eToken (z angl . electronic - electronic a angl . token - sign, token) - ochranná známka pro řadu osobních autentizačních nástrojů v podobě USB klíčů a čipových karet , jakož i softwarových řešení, která je využívají. Ochrannou známku vytvořila izraelská společnost Aladdin Knowledge Systems, následně získal SafeNet [1] . Následně se SafeNet sloučil s Gemalto (a v roce 2019 s Thales Group ). Dnes je Thales / Gemalto oficiálním výrobcem rodinných klíčů eToken. Je deklarována přítomnost certifikátů FSB a FSTEC Ruska pro produkty eToken [2] .
Všechny moderní modely eTokenů mají funkce čipových karet , kromě eToken PASS a SafeNet eToken 3500.
Kombinovaná zařízení eToken NG-FLASH a SafeNet eToken 7300 mají funkci USB flash disku .
eToken NG-OTP, eToken PASS, SafeNet eToken 3400 a SafeNet eToken 3500 mají funkce OTP tokenů (zařízení pro generování jednorázových hesel ).
Podle typu zajištěníRůzné modely eTokenů jsou hardwarová zařízení , s výjimkou softwarového eToken Virtual.
Podle tvarových faktorů [4]| Form Factor | Modelky | Ilustrace | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| USB klíč | eToken 5110
|
| ||||||||
| USB klíč s generátorem jednorázových hesel |
|
| ||||||||
| OTP token | eToken PASS |
| ||||||||
| chytrá karta |
|
| ||||||||
| čipová karta s generátorem jednorázových hesel | SafeNet eToken 3400 |
Software eToken PKI Client, který zajišťuje provoz eTokenu s funkcemi čipové karty , funguje pod kontrolou operačních systémů:
Hardwarové tokeny eToken OTP vyžadují ke svému provozu server pro správu TMS běžící na platformě Microsoft Windows Server 2003 nebo 2008 .
Softwarový nástroj eToken Virtual je schopen fungovat pod kontrolou operačních systémů:
Check Point VPN-1 SecuRemote a VPN-1 SecureClient podporují ověřování založené na použití certifikátů veřejného klíče a soukromých klíčů uložených na čipových kartách a jejich ekvivalentech. Pokud má klientský počítač ovladač eToken [5] , můžete k navázání připojení VPN použít eToken, v jehož paměti je soukromý klíč a odpovídající certifikát veřejného klíče , který dává majiteli právo se připojit.
eToken Network Logon je aplikace vyvinutá společností Aladdin Knowledge Systems, která vám umožňuje uložit vaše uživatelské jméno, heslo a název domény Windows do paměti eTokenu a poté použít eToken v procesu ověřování . Při přidělování nového hesla a změně hesla lze využít vestavěný generátor náhodných čísel v eToken Network Logon , v důsledku čehož uživatel nemusí znát ani své heslo a nemůže se tedy bez eTokenu přihlásit. . Kromě autentizace pomocí hesel nahrazovaných z paměti eToken podporuje eToken Network Logon mechanismus ověřování dostupný ve Windows 2000 - Server 2008 pomocí certifikátů veřejného klíče a soukromých klíčů uložených na čipových kartách a jejich analogech.
eToken SafeData [6] a „ Crypto DB “ jsou nástroje na ochranu kryptografických informací (CIPF) vyvinuté ruskou společností Aladdin R.D. Umožňují šifrovat data v jednotlivých sloupcích databázových tabulek Oracle . V tomto případě jsou šifrovací klíče uloženy v databázi zašifrované pomocí veřejných klíčů uživatelů a soukromé klíče uživatelů jsou uloženy v paměti eTokenu. V důsledku toho musí uživatelé pro přístup k šifrovaným datům používat své eTokeny, které uchovávají soukromé klíče odpovídající veřejným klíčům, kterými jsou šifrovací klíče zašifrovány. Rozdíl mezi eToken SafeData a „Crypto DB“ je v kryptografických algoritmech používaných těmito CIPF:
eToken SecurLogon pro Oracle – vyvinutý Aladdinem R.D. nástroj , který implementuje mechanismus ověřování podporovaný v Oracle 8i Database Release 3 (8.1.7) Enterprise Edition a novějších verzích Oracle DBMS pomocí certifikátů veřejného klíče a soukromých klíčů pomocí eTokenu jako nosiče klíčů. Kromě samostatného produktu je eToken SecurLogon for Oracle součástí nástrojů ochrany kryptografických informací (CIPF) eToken SafeData a „Crypto DB“, nainstalovaných na pracovní stanici uživatelů těchto CIPF.
eToken SecurLogon for SAP R/3 je softwarový nástroj vyvinutý společností AstroSoft , který umožňuje uložit nastavení připojení klienta k aplikačnímu serveru SAP R/3 do paměti eTokenu a poté použít eToken s uloženými údaji pro ověření v SAP R /3 systém.
eToken Single Sign-On je aplikace vyvinutá společností Aladdin Knowledge Systems, která umožňuje ukládat vyplněné formuláře HTML a Windows do paměti eTokenu a poté do těchto formulářů automaticky vkládat data uložená v paměti eTokenu. Z tohoto důvodu lze eToken použít jako autentizační nástroj ve všech webových aplikacích , kde je autentizačním rozhraním HTML formulář , a ve všech aplikacích, kde je autentizačním rozhraním dialogové okno Windows . Práce s formuláři HTML je podporována pouze v prohlížečích Internet Explorer a Mozilla Firefox .
Počínaje verzí 6.0 podporují IBM Lotus Notes a Domino ověřování pomocí čipových karet a jejich ekvivalentů. Pokud je na počítači nainstalován ovladač eTokenu [5] , lze soubor ID používaný k ověření uživatele nebo serveru převést tak, že jej nelze použít bez připojení eTokenu a zadání PIN .
