eToken
eToken (от
Современные модели
Перечень современных моделей
- eToken PRO[3] и Safenet eToken 4100 — смарт-карты;
- eToken 5110, eToken PRO[3], SafeNet Token 5100 и SafeNet eToken 5200 — USB-ключи, являющиеся полнофункциональными аналогами смарт-карт;
- eToken NG-FLASH, eToken NG-OTP, SafeNet eToken 3400 и SafeNet eToken 7300 — гибридные устройства;
- eToken PASS и SafeNet eToken 3500 — OTP-токены (аппаратные генераторы одноразовых паролей);
- eToken Virtual — программный эмулятор смарт-карты.
Классификация
По функциональным возможностям
Функциями смарт-карт обладают все современные модели eToken, за исключением eToken PASS и SafeNet eToken 3500.
Функциями
Функциями OTP-токенов (устройств для генерации одноразовых паролей) обладают eToken NG-OTP, eToken PASS, SafeNet eToken 3400 и SafeNet eToken 3500.
По видам обеспечения
Различные модели eToken являются аппаратными устройствами, за исключением программных средств eToken Virtual.
По форм-факторам[4]
Форм-фактор | Модели | Иллюстрация | ||||||||
---|---|---|---|---|---|---|---|---|---|---|
USB-ключ | eToken 5110
|
| ||||||||
USB-ключ с генератором одноразовых паролей |
|
| ||||||||
OTP-токен | eToken PASS |
| ||||||||
смарт-карта |
|
| ||||||||
смарт-карта с генератором одноразовых паролей | SafeNet eToken 3400 |
Среда функционирования
Программное обеспечение eToken PKI Client, обеспечивающее работу eToken с функциями смарт-карт, функционирует под управлением операционных систем:
- BlackBerry;
- GNU/Linux;
- Mac OS;
- Microsoft Windows.
Аппаратные OTP-токены eToken требуют для своей работы сервер управления TMS, функционирующий на платформе Microsoft Windows Server 2003 или 2008.
Программное средство eToken Virtual способно функционировать под управлением операционных систем:
- CentOS 5.2;
- Fedora9;
- 10.5;
- Microsoft Windows Server 2003 и 2008, Vista, XP, 7, 8;
- openSUSE 10.3;
- Red Hat Enterprise Linux 5.2;
- Ubuntu 8.04 (32-bit).
Приложения
Check Point VPN-1 SecuRemote и VPN-1 SecureClient
Check Point VPN-1 SecuRemote и VPN-1 SecureClient поддерживают аутентификацию, основанную на использовании
eToken Network Logon
eToken Network Logon — разработанное компанией Aladdin Knowledge Systems приложение, позволяющее сохранять имя пользователя,
eToken SafeData и «Крипто БД»
eToken SafeData
- eToken SafeData шифрует данные по алгоритмам ;
- «Крипто БД» шифрует данные по алгоритмам, соответствующим ГОСТ Р 34.10-2001 и RFC 4490.
eToken SecurLogon для Oracle
eToken SecurLogon для Oracle — разработанное компанией «Аладдин Р. Д.»
eToken SecurLogon для SAP R/3
eToken SecurLogon для SAP R/3 — разработанное компанией «АстроСофт» программное средство, позволяющее сохранять параметры подключения клиента к серверу приложений SAP R/3 в памяти eToken и в дальнейшем использовать eToken с сохранёнными реквизитами для аутентификации в системе SAP R/3.
eToken Single Sign-On
eToken Single Sign-On — разработанное компанией Aladdin Knowledge Systems приложение, позволяющее сохранять заполненные формы HTML и Windows в памяти eToken и затем автоматически подставлять в эти формы данные, сохранённые в памяти eToken. Благодаря этому eToken можно использовать как средство аутентификации во всех веб-приложениях, у которых интерфейс аутентификации представляет собой HTML-форму и во всех приложениях, у которых интерфейс аутентификации представляет собой диалоговое окно Windows. Работа c HTML-формами поддерживается только в Internet Explorer и Mozilla Firefox.
IBM Lotus Notes и Domino
Начиная с версии 6.0,
При обращении к защищённому серверу Domino через веб-интерфейс по протоколу HTTPS eToken можно использовать для аутентификации клиента.
Помимо аутентификации, eToken можно использовать в Lotus Notes для
Microsoft Windows
Аппаратные eToken с функциями смарт-карты можно использовать для интерактивной аутентификации в домене Windows 2000-Server 2008. При наличии на компьютере драйверов eToken[5] рабочий стол аутентификации позволяет не только вводить имя пользователя, пароль и имя домена, как обычно, после нажатия клавиш CTRL+ALT+DELETE, но и вместо нажатия этого сочетания клавиш подключать смарт-карту (eToken) и вводить PIN-код. Кроме того, начиная с Windows XP стало возможным использовать смарт-карты, в том числе eToken, для аутентификации при запуске приложений от имени другого пользователя.
Помимо использования eToken в качестве средства аутентификации, он ещё может использоваться для обеспечения безопасности рабочего места в отсутствие пользователя. Windows 2000–Server 2008 можно настроить таким образом, что компьютер будет блокироваться при отсоединении eToken.
Для использования eToken в качестве средства аутентификации в домене Windows необходим развёрнутый и специально для этого настроенный центр сертификации предприятия (Microsoft Enterprise CA). Средствами eToken генерируется ключевая пара, и центр сертификации выпускает для пользователя
Novell Modular Authentication Service
Novell Modular Authentication Service (NMAS) — это компонент Novell eDirectory, обеспечивающий механизмы аутентификации в различных системах пользователей, зарегистрированных в этой службе каталогов. Начиная с версии 2.1, NMAS позволяет использовать eToken при аутентификации пользователей, на рабочих местах которых установлена операционная система Microsoft Windows 95 Service Release 2B, NT 4.0 SP 6a или позднейшие версии Windows.
