W w w. a l a d d i n. r u Руководитель направления контент- безопасности Владимир Бычек v.bychek@aladdin.ru Киев, 22 апреля 2010 года Средства строгой.

Презентация:



Advertisements
Похожие презентации
W w w. a l a d d i n. r u С.А. Белов, руководитель стратегических проектов, Aladdin Москва, 11 декабря 2008 Использование токенов с аппаратной реализацией.
Advertisements

W w w. a l a d d i n. r u А.Г. Сабанов, зам.ген.директора, ЗАО «Аладдин Р.Д.» Инфофорум, 27 апреля 2009 Об одной проблеме применения ЭЦП как сервиса безопасности.
W w w. a l a d d i n. r u eToken PRO Anywhere 1 Безопасный удаленный доступ с любого компьютера!
W w w. a l a d d i n. r u Методы снижения рисков при осуществлении финансовых транзакций в сети Интернет Денис Калемберг, Менеджер по работе с корпоративными.
ПЕРСОНАЛЬНОЕ СКЗИ ШИПКА ОКБ САПР Москва, 2007.
1 Брелок eToken. 2 Это первый полнофункциональный аналог смарт-карты, выполненный в виде брелока, архитектурно реализован как USB карт-ридер с встроенной.
Аутентификация в системах Интернет-банкинга Анализ типичных ошибок Сергей Гордейчик Positive Technologies.
Горелов Дмитрий, компания «Актив» февраля 2012 г. IV Межбанковская конференция «Уральский Форум: Информационная Безопасность Банков» Технические.
система защиты рабочих станций и серверов на платформе Windows XP/2003/2008R2/Vista/7 модуль доверенной загрузки операционной системы Windows 2000/XP/2003/Vista/7/2008.
БЕЗОПАСНОСТЬ ИНИСТ БАНК-КЛИЕНТ. Введение Основным назначением системы «ИНИСТ Банк- Клиент» является предоставление клиентам банков возможности удаленного.
Федеральное государственное унитарное предприятие «Научно-технический центр «Атлас»
КОНЦЕПЦИЯ ДОВЕРЕННОЙ ВЫЧИСЛИТЕЛЬНОЙ СИСТЕМЫ: СОДС МАРШ!
«Электронная подпись в облаках и на земле» Фураков Александр Заместитель коммерческого директора ООО «КРИПТО-ПРО»
ОКБ САПР Персональное средство криптографической защиты информации «ШИПКА»
Хищения по системам ДБО. Прямые угрозы и скрытые риски. iBank 2 Key на страже безопасности ДБО: практика и перспективы Москва 2010 X международный форум.
Безопасность электронного документооборота на базе типовой платформы Михаил Димитрогло ИнтерТраст (495)
Клиент банка под атакой © 2009, Digital Security.
22:34 Использование eToken
Система защиты информации Крипто Про. Система КриптоПро CSP является средством криптографической защиты информации и предназначена для авторизации и обеспечения.
РЕШЕНИЯ КОМПАНИИ «АКТИВ» ДЛЯ СИСТЕМ ДБО Сухов Евгений, компания «Актив» 7-8 февраля 2012 г. XII Международный Форум iFin-2012 «Электронные финансовые услуги.
Транксрипт:

w w w. a l a d d i n. r u Руководитель направления контент- безопасности Владимир Бычек Киев, 22 апреля 2010 года Средства строгой аутентификации в новой парадигме: от защиты объекта - к защите взаимодействия

w w w. a l a d d i n. r u Средство аутентификации -> eToken Система -> ДБО 2

w w w. a l a d d i n. r u 3 Содержат Java карту, полностью соответствующую спецификациям Java Card (SUN) и Global Platform Java Card Platform Specification ( Global Platform ( В карту могут быть загружены разнообразные апплеты, реализующие: Западные криптографические алгоритмы (eToken PRO) Российские криптографические алгоритмы (eToken ГОСТ) Другие национальные криптографические алгоритмы Дополнительные апплеты независимых разработчиков Модельный ряд ключей eToken eToken PASS (Генератор одноразовых паролей) eToken PRO (Java) (USB-ключ/смарт-карта) eToken NG-OTP (Java) (Комбинированный USB-ключ с генератором одноразовых паролей) eToken NG-FLASH (Java) (Комбинированный USB-ключ с дополнительным модулем flash-памяти) eToken Anywhere (USB-ключ нового поколения) Ключи eToken Java

w w w. a l a d d i n. r u 4 eToken PASS – аппаратный OTP токен Решает проблемы Кражи регистрационных данных клиента Перехвата SMS с одноразовым паролем Мобильности (ПК, КПК, телефон …) Плюсы решения +Генерация ключа OTP в токене +Аутентификация на Radius сервере или в приложении +Удобство использования +Простота встраивания (1-2 дня) +Невысокая цена Минусы решения Подтверждение только факта транзакции, но не ее содержания eToken PASS

w w w. a l a d d i n. r u eToken PRO (Java) – защищенное хранилище ключей и сертификатов Позволяет Значительно снизить вероятность компрометации ключей ЭЦП Обеспечить усиленную двухфакторную аутентификацию Плюсы решения +Высокая защищенность хранимых данных +Соответствие ряду международных стандартов - Common Criteria EAL4+, VISA, USB Реализация ряда западных криптографических алгоритмов + Нативная поддержка eToken в популярных информационных системах и приложениях (Windows, Lotus Notes Domino, Oracle etc.) + Поддержка большинства СКЗИ, сертифицированных как в России, так и странах бывшего СНГ (Казахстан, Беларусь) + Невысокая цена Минусы решения В процессе подписи электронного документа закрытый ключ покидает токен и может быть дискредитирован 5 eToken PRO (Java)

