См. также: Запуск службы pcscd с ненулевыми мандатными атрибутами
- -это USB-токены и смарт-карты с аппаратной реализацией зарубежных криптоалгоритмов, предназначенные для работы с инфраструктурой открытых ключей (PKI).
Поддерживаемые модели eToken в Astra Linux
- 4100
- 5100
- 5105
- 5110
- 5200
- Pro 72k
- NG-OPT
Установка
Для выполнения действий данной инструкции необходимо установить следующие пакеты из репозитория Astra Linux:
- библиотека libccid
- пакеты libpcsclite1 и pcscd;
- opensc
Для установки в терминале введите команду:
sudo apt install libccid pcscd libpcsclite1 opensc libengine-pkcs11-openssl*
Установка SafeNet Authentication Client
SafeNet Authentication Client – это программный клиент, который позволяет взаимодействовать прикладному программному обеспечению с электронными ключами и смарт-картами eToken производства компании Gemalto. Помимо набора драйверов и интерфейсов для взаимодействия Safenet Authentication Client включает необходимый набор функций для организации локального администрирования электронных ключей и смарт-карт.
Сам клиент следует загрузить с официального сайта Gemalto
После загрузки клиента с офф. сайта, его следует установить. Для этого введите команду:
sudo dpkg -i SafenetAuthenticationClient-amd64.deb
Если при запуске SafeNet Authentication client возникает ошибка:
CRYPTO/Crypto.c:247: init_openssl_crypto: Assertion lib failed.
то для корректной работы, следует создать символическую ссылку на нужную библиотеку. Для этого в терминале, нужно ввести команду:
sudo ln -s /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.2 /usr/lib/libcrypto.so.6
Проверка работы eToken в системе
Для проверки работы Etoken:
Подключите устройство к компьютеру.
Способ №1
Введите команду:
pkcs11-tool --module /usr/lib/libeToken.so -T
после чего в терминале отобразится информация о токене:
Способ №2
Выберите в Меню «Пуск» → «Прочие» → «SafeNet Authentication Сlient Tools» и подключите токен. После чего должна отобразиться информация о подключенном токене:
Инициализация токена eToken
Для инициализации токена необходимо воспользоваться утилитой pkcs11-tool.
pkcs11-tool --login --init-token --label "eToken Astra" --init-pin 12345678 --module /usr/lib/libeToken.so
—slot 0 — указывает в какой виртуальный слот подключено устройство. Как правило, это слот 0, но могут быть и другие значения – 1,2 и т.д.
—init-token – команда инициализации токена.
—pin — пин код пользователя.
—label ‘eToken Astra’ — метка(название) устройства.
—module — указывает путь до библиотеки eToken
или в SafeNet Authentication Сlient Tools выбрать кнопку «инициализировать токен».
Внимание! Инициализация устройства удалит все данные на eToken без возможности восстановления.
Создание ключевой пары RSA
Для генерации ключевой пары RSA в терминале следует ввести команду:
pkcs11-tool —slot 0 —login —pin 12345678 —keypairgen —key-type rsa:2048 —id 16 —label «rsa key» —module /usr/lib/libeToken.so
Создание самоподписанного сертификата
Для создания самоподписанного сертификата в терминале следует ввести команду:
openssl
не выходя из openssl, ввести команду:
engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:/usr/lib/libeToken.so
после чего ввести команду:
req -engine pkcs11 -new -key 0:16 -keyform engine -x509 -out test.pem -text
и команду
В поле Common Name должно быть указано имя пользователя ОС.
Загрузка сертификата на токен
Создав свой личный сертификат, его следует загрузить на eToken.
Перекодируем полученный сертификат из PEM в DER:
openssl x509 -in test.pem -out test.cer -inform PEM -outform DER
Запишем сертификат test.cer на токен:
pkcs11-tool —slot 0 —login —pin 12345678 —write-object test.cer —type ‘cert’ —label ‘Certificate’ —id 16 —module /usr/lib/libeToken.so
(или с помощью графической утилиты SACTool)
Проверка ключей и сертификатов в eToken:
pkcs11-tool —module /usr/lib/libeToken.so -O -l
Установка дополнительный пакетов
Пуск — Настройки — Менеджер пакетов
через Быстрый фильтр или через поиск находим и отмечаем к установке следующие пакеты:
- libpam-p11
- libp11-2
либо воспользовавшись терминалом FLY:
sudo apt-get install libp11-2 libpam-p11
Регистрация сертификата в системе
Конвертируем сертификат в текстовый формат
openssl x509 -in<имя_сертификата_из_токена>.crt-out<имя_сертификата_из_токена>.pem -inform DER -outform PEM
где <имя_сертификата_из_токена> — имя файла, в котором сохранен ваш сертификат из токена в текстовом формате
Теперь нам необходимо прочитать с токена сертификат с нужным ID и записать его в файл доверенных сертификатов:
Добавляем сертификат в список доверенных сертификатов:
mkdir ~/.eidchmod 0755 ~/.eidcat<имя_сертификата_из_токена>.pem >> ~/.eid/authorized_certificateschmod 0644 ~/.eid/authorized_certificates
Для привязки токена к определенному пользователю необходимо указать его домашнюю директорию, например таким образом:
mkdir /home/user/.eidchmod 0755 /home/user/.eidcat<имя_сертификата_из_токена>>> /home/user/.eid/authorized_certificates
chmod 0644 /home/user/.eid/authorized_certificatesВажно помнить, что при регистрации нескольких токенов на одном компьютере необходимо указывать пользователям раличные id.
Настраиваем аутентификацию
Пуск — утилиты — Терминал Fly
sudonano/usr/share/pam-configs/p11
записываем в файл следующую информацию:
|
|
сохраняем файл, нажимаем Alt + X, а затем Y
после этого выполняем
в появившемся окне ставим галку в Pam_p11 и нажимаем OK
Вход по токену
Пуск — утилиты — Терминал Fly
Вход выполняется с подключенным токеном к компьютеру. В момент ввода пароля будет сообщено, что требуется <PIN пользователя>.
Для корректной работы электронных USB-токенов eToken и смарт-карт данного семейства на персональных компьютерах, рабочих станциях и серверах необходима установка соответствующего программного обеспечения, такого, как, например, SafeNet Authentication Client (сокращённо SAC), который представляет собой набор драйверов и служебных утилит для работы с вышеуказанными электронными идентификаторами.
Вашему вниманию предлагается пошаговое руководство по установке служебных утилит для работы с eToken, а также драйверов, которые входят в состав дистрибутива SAC (SafeNet Authentication Client) версии 10.7. Процесс установки осуществляется на компьютере с предустановленной операционной системой Windows 10 Корпоративная редакция.
Установка пакета утилит и драйверов eToken SafeNet Authentication Client 10.7 на компьютерах с предустановленной 32-битной версией Windows 10, либо на компьютерах и серверах, работающих под управлением иных операционных систем, поддерживаемых SAC 10.7, осуществляется схожим образом.
