MobilePKI от Gemalto: расширяя границы многофакторной аутентификации
О том, как решения MobilePKI от Gemalto позволяют расширять границы многофакторной аутентификации с помощью PKI, а также о тех новых возможностях, которые при этом открывает использование протокола Bluetooth low energy (BLE), рассказывает Сергей Кузнецов, региональный директор подразделения
Identity and Data Protection компании Gemalto.
Identity and Data Protection компании Gemalto.
PKI на мобильных устройствах: история проблемы
Как известно, инфраструктура открытых ключей (Public Key Infrastructure, PKI) является сегодня одной из самых доверенных технологий защиты информации, повсеместно используемой в самых разных отраслях, начиная от банковского сектора и заканчивая госуслугами, здравоохранением и образованием. До недавнего времени применение PKI подразумевало использование стационарных компьютеров или ноутбуков, обладающих USB-портами и/или слотами для чтения смарт-карт. В то же время растущая потребность по выполнению пользователями широкого спектра задач с помощью мобильных устройств, в первую очередь смартфонов и планшетов, вносит свои коррективы в требования, которые рынок предъявляет к PKI-решениям. По некоторым прогнозам, к 2020 году смартфонами будет пользоваться около 70% населения мира, кроме того, в эксплуатации будет находить- ся более 1,2 млрд планшетных устройств.
С какими сложностями связана реализация поддержки PKI на мобильных
устройствах? Как известно, в подавляющем большинстве моделей смартфонов и планшетов не предусмотрены порт USB или встроенный картридер, в результате они не поддерживают использование стандартных идентификаторов PKI. К сожалению, ни одна стандартная политика безопасности не способна даже описать представленное сегодня на рынке изобилие мобильных устройств и тем более сделать их полноценным элементом PKI-инфраструктуры c использованием контактных смарт-карт или контактных токенов. Несколько известных попыток такого рода интеграции, предпринятых на российском рынке, достаточно быстро закончились полным провалом. Предлагаемые их инициаторами китайские переходники для
использования контактных PKI-решений на устройствах Apple выходили из строя после N-го количества соединений. Ни для кого не секрет, например, что у всей линей- ки устройств под управлением iOS очень капризные интерфейсы. В большинстве случаев они не позволяют использовать даже кабельные соединения третьих производителей, не говоря уже про полноценные ридеры смарт-карт и токены, обеспечивающие идентификацию пользователя, например, в системах ДБО.
В результате пользователям мобильных устройств до недавнего времени приходилось довольствоваться решениями на базе одноразовых паролей.
С какими сложностями связана реализация поддержки PKI на мобильных
устройствах? Как известно, в подавляющем большинстве моделей смартфонов и планшетов не предусмотрены порт USB или встроенный картридер, в результате они не поддерживают использование стандартных идентификаторов PKI. К сожалению, ни одна стандартная политика безопасности не способна даже описать представленное сегодня на рынке изобилие мобильных устройств и тем более сделать их полноценным элементом PKI-инфраструктуры c использованием контактных смарт-карт или контактных токенов. Несколько известных попыток такого рода интеграции, предпринятых на российском рынке, достаточно быстро закончились полным провалом. Предлагаемые их инициаторами китайские переходники для
использования контактных PKI-решений на устройствах Apple выходили из строя после N-го количества соединений. Ни для кого не секрет, например, что у всей линей- ки устройств под управлением iOS очень капризные интерфейсы. В большинстве случаев они не позволяют использовать даже кабельные соединения третьих производителей, не говоря уже про полноценные ридеры смарт-карт и токены, обеспечивающие идентификацию пользователя, например, в системах ДБО.
В результате пользователям мобильных устройств до недавнего времени приходилось довольствоваться решениями на базе одноразовых паролей.
Gemalto в цифрах и фактах
Компания Gemalto была создана в 2006 году в результате слияния региональных лидеров Gemplus и Axalto. Уже к 2008 году объединенной структурой было произведено более 1,4 млрд средств аутентификации. Сегодня электронные паспорта с чипом Gemalto внедрены в 30 странах с общим населением 600 млн человек, 300 банков используют пластиковые карты Gemalto, 400 операторов сотовой связи обслуживают более 700 млн абонентов с помощью SIM-карт данного производителя.
Компания Gemalto была создана в 2006 году в результате слияния региональных лидеров Gemplus и Axalto. Уже к 2008 году объединенной структурой было произведено более 1,4 млрд средств аутентификации. Сегодня электронные паспорта с чипом Gemalto внедрены в 30 странах с общим населением 600 млн человек, 300 банков используют пластиковые карты Gemalto, 400 операторов сотовой связи обслуживают более 700 млн абонентов с помощью SIM-карт данного производителя.
