23.08.2005

eToken NG-OTP: "гибридные" электронные ключи от Aladdin

Byte, №8/2005

В последнее время при организации доступа к критически важным информационным ресурсам предприятий активно набирает обороты тенденция замены примитивных систем авторизации по имени и паролю на аппаратную аутентификацию: многие компании в рамках своих корпоративных стандартов безопасности активно внедряют электронные USB-ключи или смарт-карты для аутентификации. Надо отметить, что для подобных действий существуют весьма весомые причины – устаревшая концепция логин/пароль имеет ряд очевидных недостатков: пароли могут быть достаточно легко украдены, найдены методом перебора или просто забыты, что так же обходится весьма недешево.

Кроме того, специфика бизнеса многих крупных компаний часто обязывает их предоставлять доступ к собственным ресурсам для сторонних пользователей – партнерам, клиентам, поставщикам, что увеличивает риск внешних и внутренних атак, противостоять которым, имея простейшую парольную систему разграничения доступа, крайне затруднительно.

Для устранения подобных уязвимостей существуют системы аппаратной двухфакторной аутентификации с использованием специальных электронных ключей, позволяющие обеспечить надежную систему идентификации и разграничения доступа. Однако в ряде случаев, например, если сотрудник работает удалённо или в командировке, они не применимы в силу ряда специфических причин – например для того, чтобы воспользоваться обычным USB-ключом, его, прежде всего, нужно подсоединить к соответствующему порту, а большинство мобильных телефонов и КПК таковыми не оснащено.

Любопытное решение проблемы мобильной аутентификации предложено специалистами Aladdin Software Security R.D.  в виде электронного ключа нового поколения eToken NG-OTP, дополнившего продуктовую линейку устройств для безопасного доступа eToken. Чтобы исключить риск компрометации пароля и обеспечить безопасный доступ к корпоративным ресурсам, в том числе и удалённый, была взята на вооружение концепция «одноразового пароля» (“One-Time-Password” - ОТР). Таким образом, eToken NG-OTP представляет собой универсальное  комбинированное аппаратное устройство, снабженное генератором одноразовых паролей для удалённого доступа, позволяющее реализовать широкий спектр решений, связанных с аутентификацией и обеспечением безопасности, включая аутентификацию на основе PKI, обычного пароля или ОТР.

Новый ключ является «гибридом», сочетающим в себе два отдельных модуля. Первый обеспечивает функционал электронного ключа eToken PRO для двухфакторной аутентификации, надёжного хранения ключевой информации, а также  аппаратного выполнения криптографических вычислений и работы с асимметричными ключами и сертификатами Х.509. Благодаря интеграции всех возможностей eToken PRO в новое устройство, оно может быть использовано для доступа к защищенным данным, для защиты электронных документов (ЭЦП, шифрование), для установления защищенных соединений (VPN, SSL), для проведения финансовых транзакций и т.п.

Второй модуль –  собственно OTP –  предназначен для аутентификации в случае, когда USB-порт недоступен (например, в Интернет-кафе) или же устройство, с помощью которого планируется получить доступ к информационным ресурсам, попросту не оборудовано USB-разъемом (карманный компьютер, смартфон, мобильный телефон и др.). Технология ОТР подразумевает использование пароля только единожды: каждый раз, когда необходимо пройти аутентификацию, происходит генерирование нового пароля. При этом eToken NG-OTP может работать без специального клиентского программного обеспечения, что делает возможным безопасный вход в сеть откуда угодно: из электронных библиотек, из «чужого» офиса и пр. В этом случае работа с ключом организована следующим образом: пользователь, желающий получить удалённый доступ к информационным ресурсам, подключается к Интернету и открывает диалоговое окно для ввода персональных данных. Генерация OTP выполняется после нажатия пользователем на кнопку ключа. Шестизначный OTP отображается на ЖК-дисплее в течение 15 секунд. В диалоговом окне пользователь вводит свой логин, специальный собственный PIN-код, который он должен помнить, и сгенерированное значение OTP, которое вводится как суффикс к оригинальному PIN-коду пользователя. Все введенные значения проверяются на стороне сервера, после чего принимается решение о том, имеет ли право их владелец на работу с закрытыми данными. При совпадении введённого OTP с тем, который был сгенерирован сервером (синхронизация по событию), а так же подтверждении логина и PIN-кода, аутентификация успешно завершается с последующим определением прав доступа к тем или иным информационным ресурсам. Таким образом, даже если одноразовый пароль OTP будет подсмотрен злоумышленником, он не сможет воспользоваться им повторно, так как при следующей аутентификации будет применяться другой пароль.

Как и в архитектуре eToken PRO, в состав нового устройства входит чип смарт-карты Infineon SLE66CX со встроенной защищенной памятью и аппаратный датчик случайных чисел. В eToken NG-OTP аппаратно реализованы алгоритмы RSA 1024bit, DES, Triple-DES 168bit, SHA-1, MAC, Retail-MAC и HMAC-SHA1, а  каждому ключу присвоен уникальный ID-номер.

Электронные ключи eToken NG-OTP выпускаются в двух разновидностях – с объёмом памяти 32 Кбайт и 64 Кбайт. Для повышения функциональности новых ключей они оборудованы специальным элементом питания с увеличенным временем жизни, в результате чего количество генераций ОТР в автономном режиме достигает приблизительно 7000.

Для работы eToken NG-OTP необходимо наличие сервера аутентификации RADIUS, что позволяет интегрировать это решение с любыми VPN-шлюзами и приложениями, поддерживающими протокол аутентификации RADIUS. Для получения информации о пользователях сервер RADIUS использует инфраструктуру Active Directory посредством недавно выведенной компанией Aladdin на российский рынок системы управления средствами аутентификации TMS (Token Management System). Стоит отметить, что TMS - является универсальной системой для управления самыми разнообразными средствами аутентификации (смарт-карты, «стандартные» USB-устройства, электронные ключи с технологией OTP).