Электронная подпись,
шифрование и аутентификация
без смарт-карт и токенов

Решение на основе Indeed CМ позволят использовать цифровую подпись без применения съемного аппаратного носителя

Запланировать демонстрацию

Описание решения

На современном этапе развития ИТ-технологий все коммерческие и государственные организации имеют широкополосный доступ в Интернет. В связи с этим в последние годы очень быстро растёт количество удаленных и мобильных рабочих мест. Руководители крупных и небольших компаний стараются по-максимуму использовать возможности удаленного доступа.

В то же время никуда не делись задачи, использующие цифровые сертификаты. Действительно, электронные подписи применяются повсеместно:

  • Двухфакторная аутентификация с использованием сертификатов (сертификат клиентской аутентификации);
  • Шифрование данных на запоминающем устройстве;
  • Цифровая подпись электронных документов;
  • И т.д.

Двухфакторная аутентификация и шифрование данных на диске и запоминающих устройствах вдвойне актуальны при удаленной работе. Рабочее устройство не находится за защитой корпоративного периметра. Пользователь может подключаться к рабочим сервисам как из дома, так и в поездке.

При всех своих преимуществах цифровые сертификаты вводят одно ключевое требование для своего использования: наличие защищенного носителя, который будет отвечать за хранение сертификата и реализовывать все криптографические операции. “Классическое” решение данной задачи заключается в использовании специализированных аппаратных аутентификаторов: смарт-карт или USB-токенов.

Однако, в условиях корпоративной мобильности, применение подобных выделенных технических устройств (кроме своих очевидных преимуществ с точки зрения информационной безопасности) может нести ряд ощутимых ограничений:

  • Необходимость обеспечения логистики аппаратных ключевых носителей сотрудникам, работающим на мобильных рабочих местах;
  • Отсутствие соответствующих считывателей для подключения носителей;
  • Проблемы с получением доступа к корпоративным ресурсам, в случае выхода из строя или утери носителя.

Оптимальным решением будет использование специализированных технологий удаленной доставки или защищенного хранения ключевой информации на рабочем устройство.

Предоставление цифровых сертификатов за пределами периметра, без использования индивидуального аппаратного носителя, является современным вызовом ко всем технологиям, реализующим обращение электронных подписей, не говоря уже о необходимости модернизации нормативно-правовых актов, регулирующих обращение удаленной электронной подписи.

Для данной задачи допустимо использовать альтернативные решения, не требующие обязательного наличия на руках у пользователя съемного аппаратного аутентификатора. При этом эти альтернативные решения могут быть использованы совместно с “классическими” носителями для минимизации последствий от утери или повреждения токена, либо в случае ожидания его доставки.

Одной из перспективных технологий развития является облачная или сетевая электронная подпись, которая хранится не на пользовательском аппаратном устройстве, а на защищенном сервере в границах периметра сети. Таким образом, акцент защиты смещается с самого устройства хранения на канал связи между пользовательским рабочим местом и защищенным сервером хранения сертификатов.

Не менее популярна технология специализированных аппаратных модулей Trusted Platform Module, установленных внутри пользовательских устройств и реализующих защищенное хранение и криптографические преобразования. Такие модули являются встроенным компонентом пользовательского устройства, будь то смартфон или ноутбук.

В открытых источниках можно встретить следующие наименования подобных технологий:

  • Сетевая электронная подпись или сетевая смарт-карта;
  • Облачная электронная подпись;
  • Виртуальная электронная подпись или виртуальная смарт-карта;
  • Мобильная электронная подпись или электронная подпись на смартфоне.

Решение Indeed Certificate Manager поддерживает упомянутые технологии и предоставляет собственную технологию сетевой доставки сертификатов. Предлагаемые решения могут послужить качественной альтернативой внешним аппаратным носителям или временным решением, в случае утери или поломки ключевого носителя.

Trusted Platform Module — защищенное хранение ключевой информации

Trusted Platform Module (сокращённо — TPM) — специализированный модуль (криптопроцессор), в котором хранятся криптографические ключи для защиты информации.

Модуль позволяет решать различные задачи: шифрование данных на жестком диске, аутентификация пользователей, защита программного обеспечения от изменений, охрана лицензионных прав и т.д.

TPM может быть представлен несколькими вариантами реализации:

  • дискретная микросхема, представляющая собой отдельный элемент;
  • микросхема, интегрированная в материнскую плату;
  • реализация на базе встроенного ПО;
  • и др.

Windows Hello for Business — виртуальная смарт-карта

Windows Hello заменяет пароли в Windows 10. Если поставщик учетных записей поддерживает ключи, Windows Hello создает пару криптографических ключей, привязанную к доверенному платформенному модулю (TPM). Доступ к этим ключам и подпись, подтверждающая владение закрытым ключом, предоставляются только при вводе PIN-кода или биометрического жеста.

