Электронная подпись,
шифрование и аутентификация
без смарт-карт и токенов

Решение на основе Indeed CМ позволят использовать цифровую подпись без применения съемного аппаратного носителя

Получить описание

Демонстрация работы решения

Посмотрите трехминутный ролик о шифровании и аутентификации без смарт-карт и токенов

запланировать демонстрацию

Описание решения

Задача

На современном этапе развития ИТ-технологий все коммерческие и государственные организации имеют широкополосный доступ в Интернет. В связи с этим в последние годы очень быстро растёт количество удаленных и мобильных рабочих мест. Руководители крупных и небольших компаний стараются по-максимуму использовать возможности удаленного доступа.

В то же время никуда не делись задачи, использующие цифровые сертификаты. Действительно, электронные подписи применяются повсеместно:

  • Двухфакторная аутентификация с использованием сертификатов (сертификат клиентской аутентификации);
  • Шифрование данных на запоминающем устройстве;
  • Цифровая подпись электронных документов;
  • И т.д.

Двухфакторная аутентификация и шифрование данных на диске и запоминающих устройствах вдвойне актуальны при удаленной работе. Рабочее устройство не находится за защитой корпоративного периметра. Пользователь может подключаться к рабочим сервисам как из дома, так и в поездке.

При всех своих преимуществах цифровые сертификаты вводят одно ключевое требование для своего использования: наличие защищенного носителя, который будет отвечать за хранение сертификата и реализовывать все криптографические операции. “Классическое” решение данной задачи заключается в использовании специализированных аппаратных аутентификаторов: смарт-карт или USB-токенов.

Однако, в условиях корпоративной мобильности, применение подобных выделенных технических устройств (кроме своих очевидных преимуществ с точки зрения информационной безопасности) может нести ряд ощутимых ограничений:

  • Необходимость обеспечения логистики аппаратных ключевых носителей сотрудникам, работающим на мобильных рабочих местах;
  • Отсутствие соответствующих считывателей для подключения носителей;
  • Проблемы с получением доступа к корпоративным ресурсам, в случае выхода из строя или утери носителя.

Оптимальным решением будет использование специализированных технологий удаленной доставки или защищенного хранения ключевой информации на рабочем устройство.

Решение

Предоставление цифровых сертификатов за пределами периметра, без использования индивидуального аппаратного носителя, является современным вызовом ко всем технологиям, реализующим обращение электронных подписей, не говоря уже о необходимости модернизации нормативно-правовых актов, регулирующих обращение удаленной электронной подписи.

Для данной задачи допустимо использовать альтернативные решения, не требующие обязательного наличия на руках у пользователя съемного аппаратного аутентификатора. При этом эти альтернативные решения могут быть использованы совместно с “классическими” носителями для минимизации последствий от утери или повреждения токена, либо в случае ожидания его доставки.

Одной из перспективных технологий развития является облачная или сетевая электронная подпись, которая хранится не на пользовательском аппаратном устройстве, а на защищенном сервере в границах периметра сети. Таким образом, акцент защиты смещается с самого устройства хранения на канал связи между пользовательским рабочим местом и защищенным сервером хранения сертификатов.

Не менее популярна технология специализированных аппаратных модулей Trusted Platform Module, установленных внутри пользовательских устройств и реализующих защищенное хранение и криптографические преобразования. Такие модули являются встроенным компонентом пользовательского устройства, будь то смартфон или ноутбук.

В открытых источниках можно встретить следующие наименования подобных технологий:

  • Сетевая электронная подпись или сетевая смарт-карта;
  • Облачная электронная подпись;
  • Виртуальная электронная подпись или виртуальная смарт-карта;
  • Мобильная электронная подпись или электронная подпись на смартфоне.

Решение Indeed Certificate Manager поддерживает упомянутые технологии и предоставляет собственную технологию сетевой доставки сертификатов. Предлагаемые решения могут послужить качественной альтернативой внешним аппаратным носителям или временным решением, в случае утери или поломки ключевого носителя.

Технологии

Trusted Platform Module — защищенное хранение ключевой информации

Trusted Platform Module (сокращённо - TPM) - специализированный модуль (криптопроцессор), в котором хранятся криптографические ключи для защиты информации.

Модуль позволяет решать различные задачи: шифрование данных на жестком диске, аутентификация пользователей, защита программного обеспечения от изменений, охрана лицензионных прав и т.д.

