eToken NG-OTP — безопасность на расстоянии
Марат Давлетханов 12 ноября 2007
IT-директору
Время чтения: 8 минут
Что такое eToken? Как происходит аутентификации пользователя с помощью одноразового пароля? Читайте в это статье.
Марат Давлетханов
Компания Aladdin Software
Security — одна из самых известных в России организаций, работающих в
области информационной безопасности и, в частности, предоставления безопасного
доступа к данным.
Аппаратный ключ eToken NG-OTP состоит из двух отдельных
модулей, объединенных в одном корпусе USB-ключа. Первый из них является
функциональным аналогом продукта eToken PRO. А
значит, он может применяться для решения тех же самых задач по аутентификации.
То есть eToken NG-OTP может использоваться в PKI-приложениях различных
корпоративных проектах, где требуется работа с конфиденциальными данными для
работы с приложениями, поддерживающими технологии смарт-карт, в том числе в
банковских системах и системах электронной коммерции.
В общем, описанный модуль ключа eToken NG-OTP
весьма интересен и может использоваться для решения множества различных задач.
Однако есть одна область, в которой применение обычных токенов оказывается либо
неудачным решением, либо вообще невозможно. Речь идет, конечно же, об удаленном
доступе к закрытым информационным ресурсам. Проблема заключается в том, что в
Интернете или любых других открытых сетях всегда существует опасность
сниффинга. То есть злоумышленник может попытаться «прослушать» трафик
и вычленить из него нужные ему ключи, в том числе и те, которые извлекаются из
аппаратного ключа.
Но и это еще не все. Сегодня все больше и больше
пользователей применяют для выхода в Глобальную сеть сотовые телефоны и наладонные
компьютеры (PDA). Естественно, эти устройства не оснащены ни портами USB, ни,
тем более, портами LPT. То есть использовать обычные токены на них
просто-напросто невозможно. Что же делать?
Для решения подобных задач специалисты в области
информационной безопасности уже давно разработали принцип одноразовых паролей.
Его суть заключается в следующем. При каждой процедуре аутентификации
пользователь вводит новое значение, сгенерированное его ключом. Таким образом,
перехват или подглядывание паролей становятся совершенно бессмысленными. Так
как один раз воспользовавшись паролем, пользователь не может с его помощью
пройти аутентификацию повторно. Естественно, все так просто только на словах.
На самом же деле практическая реализация этой идеи достаточно сложна. Ведь
нужно не только обеспечить пользователя возможностью создания новых паролей, но
и сделать так, чтобы их узнавал сервер.
Сегодня разработкой решений на базе одноразовых паролей занимаются несколько организаций. Правда, официальных стандартов в этой области пока еще не существует. Зато есть так называемая отраслевая инициатива Open AuTHentication (OATH). Именно согласно ее требованиям и разрабатывался алгоритм HOTP (HMAC-based One Time Password), используемый в ключах eToken NG-OTP. Такое решение имеет целый ряд преимуществ. Во-первых, данный алгоритм публичен и доступен для изучения любыми специалистами. Во-вторых, за его использование не предусмотрено никаких лицензионных отчислений. Ну а в-третьих, использование данного алгоритма обеспечивает возможность использования с ключами широкого спектра различного программного обеспечения, в том числе и серверного.
Для реализации процесса аутентификации по принципу
одноразовых паролей предназначен второй функциональный модуль аппаратного ключа
eToken NG-OTP. Он состоит из нескольких архитектурных элементов. Самым главным
из них является, конечно же, аппаратный генератор одноразовых паролей.
Простейшая схема аутентификации пользователя с помощью одноразового пароля выглядит следующим образом. Допустим, какому-то сотруднику нужно срочно получить удаленный доступ к защищенной информации, размещенной на сервере компании. При этом он имеет доступ только к чужому компьютеру (например, в интернет-кафе) или должен сделать это со своего наладонного ПК. В этом случае человек подключается к Интернету и открывает диалог ввода персональных данных. Параллельно он нажимает кнопку на своем eToken NG-OTP. В ответ на жидкокристаллическом дисплее отображается шестизначный набор цифр (OTP), который отображается на дисплее в течение 15 секунд. В диалоговом окне пользователь вводит свой логин, например «Ivanov», свой собственный PIN-код, который он должен помнить, и сгенерированное значение OTP, которое присоединяется к оригинальному PIN-коду пользователя.
Все введенные значения проверяются на стороне сервера,
после чего он принимает решение о том, имеет ли право их владелец на работу с
закрытыми данными.
На первый взгляд все кажется очень простым. Однако на самом деле за простыми действиями пользователя скрываются достаточно сложные процессы. Первый из них — генерация одноразового пароля. Входными данными для него считаются секретный ключ, который записывается в память ключа во время производства и не изменяется в будущем, и специальный счетчик (число уже сгенерированных одноразовых паролей). На основании этой информации по алгоритму HOTP, основу которого составляют сложные математические преобразования, и создаются интересующие нас комбинации цифр.