Итак, глобальная проблема, связанная с отсутствием эффективного механизма использования PKI-технологии на мобильных устройствах, обозначилась уже достаточно давно. И именно компании Gemalto удалось найти выход из создавшегося инфраструктурного тупика, осуществив настоящий технологический прорыв, значительно расширивший границы применения PKI. С этой целью мы разработали и выпустили на рынок продукты MobilePKI, которые позволяют использовать PKI-инфраструктуры на самом широком спектре мобильных устройств под управлением различных операционных систем без необходимости задействовать USB-порт или встроенный картридер. Связь решения MobilePKI с мобильным устройством осуществляется бес- контактно, по протоколу Bluetooth low energy (известному также как Bluetooth Smart).
В USB-токене SafeNet Reader K1100 может размещаться чип в формате SIM-карты
Ключевая особенность нашего решения заключается в том, что оно дает возможность переносить инфраструктуру PKI на мобильные телефоны. В результате пропадает необходимость хранить ключ шифрования (который, как известно, является основой любой криптосистемы) в инфраструктуре мобильного телефона вместе с приложением. Решение MobilePKI позволяет в принципе исключить возможность хранения ключевой информации на телефоне, перенеся ее, так же как и в случае со стационарными рабочими станциями, непосредственно на токен.
Созданное подразделением Identity and Data Protection компании Gemalto решение MobilePKI представляет собой единый идентификатор PKI, выполненный в двух форм-факторах. Первый из них – считыватель «полноразмерных» смарт-карт SafeNet Reader CT1100, а второй – USB-токен SafeNet Reader K1100, в котором может размещаться чип в формате SIM-карты. Таким образом, для использования этого форм-фактора нужно приобрести сам токен K1100 и смарт-карту в формате SIM, которая размещается в данном Bluetooth-считывателе.
В свою очередь, SafeNet Reader CT1100 представляет собой полноценный Bluetooth-картридер. Оба устройства, как уже отмечалось, поддерживают протокол Bluetooth Smart.
Созданное подразделением Identity and Data Protection компании Gemalto решение MobilePKI представляет собой единый идентификатор PKI, выполненный в двух форм-факторах. Первый из них – считыватель «полноразмерных» смарт-карт SafeNet Reader CT1100, а второй – USB-токен SafeNet Reader K1100, в котором может размещаться чип в формате SIM-карты. Таким образом, для использования этого форм-фактора нужно приобрести сам токен K1100 и смарт-карту в формате SIM, которая размещается в данном Bluetooth-считывателе.
В свою очередь, SafeNet Reader CT1100 представляет собой полноценный Bluetooth-картридер. Оба устройства, как уже отмечалось, поддерживают протокол Bluetooth Smart.
При разработке протокола Gemalto Bluetooth защищенность данных изначально была
одной из приоритетных задач
одной из приоритетных задач
Ключевые направления применения MobilePKI в банковском секторе – системы мобильного банка, мобильные платежи и т. п.
Последний момент является принципиально важным. С одной стороны, сегодня технология Bluetooth является единственным коммуникационным каналом, который реализован в самых различных конечных устройствах, поэтому она может использоваться для аутентификации почти на любом смартфоне или планшете. С другой – у «классического» протокола Bluetooth (Bluetooth 3.0 и ниже) есть один серьезный недостаток, делающий его малоприменимым для связи PKI-решения и мобильного устройства. Это высокое энергопотребление, обусловленное в том числе низкой оптимизацией для решения задач аутентификации. И если на стационарном компьютере или ноутбуке Bluetooth-модуль подзаряжается через порт USB, не вызывая каких-либо неудобств для пользователя, то в случае применения с мобильным девайсом встроенный элемент питания самого PKI-устройства разряжается уже через несколько часов, как и портативный аккумулятор смартфона или планшета, поддерживающего с ним связь по Bluetooth-каналу. Очевидно, что при таком высоком энергопотреблении использование PKI-решение связано для потребителя с серьезным дискомфортом, поэтому вряд ли стоило бы рассчитывать на его массовую популярность.
Еще одна серьезная проблема обычного Bluetooth – небезопасность самого протокола обмена данными. Из-за отсутствия в нем механизма защиты передаваемых данных всегда остается риск перехвата информации, передаваемой по беспроводному каналу между доверенным токеном и доверенным коммуникационным устройством.
