Программно-аппаратные средства защиты информации: токены, смарт-карты, двухфакторная авторизация...
 

ПРОСЬБА МОДЕРАТОРАМ!
Можно ли открыть тему, посвященную программно-аппаратным средствам защиты информации? Я имею в виду токены, смарт-карты, двухфакторную авторизацию и пр. Время идет, количество участников электронной коммерции (во всех ее проявлениях) неуклонно растет, но вопрос безопасности и удобства для пользователей не совсем решен. Хотелось бы обсудить поставщиков таких устройств и ПО в Узбекистане, цены, технические характеристики и пр.

[MOD]Открыта[/MOD]

Спасибо большое!

Уверен, что многие на своем опыте поняли, какие преимущества имеет электронная коммерция. Думаю, что через какое-то время (2-3 года) большинство клиентов банков перейдет на удаленное управление счетом. Вместе с тем увеличивается и число пользователей различных платежных систем.
В связи с этим появляется вопрос о средствах защиты информации (Устанавливать ключи вручную может далеко не каждый пользователь, там недостаточно нажимать "далее-далее-ОК". Я знаю, что это не так сложно, но поверьте, для клиентов очень проблематично). В настоящее время есть поставщики токенов, но честно говоря их цены "кусаются". Не каждый рядовой пользователь сможет позволить себе iKey за 110 000 сум (даже не каждый клиент-юр.лицо, не говоря о физ.лицах). Есть и подешевле, но, увы, новые ОС (к примеру WINDOWS 7 64-бит) их не поддерживают. Может у кого есть информация о таких поставщиках и их ценах, поделитесь, плиз!

Sharifa.Com является партнером компании EMC и может поставлять\интегрировать системы аутентификации(и не только) на базе решений RSA. Про цены - не скажу потому как для начала надо знать что, для чего и в каком количестве необходимо.

Нужны USB-устройства для хранения сертификатов закрытых ключей (eToken, iKey или тп.), работы с ЭЦП с поддержкой алгоритма RSA 2048 для работы в системе интернет-банкинга по приемлимой цене. Количество для начала небольшое: 20-30 токенов. Если цена будем приемлимой и технические характеристики подходящими, то возможно, будем закупать уже в большем количестве.

Мда... каков объем бюджета в который надо влезть?

Эркин ака, а можно ли попросить у вас перечнь устройств и прайс лист? Если в открытую нельзя, то в личку? Хотелось бы услышать цены, за которые вы реально отдадите и ниже которых уже не уступите. И, если конечно это возможно, система скидок, вроде такой "от 0 до 100 ключей - одна цена, от 101 до 200 - чуть-чуть ниже" и т.д.

У нас есть проект, который, кстати обсуждается здесь же, на uForum-е. В рамках этого проекта нам нужны токены. Да и для наших клиентов (уже подключенных) тоже.

Может ли кто-нибудь сказать, каков реальный срок службы SafeNet iKey 1000?

Не знаю, но токены живут долго.
Кстати, токен токену рознь. Там у них поколения быстро меняются. Наши (староепоколение) живут минимут уже 4 года.

Используются каждый день - без них пользователь к системе не подключится, тунель не откроет, ни одной проводки не введет - так как каждая операция "подписывается". Вышли из строя 3-4 единицы - умудрились физически сломать. Еще одну умудрились пропалить сигаретой.

Все остальные исправно работают.

Вы в курсе что их уже хакнули ...., Токени тоже не 100% безопасно! :dash2:

В курсе.

Есть подтверждение? Механически их вскрыли что-ли?

Если вы знаете Англ. Яз. то там все четко написано,


Гугл Перевод:

Я ангЕльский не бильмеса, только школно-университетский курс начинающего скаута. На работе иностранцам так и заявляю - дает право на некоторые слова залезть в словарь.

Учитывая некоторое знание ангЕльского и спросил где подтверждение про токены. В статье говорится о RSA устройствах, а не о токенах.

e-token - производит Aladdin Knowledge Systems (Израиль)
RSA-SecurID - производит EMC (Штаты)

Чувствуете разницу?

