eToken NG-OTP: «гибридные» электронные ключи от Aladdin

--> Дата: Фев 18, 2008 94

В последнее время при организации доступа к критически важным информационным ресурсам предприятий активно набирает обороты тенденция замены примитивных систем авторизации по имени и паролю на аппаратную аутентификацию: многие компании в рамках своих корпоративных стандартов безопасности активно внедряют электронные USB-ключи или смарт-карты для аутентификации. Надо отметить, что для подобных действий существуют весьма весомые причины — устаревшая концепция логин/пароль имеет ряд очевидных недостатков: пароли достаточно легко украсть, найти методом перебора или просто забыть, что также обходится весьма недешево.

Кроме того, специфика бизнеса многих крупных компаний часто обязывает их предоставлять доступ к собственным ресурсам сторонним пользователям — партнерам, клиентам, поставщикам, что увеличивает риск внешних и внутренних атак, противостоять которым, имея только простейшую парольную систему разграничения доступа, крайне затруднительно.

Для устранения подобных уязвимостей существуют системы аппаратной двухфакторной аутентификации с использованием специальных электронных ключей, обеспечивающие надежную систему идентификации и разграничения доступа. Однако в некоторых ситуациях (например, если сотрудник работает удаленно или находится в командировке) они неприменимы в силу ряда специфических причин. Так, чтобы воспользоваться обычным USB-ключом, его прежде всего нужно подсоединить к соответствующему порту, а большинство мобильных телефонов и КПК таковыми не оснащено.

Любопытное решение проблемы мобильной аутентификации предложено специалистами компании Aladdin Software Security R.D. (http://www.aladdin.ru) в виде электронного ключа нового поколения eToken NG-OTP, дополнившего продуктовую линейку устройств для безопасного доступа eToken. Чтобы исключить риск компрометации пароля и обеспечить безопасный доступ к корпоративным ресурсам, в том числе и удаленный, была взята на вооружение концепция «одноразового пароля» (One-Time-Password, ОТР). Таким образом, eToken NG-OTP представляет собой универсальное комбинированное аппаратное устройство, снабженное генератором одноразовых паролей для удаленного доступа и позволяющее реализовать широкий спектр решений, связанных с аутентификацией и обеспечением безопасности, включая аутентификацию на основе PKI, обычного пароля или ОТР.

Новый ключ представляет собой «гибрид», в котором сочетаются два отдельных модуля. Первый обеспечивает функционал электронного ключа eToken PRO для двухфакторной аутентификации, надежного хранения ключевой информации, аппаратного выполнения криптографических вычислений и работы с асимметричными ключами и сертификатами Х.509. Благодаря интеграции всех возможностей eToken PRO в новое устройство последнее можно использовать для доступа к защищенным данным, для защиты электронных документов (ЭЦП, шифрование), для установления защищенных соединений (VPN, SSL), для проведения финансовых транзакций и т. п.

Второй модуль — собственно OTP — предназначен для аутентификации в том случае, когда USB-порт недоступен (например, в Интернет-кафе) или же устройство, с помощью которого планируется получить доступ к информационным ресурсам, попросту не оборудовано USB-разъемом (КПК, смартфон, мобильный телефон и т. д.). Технология ОТР подразумевает использование пароля только единожды: каждый раз, когда необходимо пройти аутентификацию, генерируется новый пароль. При этом eToken NG-OTP может работать без специального клиентского ПО, что делает возможным безопасный вход в сеть откуда угодно: из электронных библиотек, «чужого» офиса и т. п. В этом случае работа с ключом организована следующим образом: пользователь, желающий получить удаленный доступ к информационным ресурсам, подключается к Интернету и открывает диалоговое окно для ввода персональных данных. После нажатия на кнопку ключа генерируется шестизначный OTP, который отображается на ЖК-дисплее в течение 15 с. В диалоговом окне пользователь вводит свой логин, специальный собственный PIN-код, который он должен помнить, и сгенерированное значение OTP (вводится как суффикс к PIN-коду пользователя). Все введенные значения проверяются на стороне сервера, после чего устанавливается, имеет ли их владелец право на работу с закрытыми данными. При совпадении введенного OTP с тем, который был сгенерирован сервером (синхронизация по событию), а также подтверждении логина и PIN-кода, аутентификация успешно завершается с последующим определением прав доступа к тем или иным информационным ресурсам. Таким образом, даже если злоумышленник подсмотрит одноразовый пароль OTP, он не сможет воспользоваться им повторно, так как при следующей аутентификации будет применяться другой пароль.

Как и в архитектуре eToken PRO, в состав нового устройства входит микросхема смарт-карты Infineon SLE66CX со встроенной защищенной памятью и аппаратный датчик случайных чисел. В eToken NG-OTP аппаратно реализованы алгоритмы RSA 1024bit, DES, Triple-DES 168bit, SHA-1, MAC, Retail-MAC и HMAC-SHA1, а каждому ключу присвоен уникальный ID.

Электронные ключи eToken NG-OTP выпускаются в двух разновидностях — с объемом памяти 32 и 64 Кбайт. Для повышения функциональности они оборудованы специальным элементом питания с увеличенным временем жизни, в результате чего число генераций ОТР в автономном режиме достигает приблизительно 7000.

Для работы eToken NG-OTP необходимо наличие сервера аутентификации RADIUS, что позволяет интегрировать это решение с любыми VPN-шлюзами и приложениями, поддерживающими протокол аутентификации RADIUS. Для получения информации о пользователях сервер RADIUS использует инфраструктуру Active Directory посредством недавно выведенной компанией Aladdin на российский рынок системы управления средствами аутентификации TMS (Token Management System). Стоит отметить, что TMS — это универсальная система для управления самыми разнообразными средствами аутентификации (смарт-карты, стандартные USB-устройства, электронные ключи с технологией OTP).