w w w. a l a d d i n. r u 6 eToken NG-OTP (Java) Вес транзакции: до $100 от $100 до $1000 > $1000 eToken NG-OTP (Java) - Комбинированный USB-ключ с генератором одноразовых паролей

w w w. a l a d d i n. r u 7 Типичная система ДБО Сервер ДБО Клиент ДБО СКЗИ eToken C&C VPN

w w w. a l a d d i n. r u Наглядный пример атаки 8

w w w. a l a d d i n. r u Клиентское ПО Аппаратный ключ ( в хорошем случае) ПО СКЗИ (драйверы etc.) Руководство пользователя 9 Что получает клиент после заключения договора: Особенности толстого клиента Не доверенная среда Не контролируемая среда Почему не контролируемая среда? Мы изначально не знаем конфигурации ПК клиента Мы не знаем какие программы клиент устанавливает на свой ПК и тем более не знаем какие программы устанавливаются без его ведома Почему не доверенная среда? Мы не знаем насколько аккуратно клиент будет выполнять рекомендации, данные ему вместе с ПО и аппаратным ключом Мы не знаем на какой ПК и с какого носителя будет устанавливаться ПО Мы только ограниченно можем влиять на процесс установки необходимых дополнений компонентов системы (ДБО, СКЗИ, ОС)

w w w. a l a d d i n. r u 10 eToken NG-FLASH (Java) – комбинированный USB-ключ eToken PRO (Java) + 1, 2, 4, 8*,16* Гб флэш памяти (две области – только чтение и чтение/запись) на борту Сценарий 1 Автоматическая загрузка и установка необходимых драйверов и ПО из защищенной области eToken на любом ПК c ОС Windows (XP, Vista, 7) Достоинства Корректная установка драйверов и ПО на любой ПК (netbook, например) Недостатки Практически никакие проблемы безопасности не решены eToken NG-FLASH (Java) - Сценарии Flash-часть: Любая необходимая информация USB CD-ROM: Дистрибутив системы ДБО Криптопровайдер Драйверы eToken

w w w. a l a d d i n. r u 11 Сценарий 2 Загрузка специализированной операционной системы клиентского ПК из защищенной области eToken NG-Flash Достоинства Предустановленные системы ДБО и СКЗИ в среде специализированной операционной системы Существенно более низкая вероятность заражения вредоносным кодом Гарантированная корректная работа СКЗИ и ДБО в среде специализированной ОС Недостатки Серьезные ограничения на выполняемые в среде специализированной ОС программы – необходимость специализированной версии клиента ДБО Возможность для пользователя взаимодействовать с ресурсами ПК Сложная процедура выполнения обновлений программ, выполняемых в среде специализированной ОС Более высокая цена решения за счет стоимости лицензии (в случае установки ОС Microsoft) eToken NG-FLASH (Java) - Сценарии

w w w. a l a d d i n. r u 12 Сценарий 3 Загрузка ОС Linux c eToken NG-Flash Запуск VMware Player в среде Linux Запуск ОС Windows (XP, Vista, 7) в среде VMware ACE Достоинства Предустановленные системы ДБО и СКЗИ в привычной среде ОС Windows Отсутствие ограничений на устанавливаемые программы Возможность надежного изолирования пользователя от всех внутренних (ПК) и внешних (Интернет) ресурсов, кроме сервера ДБО = обеспечению доверенной среды в любом не доверенном окружении Удобство использования Недостатки Высокая цена решения (сравнимая со средним netbook), вызванная необходимостью лицензирования VMware ACE и Microsoft Windows Несмотря на высокую цену, в одном из крупнейших банков России идет работа по разработке соответствующего решения на базе eToken NG-Flash. Подобное решение было разработано компаниями Aladdin и Almitech еще в 2008 году. eToken NG-FLASH (Java) - Сценарии

w w w. a l a d d i n. r u 13 Тонкий клиент и eToken Anywhere Особенности ДБО, использующих тонких клиентов Клиентом ДБО является браузер Для взаимодействия СКЗИ с аппаратным ключом используются ActiveX или Java компоненты, предустановленные либо загружаемые в начале сеанса работы eToken Anywhere – новый уровень мобильности и безопасности Полный Plug & Play Минимизация возможности фишинга (URL, к которым обращается устройство, содержатся в памяти ключа) Строгая аутентификация клиента и сервера Повышенная защищенность от вредоносного кода Устранение всех следов с ПК, на котором производилась работа с системой ДБО Сервер eToken Anywhere Web сервер ДБО Пользователь 3. Запрос 4. Anyware bundle 1. Подключение токена 2. Автозапуск приложения из CD-ROM области 5. Запуск браузера и переход на сайт ДБО 6. Взаимная строгая аутентификация клиента и сервера 7. Безопасная работа в системе

w w w. a l a d d i n. r u 14 eToken Anywhere – как это работает Алгоритм работы eToken Anywhere После включения eToken Anywhere в порт он распознается системой как CD ROM, с которого выполняется загрузка предустановленного приложения Выполняется проверка наличия на ПК установленного приложения PKI Client Если приложение установлено, eToken переводится в режим PRO и далее работает в этом режиме Если приложение не установлено, с жестко прописанного в ключе URL выполняется загрузка mini PKI Client, целостность которого удостоверяется путем проверки ЭЦП eToken Anywhere переводится в HID режим Mini PKI Client регистрируется в браузере по умолчанию (IE или Firefox) Выполняется сеанс ДБО При корректном завершении сеанса (извлечение ключа или выход из программы через пиктограмму в трее) mini PKI Client выгружается из системы При повторном включении алгоритм в точности повторяется

w w w. a l a d d i n. r u Вопросы? 15

w w w. a l a d d i n. r u Благодарю за внимание! Руководитель направления контент- безопасности Владимир Бычек