Ключевое слово "алгоритм"

Вот именно. В eToken (как устройство) можно загнать что угодно, в стандарте ОТКРЫТЫЙ алгоритм RAS с AES с большим количеством битов. :)
Мы о разном говорим. Вы RAS SecurID наверное пользовались так? Там ведь принци СОВСЕМ другой :)

Совсем другой

Я понимаю, что 100% безопасных систем НЕ БЫВАЕТ, но мы все же пытаемся минимизировать риски. С другой стороны, есть ли какие-нибудь другие решения по ИБ, доступные в Узбекистане?

Какое направление надо защищать? Процедуры описаны?

А там о решении речи и не было.

Правильная постановка вопроса.... только еще нужно добавить - что именно нужно защищать? Доступность, целостность, конфиденциальность и в каких пропорциях?

раз речь о токенах идет, стало быть аутентификация. Процедура примерно ясна, но о ней наверное в личку напишу.

Вот популярная статья от инженера Mars Solutions Андрея Усеинова - CCIE по направлению информационной безопасности
http://infocom.uz/2010/11/26/sredstv...e-rsa-securid/

После взлома (воровства) алгоритма рекламировать продукт со взломанным и незаменяемым OTP-алгоритмом не комильфо. Удивляет, что это делает инженер по направлению "Информационная безопасность" от Сиско... Браво.

Выцарапал из статьи:
ЛЮДИ-Я ДЕЛИТАНТ В ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ!!! ОТР - это по определению симметричный алгоритм шифрования (one time password)! Он известен банку, им НЕЛЬЗЯ подписать данные. От электронной подписи не отказаться. Так зачем для доступа к счетам использовать RSA SecureID, который по определению не может подписывать данные! Инженер по информационной безопасности.... низкий поклон.

Вот это прикольно! Любите же вы ИБ!
Вы критикуете ЭЦП, токены, одноразовые пароли. Я вас прошу: предложите наконец свою систему безопасности!

Причем тут это?

Надир, информация о краже алгоритма не подтверждается.. вообще то.

Это из статьи! Там предлагают RSA SecurID применять для операций со счетом.... там правда сказано лишь о доступе, но нафиг Вам доступ к счету ТОЛЬКО на просмотр?

Статью еще не читал, но технологию знаю как свои пять пальцев. Но, если я имею аутентифицированный и персонифицированный доступ до моего банковского счета то зачем мне каким бы то ни было образом пытаться подписывать сертификатом для доступа свои банковские проводки? Я могу это делать любым другим сертификатом, выданным мне банком для этих целей.

Оффтоп:

Цитата:

Сообщение от Andrey Kim (Сообщение 530813) Вот это прикольно! Любите же вы ИБ!

Так полагается называть... это мы от безграмотности Циско говорим :)

Я не критикую идеологию ЭЦП или, скажем, e-токены и смежные продукты, так эти продукты в принципе "правильные". Мы используем продукты на их основе. К сожалению я потребитель услуг по ИБ, а не поставщик. Как и Вы - мы покупали решение, чем и вызван интерес к тому, что может предложить рынок.

Оффтоп:

Могу сбросить кое-что из перзентаций, где объясняется как мы защищались от внешних и внутренних пользователей, конечно там будет только интересующий Вас слой защиты с атентификацией, конфиденциальностью и ЭЦП. Будите в Ташкенте - заезжайте в Минфин - я Вам смогу рассказать все в деталях и с учетом проблем, с которыми мы столкнулись и как решили (иногда только "на первое время") и собираемся дальше решать (так как все решить сразу - нонсенс и очень дорого).

ЭЦП дает Вам связку аутентификация + целостность, а RSA SecurID только аутентификацию. Если не подписываете, то я (со стороны банка) могу создать фиктивный платеж с вашего счета и сказать что так и было. Подпись нужна, чтобы банк мог доказать, а Вы могли потребовать доказательства, что это именно Вы платили, а не адимин базы данных банка. А так аудит лишь покажет, что в этот день Вы действительно подключались... хотя даже это можно сфабриковать (алгоритм то у RSA SecurID симметричный).

Оффтоп:

Может собраться где-то и обсудить различные технологии и методы защиты информации, что где применимо и как использовать. Я то как матетматик смотрю на проблему нескорлько по-другому - больше с точки зрения администрирования и организации процесса совсем не вникая как это организовано технически. Когда меня наконец уволят с ГРП - пока в ражиме "чемоданное настроение" - сразу поговорим на счет нового uParty и может за рюмочкой чая и поговорим?

