Upload
expolink
View
982
Download
2
Embed Size (px)
DESCRIPTION
Citation preview
w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u
Колесников АлексейРуководитель направления по работе
с клиентами финансового сектора
Строгая аутентификация и квалифицированная
электронная подпись для портальных решений
и облачный сервисов.
Проблемы недоверенной среды и
противодействия современным атакам на
клиентов ДБО.
г. Екатеринбург 2012 г
w w w. a l a d d i n – r d. r u
Взгляд на рынок ДБО через призму ИБ
• Воруют…
– 2011 – резкий рост атак, смена тактики – незаметно и понемногу
– Распределение атак на ДБО по типам атак*
2
%
• Кража закрытого ключа с
диска или незащищѐнного
носителя #3 – (>70%)
• Удаленное управление
компьютером (с пробросом
USB-порта) #2 – (<12%)
• Кража СКЗИ,
несанкционированное
использование #4 – (<10%)
• Кража ключей из памяти #1
(<5%)
• Подмена хэш или документа
#5 (<3%)
70% угроз снимается простым
использованием токенов (s/c)
* - По данным GroupIB
w w w. a l a d d i n – r d. r u
Рынок ДБО (через призму технологий)
3
5%
25%
70%Ключи ЭЦП – в
памяти ПК, токеныне используются
19%
80% Атаки на кражу ключей ЭЦП
Векторы атакИспользуемые
технологии ЭЦПАтаки с подменой подписываемого документа
Токен с ЭЦП
на борту
Токен как
хранилище
крипто-
контейнера
Атаки на несанкционированное
использование токена
Вектор атак смещается в сторону подмены
подписываемого документа
w w w. a l a d d i n – r d. r u
Как меняется рынок?
• Web-based приложения (портальные решения), тонкие
мульти-платформенные решения
• Облачные сервисы– Традиционные технологии и средства здесь не эффективны:
• Охрана границ периметра (его больше нет)
• Антивирусная защита (не работает на спец. трояны)
• Неуправляемость пользователей
– Нельзя заставить всех установить необходимое ПО, средства ИБ,
выполнять требования ИБ
• Хакеры отработали технологии атак• Удаленное управление ПК или проброс USB-порта на удаленный ПК
• Атаки с подменой подписываемого документа
• Запуск проекта «Электронное правительство», выпуск
чиповых платежных карт с ЭЦП «на борту»
4
w w w. a l a d d i n – r d. r u
Работа с Web-порталами и облачными сервисами
Задача:• Взаимная двухфакторная
аутентификация (по ГОСТ)
• Квалифицированная ЭП Web-форм и
документов (по ГОСТ)
• Защита данных в канале (по ГОСТ)
• Возможность удобной работы из
любой, в т.ч. недоверенной среды
– Windows 9x-7/CE, MacOS, Linux+
– ПК, терминалка, любой Web-браузер
– Защита от новейших атак с
навязыванием и подменой
подписываемого документа
– Без предварительной установки ПО
третьих фирм
– Без прав администратора
Звучит фантастически?