Переходим к процедуре установки SafeNet Authentication Client 10.7:
- Авторизуйтесь в Windows 10 с административными правами
- Закройте все открытые приложения
- Запустите на выполнение файл SafeNetAuthenticationClient-x64-10.7.msi из пакета дистрибутива SAC
- В окне приветствия нажмите кнопку «Next» (Далее) для перехода к следующему пункту инсталляции
- Выберите необходимый вам язык интерфейса и нажмите кнопку «Next» (Далее)
- Ознакомьтесь с лицензионным соглашением
- Выберите пункт «I accept the license agreement» (Я принимаю условия лицензионного соглашения), если вы согласны с его условиями
- Для продолжения установки нажмите кнопку «Next» (Далее)
- Если вы желаете отменить установку SAC, то нажмите кнопку «Cancel» (Отмена)
- Далее вам необходимо выбрать путь для установки SAC
- Кнопкой «Change» (Изменить) можете указать свое расположение для установки SAC или оставить путь по умолчанию
- Для продолжения установки нажмите кнопку «Next» (Далее)
- На следующем этапе установки необходимо определиться с её типом — «Типичная» (Typical) или «Выборочная» (Custom)
- В большинстве случаев вполне достаточно типичной установки SAC (Typical)
- Если вы остановились на этом пункте, то для продолжения установки нажмите кнопку «Next» (Далее)
- Если же вам необходимо установить или наоборот исключить из процесса установки какие-то конкретные компоненты SAC, то выберите выборочный тип установки (Custom) и нажмите кнопку «Next» (Далее) для продолжения
- При выборочной установке отметьте необходимые вам компоненты и для продолжения нажмите кнопку «Next» (Далее)
- Всё готово к инсталляции
- Нажмите кнопку «Install» (Установка) для начала процесса копирования файлов
- Процесс установки будет сопровождаться шкалой прогресса
- Дождитесь завершения установки
- Прервать установку на данном этапе можете кнопкой «Cancel» (Отмена)
- Установка SAC 10.7 успешно завершена
- Нажмите кнопку «Finish» (Завершение) для выхода из программы установки
- Для вступления в силу внесённых изменений необходимо перезагрузить компьютер
- Нажмите кнопку «Yes» (Да), если желаете сделать это автоматически после установки SAC
- Либо нажмите кнопку «No» (Нет), если хотите произвести перезагрузку позже самостоятельно
На этом процесс установки SafeNet Authentication Client 10.7 можно считать завершённым. Если в процессе установки у вас возникли какие-либо вопросы, то можете задать их по электронной почте, либо по телефону, указанному на сайте. Скачать драйверы для электронных USB-ключей и смарт-карт eToken вы можете по этой ссылке.
Видео по установке SafeNet Authentication Client 10.7:
Программное обеспечение для работы с аппаратными ключами eToken, IDPrime, iKey, также смарт-картами, которые позволяют установить защиту для цифровых данных, доступа к программе, электронной почты.
В основном ПО SafeNet Authentication Client используется на корпоративных компьютерах, рабочих станциях, серверах.
Приложение поддерживает новые операционки например Windows 10, Windows Server 2016.
Программа содержит в себе функции предыдущего ПО под названием eToken PKI Client и SafeNet Borderless Security (BSec), поэтому позволяет продолжать использовать ключи, которые раньше настраивались устаревшим софтом.
Основные функции программы
- Изменить название.
- Изменить пароль, поставить одноразовый.
- Разблокировать модуль.
- Очистить содержимое внутренней памяти.
- Просмотр детальной информации о ключе.
РЕКЛАМА
Подробная информация об аппаратном ключе:
Установка нового пароля ключа:
При ненадобности программы — можно деинсталлировать штатным способом:
- Зажмите клавиши Win + R, появится окошко Выполнить, вставьте команду appwiz.cpl.
- Откроется окно установленного софта — Программы и компоненты. Найдите здесь ПО, которое требуется удалить > кликните правой кнопкой > выберите пункт Удалить.
- Следуйте инструкциям на экране. Стандартно нужно кликать Далее/Next/Удалить/Uninstall.
- После деинсталляции возможно потребуется перезагрузка персонального компьютера.
Надеюсь информация пригодилась. Удачи.
| Утвержден | УТВЕРЖДАЮ |
| 34080025-100-РП | Заместитель Председателя Правления |
| ____________________А.А. Шалимов | |
|
«____»____________________ 2013г. |
| Программный комплекс: | Централизованная система дистанционного банковского обслуживания (ЦС ДБО) |
| Модуль: | Подсистема «Интернет-Клиент» системы ДБО BS-Client v.3 |
| Версия: | 1.00 |
|
РУКОВОДСТВО ПОЛЬЗОВАТЕЛЯ по установке и настройке подсистемы «Интернет-Клиент» |
| 34080025-100-РП |
| Instr_IK.doc |
| САПД «Летопись» |
Листов
2013г
Оглавление
Общие положения
В инструкции были использованы: документация компаний OOO «Банк’c софт системс», ЗАО «Аладдин Р.Д.», ООО «КриптоПро» и Банка «Возрождение» (ОАО).
Сокращения, термины и определения, приведены в
Приложении 1.
Требования к аппаратным средствам и программному обеспечению компьютера Клиента изложены в
Приложении 2.
Клиенту системы ДБО. Важно!
|
Целесообразно проверить и при необходимости выполнить некоторые настройки в операционной системе.
Рекомендуется установить в Windows язык ввода по умолчанию – английский, значение клавиши Caps Lock на клавиатуре — выключено. Это поможет предотвратить ошибки при вводе паролей и PIN-кодов во время инсталляции программного обеспечения клиентского АРМ, а так же блокировку доступа к USB-ключам eToken во время эксплуатации АРМ при превышении допустимого количества попыток ввода (3 попытки ввода PIN-кода доступа к eToken).
Необходимо, также, наличие на компьютере установленного веб-браузера Microsoft Internet Explorer версии не ниже 7.0. (подсистема «Интернет-Клиент» не поддерживает работу с веб — браузерами других фирм изготовителей).
Для операционной системы Windows 7, Vista и 8 необходимо выполнить настройки, связанные с отключением контроля учетных записей. Порядок их выполнения представлен в
Приложении 3.
1. Настройка параметров Microsoft Internet Explorer версий 7.х — 9.х
Настройка параметров Microsoft Internet Explorer имеет важное значение для устойчивой работы подсистемы «Интернет-Клиент». Настройки разных версий Internet Explorer могут отличаться. Определить версию можно открыв Explorer и выбрав пункты меню Справка – О программе.
Для настройки параметров Internet Explorer выберите пункт меню Сервис-Свойства обозревателя, закладка Дополнительно (рис. 1.1 и рис. 1.2). На этой закладке необходимо убедиться, что в параметрах включен протокол защищенного соединения SSL 3.0.
