W w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Сергей Груздев Генеральный директор 7.06.2012 Технологии обеспечения безопасной работы клиентов.

Презентация:



Advertisements
Похожие презентации
W w w. a l a d d i n. r u С.А. Белов, руководитель стратегических проектов, Aladdin Москва, 11 декабря 2008 Использование токенов с аппаратной реализацией.
Advertisements

W w w. a l a d d i n. r u А.Г. Сабанов, зам.ген.директора, ЗАО «Аладдин Р.Д.» Инфофорум, 27 апреля 2009 Об одной проблеме применения ЭЦП как сервиса безопасности.
W w w. a l a d d i n. r u eToken PRO Anywhere 1 Безопасный удаленный доступ с любого компьютера!
W w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Максим Чирков 17 июля 2013 г. г. Калуга Современные средства аутентификации и электронной подписи.
Горелов Дмитрий, компания «Актив» февраля 2012 г. IV Межбанковская конференция «Уральский Форум: Информационная Безопасность Банков» Технические.
ПЕРСОНАЛЬНОЕ СКЗИ ШИПКА ОКБ САПР Москва, 2007.
«Электронная подпись в облаках и на земле» Фураков Александр Заместитель коммерческого директора ООО «КРИПТО-ПРО»
W w w. a l a d d i n. r u Методы снижения рисков при осуществлении финансовых транзакций в сети Интернет Денис Калемберг, Менеджер по работе с корпоративными.
Опыт применения комплекса средств защиты информации ViPNet в банковском секторе Алексей Уривский менеджер по продуктам Тел.: (495)
БЕЗОПАСНОСТЬ ИНИСТ БАНК-КЛИЕНТ. Введение Основным назначением системы «ИНИСТ Банк- Клиент» является предоставление клиентам банков возможности удаленного.
Безопасно ли работать со своими данными через Интернет?
Система защиты информации Крипто Про. Система КриптоПро CSP является средством криптографической защиты информации и предназначена для авторизации и обеспечения.
W w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Здор Владимир Новейшие решения компании Aladdin для обеспечения информационной безопасности.
РЕШЕНИЯ КОМПАНИИ «АКТИВ» ДЛЯ СИСТЕМ ДБО Сухов Евгений, компания «Актив» 7-8 февраля 2012 г. XII Международный Форум iFin-2012 «Электронные финансовые услуги.
ОКБ САПР Персональное средство криптографической защиты информации «ШИПКА»
Технология ViPNet Центр Технологий Безопасности ТУСУР, 2010.
Аутентификация в системах Интернет-банкинга Анализ типичных ошибок Сергей Гордейчик Positive Technologies.
Практика построения и эксплуатации защищенной среды передачи данных Плетнёв Павел Валерьевич Барнаул 2014.
система защиты рабочих станций и серверов на платформе Windows XP/2003/2008R2/Vista/7 модуль доверенной загрузки операционной системы Windows 2000/XP/2003/Vista/7/2008.
1 Брелок eToken. 2 Это первый полнофункциональный аналог смарт-карты, выполненный в виде брелока, архитектурно реализован как USB карт-ридер с встроенной.
Транксрипт:

w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Сергей Груздев Генеральный директор Технологии обеспечения безопасной работы клиентов ДБО Строгая аутентификация и квалифицированная электронная подпись для портальных решений и облачный сервисов Как получить квалифицированную электронную подпись при работе в недоверенной среде

w w w. a l a d d i n – r d. r u Облачные сервисы – акселератор развития рынка По прогнозам IDC, к концу 2015 года объем российского рынка облачных услуг превысит отметку в $1,2 млрд. Среднегодовой темп роста более 100% Примеры действующих Web (облачных) сервисов Единый Портал Госуслуг ДБО Предоставление электронной отчетности и т.д. Многие сервисы требуют юридической значимости Требуется строгая аутентификация и квалифицированная электронная подпись Аутентификация и ЭЦП теперь всегда идут вместе! Необходимым условием является применение electronic signature creation device (смарт-карты или USB-токена с ЭЦП «на борту» и УЦ 2

