Виртуальная смарт-карта Indeed Enterprise AirKey и новые возможности PKI
Давно работая на рынке ИБ и имея большой объем соответствующих компетенций, мы хорошо знаем проблемы и потребности клиентов в этой области. Поэтому постоянно расширяя возможности наших решений, мы не только развиваем существующие продукты, но и создаем новые. Сегодня расскажем об одном из них — разработанной нами первой на российском ИБ-рынке технологии сетевой виртуальной смарт-карты Indeed Enterprise AirKey.
Компании с развернутой PKI-инфраструктурой, где смарт-карта является для сотрудника персональным ключом для использования технологий электронной цифровой подписи, строгой аутентификации и шифрования данных, часто сталкиваются с организационными проблемами, связанными с применением аппаратных ключевых носителей.Если пользователь забыл устройство дома, потерял его или оно вышло из строя, доступ к данным и их защита становятся невозможны. При этом замена устройства (выпуск дубликата) не всегда может быть выполнена оперативно.Таким образом, аппаратная составляющая становится “слабым звеном” в процессе использования смарт-карт в рамках PKI-инфраструктуры. Для исключения этой составляющей и устранения связанных с ней недостатков, мы разработали технологию сетевой виртуальной смарт-карты Indeed Enterprise AirKey.Виртуальная смарт-карта Indeed Enterprise AirKey полностью эмулирует поведение физической смарт-карты и позволяет выполнять весь спектр операций и пользовательских сценариев, доступный аппаратным ключевым носителям: электронно-цифровая подпись, расшифровка данных, двухфакторная аутентификация пользователей, организация доступа в режиме Single Sign-On.Технология реализует виртуальную смарт-карту несколькими способами. В одном случае физический носитель заменяется специальным хранилищем ключей и цифровых сертификатов на сервере системы, в другом — роль персонального ключевого носителя выполняет смартфон с установленным на него приложением AirKey.Работа виртуальной смарт-карты Indeed Enterprise AirKey осуществляется в соответствии со штатными протоколами, интерфейсами и механизмами PKI-инфраструктуры. Так же, как обычные криптографические ключевые носители, для выполнения криптоопераций виртуальная смарт-карта использует стандарт PKCS#11 и интерфейс Microsoft CryptoAPI.При этом закрытые ключи шифрования не передаются на ПК пользователя. В зависимости от реализации технологии виртуальной смарт-карты, ключи хранятся либо в зашифрованном виде в базе данных на сервере системы, либо в защищенной памяти смартфона. Все криптографические операции, соответственно, также выполняются на сервере системы или на смартфоне пользователя. При таком подходе ни вредоносное ПО на рабочем месте сотрудника, ни злоумышленник не могут скомпрометировать соответствующие закрытые ключи.Для обеспечения безопасности выполняется шифрование каналов связи между всеми элементами системы (сервером, ПК и/или смартфоном пользователя) с применением асимметричных алгоритмов шифрования по протоколу TLS. На ПК пользователя доставляется уже готовый результат криптооперации.Отсутствие аппаратной составляющей определяет ряд преимуществ виртуальной смарт-карты по сравнению с традиционными ключевыми носителями. Для получения смарт-карты не требуется личный визит сотрудника к оператору системы — доставка виртуальной смарт-карты на компьютер пользователя осуществляется удаленно. Для специалистов ИБ значительно упрощается процедура изъятия карты из системы: чтобы прекратить ее использование администратору достаточно выполнить удаленный отзыв смарт-карты с уничтожением закрытых ключей.Для операционной системы компьютера и целевых приложений, с которыми работает пользователь, виртуальная смарт-карта неотличима от физического аналога.Таким образом, исключая из процесса использования PKI-инфраструктуры аппаратную составляющую на стороне пользователя, виртуальная смарт-карта Indeed Enterprise AirKey позволяет сделать этот процесс непрерывным и более эффективным.Читайте еще по теме
Компания Индид инвестирует в Octopus IdM
Компания «Индид», российский разработчик комплекса решений в области безопасности identity, объявляет о заключении стратегического партнерства с компанией Octopus Identity. Об этом сообщил генеральный директор компании «Индид» Алексей Баранов […]
Портал документации Компании Индид
Теперь техническая документация программного обеспечения Компании Индид находится в одном месте — на портале https://docs.indeed-company.ru/. У документации каждого продукта свой сайт: Indeed Access Manager — централизованное управление доступом […]
Indeed AM 5.4: Изменения и новые возможности
Тем, кто следит за разделом с демо видео наших продуктов, уже известно, что в ушедшем году мы активно работали над новым инструментом управления системами Indeed AM. Первая версия […]
Провайдер Indeed-Id Google Authenticator Provider
Мы разработали новый провайдер — Indeed-Id Google Authenticator Provider, поддерживающий возможность двухфакторной аутентификации, не требующий для своей работы никаких специфичных устройств, кроме мобильного устройства (планшеты, смартфоны). Для работы […]
Indeed Enterprise Authentication и Indeed EA Enterprise SSO: Release 6.2
Очередной релиз Indeed Enterprise Authentication и Indeed EA Enterprise SSO добавил возможность сбрасывать пароль пользователя AD и назначать на ESSO-приложение способы аутентификации: Определение списка разрешенных методов аутентификации для […]