Тогда зачем RSA SecurID? Пользуйтесь группой закрытых ключей, сертификаты которых зарегистрированы в третьей, сторонней организации... а не в банке. Открывайте им тонели и бла... бла... бла... короче аутентификация с помощью RSA SecurID - это на класс ниже безопасность чем обычные RSA алгоритмы аутентификации. А с учетом открытости алгоритма создания одноразовых паролей (а это должно считаться быть открытым, независимо от того скопировали их или нет при хакерской атаке - теория шифрования к этому все сводит), то увы, система безопасности на RSA SecurID - мусор хорошо иммитирующий хорошую безопасность.

Что правда, то правда. Юридически, электронный документ признается только, если он подписан ЭЦП (так в законе написано, ничего не поделаешь). И УЦ должна выступать независимая сторона, а не банк. По логике банк не должен подтверждать действие сертификатов, которые сам выдал, хотя в последнее время ЦБ от всех банков требует наличия собственных УЦ. Это нонсенс. Если так будет, кто запретит банкирам подписывать платежки за своих клиентов? Юридически никак не придерешься. Подпись на документе есть, значит документ имеет силу.
Не согласен. Как раз таки в плане безопасности ЭЦП и подводит. Обычным пользователям сложно ею пользоваться, вот они и доверяют свои ЭЦП так называемым "помощникам". А ведь интернет-банкинг должен быть доступен для всех!
Поэтому, у нас пришли к выводу, что юридически ЭЦП необходима для подтверждения подлинности, целостности документов, а фактически для обеспечения ИБ нужны дополнительные меры, такие как применение токенов, одноразовых паролей и пр.

Андрей, здесь речь идет касательно силы криптографии, а не человеческого фактора.
Я также считаю, что любые симметричные алгоритмы, гораздо слабее, чем ассиметричные. Вы ведь тоже пользоваться будете ЭЦП, только храниться она будет в е-токене, что упрощает только процедуру установки, а не изменят метод шифрования (да и юридически как основной метод электронного документооборота закреплен только метод с использованием ЭЦП- ассимитричное шифрование)

Наденька, спасибо за подсказку(поправку), наверное в связи с тем что «человеческий фактор» в последнее время действительно стал для нас основной проблемой, начали забывать про технические проблемы.

Эркин ака , не упустите главные моменты в том что Андрей говорит. В связи с быстром ростом объёмов транзакций в нашем банке актуальность вопросов ИБ также многократно возрастает.
Нам нужен Ваш совет. (1) ЭЦП - необходимость по закону, как Андрей обосновал, (2) ЦБ требует от банков создать удостоверяющий центр второго уровня, конечно первый уровень уже создан в ЦБ, (3) для нас же, как пионерам интернет-банкинга в Узбекистане, необходимо создать(построить, поднять) собственную, реальную систему ИБ включающую также аутентификацию клиента. Возможно ли одновременное выполнение всех трёх задач с минимальными затратами, или это будет просто нагромождением, повторяющихся и бесполезных систем безопасности. Или есть другое решение, которое решает все три задачи как единую?

Если есть идея, как всегда готов организовать пиво, которое Вы не любите. :naughty:

Принято
(я еще не люблю самаркандский плов ;) но если надо.... )

Кого пригласить от нас? Знаем что с Антоном любите общатся(он сейчас в Юселе), и Андрей придёт.

У меня, завтра последний день месяца и квартала(страшный день :)), времени не будет, а с пятницы по понедельник у меня встречи в Ташкенте. Потом снова в Самарканде. Так что как скажете ака.

Спасибо за корректировку, Надя. Правда, мне выражаться нужно точнее. По поводу надежности ассиметричных алгоритмов я не спорю. Здесь я имею в виду именно человеческий фактор и нежелание обычных пользователей брать на себя ответственность за использование своей ЭЦП. Главное преимущество использования токенов, на которое мы расчитываем - это неизвлекаемость закрытого ключа из памяти токена. Этим мы хотим хоть как-то уменьшить риски компрометации ключей пользователей.