Oracle Application Server
Oracle Application Server поддерживает механизм аутентификации с использованием
Oracle E-Business Suite
Если интеграция с Oracle Application Server Single Sign-On не задействуется, то решение по аутентификации пользователей в Oracle E-Business Suite строится следующим образом:
- аутентификация пользователей на веб-сервере — на основе закрытых ключейв памяти eToken;
- аутентификация пользователей на сервере Forms — с помощью eToken Single Sign-On.
Token Management System
Token Management System (TMS) — разработанное компанией Aladdin Knowledge Systems приложение, позволяющее осуществлять учёт и управление жизненным циклом eToken в масштабах предприятия. TMS интегрируется с Active Directory, связывает учётные записи пользователей с выданными им eToken, а также с выпущенными сертификатами открытого ключа и иными реквизитами. Политики использования eToken назначаются и применяются точно так же, как политики безопасности в домене Windows. Разработчики различных поддерживающих eToken приложений могут создавать так называемые коннекторы TMS, благодаря которым использование eToken в их приложениях может управляться средствами TMS.
Конкурирующие продукты
В зависимости от набора своих функциональных возможностей, разные модели eToken конкурируют на рынке с продукцией различных производителей: ActivIdentity, Arcot, Entrust, Eutron, Feitian, Gemalto, Kobil Systems, MultiSoft, RSA Security (подразделение EMC), Vasco, Актив, Аладдин Р. Д., БИФИТ, ОКБ САПР и других.
Модели eToken | Конкурирующие продукты |
---|---|
USB-ключи eToken PRO, SafeNet Token 5100 и SafeNet Token 5200 | Entrust USB Tokens, Eutron CryptoIdentity, Feitian ePass 1000Auto и 2003, HID ActivID ActivKey SIM USB Token, IDProtect Key LASER, USB-токены JaCarta PKI, Kobil mIDentity 4smart office, Vasco Digipass Key 101 |
eToken NG-FLASH и SafeNet eToken 7300 | JaCarta PKI/Flash, Feitian StorePass, , Vasco Digipass Key 200 и 202. |
eToken NG-OTP | Feitian OTP c400, HID ActivID Display USB Token, Vasco Digipass 860 |
eToken PASS | ActivIdentity Mini OTP Token, Entrust IdentityGuard Mini Token, Feitian OTP c100–c300, c500 и c600, Kobil SecOVID Token III, RSA SecurID 700, Vasco Digipass Go |
смарт-карты eToken PRO и Safenet eToken 4100 | Feitian PKI card, Gemalto IDCore, iBank 2 Key, IDProtect LASER, смарт-карты JaCarta PKI |
eToken Virtual | ArcotID |
Устаревшие модели
- eToken GT — недорогой аналог USB-ключей eToken PRO, отличавшийся лишь меньшим объёмом памяти;
- eToken R1 — прототип первого USB-ключа eToken, не выпускавшийся серийно[7];
- eToken R2 — USB-ключ с защищённым микроконтроллером, выпускавшийся фирмой Aladdin Knowledge Systems до 2005 года;
- eToken RIC — USB-ключ с защищённым микроконтроллером, выпускавшийся российской компанией Aladdin до 2002 года.
Недостатки
Моделям eToken c функциями смарт-карт присущи недостатки, свойственные всем устройствам, в которых PIN-код вводится не с собственной клавиатуры устройства, а с клавиатуры терминала, к которому устройство подключено: с помощью троянской программы злоумышленник может перехватить PIN-код и произвести неоднократное несанкционированное подписывание или дешифрование любой информации от имени владельца устройства.[8][9]
Примечания
- ↑ Aladdin Knowledge Systems приобретена SafeNet 31 марта 2010 года (Customers Benefit with Stronger Expertise and Broader Solution Offerings (англ.). SafeNet (1 апреля 2010). — пресс-релиз. Дата обращения: 16 сентября 2010. Архивировано 5 апреля 2012 года.).
- ↑ сертификаты на продукты eToken Архивировано 4 июля 2011 года.
- ↑ 1 2 3 4 5 6 eToken PRO и eToken ГОСТ выпускаются в двух форм-факторах — USB-ключа и смарт-карты
- ↑ В классификацию по форм-факторам включены только аппаратные eToken.
- ↑ 1 2 3 Драйверы eToken распространяются в составе пакета eToken PKI Client. В операционной системе Microsoft Windows XP Embedded вместо eToken PKI Client используется «eToken для Windows XP Embedded».
- ↑ Ранние версии eToken SafeData выходили под названием eToken Secret Field.
- PIN-кода получить доступ к защищённой памяти (eToken R1 Private Information Extraction (англ.). Grand Idea Studio. Дата обращения: 27 августа 2009. Архивировано5 апреля 2012 года. ).
- ↑ Подробное описание атаки на токен с использованием трояна . Дата обращения: 4 июля 2010. Архивировано 24 мая 2015 года.
- ↑ Сообщение об атаках на USB-токен . Дата обращения: 4 июля 2010. Архивировано из оригинала 23 апреля 2010 года.
Ссылки
- Safenet Multi-Factor Authentication Products (англ.)
- Легезо, Денис Безопасность финансовых услуг онлайн . Intelligent Enterprise (17 марта 2009). Дата обращения: 8 октября 2010.