Рис. 1.1.Включение протокола SSL3.0 IE6.0 |
Рис. 1.2. Включение протокола SSL3.0 IE 7.0 |
В некоторых версиях Internet Explorer версий 7.х и 9.х имеется параметр «Включить защиту памяти для снижения риска атаки из Интернет» (рис. 1.3 и рис. 1.4). Его необходимо отключить (убрать «галочку»).
Рис. 1.3. Отключение защиты памяти |
Рис. 1.4. Отключение защиты памяти |
Далее, рассмотрим настройки Internet Explorer на примере версии 6.0.
Щелкнув по закладке Безопасность, выберете зону настройки параметров безопасности. Необходимо иметь ввиду, что для нормальной работы подсистемы «Интернет-Клиент» достаточно настроить только одну зону — «Надежные узлы» (рис. 1.5). Настройки других зон могут быть произвольными и зависят от потребностей клиентов.
Добавьте в зону «Надежные узлы» адрес (URL) веб-сервера Банка. Для этого, в поле «Добавить узел в зону:» (рис. 1.6), введите https://dbo.voz.ru и нажмите клавишу Добавить. В результате адрес узла попадает в поле «Веб-узлы:» (рис. 1.7).
Рис. 1.5. Выбор зоны «Надежные узлы» |
Рис. 1.6. Добавить узел в зону |
Нажав клавишу ОК, переходим в окно «Свойства обозревателя» закладка Безопасность (рис. 1.8), в котором уровень безопасности для зоны «Надежные узлы» устанавливаем по умолчанию. Это происходит при нажатии клавиши По умолчанию.
Рис. 1.7.Добавленный узел в зону |
Рис. 1.8.Уровень безопасности для зоны |
Для снятия блокировки всплывающих окон необходимо вызвать окно «Параметры безопасности», нажав на клавишу Другой (рис. 1.9). В открывшемся окне (рис. 1.10) установить переключатель «Блокировать всплывающие окна в положение Отключить.
Рис. 1.9. Вызов окна параметры безопасности |
Рис. 1.10. Окно Параметры безопасности |
Дополнительно необходимо проверить установку следующих параметров безопасности, которые должны быть установлены в положение «Разрешить» («Включить»):
- Загрузка подписанных элементов ActiveX
- Запуск элементов ActiveX и модулей подключения
- Выполнять сценарии элементов ActiveX, помеченных как безопасные
- Поведение двоичного кодов и сценариев
- Активные сценарии
- Разрешить сценарии
В Internet Explorer версий 7.х и 9.х иногда, вместо установки выше рассмотренных параметров, достаточно нажать последовательно кнопки Сброс и Восстановить дополнительные параметры (рис. 1.2).
- Установка драйвера ключевого носителя eToken
Драйвер eToken PKI Client 5.1 SP1 32-бит (64-бит) применяется для ОС Windows XP/2003/Vista/7/2008.
Драйвер SafeNet Authentication Client 8.2 32-бит (64-бит) применяется для ОС Windows 8.
Внимание ! Не вставляйте eToken в USB порт до установки и в процессе установки драйвера eToken PKI Client 5.1 SP1 или SafeNet Authentication Client 8.2.
2.1.Установка драйвера ключевого носителя eToken PKI Client 5.1 SP1
Для установки драйвера eToken PKI Client 5.1 SP1 выполните следующие действия:
- Нажмите кнопку “Пуск — Выполнить”. В открывшемся окне укажите путь к файлу, выбранному в зависимости от разрядности операционной системы 32-бит (64 — бит) PKIClient-x32-5.1-SP1.msi (PKIClient-x64-5.1-SP1.msi), находящемуся на CD-R в папке СКЗИ и нажмите OK. На экране появится окно приветствия программы установки eToken PKI Client 5.1 SP1 (рис. 2.1). Нажмите кнопку Next.
- В окне выбора языка установки (рис. 2.2) выберите язык установки драйвера Russian и нажмите кнопку Next (рис. 2.3).
Рис. 2.1. Окно приветствия программы установки драйвера
Рис. 2.2. Окно выбора языка установки
- В окне Лицензионного соглашения (рис. 2.4) ознакомьтесь с Лицензионным соглашением, выберите I accept the license agreement и нажмите Next.
Важно! Если к вашему компьютеру подключен какой-либо eToken — отключите его.
Рис. 2.3. Продолжение установки |
Рис. 2.4. Лицензионное соглашение |
- Далее, при необходимости, можно выбрать папку установки драйвера и следовать указаниям Мастера установки, нажимая последовательно кнопки Next и Finish (рис. 2.5, 2.6).
Рис. 2.5. Выбор места установки |
Рис. 2.6. Завершение программы установки драйвера |
2.2.Установка драйвера ключевого носителя SafeNet Authentication Client 8.2
Для установки драйвера SafeNet Authentication Client 8.2 выполните следующие действия:
- Нажмите кнопку “Пуск — Выполнить”. В открывшемся окне укажите путь к файлу SafeNetAuthenticationClient-x32-x64-8.2.exe, находящемуся на CD-R в папке СКЗИ и нажмите OK. На экране появится окно приветствия программы установки SafeNet Authentication Client 8.2 (рис. 2.7). Нажмите кнопку Next.
- В окне выбора языка установки (рис. 2.8) выберите язык установки драйвера Russian и нажмите кнопку Next (рис. 2.9).
Рис. 2.7. Окно приветствия программы установки драйвера |
Рис. 2.8. Окно выбора языка установки |
- В окне Лицензионного соглашения (рис. 2.10) ознакомьтесь с Лицензионным соглашением, выберите I accept the license agreement и нажмите Next.
Важно! Если к вашему компьютеру подключен какой-либо eToken – отключите его.
Рис. 2.9. Окно продолжения установки |
Рис. 2.10. Окно Лицензионного соглашения |
- В окне выбора типа установки (рис. 2.11) выберите тип установки Standard и нажмите Next.
Рис. 2.11. Окно выбора типа установки |
- Далее, при необходимости, можно выбрать папку установки драйвера и следовать указаниям Мастера установки, нажимая последовательно кнопки Next и Finish (рис. 2.12, 2.13).