TPM может быть представлен несколькими вариантами реализации:

  • дискретная микросхема, представляющая собой отдельный элемент;
  • микросхема, интегрированная в материнскую плату;
  • реализация на базе встроенного ПО;
  • и др.

Windows Hello for Business — виртуальная смарт-карта

Windows Hello заменяет пароли в Windows 10. Если поставщик учетных записей поддерживает ключи, Windows Hello создает пару криптографических ключей, привязанную к доверенному платформенному модулю (TPM). Доступ к этим ключам и подпись, подтверждающая владение закрытым ключом, предоставляются только при вводе PIN-кода или биометрического жеста.

Решение Windows Hello позволяет, с одной стороны, хранить ключи на самом устройстве в защищенном хранилище, с другой - имитировать аутентификацию на корпоративном рабочем месте с помощью биометрической аутентификации или PIN-кода. Ключевая информация также может быть использована для подключения к VPN-шлюзу или корпоративным ресурсам, использующим сертификаты.

Indeed AirCard Enterprise — сетевая смарт-карта

Программные смарт-карты не требуют дополнительного аппаратного обеспечения со стороны пользователя. Эмуляция смарт-карты осуществляется на уровне Операционной системы или соответствующего приложения. При этом сам цифровой сертификат и его закрытый ключ хранятся на стороне сервера.

Продукт предоставляет следующие возможности:

  • Электронная цифровая подпись документов
  • Шифрование и расшифровка данных
  • Двухфакторная аутентификация пользователей (в т. ч. в операционной системе)
  • Операции по стандартам PKCS#11 и Microsoft CryptoAPI
  • Организация доступа в режиме Single Sign-On

Допускается одновременная работа одной сетевой смарт-карты AirCard сразу с несколькими рабочими станциями пользователей, в зависимости от того, куда должен быть доставлен сертификат.

Данный продукт хорошо подходит для реализации концепции облачной электронной подписи и облачной криптографии.

Технические характеристики

Поддержка технологий хранения ключевой информации:

  • Trusted Platform Module 2.0
  • Реестр Windows

Поддержка программного обеспечения для использования виртуальных и сетевых смарт-карт:

  • Microsoft Virtual Smart Card (TPM)
  • Windows Hello for Business
  • AirCard Enterprise

Поддерживаемые Удостоверяющие центры:

  • КриптоПро УЦ
  • Microsoft CA
  • Валидата УЦ

Поддерживаемый сервис облачной электронной подписи:

  • КриптоПРО DSS

Получить бюджетную оценку проекта

Получить опросный лист

Варианты применения решения

Отраслевые
кейсы Управление доступом привилегированных пользователей
Соответствие
регуляторам Управление доступом привилегированных пользователей

Программа импортозамещения

Ознакомьтесь со специальными условиями для комфортного перехода на российское программное обеспечение

Посмотреть

другие решения

Централизованное управление PKI
Электронная подпись и аутентификация без смарт-карт и токенов
Миграция с устаревших решений для управления PKI
Самообслуживание пользователей при работе с сертификатами
Аутентификация по смарт-картам и цифровым сертификатам
Выполнение требований приказов ФСТЭК
Выполнение требований стандарта PCI DSS

отзывы клиентов

Сергей Крамаренко

руководитель департамента кибербезопасности Альфа-Банка

Отечественное решение Indeed AM оказалось лучше западного. Cистема многофакторной аутентификации пользователей не только успешно заменила, но и по некоторым параметрам превзошла аналогичное зарубежное решение. В процессе масштабирования Indeed Access Manager мы расширили зоны покрытия инструментом двухфакторной аутентификации: 2FA стали использовать в большем количестве ИТ-систем и СЗИ. Мы смогли этого достичь за счет широкого интеграционного функционала решения и оперативной поддержки со стороны команды Компании Индид. Это позволило нам повысить уровень защищенности корпоративной инфраструктуры и закрыть часть требований регуляторных органов (Банк России, ФСТЭК).

Подробнее
Игорь Соловьев

директор департамента информационных систем и сервисов Фонда «Сколково»

В «Компании Индид» работают специалисты, в частности команда технической поддержки, которая оперативно решает все технические вопросы, что крайне важно для нас как заказчика. Помимо этого, уже на этапе пресейла, компания оказывала нам наиболее полную помощь, которую можно оказать — полное информирование по продукту, по функционалу, интеграции с другими целевыми системами, несмотря на то, что мы тогда ещё даже не говорили о покупке.

