Смарт-карты и USB-токены в последние годы стали привычным элементом обеспечения информационной безопасности для современных компаний, все шире использующих технологии строгой аутентификации пользователей, электронной цифровой подписи и шифрования данных. Для этого компании внедряют инфраструктуру открытых ключей (public key infrastructure, PKI), в рамках которой смарт-карта или токен выполняют роль надежного хранилища основных элементов инфраструктуры: ключей шифрования, цифровых сертификатов и данных об их владельце.
В компаниях с развернутой PKI-инфраструктурой смарт-карта является для сотрудника персональным ключом защиты данных и доступа к ним. Но как быть, если этот ключ вышел из строя, потерялся или был забыт дома, а возможности выпустить временный дубликат нет? Аппаратная составляющая становится “слабым звеном” в процессе использования смарт-карт в рамках PKI-инфраструктуры. Исключить эту составляющую и устранить связанные с ней недостатки, позволяет технология сетевой виртуальной смарт-карты Indeed Enterprise AirKey, разработанная компанией Indeed ID.
Виртуальная смарт-карта Indeed Enterprise AirKey полностью эмулирует поведение физической смарт-карты и позволяет выполнять весь спектр операций и пользовательских сценариев, доступный аппаратным ключевым носителям: электронно-цифровая подпись, расшифровка данных, двухфакторная аутентификация пользователей, организация доступа в режиме Single Sign-On.
Разработанная технология реализует виртуальную смарт-карту несколькими способами. В одном случае физический носитель заменяется специальным хранилищем ключей и цифровых сертификатов на сервере системы, в другом - роль персонального ключевого носителя выполняет смартфон с установленным на него приложением AirKey.
Работа виртуальной смарт-карты Indeed Enterprise AirKey осуществляется в соответствии со штатными протоколами, интерфейсами и механизмами PKI-инфраструктуры. Так же как обычные криптографические ключевые носители, для выполнения криптоопераций виртуальная смарт-карта использует стандарт PKCS#11 и интерфейс Microsoft CryptoAPI.
При этом закрытые ключи шифрования не передаются на ПК пользователя. В зависимости от реализации технологии виртуальной смарт-карты, ключи хранятся либо в зашифрованном виде в базе данных на сервере системы, либо в защищенной памяти смартфона. Все криптографические операции, соответственно, также выполняются на сервере системы или на смартфоне пользователя. При таком подходе ни вредоносное ПО на рабочем месте сотрудника, ни злоумышленник не могут скомпрометировать соответствующие закрытые ключи.
Для обеспечения безопасности выполняется шифрование каналов связи между всеми элементами системы (сервером, ПК и/или смартфоном пользователя) с применением ассиметричных алгоритмов шифрования по протоколу TLS. На ПК пользователя доставляется уже готовый результат криптооперации.
“Удобно, что доставка самой виртуальной смарт-карты на компьютер пользователя осуществляется удаленно, не требуя личного визита сотрудника к оператору системы. Для специалистов же ИБ, кроме того, значительно упрощается процедура изъятия карты из системы: чтобы прекратить ее использование, администратору достаточно выполнить удаленный отзыв смарт-карты с уничтожением закрытых ключей”, - отметил технический директор компании Indeed ID Павел Конюхов.
Для операционной системы компьютера и целевых приложений, с которыми работает пользователь, виртуальная смарт-карта неотличима от физического аналога. Исключая из процесса использования PKI-инфраструктуры аппаратную составляющую на стороне пользователя, виртуальная смарт-карта Indeed Enterprise AirKey позволяет сделать этот процесс непрерывным и более эффективным.