Рис. 2.12. Окно выбора места установки |
Рис. 2.13. Окно завершения программы установки драйвера |
- Введение
- Особенности и проблемы аутентификации пользователей в корпоративной среде
- Функциональные возможности SafeNet eToken и ПО SafeNet Authentication Client
- Архитектура аппаратно-программной связки SafeNet eToken с ПО SafeNet Authentication Client
- Системные характеристики SafeNet eToken 5300 и ПО SafeNet Authentication Client
- Применение аппаратно-программной связки SafeNet eToken с ПО SafeNet Authentication Client
- 6.1. Пользовательский интерфейс ПО SafeNet Authentication Client
- 6.2. Управление SafeNet eToken
- 6.2.1. Инициализация токена
- 6.2.2. Изменение пароля токена
- 6.2.3. Управление сертификатами
- 6.3. Типовые сценарии использования сертификатов SafeNet eToken 5300
- 6.3.1. Цифровая подпись PDF-документа
- 6.3.2. Аутентификация в операционной системе
- 6.3.3. Шифрование файлов
- Выводы
Введение
В связи с интенсивной информатизацией общества и ростом количества информационных систем различного назначения особую актуальность приобретает задача управления доступом пользователей к данным, решение которой прежде всего связано с идентификацией и аутентификацией субъекта (претендента, заявителя) средствами конкретной информационной системы.
В далёком 2006 году был выпущен стандарт NIST SP 800-63 «Electronic Authentication Guideline», который представлял собой техническое руководство для федеральных государственных учреждений США по обеспечению возможности удалённой аутентификации физических лиц. Предполагалось, что с использованием описанных в NIST SP 800-63 методов учреждение могло бы удостоверять заявление гражданина о том, что он знает или владеет некой секретной информацией.
Актуальная версия NIST SP 800-63-3 под названием «Digital Identity Guidelines» определяет классическую парадигму систем аутентификации пользователей, в основу которой положено три фактора:
- нечто известное (например, пароль);
- нечто имеющееся (например, идентификационная карточка или криптографический ключ);
- нечто присущее (например, отпечаток пальца или иные биометрические данные).
Для парадигмы систем электронной аутентификации характерен следующий нюанс: заявитель владеет и распоряжается токеном, который используется для удостоверения его личности. Токен в данном случае представляет собой портативное устройство (смарт-карту, SIM-карту, USB-устройство на основе смарт-карты и др.), которое содержит во внутренней памяти некий «секрет» (криптографический ключ, сертификат, пароль). Термин «токен» используется наравне с альтернативными ему обозначениями: «аппаратный токен», «электронный ключ», «криптографический токен» и пр. Как правило, токен оснащён защищённым микропроцессором, ядром для исполнения криптографических алгоритмов, безопасным хранилищем «секрета», а также одним или несколькими сервисными приложениями. Производители также могут встраивать в него механизмы предотвращения физических и логических атак.
«Секрет», содержащийся в токене, может использоваться заявителем для доказательства того, что он и есть тот самый владелец, имя которого содержится в идентификационной информации.
Аналитический центр Anti-Malware.ru регулярно публикует материалы об аппаратных токенах, неизменно пользующиеся интересом читателей. Например, в своё время был подготовлен большой сравнительный обзор токенов с аппаратной поддержкой отечественных криптографических алгоритмов — как с сертификатом ФСБ России, так и несертифицированных.
Из представленных в настоящее время на рынке заслуживает внимания вариант организации двухфакторной аутентификации с функцией ЭЦП с помощью аппаратного токена SafeNet eToken 5300 и программного обеспечения SafeNet Authentication Client от компании Thales (прежде выпускались компанией Gemalto), одного из глобальных лидеров в области информационной безопасности. Данное предложение выгодно выделяется на фоне конкурирующих с ним продуктов, обладающих в целом сходной функциональностью, в том числе за счёт использования дополнительного фактора, связанного с учётом присутствия пользователя.
Особенности и проблемы аутентификации пользователей в корпоративной среде
Нарушитель, который каким-либо образом получает возможность распоряжаться токеном законного владельца, вместе с тем приобретает и возможность выдать себя за него. Сила системы для аутентификации в значительной степени определяется числом реализованных в нём факторов проверки подлинности пользователя, а угрозы безопасности в отношении токенов могут быть классифицированы в соответствии с типами факторов аутентификации, которые заключает в себе токен.
К числу эффективных стратегий блокирования угроз безопасности в отношении реализаций аутентификации относятся в том числе следующие:
- Множественные факторы затрудняют проведение атак. Если нарушитель для выполнения успешной атаки нуждается в том, чтобы похитить токен и подобрать пароль, раскрытие сразу обоих факторов может быть сопряжено для него с чрезмерно большими трудозатратами.
- Для защиты от дублирования похищенного токена могут быть задействованы методы обеспечения физической безопасности: защиты от вскрытия, сигнализации о подобных попытках, обнаружения несанкционированного доступа.
- Вероятность успешной атаки путём подбора пароля может быть снижена посредством введения правил в отношении его сложности.
- Могут использоваться внеполосные методы проверки свидетельств в отношении владения токеном (например, с помощью мобильного телефона).
Какое число факторов следует использовать в системе аутентификации? Двухфакторная аутентификация, как правило, реализуется с использованием «чего-то, что известно» (имени пользователя и пароля), а также «чего-то, что имеется» (аппаратного или программного токена). Опыт показывает, что в отдельных случаях даже этого может быть недостаточно для достижения целей безопасности. Для перехода на следующий уровень можно добавить «что-то присущее», или биологические признаки (отпечаток пальца, радужная оболочка, черты лица и т. д.). Соответствующий метод называется трёхфакторной аутентификацией и может использоваться в информационных системах, требующих повышенного уровня безопасности (банки, правительственные организации, аэропорты, крупные корпорации и др.).
Биометрия может устранить недостатки, возникающие при использовании других способов аутентификации. Однако нужно учитывать и то, что с увеличением числа факторов, необходимых для проверки личности пользователя, процедура в целом становится более трудоёмкой и сложной. Пользователи могут счесть прохождение проверки обременительным и пытаться «сэкономить» — например, путём использования более слабых, легко запоминающихся или одинаковых паролей.
Как правило, основные затруднения связаны именно с прохождением биометрической проверки. Так, в случае использования методов распознавания лиц отсутствие надлежащего освещения может привести к тому, что легальные пользователи не смогут подтвердить свою личность. Сканеры отпечатков пальцев также могут стать источником затруднений: в некоторых случаях устройство считывания корректно распознаёт отпечаток только в том случае, если пользователь поместит палец в определённое положение.
При выборе обеспечивающего аутентификацию продукта следует соблюдать баланс между безопасностью и комфортом. Один из возможных вариантов — применение фактора присутствия пользователя («чего-то, что выполняется»); этот фактор не относится к числу биометрических и не требует от сотрудника выполнять какие-либо сложные действия. По уровню простоты использования он сравним с классической двухфакторной аутентификацией, однако позволяет обеспечивать повышенный уровень безопасности. В частности, тест на наличие пользователя — одно из фундаментальных требований открытого стандарта аутентификации FIDO2. Его применение, например, позволяет защититься от удалённых атак на неискушённых сотрудников, которые имеют привычку оставлять токен подключённым к USB-порту, а PIN-код от него — записывать для удобства в текстовый файл на рабочем столе компьютера.