Еще одна серьезная проблема обычного Bluetooth – небезопасность самого протокола обмена данными. Из-за отсутствия в нем механизма защиты передаваемых данных всегда остается риск перехвата информации, передаваемой по беспроводному каналу между доверенным токеном и доверенным коммуникационным устройством.
Bluetooth Smart как катализатор мобильной аутентификации
Реализовав свои продукты MobilePKI именно на Bluetooth Smart, подразделению IDP Gemalto удалось устранить все перечисленные проблемы, связанные с применением «классического» Bluetooth. Прежде всего, разработка Bluetooth Smart основывалась на комплексе различных технических и радиометодов, позволяющих минимизировать энергопотребление. Протокол обмена данными был изменен для реализации очень коротких рабочих циклов передачи или коротких сигналов передачи между длительными паузами. Сочетание чрезвычайно низкого энергопотребления в режиме «сна» и коротких рабочих циклов передачи позволяет устройству Bluetooth Low Energy функционировать без подзарядки месяцами, а не неделю, как это было в случае с обычным Bluetooth.
В свою очередь, при адаптации компанией Gemalto протокола Bluetooth Smart (Bluetooth 4.х) для использования в своем PKI-решении (модернизированный протокол получил название Gemalto Bluetooth) защищенность передаваемых данных изначально была одной из приоритетных задач. В результате Gemalto Bluetooth использует для обеспечения безопасности симметричное шифрование передаваемых данных (по стандарту AES).
В свою очередь, при адаптации компанией Gemalto протокола Bluetooth Smart (Bluetooth 4.х) для использования в своем PKI-решении (модернизированный протокол получил название Gemalto Bluetooth) защищенность передаваемых данных изначально была одной из приоритетных задач. В результате Gemalto Bluetooth использует для обеспечения безопасности симметричное шифрование передаваемых данных (по стандарту AES).
Корпоративный бейдж может одновременно использоваться для аутентификации в ИТ-системах, обеспечения удаленного доступа, хранения личных сертификатов и паролей и т. д.
Считыватель «полноразмерных» смарт-карт SafeNet Reader CT1100
Благодаря всем этим шагам оба предлагаемых нами устройства – SafeNet Reader CT1100 и SafeNet Reader K1100 – имеют чрезвычайно малый вес, при этом они работают от собственного аккумулятора без подзарядки до трех меся- цев в режиме ожидания, и 15 рабочих дней – в режиме эксплуатации (причем без риска быстро «посадить» в процессе аккумулятор смартфона или планшета). При этом SafeNet Reader CT1100 оснащен функцией автоматического обнаружения находящегося поблизости мобильного устройства, ноутбука или настольного ПК. Подчеркну, что наши решения при необходимости можно использовать и как стационарный контактный ридер, подключив их к настольному компьютеру или ноутбуку через USB-порт, через который, кстати, и заряжаются их выстроенные аккумуляторы.
Возвращаясь к вопросу безопасности, отмечу, что оба форм-фактора MobilePKI оснащены разработанной нами системой управляемого сопряжения Gemalto, которая обеспечивает защищенное, быстрое и удобное подключение к другим устройствам.
Кроме того, каждый из наших продуктов способен поддерживать работу с несколькими пользовательскими устройствами, будь то смартфоны
или планшеты, что критично, например, для трейдеров финансовых компаний и т. д.
Решение MobilePKI в любом из двух предлагаемых сегодня форм-факторов может использоваться для аутентификации, а также для выполнения других функций на базе PKI, например, для использования ЭЦП и обмена зашифрованными электронными сообщениями на мобильном устройстве. Это позволяет банкам, а также целому ряду небанковских бизнес-структур предложить надежную защиту на основе PKI тем клиентам, которые заинтересованы в безопасной идентификации при осуществлении операций на мобильных устройствах. Сегодня на эту категорию, независимо от конкретного сегмента рынка, приходится значительная доля клиентской базы, которая продолжает динамично расти.
Таким образом, мы предоставляем конечному пользователю достаточно мощный инструмент, для того чтобы он мог расширить возможности PKI вне зоны действия контактных устройств.
Возвращаясь к вопросу безопасности, отмечу, что оба форм-фактора MobilePKI оснащены разработанной нами системой управляемого сопряжения Gemalto, которая обеспечивает защищенное, быстрое и удобное подключение к другим устройствам.
