Персональные идентификаторы iKey являются недорогими токенами, которые могут использоваться на любой рабочей станции, имеющей универсальную последовательную шину (USB). Они обеспечивают надежность, простоту и безопасность в той же степени, что и смарткарты, но без сложностей и затрат, связанных с использованием считывателя.
iKey — это небольшие и легкие устройства, которые можно носить с собой на брелке для ключей или в записной книжке. Как и интеллектуальные карточки, iKey находят применение в тысячах приложений, многие из которых прежде защищали с помощью паролей. iKey имеют встроенную память для хранения персональной информации и удостоверений личности, а также независимый процессор для аутентификации и защиты данных при работе в сети. Идентификаторы могут быть использованы для контроля доступа к сетевым службам, а также во всех случаях, где сегодня используются пароли, cookie-файлы, цифровые сертификаты или смарткарточки.
Токен iKey 1000 является интегральной схемой, на которой размещаются процессор, энергонезависимая память с произвольным доступом (RAM), а также USB-интерфейс.
Память может программироваться на заводе-изготовителе и включать данные, необходимые для работы приложения пользователя. iKey 1000 и его программное обеспечение предлагают средства для аутентификации пользователя, но также могут использоваться в качестве портативного запоминающего устройства для сохранения данных из приложений. Модуль iKey работает с большим числом различных программ.
С нарастающим прогрессом развития Интернет возрастает спрос на двухфакторную пользовательскую аутентификацию веб-клиентов. Создание iKey стало ответом на эту общественную потребность. Их программная поддержка состоит из элементов управления ActiveX и Java-апплетов, которые могут быть встроены в браузеры всех ведущих производителей.
Полный комплект разработчика iKey 1000 содержит:
Намерены ли вы заниматься разработкой PKI-приложений, используя стандартные библиотеки PKCS #11 и MS CAPI, или работать над собственными специфическими приложениями, используя интерфейс прикладных программ iKey — комплект разработчика iKey 1000 содержит все необходимые для этой работы библиотеки и инструменты.
Функции, экспортируемые API-библиотекой iKey 1000, представляют собой базовые операции, которые поддерживаются аппаратным жетоном и включают:
Следующая блок-схема показывает границы функционирования модуля iKey 1000:
Когда вы планируете разработку прикладных программ, следует иметь в виду, что с одним и тем же iKey могут работать сразу несколько приложений, поскольку файловая система iKey допускает такое разделение, и различные прикладные программы независимо сохраняют в памяти iKey свои собственные структуры данных.
Электронные идентификаторы iKey раскрывают удобство встроенной безопасности в Windows и повышают уровень защищенности без дополнительных затрат на приобретение и установку программного обеспечения. Аутентификация пользователей выполняется на базе хранимых в iKey личных цифровых сертификатов, которые генерируются и действуют в пределах корпоративной сети.
Решение iKey VPN для Check Point — это альтернативный, более безопасный метод аутентификации пользователя для использования вместе с виртуальной частной сетью, построенной на основе межсетевого экрана Check Point FireWall-1 и клиента VPN-1 SecuRemote (или VPN-1 SecureClient).
iKey обеспечивает дополнительный уровень безопасности благодаря необходимости предъявления физического токена и ввода персонального идентификационного номера (PIN) пользователя для его аутентификации на брандмауэре и в виртуальной частной сети (VPN).
Как только вы установили и настроили брандмауэр FireWall-1 и сервер VPN-1 SecuRemote в вашей сети, вы готовы к внедрению iKey VPN на рабочих станциях.
Каждый пользователь станет обладателем токена iKey, в которые ваш системный администратор занесет данные об имени (User ID) и пароле пользователя. Эти же персональные данные заносятся и в БД сервера SecuRemote (или каталог LDAP) вашего предприятия.
Но, вместо того, чтобы вводить имя и пароль, для аутентификации в виртуальной частной сети вашей организации пользователю необходимо будет присоединить токен к USB-порту своей рабочей станции и ввести PIN. Использование физического носителя ключевой информации повышает общий уровень безопасности всего процесса аутентификации — без предъявления аппаратного токена злоумышленник, даже если ему стали известны имя и пароль легального пользователя, не может быть аутентифицирован и, таким образом, не будет допущен в вашу VPN.
Клиент электронной почты SecureBat!, который предоставляет пользователю средства широко известной в России почтовой программы The Bat! плюс защищенную аутентификацию на серверах POP3/SMTP посредством аппаратных персональных идентификаторов iKey. SecureBat! дает возможность осуществлять прозрачное кодирование «на лету» базы сообщений, адресной книги и конфигурационных файлов.
