w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Максим Чирков 17 июля 2013 г. г. Калуга Современные средства аутентификации и электронной подписи

w w w. a l a d d i n – r d. r u Задачи решаемые продуктами Аладдин Р.Д. Аутентификация Защищённое хранения ключевой информации Централизованное управление средствами аутентификации Централизованное управление доступом в парольные (унаследованные) приложения Защита он НСД (защита при хранении) Защита в СУБД Oracle ЭЦП (ЭП) Организация доверенной среды («железо»+ПО) 2

w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Аутентификация – первый шаг к ЗИ 3

w w w. a l a d d i n – r d. r u Аутентификация Парольная –Многоразовые пароли –Одноразовые пароли Строгая (с использованием криптографических методов) Биометрическая 4

w w w. a l a d d i n – r d. r u Что такое смарт-карта или токен? 5 Двухфакторная аутентификация (знать – PIN-код, иметь – смарт-карту)

w w w. a l a d d i n – r d. r u Сценарии применения eToken в корпоративной системе Локальная аутентификация на раб.станции/ноутбуке Аутентификация в домене Аутентификация в терминальной сессии (RDP) Аутентификация Citrix Аутентификация и построение VPN ЭЦП в системах документооборота ЭЦП и шифрование почты и т.д. 6

w w w. a l a d d i n – r d. r u 7 Смарт-карты JaCarta ГОСТ / eToken ГОСТ генерация ключей (срок хранения до 3-х лет) хеширование данных; создание ЭП; проверка ЭП; формирование общего ключа симметричного шифрования (ГОСТ ), по протоколу Диффи-Хеллмана. "На борту" смарт-карты реализованы криптографические функции: 7

w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Тренды и новинки этого года

w w w. a l a d d i n – r d. r u Единая карта сотрудника Поддержка имеющегося функционала смарт-карт Новый функционал: –Платёжная карта; –Сертификат для портала –Квалифицированная ЭП; –Визуализация информации на карте (пропуск) 9

w w w. a l a d d i n – r d. r u Зарплатная карта с ЭП «на борту» Карта становиться платёжной: –Повышение внимания пользователя к карте (так как на карте лежат деньги); –Уменьшение риска передачи карты коллегам; –Уменьшение количества карт у пользователя; 10

w w w. a l a d d i n – r d. r u Квалифицированная ЭП Авторизация на сайте и подпись документов 11

w w w. a l a d d i n – r d. r u Контроль доступа в помещение Доступ в помещения: –Проход через КПП; –Проход в помещения; 12

w w w. a l a d d i n – r d. r u Биометрия Для руководителей, возможно использование биометрии: –Повышение уровня безопасности за счёт привязки карты к неотъемлемому свойству пользователю (отпечатку пальца); –Повышает удобство использования – нет необходимости запоминать PIN и вводить его – достаточно приложить палец; –Устраняет риск «забывания» PIN-кода; –Может использоваться как замена PIN-кода, так и в дополнение к нему; 13

w w w. a l a d d i n – r d. r u Возможности настройки доступа к смарт-карте 1. + ПИН-код ( ПИН-кодили ) 4. +( ПИН-код и ) 14

w w w. a l a d d i n – r d. r u Развитие корпоративной мобильности 15 BYOD (Bring Your Own Device) Принеси свое собственное устройство Gartner: К 2014 году 90% компаний будут поддерживать корпоративные приложения на устройствах, которые находятся в собственности работников Gartner: К 2014 году 90% компаний будут поддерживать корпоративные приложения на устройствах, которые находятся в собственности работников Gartner: «Внедрение пользовательских устройств (смартфонов и планшетов) в корпоративные ИТ-системы будет самым значительным трендом, влияющим на ИТ в ближайшие 10 лет». Основные отрасли финансы и страхование, так как в них работает наибольшее количество мобильных сотрудников»

w w w. a l a d d i n – r d. r u 16 Распространённость мобильных платформ

w w w. a l a d d i n – r d. r u 17 Сотрудники "Аладдин Р.Д."

w w w. a l a d d i n – r d. r u Особенности ЭП для Apple iOS 18 Закрытая платформа (и меньшая уязвимость) –Отсутствие доступа к SDK нижнего уровня (уровня ОС, для работы с "железом", коммуникациями – порт, SIM) –Нет USB, MicroSD, только "закрытый" разъём Apple Dock (Lightning) –Jailbreak?! Только усугубит проблему безопасности Архитектурные ограничения iOS, политика Apple и законодательные ограничения –Монолитный код приложений, нет подгружаемых модулей –Приложение компилируется вместе с СКЗИ (и содержит СКЗИ…) –При распространении приложений через AppStore: приложение не должно содержать криптографию (политика Apple); получаем распространение нашей криптографии с американского сайта (законодательные ограничения - экспорт криптографии). –Единственный путь – "In-House Distribution" Приемлем не всегда и не для всех …

w w w. a l a d d i n – r d. r u Смарт-карты с ЭП "на борту" 19

w w w. a l a d d i n – r d. r u Смарт-карт ридер Универсальный –iOS, Mac OS, Windows, Linux, Android* – через кабель- переходник –CCID-совместимый – не требует установки драйверов Быстрый – сразу готов к работе, выбирает максимально возможную скорость обмена Совместимый –EMV Level 1 (Pay&Sign) –Эмбоссированные карты –Проект "Электронное правительство", ДБО, ЭДО –УЦ Специальная прошивка (с модулем лицензирования) 20 Поставляем как часть решения под брендом "Аладдин Р.Д." (OEM)

w w w. a l a d d i n – r d. r u 21 w w w. a l a d d i n – r d. r u 21 Подключение к смартфонам Apple Для нового разъёма (Lightning) используется стандартный переходник

