Indeed-Id ESSO PKI Edition

В первом квартале 2012 года будет выпущен финальный релиз продукта Indeed-Id ESSO, в которой реализована интеграция с инфраструктурой открытых ключей (PKI). Поддержка PKI позволяет использовать сертификаты пользователей для шифрования учетных данных, что позволяет получить качественно новый уровень защищенности системы. Использование Indeed-Id ESSO в PKI режиме наиболее актуально и дает максимальный эффект в следующих ситуациях (по сравнению со стандартным режимом работы Indeed-Id ESSO):

• В организации уже развернута и используется инфраструктура открытых ключей (PKI).

• Организация использует средства двухфакторной аутентификации на базе Aladdin eToken.

• Организация стремится задействовать современные средства криптографии при осуществлении операций аутентификации в сети, информационных системах, унаследованных приложениях, которые штатно не поддерживают такую возможность

• Организация стремится обеспечить возможность централизованно приостанавливать (или дистанционно блокировать) доступ сотрудника ко всем информационным ресурсам за счет инициирования операции отзыва сертификата

• Сотрудники организации используют смешанный режим работы с информационными ресурсами, получая к ним доступ в моменты офисного присутствия, при работе из дома, из командировки, в моменты обрыва соединения с центральным офисом и т.п. Для прозрачной работы пользователей в этих ситуациях, информация об учетных данных и паролях, используемая ESSO системой, требует гибридной модели хранения (централизованное управление и хранение на сервере с автоматической синхронизацией в локальном кеше). Indeed-Id ESSO в PKI режиме позволяет достичь высочайшего уровня безопасности кеша за счет хранения данных в формате криптокапсулы.

Использование Indeed-Id ESSO в PKI режиме позволяет получить компании ряд важных преимуществ, по сравнению со стандартным режимом работы Indeed-Id ESSO или другими ESSO-системами:

• Защита данных пользователя Indeed-Id ESSO (сведения об учетных записях, паролях, параметрах доступа и т.п.) осуществляется с использованием персонального сертификата сотрудника (формируется уникальная криптокапсула). Только сотрудник, владеющий закрытой частью выпущенного сертификата, имеет техническую возможность расшифровать криптокапсулу, содержащую данные ESSO-профиля. Администратор ESSO-системы такой возможности не имеет, что минимизирует риск превышения администратором своих полномочий.
• Данные пользователя передаются по каналам коммуникации только в формате криптокапсулы.
• Проверка валидности сертификата сотрудника перед извлечением данных из криптокапсулы (отказ в случае отзыва или окончания срока действия сертификата).
• Децентрализованная схема шифрования данных, осуществляемая с использованием персональных сертификатов пользователей. Сервер Indeed-Id не осуществляет операции шифрования данных и не хранит ключи шифрования. С одной стороны  это повышает производительность сервера, с другой — исключает риск хищения серверных ключей шифрования и, как следствие, компрометации данных.
• Для аварийного восстановления данных (в случае невозможности использовать сертификат пользователя для расшифровки) предусмотрена возможность прозрачного шифрования данных с использованием персонального сертификата Backup-оператора (с помощью которого выполняется процедура восстановления данных).
• Поддержка устройств Aladdin eToken Pro USB/Smartcard: операция двухфакторной аутентификации пользователя; хранение private-ключа сертификата сотрудника; выполнение криптографических операций на борту аппаратного устройства.
• Поддержка стандартных протоколов PKCS#11 и Microsoft Crypto API 2.0 позволяет задействовать криптографию на основе отечественных ГОСТ алгоритмов.