Подробнее
Григорий Ушаков

директор департамента безопасности компании «СберРешения»

Уже много лет мы используем решение для усиленной аутентификации пользователей — Indeed Access Manager. Эта платформа обеспечивает многофакторную аутентификацию пользователей, усиливает защиту подключений к определённым ИТ-системам и безопасность доступа в целом. Вместо привычных паролей, которые не всегда соответствовали требованиям безопасности и были трудны для запоминания, используется двухфакторная система аутентификации.

Подробнее
Максим Королёв

Директор по ИБ ПАО «Сегежа Групп»

Мы используем продукт «Компании Индид» — Indeed Access Manager в части реализации второго фактора аутентификации. Все удалённые пользователи у нас подключаются с помощью этого продукта. Теперь просто скачать VPN и зайти под похищенной учётной записью у злоумышленника не получится. Возможность работы с VPN, которые мы используем, поддержка мобильных устройств всех типов, которые применяют наши работники и подрядчики; удобство интерфейса и надёжность работы были одними из ключевых аспектов выбора вендора.

Подробнее
Александр Лавров

начальник службы безопасности «СТС Медиа»

Внедрение многофакторной аутентификации сотрудников и контроль действий администраторов, подрядчиков и тех, кто работает в удаленном формате, – это этапы комплексной работы над повышением уровня информационной безопасности компании. Сейчас мы закрыли парольную брешь линейных сотрудников и пользователей, имеющих привилегированные права, то есть многократно снизили количество потенциальных несанкционированных точек входа в нашу систему извне и тем самым защитили расширяющиеся границы периметра информационной безопасности.

Подробнее
Николай Чуприн

руководитель отдела информационных систем Группы компаний ЕПК

PAM имеет в своей структуре компоненты для контроля действий сотрудников – администраторов системы. Теперь мы можем в любой момент самостоятельно расследовать любой инцидент, произошедший в информационной системе компании. Эффект роста самодисциплины распространился не только на тех, кому предоставлена возможность административного управления системой.

Подробнее
Владимир Солонин

директор по информационной безопасности, «СДМ-Банк»

Внедрение было комплексным. Внедрялось сразу несколько систем, отвечающих за создание новых пользователей при заведении в кадровую систему, а также за автоматизированную смену паролей, управление сертификатами пользователей, ограничение доступа в случае отпуска или ухода из офиса. Важный критерий выбора вендора – российское происхождение. Простота внедрения, опыт успешных внедрений в банках, качественная поддержка и открытость к пожеланиям заказчика – тоже важные факторы. Мы несем ответственность перед клиентами за то, чтобы системы защиты работали, а новые внедряемые системы не усложняли существующие процессы.

Подробнее
Анатолий Скородумов

начальник отдела информационной безопасности ОАО «Банк «Санкт-Петербург»

Нам удалось убедить бизнес в экономической целесообразности внедрения системы биометрической аутентификации прежде всего из-за неотделимости аутентификаторов (пальцев) от пользователя. Передать аутентификатор физически нельзя, и подделать его при современном уровне сканеров отпечатков пальцев достаточно сложно. Ушли все риски, связанные с проблемами использования парольного доступа и компрометацией: с подбором пароля, с передачей пароля коллегам по работе, с записью паролей в блокнотах, на листочках календаря, на стикерах, приклеиваемых к монитору

Подробнее
Алексей Иванов

начальник управления информационной безопасности и контроля департамента информационной безопасности и охраны компании «КИТ Финанс»

Сотрудники теперь не записывают свои пароли где-нибудь, так как просто их не знают. Пароли генерируются с учетом сложности самой системой. Пользователь лишь идентифицирует себя по отпечатку пальца при необходимости ввода пароля в систему.

Подробнее
Иван Чернокнижников

руководитель отдела информационных технологий компании ООО «Газпром сера»

Важными критериями для нас были: наличие полноценной технической поддержки для оперативного решения вопросов, возникающих в ходе внедрения и эксплуатации системы, а также простота и удобство использования системы, поскольку пользователи обладают различным уровнем знаний в области информационных технологий.

Подробнее