Rainbow iKey 1000, 10xx

версия для печати

Персональные идентификаторы iKey являются недорогими токенами, которые могут использоваться на любой рабочей станции, имеющей универсальную последовательную шину (USB). Они обеспечивают надежность, простоту и безопасность в той же степени, что и смарткарты, но без сложностей и затрат, связанных с использованием считывателя.

iKey — это небольшие и легкие устройства, которые можно носить с собой на брелке для ключей или в записной книжке. Как и интеллектуальные карточки, iKey находят применение в тысячах приложений, многие из которых прежде защищали с помощью паролей. iKey имеют встроенную память для хранения персональной информации и удостоверений личности, а также независимый процессор для аутентификации и защиты данных при работе в сети. Идентификаторы могут быть использованы для контроля доступа к сетевым службам, а также во всех случаях, где сегодня используются пароли, cookie-файлы, цифровые сертификаты или смарткарточки.

Токен iKey 1000 является интегральной схемой, на которой размещаются процессор, энергонезависимая память с произвольным доступом (RAM), а также USB-интерфейс.

Память может программироваться на заводе-изготовителе и включать данные, необходимые для работы приложения пользователя. iKey 1000 и его программное обеспечение предлагают средства для аутентификации пользователя, но также могут использоваться в качестве портативного запоминающего устройства для сохранения данных из приложений. Модуль iKey работает с большим числом различных программ.

Двухфакторная аутентификация

С нарастающим прогрессом развития Интернет возрастает спрос на двухфакторную пользовательскую аутентификацию веб-клиентов. Создание iKey стало ответом на эту общественную потребность. Их программная поддержка состоит из элементов управления ActiveX и Java-апплетов, которые могут быть встроены в браузеры всех ведущих производителей.

Основные характеристики

• Память 8 Кбайт (32 Кбайт в модели Q3 2000)
• Серийный номер 64 бит
• Интерфейс USB (12 Мбит/с; запись файла 4 Кбайт — 3 с)
• Cветодиодный индикатор с программным управлением
• Метод программный RSA 1024 бит
• Хэш-функция MD5 (аппаратная)
• Библиотеки PKCS #11 (v2.01), Microsoft CAPI
• Защищенное хранилище для сертификатов по стандарту X.509
• Аттестация FCC/CE
• Интеграция IPSec/IKE, TACACS, RADIUS, PAP, CHAP, PPTP, SET, SSL, MilliCent, eWallet, EAP, EFS (Windows 2000/XP), Netscape Navigator и Internet Explorer, Outlook и Outlook Express, Windows 2000
• Поддержка Windows 95/98, NT4sp4/2000
• Уровни доступа администратор (Security Officer) и пользователь

Комплект разработчика

Полный комплект разработчика iKey 1000 содержит:

• собственно аппаратный идентификатор (токен);
• драйверы;
• библиотеки интерфейса прикладного программирования (API) iKey 1000;
• обычную библиотеку ActiveX для разработчиков программного обеспечения;
• ее scriptable-версию для веб-приложений аутентификации с использованием Internet Explorer;
• плагины и Java-апплеты для аутентификации web-клиентов с использованием Netscape Navigator.

Намерены ли вы заниматься разработкой PKI-приложений, используя стандартные библиотеки PKCS #11 и MS CAPI, или работать над собственными специфическими приложениями, используя интерфейс прикладных программ iKey — комплект разработчика iKey 1000 содержит все необходимые для этой работы библиотеки и инструменты.

Программный интерфейс

Функции, экспортируемые API-библиотекой iKey 1000, представляют собой базовые операции, которые поддерживаются аппаратным жетоном и включают:

• чтение и запись данных в токен;
• запись хэш-ключей в токен;
• вычисление токеном хэш-функций для целей аутентификации.

Следующая блок-схема показывает границы функционирования модуля iKey 1000:

Когда вы планируете разработку прикладных программ, следует иметь в виду, что с одним и тем же iKey могут работать сразу несколько приложений, поскольку файловая система iKey допускает такое разделение, и различные прикладные программы независимо сохраняют в памяти iKey свои собственные структуры данных.

Приложения iKey

Система безопасности Windows

Электронные идентификаторы iKey раскрывают удобство встроенной безопасности в Windows и повышают уровень защищенности без дополнительных затрат на приобретение и установку программного обеспечения. Аутентификация пользователей выполняется на базе хранимых в iKey личных цифровых сертификатов, которые генерируются и действуют в пределах корпоративной сети.

