Встроенная поддержка электронных ключей eToken в Lotus Notes 6
Введение
Одной из существенных задач обеспечения корпоративной информационной безопасности является исключение возможности несанкционированного доступа к данным и риска их утечки вследствие нелояльности собственных сотрудников. Организационные методы решения этой задачи - тема отдельного исследования. В настоящей статье мы остановимся па оптимальном, с нашей точки зрения, техническом методе - программно-аппаратной аутентификации пользователей при доступе к корпоративным данным. Этот метод предусматривает, что каждый пользователь обладает личным аппаратным идентификатором и знает его пароль (PIN-код).
Далеко не все программные продукты поддерживают такую аутентификацию, однако последняя версия Lotus Notes имеет встроенные средства поддержки смарт-карт, используемых как аппаратный идентификатор. Доступ пользователя к рабочему месту Lotus Notes 6 может быть осуществлен по ID-файлу и смарт-карте (вместо пароля). Дополнительно на смарт-карте можно хранить закрытые ключи пользователя, используемые для цифровой подписи и дешифрования почтовых сообщений, для установления защищенных SSL-соединений с серверами Интернет. Смарт-карта также может быть использована для защиты ID-файлов серверов (при запуске сервера Lotus Domino вместо пароля необходимо подключить смарт-карту и ввести ее PIN-код).
Электронные ключи eToken Pro производства компании Aladdin Knowledge Systems реализуют все возможности смарт-карт, значительно превосходя последние по таким важным для пользователя параметрам как удобство использования, мобильность и надежность. eToken напрямую подключается к стандартному USB-разъему, присутствующему во всех современных стационарных и мобильных компьютерах, не требуя, в отличие от смарт-карты, наличия дополнительных устройств для считывания данных (так называемых карт-ридеров). Пользователь может сам сменить PIN-код ключа eToken, используя при этом буквы, цифры и дополнительные символы, что делает PIN-код надежным (от 4 до 256 символов) и легко запоминающимся (фраза, слоган, высказывание). Программное обеспечение, поставляемое вместе с ключом eToken, позволяет полностью реинициали-зировать ключ, при этом возможно создание дополнительного административного PIN-кода. С его помощью в случае утери пользователем своего PIN-кода администратор может быстро восстановить доступ без потери пользовательских данных и необходимости смены ключа — уникальная возможность, которую по достоинству оценят корпоративные пользователи.
Использование eToken для входа пользователей в Lotus Notes
В версии 6 клиента Lotus Notes появилась возможность блокировать ID-файл пользователя с помощью электронного ключа eToken. При этом для доступа к рабочему месту Lotus Notes вместо ввода пароля к ID-файлу требуется подключить eToken и ввести его PIN-код.
В этом случае данные, хранящиеся в ID-файле, шифруются с помощью симметричного алгоритма, а ключ шифрования записывается в защищенную PIN-кодом область памяти eToken. Соответственно, не имея eToken и/или не зная его PIN-кода, пользователь не сможет войти в систему.
При отсоединении eToken от компьютера происходит автоматический выход пользователя из Lotus Notes, сопровождающийся блокировкой консоли и очисткой всех данных о пользователе из памяти компьютера (аналогично действиям по нажатию клавиши F5). Для разблокирования консоли Lotus Notes и продолжения сеанса работы необходимо подключить eToken и ввести его PIN-код.
Преимущества использования блокировки ID-файлов с помощью ключа eToken очевидны.
- ID-файл не может быть использован иначе как совместно с соответствующим ему ключом eToken, поэтому утеря ID-файла(или его похищение/копирование злоумышленником) не могут привести к нарушению безопасности системы.
- ЗаменапарольнойзащитыID-файла на двухфакторную аппаратную аутентификацию решает проблему «слабых» паролей и возможности подсматривания/перехвата их злоумышленником.
- Утеря пользователем электронного ключа eToken также не даст возможности несанкционированного доступа в систему, поскольку для доступак даннымключанадо знать его PIN-код.
- Ключ eToken надежно защищен от возможности перебора PIN-кодов (реализованы аппаратная задержка в 1 секунду между проверками PIN-кода и возможность блокировки ключа после последовательного ввода определенного числа неверныхPIN-кодов).
Сертификаты и закрытые ключи пользователя
Цифровые сертификаты используются как надежный и безопасный способ аутентификации пользователей во многих операционных системах и бизнес-приложениях, в том числе Lotus Notes/Domino. Все сертификаты, выписанные пользователю Lotus Notes и используемые им для работы в среде Notes (сертификаты Notes) и в Интернете (сертификаты Интернет), хранятся в ID-файле.Версия 6 предоставляет принципиально новые возможности по использованию уже выписанных пользователю Lotus Notes закрытых RSA-ключей и сертификатов Интернет вне среды Lotus Notes/ Domino. Теперь закрытый RSA-ключ, соответствующий имеющемуся у пользователя сертификату Интернет, можно поместить в за щищенную память электронного ключа eToken и использовать его вне среды Lotus Notes для формирования цифровой подписи, дешифрования почтовых сообщений стандарта S/MIME и установления защищенных клиентских SSL-соединений с серверами Интернет.
Закрытый RSA-ключ хранится в защищенной памяти eToken Pro, доступ к которой на чтение запрещен (то есть закрытый ключ невозможно считать или посмотреть). После записи в память eToken закрытого RSA-ключа его возможно только использовать; экспортировать закрытый ключ из eToken Pro нельзя.
Использование eToken с серверами Lotus Domino
По аналогии с блокировкой ID-файлов пользователя ID-файл сервера Lotus Domino может быть заблокирован с помощью электронного ключа eToken. При запуске сервера Lotus Domino, использующего защищенный ID-файл, вместо ввода пароля необходимо подсоединить электронный ключ eToken и ввести его PIN-код.
Совместимость с решением «eToken для Lotus Notes» и защита инвестиций
В настоящее время компания Aladdin Software Security R.D. представляет на российском рынке решение «eToken для Lotus Notes», предназначенное для обеспечения защищенного доступа к рабочему месту Lotus Notes версий 4, 5 и 6.
Это решение также основано на использовании электронных ключей eToken, по его основными отличиями являются:
- возможность работы с более ранними версиями Lotus Notes (поддерживаютсявсеверсии Lotus Notes, начиная с версии 4.6.2);
- мобильность пользователей (ID-файл и пароль к нему всегда хранятся в защищенной памяти ключа eToken, поэтому при переходе пользователя с одного компьютера на другой его ID-файл всегда будет с ним).
В нижеприведенной таблице дана сравнительная характеристика существующих решений для Lotus Notes па базе электронного ключа eToken.
Как видно из таблицы, решения функционально дополняют друг-друга, весьма эффективно обеспечивая защиту инвестиций. Приобретая решение «eToken для Lotus Notes», вы сможете в дальнейшем (при переходе на Lotus Notes 6) использовать уже имеющиеся у вас электронные ключи eToken как с программным обеспечением «eToken для Lotus Notes», так и со встроенной в Lotus Notes 6 технологией поддержки смарт-карт. При этом не потребуется обновлять аппаратную базу и переобучать персонал.
Дополнительная информацияо технологии поддержки смарткарт в Lotus Notes 6 может бытьнайдена в справочной документации по Lotus Notes. Более подробно о семействе электронных ключей eToken, их использовании с Lotus Notes/Domino версии 6, продукте «eToken для Lotus Notes» вы можете узнать в компании Aladdin SoftwareSecurity R.D. no телефону в Москве (095)231-3113 или в Интернете по адресу .