5
w w w. a l a d d i n – r d. r u
Работа с Web-порталами и облачными сервисами
Решение:
• USB-токен или смарт-карта с реализацией сертифицированной
российской криптографии «на борту»
– Используется как персональное средство взаимной строгой
двухфакторной аутентификации пользователя и портала, для
формирования ЭЦП с неизвлекаемым закрытым ключом
– Сертификат ФСБ, срок хранения закрытого ключа до 3х лет с
возможность самостоятельной перегенерации ключей (клиенту не
надо ходить в банк)
– Не требуется установка драйверов в современных ОС (Windows
XP+, MacOS, Linux), не требуются права локального
администратора
6
MChip- Платежное
приложение
ЭЦП (ГОСТ)
- PKI
w w w. a l a d d i n – r d. r u
Работа с Web-порталами и облачными сервисами
Решение:
• JC-WebClient – кроссплатформенный мультибраузерный
плагин, обеспечивающий взаимодействие Web-приложения с
токеном/картой в контексте браузера
– Устанавливается автоматически при первом посещении
Web-портала (как плагин в IE, Firefox, Chrome, Safari, Opera), права локального администратора не нужны
– Аутентификация – с использованием ЭЦП (на прикладном
уровне)
– Защита данных – устанавливается SSL-соединение, внутри
него – шифрование передаваемых данных по ГОСТ 28147-89
(на прикладном уровне)
– ЭЦП Web-форм / файлов (аппаратно – токеном или картой)
7
w w w. a l a d d i n – r d. r u
Работа с Web-порталами и облачными сервисами
• На стороне сервера – подготовка Web-страниц
– Разработчикам даем примеры кода на ASP.Net и PHP
– Демо-портал www.demobank.ru с примерами типовых
сценариев и операций (как проект)
8
w w w. a l a d d i n – r d. r u
Платежная карта с ЭЦП на борту
• Отработана технология выпуска и применения платежных
карт с сертифицированной ЭЦП «на борту»
– Обеспечена 100% совместимость карт в платежной
инфраструктуре, в PKI, с Web / облачными сервисами
– В 2011 несколько крупных банков вместе с Ростелекомом
запустили первые ко-брендинговые проекты
• Зарплатные проекты
• Доступ к порталу госуслуг
• Далее:
– ДБО, е-отчетность, е-торги, е-коммерция (счета-фактуры),
облачные сервисы (1C, MS Office 365 и др.)
– Социальные: проезд в транспорте и др.
• Можно подключаться к программе!
9
w w w. a l a d d i n – r d. r u
Платежная карта с ЭЦП на борту (пример)
10
www.gosuslugi.ru
w w w. a l a d d i n – r d. r u
Инфраструктура для смарт-карт
11
В рамках запущенных пилотов банки выдают ридеры в комплекте с картой.
Аладдин наладил выпуск ридеров по японской технологии.
w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u
Проблемы недоверенной среды и
противодействия современным атакам на
клиентов ДБО
12
Как получить квалифицированную электронную
подпись при работе в недоверенной среде?
w w w. a l a d d i n – r d. r u 13
Работа с Web-порталами и облачными сервисами
• Защита от атак с подменой подписываемого документа на
“зараженном” компьютере, с перехватом управления или с
пробросом USB-порта на удаленный компьютер
злоумышленника
– Смарт-карт ридер с визуализацией подписываемого документа
(значимые поля – по тегам)
– Встроенная поддержка в JC WebClient
И все же, крайне
желателен второй канал
– SMS-уведомление, факс
w w w. a l a d d i n – r d. r u
ЭЦП для мобильных платформ (анонс)
Secure MicroSD для планшетов и
телефонов
• Интегрирован чип смарт-карты с
сертифицированной российской
криптографией (ЭЦП с неизвлекаемым
закрытым ключом)
• Функционал как у токенов и смарт-карт с
ЭЦП на борту + защищенная Flash (2-8 Гб)
• Телефон может использоваться как
средство визуализации подписываемого
документа и как второй канал для
подтверждения сделанных платежей
– В новой версии скорость аппаратного вычисления
хэш и шифрование по ГОСТ 28147-89 – до 40 Кб/с
(можно использовать и для защиты
документооборота)
14
w w w. a l a d d i n – r d. r u
Технологии от Аладдин в системах ДБО
15
w w w. a l a d d i n – r d. r u 16
В России:
•Альфа-банк
•Банк Возрождение
•Промсвязьбанк
•Русь-банк
•Банк «Интеза»
•Коммерцбанк-Евразия
•Уралпромбанк
•Интерпрогрессбанк
И еще более 200 банков …
Нас выбрали….
В мире:•Bankernes EDB Central (BEC)•Banco Central do Brasil•Bank Hapoalim•Postbank•Commerzbank International S.A.•Israel Securities Authority•Hypovereinsbank (HVB)•Deutscher Ring•NH-Bankи многие другие…
w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u
Спасибо за Ваше
внимание!
17
Просто
Надежно
Удобно