w w w. a l a d d i n – r d. r u Примеры подходов Поставить CSP, включить SSL/TLS (по ГОСТу) –Получается толстый клиент –CSP надо установить –Требуются права локального администратора –Как доставить (это СКЗИ) –Не для всех платформ –Как обеспечить контроль целостности среды (АПМДЗ не поставишь) –Срок хранения закрытого ключа всего 1 год – для массовых сервисов этого мало –Доля успешных атак на кражу ключей или несанкционированное использование СКЗИ (на примере ДБО) – более 70% 3

w w w. a l a d d i n – r d. r u Примеры подходов Подписывать документы на стороне сервера –Поставить HSM с закрытыми ключами пользователей –Доступ к ключам ЭЦП предоставлять после аутентификации пользователей по одноразовому паролю (ОТР-токен, генерация ОТР в телефоне) Удобно, можно работать с любыми платформами, в т.ч. и с мобильными, использовать так полюбившиеся iPad, iPhone и пр. НО: Надежность системы определяется самым слабым ее звеном – ненадежностью ОТР-аутентификации пользователя (кто дал распоряжение за меня подписать документ?) –Так можно получить только усиленную эл. подпись 4

w w w. a l a d d i n – r d. r u Примеры подходов Подписывать документы на стороне клиента –Куча проблем: Как сделать строгую аутентификацию на тонком клиенте, для разных платформ Как доверять тому что подписывается в недоверенной среде (новые атаки с подменой документа) Токен (карта) с аппаратной ЭЦП (с неизвлекаемым закрытым ключом) сами по себе не панацея… –Еще варианты: Загрузка доверенной среды с USB-Flash токена Проблемы с сетевыми настройками, сильная зависимость от аппаратуры 5

w w w. a l a d d i n – r d. r u Распределение по типам атак * Банки, ДБО – лакмусовая бумажка – что нас ждет Рынок ДБО - «средняя температура по больнице» выглядит так: 6 % Кража закрытого ключа с диска или незащищённого носителя #3 – (>70%) Удаленное управление компьютером (с пробросом USB-порта) #2 – (~10%) Кража СКЗИ, несанкционированное использование #4 – (

w w w. a l a d d i n – r d. r u Аутентификация и ЭЦП для облачных сервисов 7 Технология взаимной двухфакторной аутентификации и квалифицированной электронной подписи для Web-порталов и облачных сервисов (тонкий клиент ДБО) Без предварительной установки драйверов, дополнительного ПО третьих фирм, без административных прав Для любой клиентской платформы – Windows, Mac, Linux Для любого браузера – MS IE, Firefox, Chrome, Opera, Safari С любым Web-сервером С защитой от современных атак и возможностью работы из недоверенной среды С поддержкой PKI смарт-карты Для облачных сервисов на первое место ставится удобство использования

w w w. a l a d d i n – r d. r u Работа с Web-порталами и облачными сервисами USB-токен или смарт-карта с реализацией сертифицированной российской криптографии «на борту» –Используется как персональное средство взаимной строгой двухфакторной аутентификации пользователя и портала, для формирования ЭЦП с неизвлекаемым закрытым ключом –Не требуется установка драйверов в современных ОС (Windows XP, MacOS, Linux), не требуются права локального администратора –Сертификат ФСБ (КС2), срок хранения закрытого ключа до 3х лет с возможность самостоятельной перегенерации ключей (у конкурентов надо принести токен и переформатировать его на АРМе) 8

w w w. a l a d d i n – r d. r u Работа с Web-порталами и облачными сервисами Кроссплатформенный мультибраузерный плагин, обеспечивающий взаимодействие Web-приложения с токеном/картой в контексте браузера –Устанавливается автоматически при первом посещении Web-портала (как плагин в IE, Firefox, Chrome, Safari, Opera), права локального администратора не нужны –Аутентификация – с использованием ЭЦП (на прикладном уровне) –Защита данных – устанавливается SSL-соединение, поверх него – шифрование передаваемых данных по ГОСТ (на прикладном уровне) –ЭЦП Web-форм / файлов (аппаратно – токеном или картой) 9

w w w. a l a d d i n – r d. r u Работа с Web-порталами и облачными сервисами Пример: 10