Кроме того, каждый из наших продуктов способен поддерживать работу с несколькими пользовательскими устройствами, будь то смартфоны
или планшеты, что критично, например, для трейдеров финансовых компаний и т. д.
Решение MobilePKI в любом из двух предлагаемых сегодня форм-факторов может использоваться для аутентификации, а также для выполнения других функций на базе PKI, например, для использования ЭЦП и обмена зашифрованными электронными сообщениями на мобильном устройстве. Это позволяет банкам, а также целому ряду небанковских бизнес-структур предложить надежную защиту на основе PKI тем клиентам, которые заинтересованы в безопасной идентификации при осуществлении операций на мобильных устройствах. Сегодня на эту категорию, независимо от конкретного сегмента рынка, приходится значительная доля клиентской базы, которая продолжает динамично расти.
Таким образом, мы предоставляем конечному пользователю достаточно мощный инструмент, для того чтобы он мог расширить возможности PKI вне зоны действия контактных устройств.
Сфера применения
Если говорить о конкретных направлениях применения в банковском секторе, то это прежде всего системы мобильного банка, мобильные платежи и т. п., иными словами, сегменты, где ранее многофакторная аутентификация пользователя была в лучшем случае ограничена использованием одноразовых паролей, генерируемых OTP-токенами.
При этом возможности MobilePKI позволяют реализовывать и различного рода гибридные системы. Ярким примером здесь может служить так называемый корпоративный бейдж, реализуемый на базе нашего ридера для смарт-карт SafeNet Reader CT1100. На лицевую сторону размещенной в этом устройстве многофункциональной смарт-карты может быть нанесен, например, портрет держателя. Такая комбинация устройства и карты может одновременно использоваться для аутентификации в ИТ-системах, обеспечения удаленного доступа, хранения личных сертификатов и паролей, RFID-меток, биометрической информации. Совместимость со всем основными операционными системами и приложениями позволяет использовать такие токены для доступа в клиентские приложения и закрытые разделы сайтов с мобильных устройств, для хранения ключей к зашифрованным дискам, а также интегрировать их с произвольными корпоративными приложениями.
При этом возможности MobilePKI позволяют реализовывать и различного рода гибридные системы. Ярким примером здесь может служить так называемый корпоративный бейдж, реализуемый на базе нашего ридера для смарт-карт SafeNet Reader CT1100. На лицевую сторону размещенной в этом устройстве многофункциональной смарт-карты может быть нанесен, например, портрет держателя. Такая комбинация устройства и карты может одновременно использоваться для аутентификации в ИТ-системах, обеспечения удаленного доступа, хранения личных сертификатов и паролей, RFID-меток, биометрической информации. Совместимость со всем основными операционными системами и приложениями позволяет использовать такие токены для доступа в клиентские приложения и закрытые разделы сайтов с мобильных устройств, для хранения ключей к зашифрованным дискам, а также интегрировать их с произвольными корпоративными приложениями.
Мы видим для себя прекрасные перспективы
как в рамках Gemalto, так и в рамках
глобальной конкурентной среды
как в рамках Gemalto, так и в рамках
глобальной конкурентной среды
Если говорить о применимости решения MobilePKI с точки зрения различных операционных сред, то в настоящее время наши продукты поддерживают как iOS, так и Android-платформу, а также Windows. Таким образом, благодаря MobilePKI использование PKI становится возможным на самом широком спектре различных моделей и типов мобильных устройств различных вендоров.
При этом подчеркну, что наше решение является полностью открытым. MobilePKI предоставляет независимым производителям ПО, системным интеграторам, центрам сертификации и центрам доверия завершенное решение для разработки приложений PKI для мобильных пользовательских устройств. Данное решение применимо к устройствам, поддерживающим технологию Bluetooth Smart, и к многочисленным средствам разработки.
Так, всем заинтересованным разработчикам ПО и OEM-партнерам, желающим создавать собственные мобильные приложения, поддерживаемые MobilePKI, мы предлагаем IDGo 800 for Mobile – комплект для разработки ПО (SDK) с примерами кода и документацией. В пакет входят интерфейсы программирования приложений PKI API, OTP API и PC-SC API, а также комплект драйверов для взаимодействия с большим количеством элементов безопасности, например Bluetooth Smart, Micro- SD, USB, NFC и картридерами. С помощью данного SDK OEM-партнеры и независимые вендоры ПО получают возможность разрабатывать специализированные приложения для организаций, работающих в отраслях, где использование систем защиты на основе PKI является обязательным согласно местному страновому законодательству (например, в уже упомянутых образовании, здравоохранении, правительственных учреждениях и др.).