w w w. a l a d d i n – r d. r u Подключение к планшетам Apple 22 Для нового разъёма (Lightning) используется стандартный переходник

w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Электронная подпись для мобильных устройств Android 23

w w w. a l a d d i n – r d. r u Особенности ЭП для Android 24 Открытая платформа (и потенциально бОльшая уязвимость) –Довольно большой "зоопарк", возможны проблемы совместимости –Можно работать с уровнем ОС, "железом", портами –Как правило, есть USB (но не везде Host), MicroSD Средства ЭП – возможные варианты 1.Смарт-карта с криптографией (+ тот же ридер – один для всех других ПК, планшета, смартфона) 2.Карточка Secure MicroSD с интегрированным в неё чипом смарт- карты с сертифицированной криптографией 3.USB-токен с переходником (?) Нет единого решения –Проблемы "зоопарка" –Для карты (ридера) и токена нужен USB-host (есть не везде!)

w w w. a l a d d i n – r d. r u Архитектура JaCarta Secure MicroSD 25 Интерфейс SD с ЭП

w w w. a l a d d i n – r d. r u Дополнительные возможности Оптимальный форм-фактор исполнения для использования в решениях класса M2M (Machine-to- machine) Возможность длительной работы в off-line режиме без потери информации Возможность распространения дистрибутивов ПО 26

w w w. a l a d d i n – r d. r u Secure MicroSD с российской криптографией 27 Одна карточка JaCarta Secure MicroSD для всех устройств Планшет Телефон SD-переходник для ноутбука USB-переходник для ноутбука, ПК Модем с разъёмом для MicroSD – "офис в кармане"

w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Строгая аутентификация и электронная подпись для облачных сервисов

w w w. a l a d d i n – r d. r u Облачные сервисы – акселератор развития рынка По прогнозам IDC, к концу 2015 года объем российского рынка облачных услуг превысит отметку в $1,2 млрд. +Среднегодовой темп роста более 100% Многие сервисы требуют юридической значимости +Требуется строгая аутентификация и квалифицированная электронная подпись +Аутентификация и ЭП теперь всегда идут вместе! Необходимым условием является применение electronic signature creation device (смарт-карты или USB-токена с ЭП «на борту» 29

w w w. a l a d d i n – r d. r u Облачные сервисы с документами, имеющими юридическую силу Дистанционное банковское обслуживание Государственные услуги Декларирование («налоговая», «таможня», ПФР и т.д.) Системы электронного документооборота Электронные торговые площадки и т.д. + Региональные системы ведомственной стат.отчёсности + Личные кабинеты оптовиков в системах поставщиков + Корпоративные порталы/системы + и т.д. 30

w w w. a l a d d i n – r d. r u 31 Современные требования к сервисам с ЭП 1. Комплексная ИБ в не доверенной среде для пользователя 2. Выполнение требований законодательства в области использования СКЗИ и средств ЭП 3. Простота и удобство работы с WEB-сервисом для конечного пользователя

w w w. a l a d d i n – r d. r u Что сейчас? Только Windows Только Internet Explorer* Дополнительно необходим криптопровайдер Настройки, требующие высокой квалификации «Привязка» к конкретному компьютеру Электронная подпись только на 1 год 32

w w w. a l a d d i n – r d. r u Как сделать работу с ЭП в Web удобнее, мобильнее и безопаснее? 33

w w w. a l a d d i n – r d. r u 34 Решение – технология JC-WebClient взаимную строгую двухфакторную аутентификацию квалифицированную ЭП web-форм, документов, файлов защиту передаваемых данных возможность работы с web-приложениями в безопасном режиме, используя практически любой компьютер или мобильное устройство, имеющие Интернет-подключение Технология обеспечивает:

w w w. a l a d d i n – r d. r u 35 Технология JC-WebClient Интернет web-браузер плагин JC-WebClient Пользователь электронный ключ встраиваемый модуль Специализированный web-браузер Провайдер сервиса

w w w. a l a d d i n – r d. r u Виды электронных ключей с «ЭП на борту» 36 Закрытый ключ никогда не экспортируется из памяти устройства фундаментальный шаг к максимально безопасному хранению закрытых ключей!

w w w. a l a d d i n – r d. r u Плагин JC-WebClient Интернет Провайдер сервиса web-браузер плагин JC-WebClient Пользователь электронный ключ встраиваемый модуль JC-WebClient плагин, обеспечивающий взаимодействие Web- приложения с электронным ключом в рамках сеанса Web-браузера. При первом посещении Web-портала автоматически подгружается и устанавливается в браузер.

w w w. a l a d d i n – r d. r u Комплект разработчика JC-WebClient SDK Интернет Провайдер сервиса web-браузер плагин JC-WebClient Пользователь электронный ключ встраиваемый модуль Комплект разработчика JC-WebClient SDK необходим для встраивания технологии в Web-порталы и облачные сервисы (библиотека SSLServer + примеры ASP.Net и PHP): Позволяет реализовать набор действий с электронной подписью и цифровыми сертификатами на стороне сервера Позволяет формировать защищенный канал передачи данных, используя российскую криптографию

w w w. a l a d d i n – r d. r u JC-WebClient –удобный инструмент Быстрое внедрение криптографии на любой Web- ресурс (B2B-Center: 2 недели на «боевой» системе) Минимальная* стоимость клиентского раб.места Презентация технологии в любом месте SDK партнёрам предоставляется бесплатно Оперативная компетентная помощь сотрудников Аладдин Р.Д. 39

w w w. a l a d d i n – r d. r u Примеры реализации технологии JC-WebClient 40

w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Спасибо за Ваше внимание! 41 Завтрашние технологии Сегодня!