eToken. Модели ключей. eToken NG-OTP

• Выполнен на базе микросхемы смарт-карты
• Встроенный генератор одноразовых паролей
• Аппаратно реализованные алгоритмы RSA/2048, RSA/1024, DES, 3DES, SHA-1, SHA-1 HMAC
• Аппаратная генерация ключевых пар RSA/2048 и RSA/1024
• Защищенная память объёмом до 64 КБ на микросхеме смарт-карты

eToken NG-OTP - это первый USB-ключ для информационной безопасности, основанный на микросхеме смарт-карты, с генератором одноразовых паролей (OTP - One Time Password).

eToken NG-OTP поддерживает несколько методов аутентификации, включая:

• аутентификацию на основе PKI с использованием цифровых сертификатов стандарта Х.509
• одноразовых паролей (ОТР)
• паролей, кодов доступа и других данных, хранимых в защищенной памяти ключа данных, что позволяет этому устройству работать на различных программных и аппаратных платформах и с различными и приложениями.

При использовании eToken NG-OTP возможен безопасный доступ к корпоративным ресурсам без установки дополнительного клиентского ПО и без физического подключения к компьютеру.

eToken NG-OTP расширяет спектр аппаратных платформ и операционных систем, на которых возможно использование eToken, добавляя к ним PDA, карманные компьютеры и смартфоны, а также обычные компьютеры, на которых отсутствуют или недоступны USB порты (например, при работе в интернет-кафе или чужом офисе).

При использовании eToken NG-OTP в режиме генератора одноразовых паролей не требуется ни наличие портов, ни драйверов, ни ридеров - сгенерированный одноразовый пароль отображается на дисплее токена и может быть введен в компьютер или PDA через клавиатуру или перьевой ввод.

Функционально eToken NG-OTP аналогичен USB-ключу eToken PRO, но дополнительно оснащен кнопкой и дисплеем для отображения сгенерированных одноразовых паролей, имеет встроенные элементы питания и световой индикатор режимов работы.

Режимы работы eToken NG-OTP:

• подсоединенный к USB-порту (возможности смарт-карты + генерация OTP)
• автономный (только генерация OTP).

Рекомендации по применению

eToken NG-OTP рекомендуется использовать в проектах, где требуются преимущества двухфакторной аутентификации вне зависимости от доступности USB-портов и возможности устанавливать дополнительное программное обеспечение, например:

• для мобильных пользователей и VIP-клиентов, для персонала, работающего удаленно, для работников, находящихся в постоянных разъездах, деловых партнеров, поставщиков и клиентов, которым необходимо обеспечить удобный и безопасный доступ к информационным ресурсам предприятия или банка;
• в приложениях электронной коммерции;
• в банковских приложениях.

Модификации

Размер памяти:

eToken NG-OTP выпускается только в виде USB-ключа в двух модификациях: с размером памяти 32 КБ и 64 КБ.

Эффект от использования

• При использовании eToken NG-OTP не требуется переделка существующих приложений, рассчитанных на аутентификацию по имени пользователя и паролю.
• Внедрение универсальных и многоцелевых ключей eToken NG-OTP позволяет снизить совокупную стоимость владения информационной системой (TCO) и увеличить возврат на инвестиции (ROI).
• Повышается безопасность и управляемость IT-систем предприятия за счет внедрение централизованной системы управления - eToken TMS.

Принцип работы OTP

В eToken NG-OTP реализован алгоритм одноразовых паролей (One-Time Password - OTP), разработанный в рамках инициативы OATH.

Алгоритм генерации одноразовых паролей основан на алгоритме HMAC и использует в качестве входных значений секретный ключ и текущее значение счетчика генераций. Секретный ключ известен только данному токену eToken NG-OTP и серверу аутентификации.

Основной функциональный блок алгоритма HOTP вначале вычисляет значение HMAC-SHA-1, а затем выполняет операцию усечения (выделения) из полученного 160-битового значения 6-ти цифр, являющихся одноразовым паролем:

HOTP (K, N) = Truncate (HMAC-SHA-1(K, N))

где K=секретный ключ, N=счетчик генераций.

Счетчик генераций и секретный ключ генерируются eToken NG-OTP во время регистрации пользователя в системе централизованного управления TMS и в коннекторе OTP.

Во время занесения профиля ОТР на eToken NG параметры OTP (счетчик генераций и секретный ключ) генерируются в eToken NG-OTP и сохраняются в виде виртуального токена в объекте пользователя Active Directory.

Плагин eToken OTP реализуется с использованием АРI дополнения IASE, которое позволяет разработчикам программного обеспечения писать собственные дополнения к IAS.

IASE позволяет плагину eToken реализовывать методы аутентификации OATH в удаленном доступе.

Когда сервер VPN (клиент RADIUS) передает запрос на аутентификацию серверу IAS RADIUS, OTP плагин, установленный на сервере IAS, сравнивает OTP с виртуальным токеном, хранящимся в AD.