Отмечу, что на российском рынке продукты MobilePKI продвигает компания TESSIS, официальный дистрибьютор Gemalto в России.
При этом подчеркну, что наше решение является полностью открытым. MobilePKI предоставляет независимым производителям ПО, системным интеграторам, центрам сертификации и центрам доверия завершенное решение для разработки приложений PKI для мобильных пользовательских устройств. Данное решение применимо к устройствам, поддерживающим технологию Bluetooth Smart, и к многочисленным средствам разработки.
Так, всем заинтересованным разработчикам ПО и OEM-партнерам, желающим создавать собственные мобильные приложения, поддерживаемые MobilePKI, мы предлагаем IDGo 800 for Mobile – комплект для разработки ПО (SDK) с примерами кода и документацией. В пакет входят интерфейсы программирования приложений PKI API, OTP API и PC-SC API, а также комплект драйверов для взаимодействия с большим количеством элементов безопасности, например Bluetooth Smart, Micro- SD, USB, NFC и картридерами. С помощью данного SDK OEM-партнеры и независимые вендоры ПО получают возможность разрабатывать специализированные приложения для организаций, работающих в отраслях, где использование систем защиты на основе PKI является обязательным согласно местному страновому законодательству (например, в уже упомянутых образовании, здравоохранении, правительственных учреждениях и др.).
Отмечу, что на российском рынке продукты MobilePKI продвигает компания TESSIS, официальный дистрибьютор Gemalto в России.
Мы наблюдаем мощный синергетический эффект от слияния двух линеек наших аутентификационных продуктов, которые ранее развивались параллельно
IDP Gemalto: мощный эффект синергии
В заключение я хотел бы сказать несколько слов о своем подразделении – Identity and Data Protection (IDP) Gemalto.
После приобретения компании SafeNet в 2015 году оно получило заметное развитие, при этом значительная часть команды SafeNet выступила ядром нашей структуры. В результате сегодня мы наблюдаем мощный синергетический эффект, в том числе от слияния двух линеек наших аутентификационных продуктов, которые ранее развивались параллельно. Мы видим для себя прекрасные перспективы как в рамках Gemalto, так и в рамках глобальной конкурентной среды: сформулированная нами стратегия полностью оправдывается, и мы продолжаем двигаться по ранее абсолютно правильно выбранному пути, в который, разумеется, жизнь вносит свои коррективы.
Сегодня решения компании Gemalto для защиты идентификационных данных дают возможность банкам, а также другим финансовым и нефинансовым организациям и поставщикам услуг защищать повседневные электронные
контакты своих сотрудников, партнеров и клиентов, обеспечивая безопасный доступ к сетевым ресурсам и защищенность финансовых транзакций. Предлагаемые нами гибкие платформы управления и широкий ассортимент технологий и форм-факторов многофакторной аутентификации позволяют
в том числе внедрять прогрессивную стратегию управления идентификационными данными. Последняя подразумевает обеспечение всех потребностей в сфере безопасности – как существующих на сегодняшний день, так и будущих, по мере возникновения новых угроз и сценариев предоставления услуг.
После приобретения компании SafeNet в 2015 году оно получило заметное развитие, при этом значительная часть команды SafeNet выступила ядром нашей структуры. В результате сегодня мы наблюдаем мощный синергетический эффект, в том числе от слияния двух линеек наших аутентификационных продуктов, которые ранее развивались параллельно. Мы видим для себя прекрасные перспективы как в рамках Gemalto, так и в рамках глобальной конкурентной среды: сформулированная нами стратегия полностью оправдывается, и мы продолжаем двигаться по ранее абсолютно правильно выбранному пути, в который, разумеется, жизнь вносит свои коррективы.
Сегодня решения компании Gemalto для защиты идентификационных данных дают возможность банкам, а также другим финансовым и нефинансовым организациям и поставщикам услуг защищать повседневные электронные
контакты своих сотрудников, партнеров и клиентов, обеспечивая безопасный доступ к сетевым ресурсам и защищенность финансовых транзакций. Предлагаемые нами гибкие платформы управления и широкий ассортимент технологий и форм-факторов многофакторной аутентификации позволяют
в том числе внедрять прогрессивную стратегию управления идентификационными данными. Последняя подразумевает обеспечение всех потребностей в сфере безопасности – как существующих на сегодняшний день, так и будущих, по мере возникновения новых угроз и сценариев предоставления услуг.