Как стать автором
Обновить

Доступ повышенной проходимости.

Системное администрирование *
Не секрет, что своевременный доступ к информации, в том числе хранящейся внутри корпоративной сети компании, может оказаться решающим фактором успешной работы сотрудников. Речь о виртуальных частных сетях (VPN). Иногда предоставить доступ оказывается не так-то просто.

Читать дальше →
Всего голосов 8: ↑6 и ↓2 +4
Просмотры 29K
Комментарии 7

Российские токены

Чулан
На «Софтуле» зашел на пару интересных стендов, посвященных информационной безопасности, а именно — аппаратным ключам защиты. Внешне они напоминают обычные USB-флэшки — собственно, к компьютеру они и подключатся по USB, позволяя проводить аутентификацию пользователя и разблокировать систему защиты.

На мой взгляд, такие ключи (или USB-токены) — наилучшее массовое решение для информационной безопасности по совокупности таких параметров, как эффективность защиты (в том числе и от кражи/перехвата ключей доступа), цена, удобство для пользователя. К сожалению, у меня пока нет собственного офиса (:-)), где я бы мог внедрить такую систему, поэтому остается следить за развитием технологии со стороны. А технология аппаратных ключей развивается довольно интересно — о чем и рассказывали стенды компаний, представлявших эти решения на выставке «Софтул».

Одним из основных экспонатов стенда компании «Актив» были ключи «Рутокен» со встроенной радиочастотной меткой. Благодаря этой метке они могут использоваться вместо смарт-карты для доступа в помещения:

Rutoken

Таким образом, Rutoken RF является элементом комплексной защиты: один ключ служит и для доступа в помещение, и для доступа к компьютеру. А это означает, что злоумышленник не сможет воспользоваться компьютером в отсутствие сотрудника на рабочем месте: чтобы покинуть помещение, нужно вытащить токен из USB-порта компьютера и поднести его к приемнику замка у двери, а при отключении токена от USB-порта компьютера пользовательская сессия автоматически блокируется. Очень элегантное и, я бы даже сказал, красивое решение.
Читать дальше →
Всего голосов 10: ↑10 и ↓0 +10
Просмотры 1.5K
Комментарии 7

Windows 7 и смарт-карты Aladdin

Чулан
Долгое время (ещё со времени beta версии и после релиза), я не мог продуктивно работать с Windows 7 из-за отсутствия полноценной поддержки смарт-карт eToken от компании Aladdin. Поэтому я был очень обрадован выходу драйверов под эту операционку.

Данный комплект драйверов носит имя eToken PKI Client 5.1 SP1 и находится на стадии beta тестирования, что не мешает им отлично выполнять свою функцию.

Также хочется заметить, что для полноценной работы с программами, которые общаются со смарт-картой через виндовое хранилище сертификатов (такие как openVPN, Google Chrome или IE), необходимо запустить службу, которая в Windows 7 по умолчанию отключена. В англоязычной версии эта служба называется «Certificate Propogation», а в русскоязычной «Распространение сертификата».

Для загрузки файла eToken PKI Client 5.1 SP1 Beta используйте следующую ссылку:
dms.aladdin.ru/file.php?id=dec8e874e791762cbfa9b307107c6bd5
Ссылка действительна до 30 Jan 2010

Обращаю ваше внимание, что данный релиз пока официально не поддерживается.
Также, компанией Aladdin, приветствуются любые замечания и предложения по данной версии.
Всего голосов 10: ↑9 и ↓1 +8
Просмотры 966
Комментарии 8

ЭП — простой и быстрый способ получить доступ к госуслугам

Законодательство в IT
Токен электронной подписи для Госуслуги.ру (eToken Alladin)Сегодня существует как минимум два способа физлицу получить доступ к порталу Госуслуги.ру:
  1. Классический — прохождение регистрации: заполняем кучу форм, ждем кода активации, вводим его (описано много раз, например тут).
  2. Тот, о котором я хочу рассказать — с использованием электронной подписи: ничего заполнять не надо, не надо ждать кода активации, но способ стоит денег. И, похоже, работает пока только в Москве. (UPD февраль 2012: теперь работает не только в Москве; конкретного списка не нашел)
Как пользоваться госуслугами с помощью ЭП...
Всего голосов 56: ↑54 и ↓2 +52
Просмотры 41K
Комментарии 62