Решение Windows Hello позволяет, с одной стороны, хранить ключи на самом устройстве в защищенном хранилище, с другой - имитировать аутентификацию на корпоративном рабочем месте с помощью биометрической аутентификации или PIN-кода. Ключевая информация также может быть использована для подключения к VPN-шлюзу или корпоративным ресурсам, использующим сертификаты.

Indeed AirCard Enterprise — сетевая смарт-карта

Программные смарт-карты не требуют дополнительного аппаратного обеспечения со стороны пользователя. Эмуляция смарт-карты осуществляется на уровне Операционной системы или соответствующего приложения. При этом сам цифровой сертификат и его закрытый ключ хранятся на стороне сервера.

Продукт предоставляет следующие возможности:

  • Электронная цифровая подпись документов
  • Шифрование и расшифровка данных
  • Двухфакторная аутентификация пользователей (в т. ч. в операционной системе)
  • Операции по стандартам PKCS#11 и Microsoft CryptoAPI
  • Организация доступа в режиме Single Sign-On

Допускается одновременная работа одной сетевой смарт-карты AirCard сразу с несколькими рабочими станциями пользователей, в зависимости от того, куда должен быть доставлен сертификат.

Данный продукт хорошо подходит для реализации концепции облачной электронной подписи и облачной криптографии.

Удаленная работа

В последние годы работодатели уделяют много внимания организации и защите удаленного рабочего процесса. Действительно, корпоративная мобильность приносит организациям определенные выгоды: сотрудник всегда может получить доступ к рабочим сервисам, оперативно выполнить срочные задачи (даже находясь в отпуске или на больничном), и, как следствие, растет эффективность рабочего процесса и производительность труда.

Однако во времена широкополосного доступа в интернет и высокой скорости развития инструментов кибератак необходимость защиты рабочих мест пользователей и обеспечения подлинности операций выходит на первый план.

Одним из наиболее эффективных инструментов подтверждения подлинности является электронная цифровая подпись. Действительно, с помощью электронной подписи можно заверить электронные документы, подтвердить финансовые транзакции, участвовать в закупках и т.д.

За десять лет организация процесса обращения электронной подписи почти не изменилась - все также используются съемные аппаратные носители ключевой информации. Безусловно, такие носители максимально устойчивы к разглашению криптографической информации.

В то же время возможны ситуации, когда применение съемного аппаратного носителя может застопорить решение рабочего процесса. К примеру, существует риск утери или выхода из строя носителя. Или ситуация, когда сотруднику срочно нужно получить новую электронную подпись или обновить старую. Без физического присутствия в филиале компании это сделать практически невозможно.

Решения, реализующие сетевую или виртуальную смарт-карту, нивелируют описанный недостаток. А платформа Indeed Certificate Manager позволяет органично встроить эти решения в уже имеющеюся инфраструктуру открытых ключей.

Возможны два сценария применения решений в контексте удаленной работы:

  1. Криптографические ключи электронной подписи сразу вносятся для хранения в Trusted Platform Module и могут быть использованы для рабочих операций как напрямую, так и посредством Windows Hello for Business. Этот сценарий хорошо подходит для доменной аутентификации с помощью сертификата (ключи могут быть получены после биометрической аутентификации пользователем) или для аутентификации при подключении по VPN.
  2. Пользователь использует “классический” носитель ключевой информации, но в случае его выхода из строя - ключи электронной подписи доставляются на его рабочее место по сети (сами ключи хранятся на защищенном сервере Indeed AirCard Enterprise, там же осуществляются криптографические операции). при этом такая сетевая смарт-карта воспринимается компьютером, как подключенная к нему аппаратная карта. Этот сценарий хорошо подходит для подписи электронных документов, а также для аутентификации по сертификату на корпоративных и публичных ресурсах (закупки, налоговая и т.д.).
  • Поддержка технологий хранения ключевой информации: Trusted Platform Module 2.0
  • Поддержка программного обеспечения для использования виртуальных и сетевых смарт-карт: Microsoft Virtual Smart Card (TPM), Windows Hello for Business, AirCard Enterprise
  • Поддержка Удостоверяющих центров : КриптоПро УЦ, Microsoft CA, Валидата УЦ

Получить бюджетную оценку проекта

Получить опросный лист

отзывы клиентов

Консультация эксперта

Опыт работы ключевых сотрудников компании в отрасли информационной безопасности составляет более 10 лет. Силами наших специалистов успешно реализованы сотни проектов для компаний из различных отраслей: банки, телекоммуникация, энергетика, транспорт, государственные и учебные заведения.

Антон Шлыков

Руководитель службы технической поддержки

Михаил Яковлев

Эксперт по продукту Indeed СМ

Иван Лобанов

Эксперт по продукту Indeed СМ

Николай Лазицкий

Эксперт по продукту Indeed СМ

другие решения