В целом опыт показывает, что эффективная система многофакторной аутентификации должна в максимально возможной степени отвечать следующим критериям:
- лёгкость использования — быть простым в настройке и эксплуатации, легко интегрироваться с любой существующей системой за несколько щелчков мышью;
- масштабируемость — поддерживать основные операционные системы, устройства, а также, что крайне желательно, облачные платформы;
- эластичность — обеспечивать строгую аутентификацию с использованием авторитетных отраслевых стандартов;
- надёжность — обеспечивать корректное выполнение процедур проверки во всех условиях эксплуатации;
- поддержка единой точки входа — реализовывать процесс аутентификации, который позволяет пользователю применять предъявленные в начале сеанса работы в системе идентификатор и пароль для получения доступа к различным приложениям.
Кроме того, эффективная система аутентификации в зависимости от индивидуальных особенностей может реализовывать дополнительные функции по безопасности, такие как защита ключей, электронная цифровая подпись (ЭЦП), шифрование данных и др.
В какой мере комбинация SafeNet eToken 5300 и ПО SafeNet Authentication Client отвечает предложенным выше критериям эффективности, нам предстоит выяснить.
Функциональные возможности SafeNet eToken и ПО SafeNet Authentication Client
Электронный ключ SafeNet eToken может применяться в следующих основных целях:
- организация многофакторной аутентификации пользователей при входе в операционную систему,
- удалённый доступ к корпоративным ресурсам,
- аутентификация для доступа к веб-приложениям,
- организация строгой аутентификации в модуле доверенной загрузки операционной системы,
- работа с электронной цифровой подписью.
Интеграция электронного ключа с внешними приложениями выполняется через программный интерфейс PKCS#11 или с использованием низкоуровневых команд APDU. В первом случае требуется использование программного обеспечения SafeNet Authentication Client.
SafeNet Authentication Client позволяет прикладному ПО взаимодействовать с электронными ключами и смарт-картами eToken, IDPrime и iKey производства компании Gemalto. Помимо набора драйверов и интерфейсов для взаимодействия этот клиент реализует набор функций для организации локального администрирования электронных ключей и смарт-карт. SafeNet Authentication Client функционирует на платформах Microsoft Windows, Linux, macOS, что позволяет использовать функциональность электронных ключей и смарт-карт для организации аутентификации и ЭЦП в этих средах.
Архитектура аппаратно-программной связки SafeNet eToken с ПО SafeNet Authentication Client
В качестве функциональной основы выступает электронный ключ SafeNet eToken 5300 — программно-аппаратный комплекс для аутентификации и хранения ключевой информации, особые свойства которого обеспечивают повышенный уровень безопасности в целом. Помимо двух традиционных факторов аутентификации (владения и знания) электронный ключ реализует усиление в виде фактора присутствия пользователя.
Второй архитектурный компонент — SafeNet Authentication Client — представляет собой связующее программное обеспечение (middleware) инфраструктуры открытых ключей (PKI). Он позволяет управлять аутентификатором SafeNet eToken 5300 и предоставляет защищённый инструментарий для обмена данными на основе PKI, обеспечивающий верификацию идентификационной информации пользователя с помощью доверенной третьей стороны.
ПО SafeNet Authentication Client поддерживает возможность работы и с другими устройствами:
- USB-токенами (SafeNet eToken 5110, eToken 5110 CC, eToken 5110 FIPS),
- смарт-картами (SafeNet IDPrime 940 SIS, IDPrime 3940 FIDO, IDPrime 930, IDPrime 3930, IDPrime 940, IDPrime 3940 и др.),
- считывателями смарт-карт, функционирующими в контактном и бесконтактном режимах (CL3000 Prox-du (EOL), ACR128U (EOL), Gemalto IDBridge K30, Gemalto IDBridge K50, SafeNet IDBridge CT30 и др.),
- защищёнными считывателями PIN Pad (Gemalto IDBridge CT700).
При подготовке обзора в наше распоряжение помимо SafeNet eToken 5300 в форм-факторе «микро» (возможно, самый маленький форм-фактор USB-токена из имеющихся на рынке) были также предоставлены ещё два продукта семейства eToken:
- USB-токен SafeNet eToken 5110;
- считыватель SafeNet IDBridge CT30 и смарт-карта с предустановленным апплетом eToken. Смарт-карта предусматривает возможность имплантирования RFID-метки.
Рисунок 1. Устройства для аутентификации и ЭЦП на базе PKI от компании Thales
USB-токен SafeNet eToken 5110 также представляет собой программно-аппаратный комплекс для аутентификации и хранения ключевой информации. Он является устройством следующего поколения относительно электронного ключа и смарт-карты eToken PRO, вполне хорошо зарекомендовавших себя на российском рынке информационной безопасности.
Считыватель смарт-карт IDBridge CT30 — это устройство для работы со смарт-картами компании Thales и других производителей, поддерживающих стандарт ISO 7816. Пользователи ОС Microsoft Windows, Linux, macOS могут применять его для организации двухфакторной аутентификации и работы с ЭЦП. Корпус устройства сделан из прозрачного пластика, благодаря чему можно без дополнительных усилий контролировать корректность размещения смарт-карты в считывателе. Также для него производится подставка, которая позволяет при необходимости использовать IDBridge CT30 в вертикальном положении.
Рисунок 2. Считыватель смарт-карт IDBridge CT30 с подключённой смарт-картой
Системные характеристики SafeNet eToken 5300 и ПО SafeNet Authentication Client
ПО SafeNet Authentication Client функционирует на компьютерах под управлением следующих операционных систем:
- Microsoft Windows Server 2019 / 2016 / 2012 / 2012 R2 (х64) и Server 2008 R2 SP1 / 2008 SP2 (х32, х64); Windows 10 / 8.1 / 8 / 7 SP1 (х32, х64).
- Linux: Red Hat 7.3 / 6.9; CentOS 7.3 / 6.9; SUSE 12.2; Debian 9.0; Fedora 26; Ubuntu 16.04 и 17.04.
- macOS 10.13.1 High Sierra / 10.14 Mojave.
Требования, предъявляемые к необходимому для функционирования ПО SafeNet Authentication Client аппаратному обеспечению, весьма скромны:
- наличие USB-порта для подключения аппаратных токенов,
- разрешение экрана 1024 х 768 и выше.
Обращает на себя внимание то обстоятельство, что рассматриваемая в настоящем обзоре актуальная версия ПО SafeNet Authentication Client 10.8 (R2) для Windows совместима с весьма внушительным перечнем программных продуктов сторонних производителей, который сведён в таблицу 1.