Поддержка электронных USB ключей в Thinstation

Системное администрирование *
Озадачился вопросом использования двухфакторной аутентификации для терминального доступа на тонких клиентах на базе Thinstation и немного удивился. Оказывается, что на текущий момент ни одна сборка или конструктор Thinstation не поддерживает электронные USB ключи, такие как eToken, RuToken, iKey. Несмотря на то, что дистрибутив Thinstation настолько популярен, что его используют вместо стандартного ПО на тонких клиентах HP, да и средства аутентификации eToken получили больше распространения на постсоветском пространстве, чем решения от других компаний, но факт остается фактом — в Thinstation нет поддержки электронных USB ключей.
Читать дальше →
Всего голосов 7: ↑6 и ↓1 +5
Просмотры 9.4K
Комментарии 3

Оповещение пользователей об истечении срока действия сертификата на PowerShell

Системное администрирование *
Давеча появилась задача сделать оповещение пользователей об истечении срока действия сертификата на eToken, с помощью которого они авторизуются на рабочих местах.
Читать дальше →
Всего голосов 7: ↑5 и ↓2 +3
Просмотры 5.2K
Комментарии 0

HowTo: Интернет-банкинг для юридических лиц с использованием Aladdin eToken в Linux (Ubuntu)

Настройка Linux *
UPD: Обновлено для Ubuntu 13.10 x64 сам клиент SafenetAuthenticationClient придётся попросить у техподдержки Аладдин.

Случилось так, что я решил организоваться как самостоятельный разработчик и открыл ИП. Долго я маялся с выбором банка для расчётного счёта, т.к. нужно было что-то максимально платформо-независимое — сильно не хотелось заводить винду только для интернет-банкинга, походы же в отделение банка, естественно, не рассматривались в принципе, да и дороже это выходит. В итоге я остановился на ПромСвязьБанке, в надежде, что ключи шифрования у них можно получить в виде файлов/на обычной флешке, а не на eToken'е (дело происходит в Омске). Я даже честно пытался обзванивать банки, на которых остановился и узнать на каком носителе выдаются у них ключи, но день потрачен был зря — ни в одном банке добраться до вменяемого специалиста мне не удалось. В итоге в выбранном банке услуга создания ключей оказалась довольно муторной. При генерации ключей я попытался выбрать в качестве носителя флешку, а не полученный eToken, но позже я узнал, что в этом банке «главная» подпись может быть только на eToken а для отчётов можно генерить ключи на флешку. В общем далее руководство как пользоваться интернет-банкингом с eToken под Ubuntu 12.04 x64.
Читать дальше →
Всего голосов 14: ↑13 и ↓1 +12
Просмотры 29K
Комментарии 26

Опыт получения токена закрытого ключа для Единого Портала Госуслуг

Криптография *
Всё нижеописанное относится к физлицам Российской Федерации.

Зачем это надо?


Как вы, возможно, знаете — авторизация на портале госуслуг возможна тремя способами — при помощи логина и пароля (где роль логина играет номер СНИЛС), при помощи USB-ключа ЭЦП (криптографического токена), и при помощи CSP.
Мне проще помнить небольшой ПИН к токену, чем каждый раз держать перед глазами карточку СНИЛС с цифрами номера, и вспоминать пароль (а требования к паролю у ЕПГУ серьезные).Поэтому я решил получить аппаратный токен с ключом ЭЦП.
До кучи — квалифицированую подпись токеном можно использовать и помимо портала госуслуг.
Как это было ...
Всего голосов 10: ↑7 и ↓3 +4
Просмотры 50K
Комментарии 34

Использование плагина eToken-ЕПГУ для формирования ЭЦП

Разработка веб-сайтов *Криптография *
Это продолжение темы, поднятой в предыдущем посте о Едином Портале Госуслуг (ЕПГУ) и аппаратных ключах ЭЦП eToken-ГОСТ.
Сначала традиционное описание граблей.