• Вход в домен Windows 2000. Забудьте об использовании простых для запоминания и нестойких паролей. Можно не бояться, что записанный на бумаге сложный набор символов будет забыт или утерян. Отныне iKey хранит в себе цифровой сертификат, который становится вашим пропуском в сеть предприятия.
• Вход в сеть предприятия с любой рабочей станции. Сертификат хранится в защищенной области памяти токена и всегда находится с пользователем. Поэтому условия доступа к корпоративной сети одинаковы, вне зависимости от того, на каком офисном компьютере вы работаете. Даже в удаленном подразделении пользователь получит доступ к корпоративным ресурсам, поскольку службы сертификации и каталога Windows 2000 позволяют строить распределенные иерархические системы неограниченной сложности.
• Блокировка рабочей станции при извлечении iKey. Каждый владелец iKey может самостоятельно определить доступ к рабочей станции при отсоединении токена от USB-порта (если это не противоречит доменной политике безопасности). Отныне отлучаясь от компьютера, вы автоматически блокируете его, просто забирая с собой iKey. Можно задать принудительное завершение сессии при извлечении iKey из порта.
• Конфиденциальность корпоративной переписки. Встроенные механизмы кодирования и подписания сообщений электронной почты в Outlook и Outlook Express могут быть задействованы с применением корпоративных цифровых сертификатов, выпущенных центром выдачи сертификатов Windows 2000 Server. Поскольку ваш сертификат уже хранится в iKey, вы без дополнительных усилий можете воспользоваться преимуществами защищенной и конфиденциальной переписки в пределах собственной компании.
• Доступ к защищенным Web-сайтам. Часто на корпоративных или публичных сайтах применяется SSL — безопасное соединение с аутентификацией между браузерами и защищенным сервером. SSL поддер­живает iKey и будет автоматически выполнять аутентификацию удаленного пользователя на основании его цифрового сертификата. Это позволяет организовать работу пользователей на выезде, а также предложить удобное обслуживание партнерам и заказчикам компании.

CheckPoint VPN

Решение iKey VPN для Check Point — это альтернативный, более безопасный метод аутентификации пользователя для использования вместе с виртуальной частной сетью, построенной на основе межсетевого экрана Check Point FireWall-1 и клиента VPN-1 SecuRemote (или VPN-1 SecureClient).

iKey обеспечивает дополнительный уровень безопасности благодаря необходимости предъявления физического токена и ввода персонального идентификационного номера (PIN) пользователя для его аутентификации на брандмауэре и в виртуальной частной сети (VPN).

Как только вы установили и настроили брандмауэр FireWall-1 и сервер VPN-1 SecuRemote в вашей сети, вы готовы к внедрению iKey VPN на рабочих станциях.

Каждый пользователь станет обладателем токена iKey, в которые ваш системный администратор занесет данные об имени (User ID) и пароле пользователя. Эти же персональные данные заносятся и в БД сервера SecuRemote (или каталог LDAP) вашего предприятия.

Но, вместо того, чтобы вводить имя и пароль, для аутентификации в виртуальной частной сети вашей организации пользователю необходимо будет присоединить токен к USB-порту своей рабочей станции и ввести PIN. Использование физического носителя ключевой информации повышает общий уровень безопасности всего процесса аутентификации — без предъявления аппаратного токена злоумышленник, даже если ему стали известны имя и пароль легального пользователя, не может быть аутентифицирован и, таким образом, не будет допущен в вашу VPN.

Ritlabs SecureBat!

Клиент электронной почты SecureBat!, который предоставляет пользователю средства широко известной в России почтовой программы The Bat! плюс защищенную аутентификацию на серверах POP3/SMTP посредством аппаратных персональных идентификаторов iKey. SecureBat! дает возможность осуществлять прозрачное кодирование «на лету» базы сообщений, адресной книги и конфигурационных файлов.

Потенциальная область применения SecureBat! весьма широка: от крупных корпораций до небольших офисов, от переносных компьютеров до домашних рабочих станций, где роль администратора безопасности выполняет сам пользователь. SecureBat! — первый в своем роде продукт, совмещающий аппаратную аутентификацию на почтовых серверах, кодирование хранимой информации прямо в ходе работы, а также защиту отправляемых почтовых сообщений с использованием технологий OpenPGP или S/MIME.

