента Мы не знаем какие программы клиент устанавливает на свой ПК и тем более не знаем какие программы устанавливаются без его ведома Почему не доверенная среда? Мы не знаем насколько аккуратно клиент будет выполнять рекомендации, данные ему вместе с ПО и аппаратным ключом Мы не знаем на какой ПК и с какого носителя будет устанавливаться ПО Мы только ограниченно можем влиять на процесс установки необходимых дополнений компонентов системы (ДБО, СКЗИ, ОС)

w w w. a l a d d i n. r u 10 eToken NG-FLASH (Java) – комбинированный USB-ключ eToken PRO (Java) + 1, 2, 4, 8*,16* Гб флэш памяти (две области – только чтение и чтение/запись) на борту Сценарий 1 Автоматическая загрузка и установка необходимых драйверов и ПО из защищенной области eToken на любом ПК c ОС Windows (XP, Vista, 7) Достоинства Корректная установка драйверов и ПО на любой ПК (netbook, например) Недостатки Практически никакие проблемы безопасности не решены eToken NG-FLASH (Java) - Сценарии Flash-часть: Любая необходимая информация USB CD-ROM: Дистрибутив системы ДБО Криптопровайдер Драйверы eToken

w w w. a l a d d i n. r u 11 Сценарий 2 Загрузка специализированной операционной системы клиентского ПК из защищенной области eToken NG-Flash Достоинства Предустановленные системы ДБО и СКЗИ в среде специализированной операционной системы Существенно более низкая вероятность заражения вредоносным кодом Гарантированная корректная работа СКЗИ и ДБО в среде специализированной ОС Недостатки Серьезные ограничения на выполняемые в среде специализированной ОС программы – необходимость специализированной версии клиента ДБО Возможность для пользователя взаимодействовать с ресурсами ПК Сложная процедура выполнения обновлений программ, выполняемых в среде специализированной ОС Более высокая цена решения за счет стоимости лицензии (в случае установки ОС Microsoft) eToken NG-FLASH (Java) - Сценарии

w w w. a l a d d i n. r u 12 Сценарий 3 Загрузка ОС Linux c eToken NG-Flash Запуск VMware Player в среде Linux Запуск ОС Windows (XP, Vista, 7) в среде VMware ACE Достоинства Предустановленные системы ДБО и СКЗИ в привычной среде ОС Windows Отсутствие ограничений на устанавливаемые программы Возможность надежного изолирования пользователя от всех внутренних (ПК) и внешних (Интернет) ресурсов, кроме сервера ДБО = обеспечению доверенной среды в любом не доверенном окружении Удобство использования Недостатки Высокая цена решения (сравнимая со средним netbook), вызванная необходимостью лицензирования VMware ACE и Microsoft Windows Несмотря на высокую цену, в одном из крупнейших банков России идет работа по разработке соответствующего решения на базе eToken NG-Flash. Подобное решение было разработано компаниями Aladdin и Almitech еще в 2008 году. eToken NG-FLASH (Java) - Сценарии

w w w. a l a d d i n. r u 13 Тонкий клиент и eToken Anywhere Особенности ДБО, использующих тонких клиентов Клиентом ДБО является браузер Для взаимодействия СКЗИ с аппаратным ключом используются ActiveX или Java компоненты, предустановленные либо загружаемые в начале сеанса работы eToken Anywhere – новый уровень мобильности и безопасности Полный Plug & Play Минимизация возможности фишинга (URL, к которым обращается устройство, содержатся в памяти ключа) Строгая аутентификация клиента и сервера Повышенная защищенность от вредоносного кода Устранение всех следов с ПК, на котором производилась работа с системой ДБО Сервер eToken Anywhere Web сервер ДБО Пользователь 3. Запрос 4. Anyware bundle 1. Подключение токена 2. Автозапуск приложения из CD-ROM области 5. Запуск браузера и переход на сайт ДБО 6. Взаимная строгая аутентификация клиента и сервера 7. Безопасная работа в системе

w w w. a l a d d i n. r u 14 eToken Anywhere – как это работает Алгоритм работы eToken Anywhere После включения eToken Anywhere в порт он распознается системой как CD ROM, с которого выполняется загрузка предустановленного приложения Выполняется проверка наличия на ПК установленного приложения PKI Client Если приложение установлено, eToken переводится в режим PRO и далее работает в этом режиме Если приложение не установлено, с жестко прописанного в ключе URL выполняется загрузка mini PKI Client, целостность которого удостоверяется путем проверки ЭЦП eToken Anywhere переводится в HID режим Mini PKI Client регистрируется в браузере по умолчанию (IE или Firefox) Выполняется сеанс ДБО При корректном завершении сеанса (извлечение ключа или выход из программы через пиктограмму в трее) mini PKI Client выгружается из системы При повторном включении алгоритм в точности повторяется

w w w. a l a d d i n. r u Вопросы? 15

w w w. a l a d d i n. r u Благодарю за внимание! Руководитель направления контент- безопасности Владимир Бычек