Описание решения
Задача
На современном этапе развития ИТ-технологий все коммерческие и государственные организации имеют широкополосный доступ в Интернет. В связи с этим в последние годы очень быстро растёт количество удаленных и мобильных рабочих мест. Руководители крупных и небольших компаний стараются по-максимуму использовать возможности удаленного доступа.
В то же время никуда не делись задачи, использующие цифровые сертификаты. Действительно, электронные подписи применяются повсеместно:
- Двухфакторная аутентификация с использованием сертификатов (сертификат клиентской аутентификации);
- Шифрование данных на запоминающем устройстве;
- Цифровая подпись электронных документов;
- И т.д.
Двухфакторная аутентификация и шифрование данных на диске и запоминающих устройствах вдвойне актуальны при удаленной работе. Рабочее устройство не находится за защитой корпоративного периметра. Пользователь может подключаться к рабочим сервисам как из дома, так и в поездке.
При всех своих преимуществах цифровые сертификаты вводят одно ключевое требование для своего использования: наличие защищенного носителя, который будет отвечать за хранение сертификата и реализовывать все криптографические операции. “Классическое” решение данной задачи заключается в использовании специализированных аппаратных аутентификаторов: смарт-карт или USB-токенов.
Однако, в условиях корпоративной мобильности, применение подобных выделенных технических устройств (кроме своих очевидных преимуществ с точки зрения информационной безопасности) может нести ряд ощутимых ограничений:
- Необходимость обеспечения логистики аппаратных ключевых носителей сотрудникам, работающим на мобильных рабочих местах;
- Отсутствие соответствующих считывателей для подключения носителей;
- Проблемы с получением доступа к корпоративным ресурсам, в случае выхода из строя или утери носителя.
Оптимальным решением будет использование специализированных технологий удаленной доставки или защищенного хранения ключевой информации на рабочем устройство.
Решение
Предоставление цифровых сертификатов за пределами периметра, без использования индивидуального аппаратного носителя, является современным вызовом ко всем технологиям, реализующим обращение электронных подписей, не говоря уже о необходимости модернизации нормативно-правовых актов, регулирующих обращение удаленной электронной подписи.
Для данной задачи допустимо использовать альтернативные решения, не требующие обязательного наличия на руках у пользователя съемного аппаратного аутентификатора. При этом эти альтернативные решения могут быть использованы совместно с “классическими” носителями для минимизации последствий от утери или повреждения токена, либо в случае ожидания его доставки.
Одной из перспективных технологий развития является облачная или сетевая электронная подпись, которая хранится не на пользовательском аппаратном устройстве, а на защищенном сервере в границах периметра сети. Таким образом, акцент защиты смещается с самого устройства хранения на канал связи между пользовательским рабочим местом и защищенным сервером хранения сертификатов.
Не менее популярна технология специализированных аппаратных модулей Trusted Platform Module, установленных внутри пользовательских устройств и реализующих защищенное хранение и криптографические преобразования. Такие модули являются встроенным компонентом пользовательского устройства, будь то смартфон или ноутбук.
В открытых источниках можно встретить следующие наименования подобных технологий:
- Сетевая электронная подпись или сетевая смарт-карта;
- Облачная электронная подпись;
- Виртуальная электронная подпись или виртуальная смарт-карта;
- Мобильная электронная подпись или электронная подпись на смартфоне.
Решение Indeed Certificate Manager поддерживает упомянутые технологии и предоставляет собственную технологию сетевой доставки сертификатов. Предлагаемые решения могут послужить качественной альтернативой внешним аппаратным носителям или временным решением, в случае утери или поломки ключевого носителя.
Технологии
Trusted Platform Module — защищенное хранение ключевой информации
Trusted Platform Module (сокращённо - TPM) - специализированный модуль (криптопроцессор), в котором хранятся криптографические ключи для защиты информации.
Модуль позволяет решать различные задачи: шифрование данных на жестком диске, аутентификация пользователей, защита программного обеспечения от изменений, охрана лицензионных прав и т.д.
TPM может быть представлен несколькими вариантами реализации:
- дискретная микросхема, представляющая собой отдельный элемент;
- микросхема, интегрированная в материнскую плату;
- реализация на базе встроенного ПО;
- и др.
Windows Hello for Business — виртуальная смарт-карта
Windows Hello заменяет пароли в Windows 10. Если поставщик учетных записей поддерживает ключи, Windows Hello создает пару криптографических ключей, привязанную к доверенному платформенному модулю (TPM). Доступ к этим ключам и подпись, подтверждающая владение закрытым ключом, предоставляются только при вводе PIN-кода или биометрического жеста.
Решение Windows Hello позволяет, с одной стороны, хранить ключи на самом устройстве в защищенном хранилище, с другой - имитировать аутентификацию на корпоративном рабочем месте с помощью биометрической аутентификации или PIN-кода. Ключевая информация также может быть использована для подключения к VPN-шлюзу или корпоративным ресурсам, использующим сертификаты.
Indeed AirCard Enterprise — сетевая смарт-карта
Программные смарт-карты не требуют дополнительного аппаратного обеспечения со стороны пользователя. Эмуляция смарт-карты осуществляется на уровне Операционной системы или соответствующего приложения. При этом сам цифровой сертификат и его закрытый ключ хранятся на стороне сервера.
Продукт предоставляет следующие возможности:
- Электронная цифровая подпись документов
- Шифрование и расшифровка данных
- Двухфакторная аутентификация пользователей (в т. ч. в операционной системе)
- Операции по стандартам PKCS#11 и Microsoft CryptoAPI
- Организация доступа в режиме Single Sign-On
Допускается одновременная работа одной сетевой смарт-карты AirCard сразу с несколькими рабочими станциями пользователей, в зависимости от того, куда должен быть доставлен сертификат.
Данный продукт хорошо подходит для реализации концепции облачной электронной подписи и облачной криптографии.
Технические характеристики
Поддержка технологий хранения ключевой информации:
- Trusted Platform Module 2.0
- Реестр Windows
Поддержка программного обеспечения для использования виртуальных и сетевых смарт-карт:
- Microsoft Virtual Smart Card (TPM)
- Windows Hello for Business
- AirCard Enterprise
Поддерживаемые Удостоверяющие центры:
- КриптоПро УЦ
- Microsoft CA
- Валидата УЦ
Поддерживаемый сервис облачной электронной подписи:
- КриптоПРО DSS