Таблица 1. Программные продукты, совместимые с ПО SafeNet Authentication Client
| Тип программного продукта | Производитель | Версия программного продукта |
| Защищённый удалённый VPN-доступ | Check Point | Endpoint Security E80.70 |
| Microsoft | Windows Server 2008 SP2 и выше | |
| Cisco | AnyConnect for Windows 4.7.00136 | |
| Palo Alto | PA-200 GW Appliance | |
| Juniper | Juniper MAG 2600 GW Appliance | |
| Инфраструктура виртуальных рабочих столов (Virtual Desktop Infrastructure, VDI) | Citrix | Virtual Apps and Desktops 7.1903 |
| Microsoft | Remote Desktop | |
| VMware View | Horizon 7.8 | |
| Управление учётными записями (Identity Access Management, IAM; Identity Management, IdM) | IBM | ISAM for Web 9.0 |
| Intercede | MyID 11.3 | |
| Microsoft | MIM 2016 4.5.286.0 | |
| vSEC:CMS | vSEC:CMS 5.8 | |
| IDnomic | OpenTrust CMS 5.2 | |
| Аутентификация до загрузки (Pre Boot Authentication, PBA) |
Sophos | SafeGuard Easy |
| Microsoft | BitLocker (только RSA) | |
| Удостоверяющий центр (Certificate Authority, CA) | Entrust | ESP 10 |
| Microsoft (Local CA) | Для всех Windows-платформ | |
| Система единого входа (Single Sign-On, SSO) | Evidian | ESSO |
| Электронная цифровая подпись | Entrust | ESP 10 |
| Adobe | 2020.009.20063 | |
| Microsoft | Outlook 2016 / Office 365 | |
| Mozilla | Thunderbird 52.9.1 | |
| Браузеры | Mozilla | Firefox 77.01 |
| Microsoft | Internet Explorer 11.476.18362.0 Edge Chromium 84.0.522.40 Edge 44.18362.449.0 |
|
| Chrome 83.0.4103.116 |
Наиболее показательные технические характеристики электронного ключа SafeNet eToken 5300 из состава рассматриваемого продукта приведены в таблице 2.
Таблица 2. Основные характеристики SafeNet eToken 5300
|
Поддерживаемые операционные системы |
Windows Server 2008/R2, Windows Server 2012/R2, Windows Server 2016, Windows 7, Windows 8, Windows 8.1, Windows 10, macOS, Linux |
|
|
API и поддерживаемые стандарты |
PKCS#11, Microsoft CAPI and CNG (CSP, KSP), Mac Keychain, PC/SC, X.509 v3 certificate storage, SSL v3, IPSec/IKE |
|
|
Объём памяти |
80 КБ |
|
|
Встроенные алгоритмы шифрования |
Симметричные: AES 128 / 192 / 256-bit, 3DES (Triple DES) Хеш-функция: SHA-256 RSA: 2048-bit Эллиптические кривые: P-256, P-384 |
|
|
Вариант исполнения «Мини» |
Вариант исполнения «Микро» |
|
|
Сертификация (в процессе) |
FIPS 140-2, уровень 3 |
FIPS 140-2, уровень 2 |
|
Размеры |
16 мм * 8 мм * 40,5 мм |
12 мм * 4,5 мм * 18 мм |
|
Поддержка спецификации ISO |
Поддержка ISO 7816-1 для 4 спецификаций |
|
|
Рабочая температура |
От 0 °C до 70 °C |
|
|
Температура хранения |
От -40 °C до 85 °C |
|
|
Влажность |
0—100% без конденсации |
|
|
Сопротивление влаге |
IPX7 — IEC 529 |
|
|
USB-коннектор |
USB типа A; поддерживает USB 1.1 и 2.0 (полная и высокая скорости) |
|
|
Корпус |
Твёрдый пластик, защита от вскрытия |
|
|
Хранение данных в памяти |
Как минимум 10 лет |
|
|
Переписывание ячеек памяти |
Минимум 500 000 раз |
Согласно декларации производителя корпус устройства оценивается в качестве защищённого от проникновения твёрдых предметов и воды в соответствии со степенью защиты IPX7. Этот показатель означает, что попавшая внутрь устройства пыль не может повредить его удовлетворительной работе и корпус токена является водонепроницаемым в условиях погружения на один метр под воду на 30 минут.
Поломка корпуса вследствие неосторожного обращения — это часто болезненная тема для USB-устройств. Мы можем отметить, что корпус SafeNet eToken 5300 изготовлен из твёрдого пластика, производит впечатление прочного, стойкого к появлению царапин и вмятин, люфт отсутствует. Сигналы светового индикатора очень хорошо видны через корпус. Токен претендует на статус защищённого от вскрытия, и по ощущениям открывание корпуса без оставления следов действительно потребует значительных усилий. В целом в ходе исследования было вполне легко убедиться, что надёжность корпуса достаточно высока как минимум для того, чтобы он не расшатывался в результате многократных переподключений устройства к USB-разъёму.
К числу основных функционально-технических характеристик связки SafeNet eToken 5300 с ПО SafeNet Authentication Client можно отнести следующие:
- количество ключевых контейнеров — 15,
- длина ключа RSA — 1024 / 2048 бит,
- заполнитель RSA (RSA Padding) — PKCS#1 v1.5, PSS, OAEP,
- длина ключа ECC — 256 / 384 / 521 бит;
- алгоритм вычисления хеш-функции — SHA-1 160 бит, SHA-2 256 / 384 / 512 бит.
Применение аппаратно-программной связки SafeNet eToken с ПО SafeNet Authentication Client
Пользовательский интерфейс ПО SafeNet Authentication Client
Для работы с токенами SafeNet eToken потребуется прежде всего установить ПО SafeNet Authentication Client.
Процесс установки клиента предельно прост и интуитивно понятен, графический интерфейс программы-установщика отличается дружественностью. Для использования SafeNet eToken с ПО SafeNet Authentication Client в общем случае не требуется покупать и устанавливать дополнительный криптопровайдер, все необходимые для работы компоненты содержатся внутри устройства.
SafeNet Authentication Client реализует два механизма обращения к функциям управления: через иконку в трее для быстрого доступа к отдельным операциям над выбранным токеном и через главное окно приложения.
С помощью иконки приложения в трее можно отобразить сведения о программе, изменить пароль выбранного токена, разблокировать его и просмотреть информацию о сертификате. Дополнительное конфигурирование позволяет несколько расширить этот список. Кроме того, при выборе пункта «Сервис» в контекстном меню иконки в трее можно вывести на экран главное окно ПО SafeNet Authentication Client или завершить работу этого приложения.
Главное окно ПО SafeNet Authentication Client в нашем случае выглядит так, как показано на рисунке 3.
Рисунок 3. Главное окно ПО SafeNet Authentication Client
Можно легко убедиться в том, что дизайн главного окна без околичностей акцентирует внимание на самом важном: выпукло представлены подключённые к компьютеру устройства, в числе которых токен SafeNet eToken 5300 с именем «Test5300», а также основные операции, которые могут быть произведены над каждым выбранным устройством. Исключительно из любопытства хотелось бы посмотреть, каким образом разработчики ПО обрабатывают ситуацию, когда количество подключённых устройств не оставляет возможности отобразить их на экране одновременно (главное окно приложения имеет фиксированный размер). Однако имеющиеся в нашем распоряжении устройства не позволили произвести соответствующий опыт.
