Прикладные решения использования средств строгой аутентификации защищенных носителей ключевых данных
advertisement
Прикладные решения использования средств строгой аутентификации защищенных носителей ключевых данных и квалифицированных (надежных) средств электронной цифровой подписи. JaCarta – новая платформа с ДСТУ. Исаев Дмитрий Руководитель направления защиты информации w w w. a l a d d i n. r u www.ealaddin.com.ua Почему JaCarta • Почему JaCarta? – Ориентируемся на новейшие технологии – Java-карта – JaCarta • Почему взялись за разработку собственного продукта – 3 года назад – смена вендора: AKS → SafeNet • Риски, связанные с американской ментальностью, и их деятельность, ведущая к разрушению продукта и бизнеса – Изменения на рынке, новые потребности • Для каждого сегмента – своё определение что такое хорошо • Нужна смена парадигмы – "один универсальный ключ (eToken) для любых задач" – больше не работает • Появились новые перспективные сегменты рынка, в т.ч. массовый – Есть два подхода: • Плыть по течению за рынком и "есть что дают" • Пытаться самим изменить наш мир к лучшему → предлагать новые технологии, которые повлияют на изменения и формирование рынка – Примеры: eToken – первый USB-ключ, сформировал целое направление, Apple – рынок планшетов www.ealaddin.com.ua 2 Почему платформа Основные принципы и подходы • Для каждого сегмента – своё решение, со своими ключевыми параметрами и преимуществами – Для одного сегмента важнее богатый функционал, для другого – цена, но достаточен минимальный функционал – Хотим сделать лучший продукт в своём сегменте (продукт как решение, а не просто токен, карту для…) • Гибкость (набор "кубиков"), преемственность, обратная совместимость • Не изобретать "велосипед", сотрудничать с ведущими игроками, брать лучшие технологии, и делать лучший продукт Почему не объявляем? • Базовые модели сделали 2 года назад, делаем пилоты, продаём • Нарабатываем "кубики" и сценарии (решения) для новых сегментов рынка (основной фокус – новые сегменты) www.ealaddin.com.ua 3 Основа платформы JaCarta (чипы) • Открытая современная платформа на базе Java Card – Лицензировали Card OS, можем напрямую работать с криптоакселератором – Сделали поддержку украинской (ДСТУ), российской (ГОСТ), казахской/СНГ (ГОСТ) криптографии – USB-контроллер "на борту" (опция) – Функциональность определяется загружаемыми апплетами • Безопасность – Нельзя делать защищённые устройства на бытовых микроконтроллерах – Все чипы соответствуют профилю безопасности Smart Card Protection Profile: • Защита от атак: физических, логических, переборных, статистических, стрессового воздействия, клонирования • CAST- м\н сертификаты • EMVCo – для использования в платёжных системах www.ealaddin.com.ua 4 Основа платформы JaCarta (firmware) • Функциональность устройства определяется: – OS* (набор базовых примитивов) – Набором загруженных апплетов (Java) • Апплеты – Laser (PKI) – в маске • RSA, AES, DES,… • Хранение объектов (ключевые контейнеры) • Работа с биометрией (Match-On-Card) – PRO (PKI) А1 А2 А3 А4 А6 www.ealaddin.com.ua • Хранение объектов (ключевые контейнеры) • Для совместимости с продуктами Aladdin – ДСТУ • ДСТУ 4145-2002 – в апплете установлен набор параметров эллиптических кривых, для длин ключей от 163 до 431 бит • алгоритм хеширования ГОСТ 34.311-95, 5 Основа платформы JaCarta (firmware) • Апплеты – ГОСТы СНГ (ЭП) • Работа с ЭП с неизвлекаемым закрытым ключом ЭП (сертификат ФСБ, КС2) – как eToken ГОСТ • казахской/СНГ (ГОСТ) криптографии • Хранение объектов (ключевые контейнеры) – VISA, MasterCard, ПРО100* • Для платёжных приложений – Лицензионный апплет А1 А2 А3 А4 А6 • Для "привязки" своего ПО к конкретному токену или карте (как HASP) – Токены поставляются как неотъемлемая часть продукта, позволяет уйти от закупочных аукционов и тендеров, от НДС * - по лицензии www.ealaddin.com.ua 6 Форм-факторы для JaCarta • Смарт-карт модули – Для производства смарт-карт • C RFID • С платёжными функциями (эмитируются банками) • Дисплейных (OTP) • Смарт-карты – Базовый дизайн – VIP: чёрный, палладиевые контакты, серебристое эмбоссирование – Опции: • Встроенный RFID (EM-Marine, HID и др., до 2х меток) • Расширенная защищённая память 144 КБ • Печать, эмбоссирование и пр. www.ealaddin.com.ua 7 Форм-факторы для JaCarta (USB-токены) • Исполнение XL – PKI-токен для корпоративных пользователей • Для частого ежедневного использования, надёжный и удобный, разъем закрывается колпачком • Строгий чёрный дизайн с цветной вставкой • Допускает имплантацию до двух RFID • Разрешён для ввоза и эксплуатации в странахчленах ЕС (сертификаты) – Опции – дополнительная быстрая Flash-память • Объем 2, 8 ГБ, два раздела – CD и Flash • CD – для доверенной загрузки ОС, VM, приложений, пред настроенного браузера • Flash – для данных • С биометрической идентификацией владельца JaCarta Flash сделан на новой архитектуре www.ealaddin.com.ua 8 JaCarta XL Лазерная гравировка www.ealaddin.com.ua 9 Форм-факторы для JaCarta (USB-токены) • Исполнение Mini – Для B2B проектов (э-торговля, ДБО, ЭДО) • Когда требуется периодическое использование токена, и важно, чтобы он всегда был под рукой и готов к работе • Повышенные надёжность (на излом), защищённый разъем, пыле- и влагозащищенность (может использоваться в постоянно пыльных и влажных помещениях, сертификат IP58), защита от статики (до 15 КВ) • Сертификат по электромагнитной безопасности (не создаёт помех для чувствительной аппаратуры, вкл. медицинскую) • Дешевле чем XL Размер токена – оптимален чтобы его не забывали в ноутбуке, и он не мешал при работе на ноутбуке в "походных" условиях. www.ealaddin.com.ua 10 JaCarta Mini Лазерная гравировка www.ealaddin.com.ua 11 Форм-факторы для JaCarta (USB-токены) • Исполнение Nano – Для массовых B2С/G2C проектов (Интернетбанкинг, э-отчётность) – ориентирован на "физлица" • Ограниченный функционал, например: – LT: хранение ключевых контейнеров, доступная память – 25КБ – ДСТУ: ЭП, доступная память – 18КБ • Повышенные надёжность (на излом), защита от статики (до 15 КВ) – нет открытых металлических частей (пластиковый разъем) • Рекомендуемый срок полезного использования – 3 года (как закрытый ключ ЭП) – Ресурс разъёма ~10 лет • Дешевле чем Mini (в больших партиях) Размер токена – оптимален чтобы его не забывали в ноутбуке www.ealaddin.com.ua 12 JaCarta Nano Лазерная гравировка www.ealaddin.com.ua 13 Форм-факторы для JaCarta (MicroSD) • Исполнение Secure MicroSD – Для мобильных и embedded устройств (М2М) – Содержит • чип смарт-карты с украинской криптографией (ЭП с неизвлекаемым закрытым ключом) • Flash-память (4, 8* ГБ) – Может использоваться с переходниками USB, SD (для ПК и ноутбуков), в модемах (“Офис в кармане”) – Отчуждаемый модуль безопасности для М2Мустройств (доверенная среда, защита и ЭП для передаваемых данных) www.ealaddin.com.ua 14 ПО для JaCarta • Базовые (типовые) решения – JC Web SDK (JC WebClient) – для Web-порталов и облачных сервисов – JC Mobile SDK - для мобильных платформ Apple iOS, Android – JC embedded TSM / UEFI - строгая аутентификация пользователей до загрузки компьютера и доверенная загрузка (для производителей ПК) • ПО партнёров • Совместная программа – сертификат совместимости • Централизованное управление – Для PKI-токенов • TMS / SAM (только PRO) • MS FIM - Forefront Identity Management (Laser, PRO) • CMS / MyID (Laser, PRO) – Для тех кто "перерос" TMS – система класса IDM • Аванпост - для всех моделей JaCarta (вкл. поддержку биометрии) www.ealaddin.com.ua 15 Архитектура ПО для JaCarta (middleware) • Основные принципы – Мультиплатформенность • Поддержка разных ОС: Windows, Linux, Mac (32/64) • Поддержка разных архитектур: х86, ARM, RISC • Поддержка мобильных платформ: Apple iOS, Android, Windows 8 – Одинаковое высокоуровневое API для всех платформ, для всех используемых чипов (сейчас и потом), единый SDK – Полный набор стандартных интерфейсов: APDU (PC/SC) , PKCS#11, OpenSC, MS CryptoAPI , JCP – Полный набор функций, необходимых для полноценной работы с криптографией, с PKI, ЦС, квалифицированными сертификатами Х.509, биометрией без использования дополнительного ПО (р11, р10, р7, р5) – Совместимость с существующей инсталляционной базой программных СКЗИ • модели JaCarta поддерживают хранение ключевых контейнеров ДСТУ – Встроенная поддержка аппаратных средств работы с ЭП в недоверенной среде (ридеров с визуализацией) www.ealaddin.com.ua 16 Нападение / Оборона. Обзор за 5 лет. www.ealaddin.com.ua 17 Атака на СКЗИ с неизвлекаемым ключом. Автозалив Вредоносное ПО Данные Подпись Подпись подмененного документа www.ealaddin.com.ua 18 SafeTouch. Нормальная работа Данные Подпись www.ealaddin.com.ua 19 SafeTouch. Подмена платежного документа. Автозалив Вредоносное ПО www.ealaddin.com.ua 20 Сертификация продуктов JaCarta www.ealaddin.com.ua 21 Интеграция и реализованные проекты 1. Центр сертификации ключей ДП «Украинские специальные системы» 2. Система защиты информации “Вега”, программный комплекс “Клиент–банк”, интернет–сервис “Клиент–банк” компании “НОКК” 3. Интерактивная система обслуживания клиентов банка iFOBS компании CS 4. Национальный банк Украины www.ealaddin.com.ua 22 JaCarta давайте расти вместе! www.ealaddin.com.ua 23 Спасибо за Ваше внимание! Инновации Лидерство Партнерство w w w. a l a d d i n. r u www.ealaddin.com.ua 24