Při přístupu k zabezpečenému serveru Domino prostřednictvím webového rozhraní pomocí protokolu HTTPS lze k ověření klienta použít eToken.
Kromě ověřování lze eToken použít v Lotus Notes k podepisování a dešifrování e-mailů .
Hardwarové eTokeny s funkcí čipové karty lze použít pro interaktivní ověřování v doméně Windows 2000 - Server 2008 . Pokud jsou na počítači nainstalovány ovladače eTokenu [5] , umožňuje autentizační plocha po stisku kláves CTRL + ALT + DELETE jako obvykle nejen zadat uživatelské jméno, heslo a název domény, ale také připojit čipovou kartu ( eToken) místo stisknutí této kombinace kláves a zadejte svůj PIN. Počínaje Windows XP bylo navíc možné používat čipové karty, včetně eTokenu, pro ověřování při spouštění aplikací jménem jiného uživatele .
Kromě použití eTokenu jako prostředku autentizace jej lze využít i pro zajištění bezpečnosti pracoviště v nepřítomnosti uživatele. Windows 2000–Server 2008 lze nakonfigurovat tak, aby uzamkl počítač, když je eToken odpojen.
Chcete-li používat eToken jako prostředek ověřování v doméně Windows, potřebujete pro tento účel nasazenou a speciálně nakonfigurovanou podnikovou certifikační autoritu (Microsoft Enterprise CA). Pomocí eTokenu se vygeneruje pár klíčů a certifikační autorita vydá uživateli certifikát veřejného klíče , ve kterém je položka „přihlášení pomocí čipové karty“ zahrnuta v zásadě soukromého klíče . Administrátor pak může uživateli předat objekt bezpečnostní politiky, který zakazuje přihlášení bez čipové karty, čímž zabrání uživateli přihlásit se bez použití eTokenu, který uchovává připravený certifikát veřejného klíče a jeho odpovídající soukromý klíč.
Novell Modular Authentication Service ( NMAS ) je součást Novell eDirectory , která poskytuje mechanismy ověřování různým systémům pro uživatele registrované v adresářové službě . Počínaje verzí 2.1 vám NMAS umožňuje používat eToken při ověřování uživatelů, jejichž pracovní stanice používají Microsoft Windows 95 Service Release 2B, NT 4.0 SP 6a nebo novější verze Windows.
Oracle Application Server podporuje mechanismus ověřování pomocí certifikátů veřejného klíče a soukromých klíčů . Uložením soukromých klíčů uživatelů do paměti eTokenu můžete eToken používat k ověřování uživatelů na serveru Oracle Application Server bez použití jednotného přihlášení eToken.
Oracle E-Business Suite podporuje integraci s mechanismem autentizace Oracle Application Server Single Sign-On. Díky této integraci mohou být uživatelé Oracle E-Business Suite autentizováni na základě certifikátů veřejného klíče a soukromých klíčů v paměti eTokenu.
Pokud integrace s Oracle Application Server Single Sign-On není povolena, je řešení pro ověřování uživatelů v Oracle E-Business Suite sestaveno následovně:
Token Management System ( TMS ) je aplikace vyvinutá společností Aladdin Knowledge Systems, která umožňuje celopodnikovou správu zásob a životního cyklu eTokenů. TMS se integruje s Active Directory , spojuje uživatelské účty s eTokeny, které jim byly vydány, stejně jako vydané certifikáty veřejného klíče a další podrobnosti. Zásady používání eTokenů jsou přidělovány a vynucovány přesně stejným způsobem jako zásady zabezpečení v doméně Windows. Vývojáři různých aplikací podporujících eToken mohou vytvářet tzv. TMS konektory, pomocí kterých může TMS řídit používání eTokenu v jejich aplikacích.
V závislosti na sadě funkcí soutěží různé modely eTokenů na trhu s produkty různých výrobců: ActivIdentity, Arcot, Entrust, Eutron, Feitian, Gemalto, Kobil Systems, MultiSoft, RSA Security (divize EMC ), Vasco, Active , Aladdin R. D., BIFIT, OKB CAD a další.
| Modely eTokenů | Konkurenční produkty |
|---|---|
| USB klíče eToken PRO, SafeNet Token 5100 a SafeNet Token 5200 | Tokeny Entrust USB, Eutron CryptoIdentity, Feitian ePass 1000Auto a 2003, HID ActivID ActivKey SIM USB token, IDProtect Key LASER, USB tokeny JaCarta PKI, kancelář Kobil mIDentity 4smart, klíč Vasco Digipass |
| eToken NG-FLASH a SafeNet eToken 7300 | JaCarta PKI/Flash, Feitian StorePass, , Vasco Digipass Key 200 a 202. |
| eToken NG-OTP | Feitian OTP c400, HID ActivID Display USB token, Vasco Digipass 860 |
| eToken PASS | ActivIdentity Mini OTP Token, Entrust IdentityGuard Mini Token, Feitian OTP c100-c300, c500 a c600, Kobil SecOVID Token III, RSA SecurID 700, Vasco Digipass Go |
| čipové karty eToken PRO a Safenet eToken 4100 | Karta Feitian PKI, Gemalto IDCore, iBank 2 Key, IDProtect LASER, čipové karty JaCarta PKI |
| Virtuální eToken | Arcot ID |
Modely eTokenů s funkcemi čipových karet mají nevýhody, které jsou vlastní všem zařízením, do kterých se PIN kód nezadává z vlastní klávesnice zařízení, ale z klávesnice terminálu, ke kterému je zařízení připojeno: pomocí trojského koně, útočník může zachytit PIN kód a provést opakované neoprávněné podepisování nebo šifrování jakýchkoli informací jménem vlastníka zařízení. [8] [9]