Но мало создать одноразовый пароль. Нужно еще сделать так,
чтобы его принял сервер аутентификации. Процесс проверки происходит следующим
образом. При регистрации пользователя в его системе токен инициализируется
сервером. При этом в специальный каталог заносятся секретный ключ и значение
счетчика генераций. В будущем, при каждой попытке подключения, программное
обеспечение сервера находит данные, соответствующие предоставленному ему имени
пользователя, и на основании их по тому же алгоритму HOTP проводит все нужные
преобразования, получая свой одноразовый пароль.
Таким образом, типичная схема полной системы
аутентификации на базе одноразовых паролей выглядит следующим образом. Ее
основу составляет сервер. Это может быть обычный сервер аутентификации,
например Microsoft IAS с установленным на нем плагином. В распоряжении
зарегистрированных пользователей, которым необходим удаленный доступ к системе,
находятся ключи eToken NG-OTP. Причем, если рассматривать масштаб компании, у
части сотрудников могут быть ключи с генератором одноразовых паролей, у части —
«обычные» аппаратные ключи (например, eToken Pro), а у остальных —
например, смарт-карты. Кроме того, для полноценной работы на стороне сервера
должно быть установлено специальное программное обеспечение — eToken TMS
(система управления жизненным циклом). Она необходима для управления всеми
типами ключей и смарт-картами, их первоначальной инициализации, замены,
восстановления PIN-кодов и т.
Ну а теперь пришла пора подвести итоги. Итак, аппаратный ключ eToken NG-OTP может использоваться двояко. На компьютерах, включенных в корпоративную локальную сеть, и оснащенных USB-ключей их можно использовать как обычные токены. При этом пользователям будут доступны функции строгой аутентификации, криптографии и реализации ЭЦП. В то же время для удаленной связи или на любых устройствах, не оборудованных портами USB, можно применять принцип одноразовых паролей. Благодаря совмещению обоих модулей в едином ключе eToken NG-OTP может использоваться в весьма широком диапазоне различных решений. Наиболее актуальными из них являются: создание полноценных удаленных защищенных рабочих мест (например, путем развертывания виртуальной частной сети), безопасная связь бизнес-партнеров между собой по открытым каналам (например, через Интернет), системы электронной коммерции и интернет-банкинга.
Источник: Компания Digt
Чтобы прочитать эту статью до конца,
авторизуйтесь
или зарегистрируйтесь
безопасность
SafeNet eToken 5300 — Dpsys.
ruМногофакторный аутентификатор на основе PKI
В современном мире мобильных сотрудников и мобильности ИТ-отделу предприятия необходимо тщательно сочетать безопасность и удобство. Организации давно привыкли к тому, что простое имя пользователя и пароли являются единственной защитой, не позволяющей нежелательным злоумышленникам получить доступ к сетям и личным данным. Вот почему все больше и больше предприятий полагаются на инфраструктуру открытых ключей (PKI) для обеспечения надежной защиты и поддержания безопасной цифровой среды.
Сверхбезопасный MFA — портативные форм-факторы
SafeNet eToken 5300 — идеальное решение для предприятий, которые хотят развернуть безопасность PKI военного уровня, сохраняя при этом удобное решение для сотрудников. EToken 5300 — это компактный USB-накопитель с защитой от несанкционированного доступа и функцией обнаружения присутствия, который создает третий фактор аутентификации. Что-то, что у вас есть (физический токен), что-то, что вы знаете (PIN-код), что-то, что вы делаете (касание токена).
EToken 5300 имеет ультрасовременную конструкцию из прочного пластика и предлагается в двух размерах.
- Mini — это революционно новый дизайн с обширным ландшафтом для пользовательских логотипов или названия компании.
- Micro является самым маленьким форм-фактором USB в отрасли и идеально подходит для пользователей, которые хотят оставлять токен постоянно подключенным к порту (аналогично USB-ключу RF).
eToken 5300 предлагает функции динамической смарт-карты для нескольких приложений. Его можно использовать с любым USB-соединением для приложений управления идентификацией и доступом, таких как сетевая аутентификация, цифровые подписи, шифрование электронной почты и другие расширенные услуги, основанные на инфраструктуре открытых ключей (PKI). EToken 5300 ожидает сертификации FIPS 140-2 и имеет сертификат Common Criteria EAL 6+ на границе чипа.
Многоцелевое одно касание
eToken 5300 идеально подходит для предприятий, которые серьезно относятся к безопасности и удобству использования, но хотят предоставить сотрудникам простое в использовании и удобное решение — без многократного ввода ПИН-кода или громоздких форм-факторов.