Квест номер 1


После того, как я получил токен, мне захотелось вытащить из него сертификат ключа, чтобы в случае чего отдавать заинтересованным лицам для проверки моей ЭЦП.
Грабля первая — ни SDK 4.55, ни SDK 5.1 не хотели признавать eToken ГОСТ инициализированным и с наличествующим ключом.
Грабля вторая — КриптоПро 3.6 — тоже. Что странно — в бланке сертификата указывалось, что ключ сгенерирован КриптоПро CSP 3.6.
В поисках истины хоть чего-то, что могло бы помочь доступиться до содержимого токена, я набрел на аладдиновский же плагин JC-Web.
Плагин опознавал токен, выдавал SN, список сертификатов числом 1 с ID=3 и названием «Certificate». Но не более. Попытка скормить PIN, или передать данные на подпись вызывали исключение.
Оставалась последняя надежда — расковырять плагин, используемый ЕПГУ для целей авторизации. По сути тот же JC-Web, только сильно проще.
И я полез на сайт Госуслуг.

Реверсинг API плагина ЕПГУ
Всего голосов 8: ↑5 и ↓3 +2
Просмотры 8.1K
Комментарии 15

Двухфакторная авторизация на Citrix NetScaler

Виртуализация *
Recovery mode

2х факторная аутентификация на NetScaler


Для обеспечения безопасного доступа с корпоративную инфраструктуру я использую решение на базе NetScaler с использованием 2х факторной аутентификации. П построить данное решение достаточно просто, нужно только иметь развернутый, настроенный NS, развернутый центр сертификации и PKI устройства например eToken.
Зачем это? Предположим WEB морда AG сервера имеет неограниченный доступ из интернета, следовательно потенциально зная логин доступа можно инициировать HTTP запросы, и в зависимости от политики безопасности (количество попыток до блокировки) заблокировать пользователя и т.д. При использовании ДФА (2х факторной авторизации) мы не только гарантированно идентифицируем пользователя, но и предоставляем защищенный сервис доступа.

Считаем, что уже есть:


-У нас есть настроенный netscaler
-Поднятый центр сертификации (хотя можно использовать и ЦС на аутсорсинге)
-Настроенный Access Gateway сервер


Читать дальше →
Всего голосов 3: ↑3 и ↓0 +3
Просмотры 4.7K
Комментарии 0

Простое снятие «навороченной» защиты kraftway credo vv18

Информационная безопасность *
Из песочницы
По государственной программе нам на предприятие выделили несколько таких тонких клиентов.
Многие были рады, что он занимает мало места (крепится сзади на монитор), абсолютно бесшумно работает в отсутствие вентиляторов и сравнительно шустро работает по сравнению со старыми компьютерами которые стояли раньше. Самое интересное началось позже, когда пользователи стали терять ключи eToken.

Читать дальше →
Всего голосов 34: ↑29 и ↓5 +24
Просмотры 46K
Комментарии 17

«Почему всем можно, а мне нельзя?» или реверсим API и получаем данные с eToken

Информационная безопасность *Программирование *
Из песочницы


Однажды у нас на предприятии встала задача о повышении уровня безопасности при передаче очень важных файлов. В общем, слово за слово, и пришли мы к выводу, что передавать надо с помощью scp, а закрытый ключ сертификата для авторизации хранить на брелке типа eToken, благо их у нас накопилось определенное количество.

Идея показалась неплохой, но как это реализовать? Тут я вспомнил, как однажды в бухгалтерии не работал банк-клиент, ругаясь на отсутствие библиотеки с говорящим именем etsdk.dll, меня охватило любопытство и я полез ее ковырять.

Вообще, компания-разработчик на своем сайте распространяет SDK, но для этого надо пройти регистрацию как компания-разработчик ПО, а это явно не я. На просторах интернета документацию найти не удалось, но любопытство одержало верх и я решил разобраться во всём сам. Библиотека – вот она, время есть, кто меня остановит?
Читать дальше →
Всего голосов 49: ↑48 и ↓1 +47
Просмотры 58K
Комментарии 77

eToken жил, eToken жив, eToken будет жить

Информационная безопасность *
imageВ последнее время меня часто спрашивают, что случилось с ключами eToken и почему их перестали продавать. Так же наблюдается некоторая паника по этому поводу, ввиду того, что большинство мировых вендоров поддерживает данные ключи в своих продуктах, а заменить их, получается нечем.

