w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u

Колесников АлексейРуководитель направления по работе

с клиентами финансового сектора

Строгая аутентификация и квалифицированная

электронная подпись для портальных решений

и облачный сервисов.

Проблемы недоверенной среды и

противодействия современным атакам на

клиентов ДБО.

г. Екатеринбург 2012 г

w w w. a l a d d i n – r d. r u

Взгляд на рынок ДБО через призму ИБ

• Воруют…

– 2011 – резкий рост атак, смена тактики – незаметно и понемногу

– Распределение атак на ДБО по типам атак*

2

%

• Кража закрытого ключа с

диска или незащищѐнного

носителя #3 – (>70%)

• Удаленное управление

компьютером (с пробросом

USB-порта) #2 – (<12%)

• Кража СКЗИ,

несанкционированное

использование #4 – (<10%)

• Кража ключей из памяти #1

(<5%)

• Подмена хэш или документа

#5 (<3%)

70% угроз снимается простым

использованием токенов (s/c)

* - По данным GroupIB

w w w. a l a d d i n – r d. r u

Рынок ДБО (через призму технологий)

3

5%

25%

70%Ключи ЭЦП – в

памяти ПК, токеныне используются

19%

80% Атаки на кражу ключей ЭЦП

Векторы атакИспользуемые

технологии ЭЦПАтаки с подменой подписываемого документа

Токен с ЭЦП

на борту

Токен как

хранилище

крипто-

контейнера

Атаки на несанкционированное

использование токена

Вектор атак смещается в сторону подмены

подписываемого документа

w w w. a l a d d i n – r d. r u

Как меняется рынок?

• Web-based приложения (портальные решения), тонкие

мульти-платформенные решения

• Облачные сервисы– Традиционные технологии и средства здесь не эффективны:

• Охрана границ периметра (его больше нет)

• Антивирусная защита (не работает на спец. трояны)

• Неуправляемость пользователей

– Нельзя заставить всех установить необходимое ПО, средства ИБ,

выполнять требования ИБ

• Хакеры отработали технологии атак• Удаленное управление ПК или проброс USB-порта на удаленный ПК

• Атаки с подменой подписываемого документа

• Запуск проекта «Электронное правительство», выпуск

чиповых платежных карт с ЭЦП «на борту»

4

w w w. a l a d d i n – r d. r u

Работа с Web-порталами и облачными сервисами

Задача:• Взаимная двухфакторная

аутентификация (по ГОСТ)

• Квалифицированная ЭП Web-форм и

документов (по ГОСТ)

• Защита данных в канале (по ГОСТ)

• Возможность удобной работы из

любой, в т.ч. недоверенной среды

– Windows 9x-7/CE, MacOS, Linux+

– ПК, терминалка, любой Web-браузер

– Защита от новейших атак с

навязыванием и подменой

подписываемого документа

– Без предварительной установки ПО

третьих фирм

– Без прав администратора

Звучит фантастически?

5

w w w. a l a d d i n – r d. r u

Работа с Web-порталами и облачными сервисами

Решение:

• USB-токен или смарт-карта с реализацией сертифицированной

российской криптографии «на борту»

– Используется как персональное средство взаимной строгой

двухфакторной аутентификации пользователя и портала, для

формирования ЭЦП с неизвлекаемым закрытым ключом

– Сертификат ФСБ, срок хранения закрытого ключа до 3х лет с

возможность самостоятельной перегенерации ключей (клиенту не

надо ходить в банк)

– Не требуется установка драйверов в современных ОС (Windows

XP+, MacOS, Linux), не требуются права локального

администратора

6

MChip- Платежное

приложение

ЭЦП (ГОСТ)

- PKI

w w w. a l a d d i n – r d. r u

Работа с Web-порталами и облачными сервисами

Решение:

• JC-WebClient – кроссплатформенный мультибраузерный

плагин, обеспечивающий взаимодействие Web-приложения с

токеном/картой в контексте браузера

– Устанавливается автоматически при первом посещении

Web-портала (как плагин в IE, Firefox, Chrome, Safari, Opera), права локального администратора не нужны