Благодаря функции обнаружения присутствия ИТ-специалисты предприятия могут упростить взаимодействие с пользователем, запрашивая PIN-код пользователя только при входе в систему. Таким образом, сотрудники могут использовать расширенные функции PKI, такие как цифровая подпись документов и шифрование электронной почты, просто касаясь сенсора на токене.
Таким образом, сотрудники могут использовать расширенные функции PKI, такие как цифровая подпись документов и шифрование электронной почты, просто касаясь сенсора на токене, избавляя пользователя от необходимости многократно вводить PIN-код.
Расширенные преимущества PKI
SafeNet eToken 5300 поддерживается клиентом аутентификации SafeNet (v10.5 для Windows и выше) для полного локального администрирования и поддержки расширенного управления токенами, событиями и развертыванием. Таким образом, сотрудники могут использовать расширенные функции PKI, такие как цифровая подпись документов и шифрование электронной почты путем простого прикосновения к сенсору на токене, избавляя пользователя от необходимости вводить PIN-код несколько раз.
E-токен Определение | Law Insider
(пылезащитная маска) означает противоаэрозольный противоаэрозольный респиратор с фильтром, являющимся неотъемлемой частью лицевой части, или со всей лицевой частью, состоящей из фильтрующей среды, не снабженной эластомерными уплотняющими поверхностями и регулируемыми ремнями.
— период времени, начинающийся 1 мая года и заканчивающийся 30 сентября того же года включительно.
означает безалкогольные напитки, содержащие натуральные или искусственные подсластители. «Безалкогольные напитки» не включают напитки, содержащие молоко или молочные продукты, сою, рис или аналогичные заменители молока, или содержащие более пятидесяти процентов овощного или фруктового сока по объему.
означает рентгенографическую или рентгеноскопическую рентгеновскую систему, предназначенную для локализации объема, подлежащего облучению во время лучевой терапии, и подтверждения положения и размера поля терапевтического облучения.
означает любую жидкость, предназначенную для использования в системе омывателя ветрового стекла автомобиля либо в качестве антифриза, либо для очистки, мытья или смачивания ветрового стекла. Автомобильная жидкость для омывания ветрового стекла не включает жидкости, закладываемые производителем в новый автомобиль.
означает покрытие, маркированное и составленное исключительно для нанесения на оборудование и связанные с ним структурные приспособления, которые используются для приема или передачи электромагнитных сигналов.
означает набор компонентов, которые упакованы вместе и предназначены для использования для проведения конкретного диагностического исследования in vitro или его части;
означает любое индивидуально адресуемое и адресуемое IP-устройство со встроенным экраном и клавиатурой с сенсорным экраном, для которого пользовательский ввод в основном осуществляется с помощью сенсорного экрана, которое спроектировано как портативное, не предназначено в первую очередь для голосовой связи.
звонит и работает на одной из следующих операционных систем: iOS, Android, WebOS или QNX Neutrino от RIM (каждая из них именуется «Разрешенной ОС для планшетов»). телеприставки, портативные мультимедийные устройства, КПК, мобильные телефоны или любое устройство, работающее под управлением операционной системы, отличной от Разрешенной ОС для планшетов. SVOD: Лицензиату предоставляется неисключительное право демонстрировать каждую Программу на SVOD (как определено ниже ) на Территории на Разрешенном языке исключительно в пределах области под торговой маркой Лицензированной службы, содержащей только программы Лицензионной службы, на услуге SVOD, полностью принадлежащей, контролируемой и управляемой Лицензиатом и доставляемой аутентифицированной Подписке. rs исключительно через зашифрованную потоковую передачу (а не загрузку) через следующие платформы:
означает нанесение слов, рисунков и изображений на подложку с помощью техники валковой печати, при которой наносимый рисунок поднимается над печатным валом, а носитель изображения изготавливается из резины или других эластомерных материалов.
означает компьютерную транскрипцию в режиме реального времени с использованием специального оборудования для дословной транскрипции разговорного английского языка в реальном времени в письменный английский язык, который можно просматривать на экране компьютера или проецировать на большой экран. [PL 2003, c. 685, § 2 (НОВОЕ).]
означает воздушное судно, способное приземляться и взлетать с воды.
означает вес осадка сточных вод в сухих тоннах США, включая примеси, такие как известковые материалы или наполнители. Частота мониторинга параметров осадка сточных вод основана на зарегистрированном весе осадка, образовавшегося за календарный год (используйте данные за самый последний календарный год, когда разрешение NPDES подлежит продлению).
— это коммутатор, используемый для подключения коммутаторов конечного офиса к коммутаторам межсетевого оператора. Тандемные коммутаторы доступа Qwest также используются для подключения и переключения трафика между центральными офисными коммутаторами в пределах одного и того же LATA и могут использоваться для обмена локальным трафиком.