Администраторам SafeNet Authentication Client предоставляет инструментарий, позволяющий им задавать политики токенов. Пользователи, в свою очередь, с помощью SafeNet Authentication Client выполняют основные функции управления токенами, такие как изменение паролей или просмотр сертификатов. Кроме того, приложение предоставляет пользователям и администраторам быстрый и простой способ импорта цифровых сертификатов и ключей между компьютером и токеном.
SafeNet Authentication Client реализует функцию инициализации, с помощью которой администраторы выполняют процедуру первичной активации токенов в соответствии с действующими в организации требованиями или режимами безопасности, а также функцию качества пароля, которая устанавливает параметры для расчёта соответствующего рейтинга для пароля токена.
Ещё SafeNet Authentication Client позволяет просмотреть всю имеющуюся информацию о токене. С помощью этого ПО можно получать доступ к данным, хранящимся внутри токена, таким как ключи и сертификаты, и управлять его содержимым, например профилями паролей.
Рисунок 4. Просмотр информации о токене SafeNet eToken 5300 в ПО SafeNet Authentication Client
В целом интерфейс ПО SafeNet Authentication Client оставляет впечатление целостного, он удобен и интуитивно понятен. Пожалуй, лучше всего характеризует его то обстоятельство, что при работе почти не возникает потребности в обращении к «Руководству пользователя». Даже мелкие неудобства вроде редких опечаток в локализации, необъяснимого исчезновения всплывающих подсказок для кнопок панели управления или отсутствия эксплуатационной документации на русском языке (она поставляется только вместе с сертифицированной версией программно-аппаратного комплекса аутентификации и хранения ключевой информации «Электронный ключ SafeNet eToken 10», в состав которого входят токены и смарт-карты SafeNet eToken 5110 с ПО SafeNet Authentication Client) совершенно не портят общего ощущения от продукта.
Управление SafeNet eToken
Инициализация токена
В процессе инициализации токена удаляются все объекты, хранящиеся на нём с момента изготовления, освобождается память и сбрасывается пароль. Затем токен конфигурируется в соответствии с организационными требованиями или режимами безопасности.
Судя по составу этих действий, инициализацию токена целесообразно проводить либо применительно к только что приобретённому устройству, либо в том случае, когда сотрудник увольняется из компании, что позволяет передать его токен коллеге. В последнем случае полностью удаляются индивидуальные артефакты уволившегося сотрудника, что позволяет начать жизненный цикл устройства в известном смысле с чистого листа.
Рисунок 5. Инициализация токена SafeNet eToken 5300 в ПО SafeNet Authentication Client
В процессе инициализации SafeNet eToken 5300 переопределяются имя и пароль токена. При желании можно задать новый пароль администратора, максимальное допустимое количество неудачных попыток входа в систему и предписание сменить пароль токена при первом подключении. Также будут удалены все данные, ранее созданные пользователями, включая сертификаты и профили. Указав значения для всех этих параметров в процессе инициализации, можно сформировать своего рода политику, которая будет применяться к заданным токенам.
Рисунок 6. Переопределение параметров при инициализации токена SafeNet eToken 5300 в ПО SafeNet Authentication Client
Поскольку выполнение процедуры инициализации токена приводит к его почти полному обезличиванию, её несвоевременное выполнение может нанести ущерб корпоративным интересам. По этой причине разработчики ПО SafeNet Authentication Client позаботились о том, чтобы соответствующее решение принималось взвешенно, без лишней спешки. Нежелательная очистка токена путём случайного нажатия «не на ту кнопку» практически исключена.
Рисунок 7. Запуск процесса инициализации токена SafeNet eToken 5300 в ПО SafeNet Authentication Client
Изменение пароля токена
Токены производства Thales поставляются с паролем, заданным по умолчанию. С этим нюансом связан тот редкий случай, когда может потребоваться обращение к эксплуатационной документации. По сути только из неё мы можем узнать, что пароль по умолчанию для устройства SafeNet eToken 5300 — 0000, а, например, для SafeNet eToken 5110 — 1234567890.
Принципы строгой двухфакторной аутентификации требуют смены пользователем исходного пароля в максимально короткие сроки.
Рисунок 8. Смена пароля токена SafeNet eToken 5300 в ПО SafeNet Authentication Client
В случае если заданный пользователем новый пароль не соответствует настройкам качества, установленным администратором, процедура завершится ошибкой.
Рисунок 9. Ошибка смены пароля токена SafeNet eToken 5300 в ПО SafeNet Authentication Client
По субъективным ощущениям пользователю было бы более удобно каким-то образом лучше понимать, что именно требуется изменить в новом пароле, чтобы он соответствовал воззрениям администратора. Как видно из рисунка выше, сообщение об ошибке оставляет некоторую неопределённость. В нашем примере по привычке была предпринята попытка установить надёжный пароль (как выяснилось позднее, его длина составляла 17 символов), и он оказался чрезмерно длинным. Для того чтобы выяснить, насколько его требуется укоротить, нужно обратиться к настройкам клиента, в отдельную область пользовательского интерфейса SafeNet Authentication Client.
Рисунок 10. Настройки качества пароля в ПО SafeNet Authentication Client
Управление сертификатами
SafeNet eToken 5300 может содержать сертификаты следующих типов:
- сертификат подписи — используется только для выполнения операций с ЭЦП;
- сертификат обмена — используется для выполнения различных криптографических операций, таких как применение ЭЦП, шифрование данных или аутентификация.
В дополнение к PIN-коду сертификаты обоих типов также могут быть защищены с помощью датчика обнаружения присутствия, которым оснащён токен SafeNet eToken 5300. Например, при выполнении операции с ЭЦП пользователю предлагается прикоснуться к датчику на токене для завершения операции подписи. По умолчанию период ожидания прикосновения составляет 30 секунд, по истечении которых операция завершается неуспешно.
Сертификат может быть импортирован на токен с помощью обращения к элементам пользовательского интерфейса SafeNet Authentication Client или загружен в него по инициативе сторонних средств.
В рамках проводимых опытов мы воспользовались для этих целей средствами тестового удостоверяющего центра ООО «КриптоПро», с помощью которого были сформированы ключи и отправлен запрос на сертификат. В качестве криптопровайдера был выбран eToken Base Cryptographic Provider, а в качестве назначения ключей — «для подписи и обмена».
Рисунок 11. Создание запроса на сертификат в тестовом удостоверяющем центре
После завершения генерации по запросу SafeNet Authentication Client предложил прикоснуться к датчику, чтобы записать созданный сертификат в токен SafeNet eToken 5300.