– Аутентификация – с использованием ЭЦП (на прикладном

уровне)

– Защита данных – устанавливается SSL-соединение, внутри

него – шифрование передаваемых данных по ГОСТ 28147-89

(на прикладном уровне)

– ЭЦП Web-форм / файлов (аппаратно – токеном или картой)

7

w w w. a l a d d i n – r d. r u

Работа с Web-порталами и облачными сервисами

• На стороне сервера – подготовка Web-страниц

– Разработчикам даем примеры кода на ASP.Net и PHP

– Демо-портал www.demobank.ru с примерами типовых

сценариев и операций (как проект)

8

w w w. a l a d d i n – r d. r u

Платежная карта с ЭЦП на борту

• Отработана технология выпуска и применения платежных

карт с сертифицированной ЭЦП «на борту»

– Обеспечена 100% совместимость карт в платежной

инфраструктуре, в PKI, с Web / облачными сервисами

– В 2011 несколько крупных банков вместе с Ростелекомом

запустили первые ко-брендинговые проекты

• Зарплатные проекты

• Доступ к порталу госуслуг

• Далее:

– ДБО, е-отчетность, е-торги, е-коммерция (счета-фактуры),

облачные сервисы (1C, MS Office 365 и др.)

– Социальные: проезд в транспорте и др.

• Можно подключаться к программе!

9

w w w. a l a d d i n – r d. r u

Платежная карта с ЭЦП на борту (пример)

10

www.gosuslugi.ru

w w w. a l a d d i n – r d. r u

Инфраструктура для смарт-карт

11

В рамках запущенных пилотов банки выдают ридеры в комплекте с картой.

Аладдин наладил выпуск ридеров по японской технологии.

w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u

Проблемы недоверенной среды и

противодействия современным атакам на

клиентов ДБО

12

Как получить квалифицированную электронную

подпись при работе в недоверенной среде?

w w w. a l a d d i n – r d. r u 13

Работа с Web-порталами и облачными сервисами

• Защита от атак с подменой подписываемого документа на

“зараженном” компьютере, с перехватом управления или с

пробросом USB-порта на удаленный компьютер

злоумышленника

– Смарт-карт ридер с визуализацией подписываемого документа

(значимые поля – по тегам)

– Встроенная поддержка в JC WebClient

И все же, крайне

желателен второй канал

– SMS-уведомление, факс

w w w. a l a d d i n – r d. r u

ЭЦП для мобильных платформ (анонс)

Secure MicroSD для планшетов и

телефонов

• Интегрирован чип смарт-карты с

сертифицированной российской

криптографией (ЭЦП с неизвлекаемым

закрытым ключом)

• Функционал как у токенов и смарт-карт с

ЭЦП на борту + защищенная Flash (2-8 Гб)

• Телефон может использоваться как

средство визуализации подписываемого

документа и как второй канал для

подтверждения сделанных платежей

– В новой версии скорость аппаратного вычисления

хэш и шифрование по ГОСТ 28147-89 – до 40 Кб/с

(можно использовать и для защиты

документооборота)

14

w w w. a l a d d i n – r d. r u

Технологии от Аладдин в системах ДБО

15

w w w. a l a d d i n – r d. r u 16

В России:

•Альфа-банк

•Банк Возрождение

•Промсвязьбанк

•Русь-банк

•Банк «Интеза»

•Коммерцбанк-Евразия

•Уралпромбанк

•Интерпрогрессбанк

И еще более 200 банков …

Нас выбрали….

В мире:•Bankernes EDB Central (BEC)•Banco Central do Brasil•Bank Hapoalim•Postbank•Commerzbank International S.A.•Israel Securities Authority•Hypovereinsbank (HVB)•Deutscher Ring•NH-Bankи многие другие…

w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u

Спасибо за Ваше

внимание!

17

Просто

Надежно

Удобно