означает документ Министерства под названием «Основные комплексные сертификаты об одобрении (воздух) Руководство пользователя» от апреля 2004 г. с поправками.
означает покрытие для входа в дыхательные пути, предназначенное для частичного прилегания к лицу.
означает покрытие для входа в дыхательные пути, полностью закрывающее лицо.
означает летательный аппарат тяжелее воздуха с механическим двигателем, подъемная сила которого в полете создается главным образом за счет аэродинамических реакций на поверхностях, которые остаются неподвижными при данных условиях полета;
означает номер DUNS, присвоенный D&B, плюс 4-значный суффикс, который может быть присвоен коммерческим предприятием. (D&B не имеет отношения к этому 4-символьному суффиксу.) Этот 4-символьный суффикс может быть назначен по усмотрению коммерческого предприятия для создания дополнительных записей SAM для идентификации альтернативных счетов электронного перевода средств (EFT) для того же материнского предприятия.
означает все оксиды азота, за исключением закиси азота, измеренные методами испытаний, изложенными в 40 CFR, часть 60.
означает здание, отличное от таунхауса или многоквартирного дома, содержащее не менее 3 жилых единиц, каждая из которых отделена от другой по вертикали и/или горизонтали, и каждая жилая единица имеет общий вход на уровне не более чем 3 другие единицы;
означает полную ширину на половине максимума профиля чувствительности, полученного в центре объема поперечного сечения, в котором собираются данные о пропускании рентгеновских лучей.
означает вес осадка сточных вод в сухих тоннах США, за исключением примесей, таких как известковые материалы или наполнители. Годовые сборы за осадок сточных вод, согласно разделу 3745.11(Y) Пересмотренного кодекса штата Огайо, основаны на заявленном весе платы за осадок за последний календарный год.
означает материал, помещенный в полезный пучок для предпочтительного поглощения выбранных излучений.
означает процесс, приводящий к удалению значительного количества твердых частиц, при котором предварительный слой фильтрующего материала из диатомовой земли осаждается на опорной мембране (перегородке), а вода фильтруется путем прохождения через слой фильтра на перегородке через дополнительный фильтрующий материал. известный как корм для тела, постоянно добавляется в питательную воду для поддержания проницаемости фильтрационной корки.
означает тонкий кусок материала (обычно металлического), помещаемый в пучок для рассеивания пучка электронов с целью обеспечения более равномерного распределения электронов в полезном пучке.
означает рентгеновскую систему КТ, которая получает данные о передаче рентгеновского излучения во время сканирования для получения одной томограммы.
криптография — Что такое токен?
спросил
Изменено 9 лет, 11 месяцев назад
Просмотрено 2к раз
Мне нужно написать код для проверки действительности цифрового сертификата, присутствующего в токене.
Я не знаком с этокенами. Кто-нибудь может ответить на мои следующие вопросы:
- Как получить доступ к содержимому цифрового сертификата из etoken?
- Можем ли мы получить доступ к закрытому ключу, хранящемуся в etoken?
- Когда мы подключаем etoken к компьютеру, он копирует цифровой сертификат на компьютер или нет? Если да, то где он его копирует?
Мне нужно написать программу на C++ для того же самого. Можем ли мы использовать криптографические API (например, CrypImportKey() CryptExportKey() ), предоставленные Microsoft для вышеуказанного требования?
- криптография
- цифровая подпись
- токен устройства
1
«etoken» — так назывался один из первых USB-криптотокенов, выпущенных Aladdin. То, что вы запрашиваете, обычно называется токеном безопасности. Это аппаратное устройство с собственной памятью, в которой хранятся сертификаты и закрытые ключи.
Для корректной работы токенов необходимо установить драйверы. В набор драйверов входит реализация CSP (поставщик криптографических услуг) для CryptoAPI. CSP выполняет работу по представлению сертификатов, хранящихся в токене, в CryptoAPI. Чтобы ответить на ваши вопросы:
- Через интерфейс CryptoAPI или PKCS#11 (драйверы для обоих предоставляются поставщиком).
- Вы можете выполнять определенные операции с закрытым ключом, вызывая соответствующий API. Но сам ключ не извлекается.
- Я не могу сказать точно, но мне кажется, что сертификаты копируются в хранилище сертификатов в памяти для ускорения работы.
4
Что касается вашего второго вопроса, я считаю, что можно получить доступ к закрытому ключу на токене безопасности. Токен безопасности должен был быть предварительно запрограммирован и каким-то образом загружен закрытым ключом. Кроме того, в последний раз, когда мы обновляли наш сертификат, мы делали это онлайн, используя веб-интерфейс эмитента, который установил модуль ActiveX, загружающий новый сертификат на устройство.