w w w. a l a d d i n – r d. r u Платежная карта с ЭЦП на борту В рамках проекта «Электронное правительство» отработана технология выпуска и применения банковских карт MasterCard с сертифицированной Электронной Цифровой Подписью (ЭЦП) –Обеспечена 100% совместимость карт в платежной инфраструктуре, в PKI, с Web / облачными сервисами –В несколько крупных банков вместе с Ростелекомом запускают первые ко-бренд проекты Зарплатные проекты С доступом к порталу госуслуг Для сотрудников банка - пропуск (ID + СКУД), доступ в ИС, ЭЦП, платежные функции –ЭЦП на карте может использоваться в других системах ДБО, Home banking (в частности, с БСС, StepUp, R-Style) е-отчетность, е-торги, е-декларирование, е-коммерция (счета- фактуры), облачные сервисы 11

w w w. a l a d d i n – r d. r u Возможности комбинированной карты 12 RFID – опция Гальванически развязан с чипом s/c Может быть 2 разных RFID-модуля Доступ в помещения, на парковку Проезд в общественном транспорте Биометрия (опция) может использоваться как третий фактор (PIN+) или второй (вместо PIN) для доступа к ИС PIN-коды для платежного приложения и для ЭЦП разные

w w w. a l a d d i n – r d. r u Возможности использования М\н платежная карта (MasterCard, Visa) –Зарплатный проект, карта сотрудника предприятия Персональное средство формирования квалифицированной ЭП (приравненной к собственноручной подписи) –Для использования в проектах, где требуется юридически значимый ЭДО Получение гос. услуг (Единый и региональные порталы гос. услуг) ДБО, Интернет-банкинг (карта поддерживается всеми крупными разработчиками: BSS, StepUp, R-Style и др.) Сдача эл. отчетности (налоговая отчетность, декларации, пенсионная отчетность, статистика, таможенное декларирование и пр.) Эл. счета-фактуры (поддержка КриптоПро CSP, УЦ, операторами: ТаксКом, Калуга-Астрал, сделана интеграция в 1С-Предприятие) Российский союз автостраховщиков (единая база тех. осмотра) 13

w w w. a l a d d i n – r d. r u Платежная карта с ЭЦП на борту (пример) 14 Можем работать: MasterCard Visa Про100* ЭЦП с неизвлекаемым закрытым ключом, 3 года с возможностью самостоятельной перегенерации Можем использовать третий фактор – биометрию

w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Проблемы недоверенной среды 15 Как получить квалифицированную электронную подпись при работе в недоверенной среде?

w w w. a l a d d i n – r d. r u Проблемы недоверенной среды 16 …идут от недоверенного «железа»

w w w. a l a d d i n – r d. r u Проблемы недоверенной среды Доверия невозможно добиться без доверенногожелеза –Закрытый модуль BMC, зашитый в BIOS код Management Agent (5 Мб бинарного кода!), выкусить его нельзя – в нем Clock-генератор –Использование сертифицированных ОС и др. средств ИБ, проверок BIOS на недоверенном железе, с новыми функциями удаленного управления не решает проблем –BIOS-гипервизор, закладки по технологии аппаратной виртуализации «не ловятся» 17

w w w. a l a d d i n – r d. r u 18 Работа с Web-порталами и облачными сервисами Защита от атак с подменой подписываемого документа назараженном компьютере, с перехватом управления или с пробросом USB-порта на удаленный компьютер злоумышленника –Смарт-карт ридер с визуализацией подписываемого документа (значимые поля – по тегам) –Встроенная поддержка в плагин для браузеров

w w w. a l a d d i n – r d. r u Что дальше? ЭЦП для мобильных платформ Secure MicroSD для планшетов и телефонов Интегрирован чип смарт-карты с сертифицированной российской криптографией (ЭЦП с неизвлекаемым закрытым ключом) Функционал как у токенов и смарт-карт с ЭЦП на борту + Flash (2-8 Гб) Телефон может использоваться как средство визуализации подписываемого документа и как второй канал для подтверждения транзакций –В новой версии скорость аппаратного вычисления хэш и шифрование по ГОСТ – до 40 Кб/с SIM-карта с ЭЦП на «борту» – Технология аутентификации и ЭЦП документов через операторов мобильной связи 19

w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Спасибо за Ваше внимание! 20 Инновации Лидерство Партнерство