Основные особенности и преимущества:

• Незащищенные файлы никогда не появляются на жестком диске;
• Защита хранимых данных «на лету» в прозрачном для пользователя режиме;
• Легкий и удобный переход от The Bat! или AuthenticBat!;
• Поддержка всех версий PGP от 2.6x до 6.5;
• Поддержка S/MIME на основе цифровых сертификатов стандарта X.509;
• Аппаратная поддержка аутентификации CRAM-HMAC-MD5;
• Гарантия, что лишь авторизованный пользователь получит доступ к учетной записи;
• Пароли к учетной записи не могут быть каким-либо способом изъяты на стороне клиента;
• Импорт базы сообщений из всех распространенных почтовых клиентов;
• Все расширенные возможности The Bat! по управлению перепиской.

Небольшая справка по механизму аутентификации CRAM-MD5. Он предотвращает посылку пароля по сети в открытом виде. Таким образом исключается возможность его перехвата и неавторизованного использования. CRAM расшифровывается как механизм аутентификации типа «запрос-отклик» (Challenge-Response Authentication Mechanism).

Вместо посылки открытого текста пароля клиент SecureBat! способен посылать необратимый дайджест (некое контрольное число, являющееся результатом хэш-функции MD5) пароля и уникальной случайной строки, посылаемой сервером — именно так, как это подразумевается стандартом HMAC Keyed-Hashing, описанного в RFC-2104. Даже если этот дайджест будет перехвачен злоумышленником в ходе процесса аутентификации легального пользователя, никакого риска дискредитации пароля не возникнет - в очередной сессии сервер будет ожидать дайджест, созданный на основе уже совершенно другой строки запроса. Перехваченный дайджест станет неактуальным.

Если пользователь SecureBat! воспользуется опцией «Хранить пароль в iKey», он тем самым активизирует аппаратную реализацию метода CRAM-HMAC (см. RFC-2095), предоставляемую персональным аппаратным идентификатором iKey. Если выбрана данная опция, пароль никогда не может быть получен в явном виде на клиентской стороне. Будучи однажды сохраненным в памяти iKey, он используется только процессором самого iKey для вычисления дайджеста и никогда не попадает в память компьютера, где работает почтовый клиент, или на его жесткий диск. Таким образом, никакое постороннее программное обеспечение типа клавиатурных шпионов, троянских коней и прочих «утилит удаленного администрирования» не сможет перехватить пароль или достать его из iKey.

Администратор почтового сервера может выдать пользователю идентификатор iKey, уже содержащий пароль. Так пользователь может даже сам не знать своего пароля и, тем не менее, пользоваться почтой. Поскольку iKey — это реальный физический объект, воспроизвести который возможно лишь при наличии соответствующего производственного оборудования, можно сказать, что только владелец идентификатора, знающий к тому же свой персональный идентификационный номер владельца (PIN), сумеет получить доступ к функциям отправки и получения почты.

Все почтовые серверы, поддерживающие механизм аутентификации MD5-CRAM-HMAC автоматически поддерживают и аппаратную аутентификацию с помощью iKey. Например:

• sendmail (8.10 и более поздние) от Sendmail Consortium
• IMAP/POP Server от Вашингтонского Университета
• PostFix от Wietse Venema

StrongDisk

StrongDisk Server кодирует информацию и записывает ее в обыкновенный файл. Этот файл (он называется файлом-образом диска) может располагаться в любых каталогах на любых логических дисках, доступных Windows. Драйвер, который входит в состав StrongDisk Server, позволяет работать с файлом-образом, как с отдельным защищенным логическим диском. На сервере конфиденциальная информация хранится централизованно на таких защищенных дисках. Для предоставления пользователям доступа к данным, хранимым на защищенных дисках, следует использовать стандартные средства Windows (Sharing). При этом никто не может получить доступ к конфиденциальной информации, пока на сервере не подключен соответствующий защищенный диск. Для его подключения необходимо вставить электронный ключ и ввести пароль (можно, конечно, использовать только ключ или только пароль, но это менее надежно). После того как на сервере подключается защищенный диск, общие сетевые ресурсы на этом диске становятся доступными тем пользователям, которых администратор наделил соответствующими правами.

StrongDisk Pro — специальная версия для персонального использования. По сравнению с серверной версией она имеет ряд ограничений, касающихся, в первую очередь, отсутствия сетевого режима работы. Ограничения не касаются числа, объема защищаемых томов, а также стойкости защиты.

SentinelCM

Обеспечивает защиту серверов в Интернет и локальной сети от несанкционированного доступа.

SentinelCM позволит уверенно продавать программы и информацию в Internet, гарантируя доставку оплаченных приложений только зарегистрированным пользователям. Администраторам корпоративных сетей он дает возможность надежно распознавать удаленных пользователей и безопасно взаимодействовать с ними.

Производитель: Rainbow Technologies.

Rainbow iKey 1000, 10xx Вы можете обсудить на форуме.