Потенциальная область применения SecureBat! весьма широка: от крупных корпораций до небольших офисов, от переносных компьютеров до домашних рабочих станций, где роль администратора безопасности выполняет сам пользователь. SecureBat! — первый в своем роде продукт, совмещающий аппаратную аутентификацию на почтовых серверах, кодирование хранимой информации прямо в ходе работы, а также защиту отправляемых почтовых сообщений с использованием технологий OpenPGP или S/MIME.
Основные особенности и преимущества:
Небольшая справка по механизму аутентификации CRAM-MD5. Он предотвращает посылку пароля по сети в открытом виде. Таким образом исключается возможность его перехвата и неавторизованного использования. CRAM расшифровывается как механизм аутентификации типа «запрос-отклик» (Challenge-Response Authentication Mechanism).
Вместо посылки открытого текста пароля клиент SecureBat! способен посылать необратимый дайджест (некое контрольное число, являющееся результатом хэш-функции MD5) пароля и уникальной случайной строки, посылаемой сервером — именно так, как это подразумевается стандартом HMAC Keyed-Hashing, описанного в RFC-2104. Даже если этот дайджест будет перехвачен злоумышленником в ходе процесса аутентификации легального пользователя, никакого риска дискредитации пароля не возникнет - в очередной сессии сервер будет ожидать дайджест, созданный на основе уже совершенно другой строки запроса. Перехваченный дайджест станет неактуальным.
Если пользователь SecureBat! воспользуется опцией «Хранить пароль в iKey», он тем самым активизирует аппаратную реализацию метода CRAM-HMAC (см. RFC-2095), предоставляемую персональным аппаратным идентификатором iKey. Если выбрана данная опция, пароль никогда не может быть получен в явном виде на клиентской стороне. Будучи однажды сохраненным в памяти iKey, он используется только процессором самого iKey для вычисления дайджеста и никогда не попадает в память компьютера, где работает почтовый клиент, или на его жесткий диск. Таким образом, никакое постороннее программное обеспечение типа клавиатурных шпионов, троянских коней и прочих «утилит удаленного администрирования» не сможет перехватить пароль или достать его из iKey.
Администратор почтового сервера может выдать пользователю идентификатор iKey, уже содержащий пароль. Так пользователь может даже сам не знать своего пароля и, тем не менее, пользоваться почтой. Поскольку iKey — это реальный физический объект, воспроизвести который возможно лишь при наличии соответствующего производственного оборудования, можно сказать, что только владелец идентификатора, знающий к тому же свой персональный идентификационный номер владельца (PIN), сумеет получить доступ к функциям отправки и получения почты.
Все почтовые серверы, поддерживающие механизм аутентификации MD5-CRAM-HMAC автоматически поддерживают и аппаратную аутентификацию с помощью iKey. Например:
StrongDisk Server кодирует информацию и записывает ее в обыкновенный файл. Этот файл (он называется файлом-образом диска) может располагаться в любых каталогах на любых логических дисках, доступных Windows. Драйвер, который входит в состав StrongDisk Server, позволяет работать с файлом-образом, как с отдельным защищенным логическим диском. На сервере конфиденциальная информация хранится централизованно на таких защищенных дисках. Для предоставления пользователям доступа к данным, хранимым на защищенных дисках, следует использовать стандартные средства Windows (Sharing). При этом никто не может получить доступ к конфиденциальной информации, пока на сервере не подключен соответствующий защищенный диск. Для его подключения необходимо вставить электронный ключ и ввести пароль (можно, конечно, использовать только ключ или только пароль, но это менее надежно). После того как на сервере подключается защищенный диск, общие сетевые ресурсы на этом диске становятся доступными тем пользователям, которых администратор наделил соответствующими правами.
StrongDisk Pro — специальная версия для персонального использования. По сравнению с серверной версией она имеет ряд ограничений, касающихся, в первую очередь, отсутствия сетевого режима работы. Ограничения не касаются числа, объема защищаемых томов, а также стойкости защиты.
Обеспечивает защиту серверов в Интернет и локальной сети от несанкционированного доступа.
SentinelCM позволит уверенно продавать программы и информацию в Internet, гарантируя доставку оплаченных приложений только зарегистрированным пользователям. Администраторам корпоративных сетей он дает возможность надежно распознавать удаленных пользователей и безопасно взаимодействовать с ними.
Производитель: Rainbow Technologies.