🗊W w w. a l a d d i n. r u Руководитель направления контент- безопасности Владимир Бычек v.bychek@aladdin.ru Киев, 22 апреля 2010 года Средства строгой. - п

Ключи eToken Java Содержат Java карту, полностью соответствующую спецификациям Java Card (SUN) и Global Platform Java Card Platform Specification 2.2.1 (http://java.sun.com/products/javacard/) Global Platform (http://www.globalplatform.org) В карту могут быть загружены разнообразные апплеты, реализующие: Западные криптографические алгоритмы (eToken PRO) Российские криптографические алгоритмы (eToken ГОСТ) Другие национальные криптографические алгоритмы Дополнительные апплеты независимых разработчиков Модельный ряд ключей eToken eToken PASS (Генератор одноразовых паролей) eToken PRO (Java) (USB-ключ/смарт-карта) eToken NG-OTP (Java) (Комбинированный USB-ключ с генератором одноразовых паролей) eToken NG-FLASH (Java) (Комбинированный USB-ключ с дополнительным модулем flash-памяти) eToken Anywhere (USB-ключ нового поколения)

eToken PASS eToken PASS – аппаратный OTP токен Решает проблемы Кражи регистрационных данных клиента Перехвата SMS с одноразовым паролем Мобильности (ПК, КПК, телефон …) Плюсы решения Генерация ключа OTP в токене Аутентификация на Radius сервере или в приложении Удобство использования Простота встраивания (1-2 дня) Невысокая цена Минусы решения Подтверждение только факта транзакции, но не ее содержания

eToken PRO (Java) eToken PRO (Java) – защищенное хранилище ключей и сертификатов Позволяет Значительно снизить вероятность компрометации ключей ЭЦП Обеспечить усиленную двухфакторную аутентификацию Плюсы решения Высокая защищенность хранимых данных Соответствие ряду международных стандартов - Common Criteria EAL4+, VISA, USB 2.0 Реализация ряда западных криптографических алгоритмов Нативная поддержка eToken в популярных информационных системах и приложениях (Windows, Lotus Notes Domino, Oracle etc.) Поддержка большинства СКЗИ, сертифицированных как в России, так и странах бывшего СНГ (Казахстан, Беларусь) Невысокая цена Минусы решения В процессе подписи электронного документа закрытый ключ покидает токен и может быть дискредитирован

eToken NG-OTP (Java)

Типичная система ДБО

Наглядный пример атаки

Особенности “толстого” клиента Что получает клиент после заключения договора:

eToken NG-FLASH (Java) - Сценарии eToken NG-FLASH (Java) – комбинированный USB-ключ eToken PRO (Java) + 1, 2, 4, 8*,16* Гб флэш памяти (две области – только чтение и чтение/запись) на борту Сценарий 1 Автоматическая загрузка и установка необходимых драйверов и ПО из защищенной области eToken на любом ПК c ОС Windows (XP, Vista, 7) Достоинства Корректная установка драйверов и ПО на любой ПК (netbook, например) Недостатки Практически никакие проблемы безопасности не решены

eToken NG-FLASH (Java) - Сценарии Сценарий 2 Загрузка специализированной операционной системы клиентского ПК из защищенной области eToken NG-Flash Достоинства Предустановленные системы ДБО и СКЗИ в среде специализированной операционной системы Существенно более низкая вероятность заражения вредоносным кодом Гарантированная корректная работа СКЗИ и ДБО в среде специализированной ОС Недостатки Серьезные ограничения на выполняемые в среде специализированной ОС программы – необходимость специализированной версии клиента ДБО Возможность для пользователя взаимодействовать с ресурсами ПК Сложная процедура выполнения обновлений программ, выполняемых в среде специализированной ОС Более высокая цена решения за счет стоимости лицензии (в случае установки ОС Microsoft)

eToken NG-FLASH (Java) - Сценарии Сценарий 3 Загрузка ОС Linux c eToken NG-Flash Запуск VMware Player в среде Linux Запуск ОС Windows (XP, Vista, 7) в среде VMware ACE Достоинства Предустановленные системы ДБО и СКЗИ в привычной среде ОС Windows Отсутствие ограничений на устанавливаемые программы Возможность надежного изолирования пользователя от всех внутренних (ПК) и внешних (Интернет) ресурсов, кроме сервера ДБО = обеспечению доверенной среды в любом не доверенном окружении Удобство использования Недостатки Высокая цена решения (сравнимая со средним netbook), вызванная необходимостью лицензирования VMware ACE и Microsoft Windows Несмотря на высокую цену, в одном из крупнейших банков России идет работа по разработке соответствующего решения на базе eToken NG-Flash. Подобное решение было разработано компаниями Aladdin и Almitech еще в 2008 году.

“Тонкий” клиент и eToken Anywhere

eToken Anywhere – как это работает

Благодарю за внимание!