Отставить панику!

Ключи eToken никуда не исчезли, они продолжают выпускаться и продаваться на российском рынке. Да, они поменяли своё название и немного по-другому выглядят, но это всё те же eToken.
Читать дальше →
Всего голосов 23: ↑17 и ↓6 +11
Просмотры 41K
Комментарии 34

HowTo: Подключение к Cisco VPN с использованием Aladdin eToken в Linux (Ubuntu)

Настройка Linux *
Recovery mode
Из песочницы
Сравнительно недавно я решил перевести домашний компьютер с Windows на Linux. То есть идея такая бродила уже некоторое время, подогреваемая новостями с фронтов борьбы с добровольно-принудительной установкой Windows 10 и размышлениями о неизбежном устаревании «семерки» следом за XP, а вот поводом взяться за дело стал выход очередного LTS-релиза Ubuntu. При этом основным мотивом такого перехода я назову простое любопытство: домашний компьютер используется в основном для развлечений, ну а знакомство с новой ОС — развлечение не хуже прочих. Причем развлечение, как мне кажется, полезное в плане расширения кругозора. Дистрибутив же от Canonical был выбран просто как наиболее популярный: считаю при первом знакомстве с системой это немаловажным подспорьем.

Довольно быстро я на собственном опыте убедился, что для котиков и кино Ubuntu вполне подходит. Но, поскольку компьютер используется еще и для удаленной работы, для отказа от Windows не хватало настроенного подключения к Cisco VPN c авторизацией по eToken.

Набор программ


Было ясно, что для подключения понадобятся по меньшей мере драйвер токена и некий VPN-клиент. В результате поисков в сети получился такой список:

  1. OpenConnect — VPN-клиент, «совершенно случайно» совместимый с серверами Cisco «AnyConnect»
  2. GnuTLS — свободная реализация протоколов TLS и SSL. Что важно, в состав этой библиотеки входит утилита p11tool для работы со смарт-картами
  3. SafeNet Authentication Client — набор драйверов и дополнительных утилит, обеспечивающий работу с электронными ключами eToken

Поскольку для установки соединения OpenConnect-у требуется URL сертификата клиента, который можно узнать с помощью утилиты p11tool, и обеим программам требуется драйвер для работы со смарт-картой — с установки этого драйвера и начнем.
Настроить
Всего голосов 13: ↑12 и ↓1 +11
Просмотры 24K
Комментарии 11

Есть ли жизнь после отказа популярных браузеров от поддержки архитектуры NPAPI

Блог компании Аладдин Р.Д. Высокая производительность *Информационная безопасность *Криптография *Системное программирование *
Задачи строгой двухфакторной аутентификации и усиленной электронной подписи традиционно решаются с использованием средств криптографической защиты информации, выполненных в виде токенов. Для усиленной защиты от киберпреступников при работе пользователя в потенциально уязвимой среде дополнительно используются токены и Trust Screen-устройства.

Читать дальше →
Всего голосов 19: ↑18 и ↓1 +17
Просмотры 19K
Комментарии 66

Настройка двусторонней RSA и GOST аутентификации в приложении на JBoss EAP 7

Блог компании Альфа-Банк Информационная безопасность *Криптография *Open source *Java *


Здравствуйте!

Безопасности в современной деловой информационной среде отводится одна из первостепенных ролей. Нужно ли говорить, что в Банке, где большая часть продуктов строится на Digital-технологиях, а на кону доверие, спокойствие и благосостояние клиентов, информационная безопасность ставится в авангард.

В этой статье расскажу, как мы в своей деятельности применяем один из инструментов обеспечения информационной безопасности.
Читать дальше →
Всего голосов 18: ↑18 и ↓0 +18
Просмотры 14K
Комментарии 3

Тестируем JaCarta WebClient или храните токены в сейфе

Информационная безопасность *Тестирование IT-систем *JavaScript *Расширения для браузеров
Из песочницы
«Когда на мгновение чёрный покров отнесло в сторону, Маргарита на скаку обернулась и увидела, что сзади нет не только разноцветных башен с разворачиващимся над ними аэропланом, но нет уже давно и самого города, который ушёл в землю и оставил по себе только туман.»