Рисунок 12. Запрос на прикосновение к токену SafeNet eToken 5300 в ПО SafeNet Authentication Client для загрузки сертификата
После прикосновения к токену сертификат был успешно импортирован и появилась возможность посмотреть сведения о нём в разделе «Сертификаты пользователей» в ПО SafeNet Authentication Client.
Рисунок 13. Отображение сертификата токена SafeNet eToken 5300 в ПО SafeNet Authentication Client
Типовые сценарии использования сертификатов SafeNet eToken 5300
С помощью записанного на токен SafeNet eToken 5300 сертификата могут быть с лёгкостью реализованы различные прикладные сценарии.
Цифровая подпись PDF-документа
Например, можно подписать PDF-документ личной ЭЦП владельца токена.
Для этого сначала подключаем к компьютеру токен SafeNet eToken 5300, в котором содержится ранее созданный сертификат. В программе Adobe Acrobat Reader в разделе инструментов выбираем пункт «Сертификаты», после чего нажимаем кнопку «Поставить цифровую подпись».
Рисунок 14. Начало процедуры подписания PDF-документа в Adobe Acrobat Reader с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client
Выбираем цифровое удостоверение для подписи, предоставляемое SafeNet eToken 5300, и нажимаем кнопку «Продолжить».
Рисунок 15. Выбор сертификата для подписи PDF-файла в интерфейсе Adobe Acrobat Reader с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client
Предварительно просматриваем оформление подписи и содержимое документа.
Рисунок 16. Просмотр подписи PDF-файла в интерфейсе Adobe Acrobat Reader с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client
Вводим PIN-код токена SafeNet eToken 5300, являющегося хранилищем сертификата, по запросу прикасаемся к датчику, после чего в PDF-файл интегрируется ЭЦП нашего тестового пользователя.
Рисунок 17. Завершение процедуры подписи PDF-файла в интерфейсе Adobe Acrobat Reader с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client
Аутентификация в операционной системе
После записи сертификата в токен связка SafeNet eToken 5300 с ПО SafeNet Authentication Client позволяет осуществлять двухфакторную аутентификацию при входе в систему. На рисунке ниже показан пример выполнения данной процедуры в условиях использования сторонних средств защиты информации.
Рисунок 18. Двухфакторная аутентификация в VPN-клиенте при входе в систему с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client
Шифрование файлов
С использованием SafeNet eToken 5300 и ПО SafeNet Authentication Client можно также реализовать процедуру шифрования файлов под управлением ОС Windows.
Для начала нужно инициировать эту процедуру в ОС посредством подтверждения сертификата, содержащегося на токене.
Рисунок 19. Подтверждение сертификата шифрования файлов в ОС Windows с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client
Далее потребуется выбрать каталоги для зашифрования, ввести PIN-код токена и прикоснуться к нему.
Рисунок 20. Зашифрование выбранных каталогов в ОС Windows с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client
Выводы
В современном мире, предъявляющем к сотрудникам компаний и ведомств повышенные требования по мобильности и в целом по готовности к удалённой работе, ИТ-инфраструктура организации должна быть способна выдерживать баланс между безопасностью и удобством. Многие компании по-прежнему используют простые имена учётных записей и пароли в качестве единственной защиты от нарушителей, пытающихся получить доступ к сетям связи и личным данным пользователей. Гораздо более высокий уровень безопасности цифровой среды может быть обеспечен с помощью инфраструктуры открытых ключей (PKI).
Реализация на базе электронного ключа SafeNet eToken 5300 представляет собой программно-аппаратный комплекс для аутентификации и хранения ключевой информации, призванный обеспечить повышенный уровень безопасности при сохранении удобства работы пользователей.
SafeNet eToken 5300 является компактным USB-устройством, в котором помимо двух обязательных традиционных факторов аутентификации (владения и знания) предлагается усиление в виде фактора присутствия пользователя. Для входа в систему или подписания документа пользователю необходимо не только предъявить ключ и ввести PIN-код, но и прикоснуться к устройству для выполнения операций. Применение такого механизма позволяет исключить возможность удалённой атаки на пользователей, которые оставляют электронные ключи в компьютерах и ноутбуках.
ПО SafeNet Authentication Client используется в составе продукта для локального администрирования SafeNet eToken 5300 при выполнении базовых операций, таких как инициализация, смена PIN-кода, задание политик. Кроме того, этот клиент реализует ряд функций по обеспечению информационной безопасности, включая работу с ЭЦП, аутентификацию пользователя и шифрование диска. SafeNet Authentication Client позволяет генерировать и хранить закрытые ключи в SafeNet eToken 5300 и других аутентификаторах на основе смарт-карт и токенов.
Актуальная версия ПО для ОС Windows — SafeNet Authentication Client 10.8 (R2). Основные изменения после предыдущей версии заключаются в приведении пользовательского интерфейса ПО к общему стилю продуктов группы компаний Thales, устранении известных ошибок, поддержке новых смарт-карт, а также улучшении локализации продукта.
Функциональность связки SafeNet eToken 5300 с ПО SafeNet Authentication Client в части формирования и проверки ЭЦП с неизвлекаемым ключом, строгой двухфакторной аутентификации пользователей, безопасного хранения пользовательских данных и объектов в защищённой энергонезависимой памяти позволяет ему быть востребованным в информационных системах различных типов.
Достоинства:
- Возможность использования USB-подключений любого типа.
- Совместимость с широким множеством программных продуктов сторонних производителей (операционные системы, браузеры, средства электронной цифровой подписи, VPN, IDM, SSO, CA, PBA и др.) на основе сертификатов.
- Поддержка токенов в двух компактных форм-факторах: «мини» и «микро».
- Возможность использования смарт-карт IDPrime MD, включая поддержку нескольких слотов.
- Обеспечение повышенного уровня безопасности за счёт наличия датчика для проверки присутствия пользователя.
- Сертификация FIPS 140-2 и в соответствии с «Общими критериями» EAL 6+ (в процессе завершения).
- Поддержка функциональности PKI (электронная цифровая подпись, шифрование документов) без необходимости многократного ввода пароля, посредством прикосновения к токену.
Недостатки:
- Электронный ключ eToken 5300 непосредственно поддерживает только западную криптографию. Для реализации российских криптографических алгоритмов необходимо использовать внешний криптопровайдер от российских разработчиков.
- Отсутствие пользовательской документации на русском языке.
- Мелкие огрехи пользовательского интерфейса (опечатки, произвольное неотображение всплывающих подсказок, недостаточно информативные сообщения об ошибках).
- Нет сертификата ФСТЭК России (заметим, впрочем, что недавно был получен сертификат соответствия программно-аппаратного комплекса аутентификации и хранения ключевой информации «Электронный ключ SafeNet eToken 10» требованиям безопасности информации по 6-му уровню доверия, действие которого распространяется на токены и смарт-карты SafeNet eToken 5110 с ПО SafeNet Authentication Client; в ближайших планах — сертификация и SafeNet eToken 5300).