М.А. Булгаков
«Мастер и Маргарита»


Привет, Хабр! Наверное почти в каждой российской организации есть эти изделия в весёлой разноцветной раскраске. Речь идёт об изделиях JaCarta и софте к ним. Привалило такое счастье и мне, и я решил немного раздвинуть чёрный покров скрывающий их сущность, сиречь API. Некоторые банки, особенно выдающие своим клиентам токены JaCarta ГОСТ-2, для работы требуют установки приложения JC-WebClient от «Аладдин Р.Д.».

Хотя на официальном сайте разработчика свежего дистрибутива нет (в разделе Демо можно скачать более старую версию, но она использует устаревший API), дистрибутив можно найти с помощью гугла по строке «JC-WebClient-4.0.0.1186» на сайтах ДБО.

После установки приложения на компе пользователя открывается порт 24738 на котором работает этот клиент.

https://localhost:24738/JCWebClient.js

На сайте разработчика открыто и подробно описан API этого приложения (как и функции работы с файловой системой всей линейки токенов этого производителя через jcFS.dll, входящей в установочный пакет «Единый клиент JaCarta») и суть в том, что с помощью ряда функций можно или подписать ЭЦП находящейся на токене что угодно, подобрав пин код, или заблокировать токен неудачными попытками его ввода. И всё это дистанционно, через интернет.
Читать дальше →
Всего голосов 17: ↑14 и ↓3 +11
Просмотры 3.4K
Комментарии 3

Работа с СКЗИ и аппаратными ключевыми носителями в Linux

Блог компании Альфа-Банк Настройка Linux *Информационная безопасность *Криптография *Java *
Tutorial

Хранение ключей на токенах и смарт-картах обеспечивает дополнительную защиту от внешних и внутренних нарушителей, в том числе имеющих определенный уровень доступа к информационной системе и оборудованию.

Сегодня я расскажу, как мы защищаем ключи шифрования и электронной подписи в наших информационных системах, и сделаю это в подробном, хорошо проиллюстрированном руководстве по настройке SUSE Linux Enterprise Server 12 SP3 для работы с токеном Aladdin JaCarta PKI и КриптоПро CSP KC2 4.0.9944.

Опубликовать данное руководство побудило несколько причин:
Читать дальше →
Всего голосов 26: ↑26 и ↓0 +26
Просмотры 15K
Комментарии 22

Делаем JaCarta Editor

Информационная безопасность *Тестирование IT-систем *Программирование *Компьютерное железо Софт
«О Царстве Теней я могу сказать только одно: есть реальность и есть её Тень; в этом суть всего. В реальном Мире существует лишь Амбер, реальный город на реальной Земле, в котором собрано всё. А Царство Теней — лишь бесконечность ирреальности. Здесь тоже можно обнаружить всё — но то будут тени, искажённое отражение реальности. Царство Теней окружает Амбер со всех сторон. А за его пределами царит хаос. На пути из Амбера в Царство Хаоса возможно всё.»
Роджер Желязны. «Девять принцев Амбера»


Всё началось с нeoбxодимocти работать с одним и тем же ключом на etoken c разных, значительно удалённых друг от друга рабочих мест (USB Over IP ради пары токенов дороговато будет) и моего большого желания открыть этот закрытый мир. Мне попалась работа habr.com/post/276057 за что её автору большой респект, в моём проекте использована значительная часть отреверсеных им функций (код ведь открытый). Правда как выяснилось всё что работает с etsdk.dll работает только с синими рыбками. Поэтому для JaCarta новые функции пришлось писать заново, а часть отредактировать.

В результате долгих изысканий появился JaCarta Editor — программа показывающая и позволяющая редактировать сущности (именно так в официальной документации называют объекты файловой системы токенов, видимо намекая на их эфемерность и ирреальность) на токенах от Аладдина, в том числе самых современных.
Читать дальше →
Всего голосов 10: ↑10 и ↓0 +10
Просмотры 4.3K
Комментарии 3
1