eToken (del inglés electronic - electronic y el inglés token - sign, token) - una marca comercial para una línea de herramientas de autenticación personal en forma de llaves USB y tarjetas inteligentes , así como soluciones de software que las utilizan. La marca fue creada por la empresa israelí Aladdin Knowledge Systems., posteriormente adquirida por SafeNet [1] . Posteriormente, SafeNet se fusionó con Gemalto (y en 2019 con Thales Group ). Hoy, Thales / Gemalto es el fabricante oficial de llaves de la familia eToken. Se declara la presencia de certificados del FSB y del FSTEC de Rusia para productos eToken [2] .
Todos los modelos modernos de eToken tienen funciones de tarjeta inteligente , excepto eToken PASS y SafeNet eToken 3500.
Los dispositivos combinados eToken NG-FLASH y SafeNet eToken 7300 tienen funcionalidad de unidad flash USB .
eToken NG-OTP, eToken PASS, SafeNet eToken 3400 y SafeNet eToken 3500 tienen las funciones de tokens OTP (dispositivos para generar contraseñas de un solo uso ).
Por tipo de garantíaLos distintos modelos de eToken son dispositivos de hardware , a excepción del software eToken Virtual.
Por factores de forma [4]Factor de forma | Modelos | Ilustración | ||||||||
---|---|---|---|---|---|---|---|---|---|---|
llave USB | token electrónico 5110
|
| ||||||||
Llave USB con generador de contraseñas de un solo uso |
|
| ||||||||
ficha de OTP | PASE de eToken |
| ||||||||
tarjeta electrónica |
|
| ||||||||
tarjeta inteligente con generador de contraseñas de un solo uso | SafeNet eToken 3400 |
El software eToken PKI Client, que proporciona la operación de eToken con funciones de tarjeta inteligente , opera bajo el control de los sistemas operativos:
Los tokens OTP de hardware eToken requieren un servidor de gestión TMS que se ejecute en una plataforma Microsoft Windows Server 2003 o 2008 para su funcionamiento .
La herramienta de software eToken Virtual puede funcionar bajo el control de los sistemas operativos:
Check Point VPN-1 SecuRemote y VPN-1 SecureClient admiten la autenticación basada en el uso de certificados de clave pública y claves privadas almacenadas en tarjetas inteligentes y sus equivalentes. Si el equipo cliente tiene un controlador eToken [5] , puede usar un eToken para establecer una conexión VPN , en cuya memoria hay una clave privada y un certificado de clave pública correspondiente que otorga al propietario el derecho a conectarse.
eToken Network Logon es una aplicación desarrollada por Aladdin Knowledge Systems que le permite almacenar su nombre de usuario, contraseña y nombre de dominio de Windows en la memoria de un eToken y luego utilizar el eToken en el proceso de autenticación . Al asignar una nueva contraseña y cambiar una contraseña, se puede usar el generador de números aleatorios incorporado en eToken Network Logon , como resultado, es posible que el usuario ni siquiera sepa su contraseña y, por lo tanto, no pueda iniciar sesión sin un eToken. . Además de la autenticación mediante contraseñas sustituidas de la memoria eToken, eToken Network Logon admite el mecanismo de autenticación disponible en Windows 2000 - Server 2008 mediante certificados de clave pública y claves privadas almacenadas en tarjetas inteligentes y sus análogos.
eToken SafeData [6] y " Crypto DB " son herramientas de protección de información criptográfica (CIPF) desarrolladas por la empresa rusa Aladdin R.D. Le permiten cifrar datos en columnas individuales de tablas de bases de datos de Oracle . En este caso, las claves de cifrado se almacenan en la base de datos cifradas utilizando las claves públicas de los usuarios, y las claves privadas de los usuarios se almacenan en la memoria del eToken. En consecuencia, para acceder a los datos cifrados, los usuarios deben utilizar sus eTokens, que almacenan claves privadas correspondientes a las claves públicas con las que se cifran las claves de cifrado. La diferencia entre eToken SafeData y "Crypto DB" está en los algoritmos criptográficos utilizados por estos CIPF:
eToken SecurLogon para Oracle : desarrollado por Aladdin R.D. una herramienta que implementa el mecanismo de autenticación admitido en Oracle 8i Database Release 3 (8.1.7) Enterprise Edition y versiones posteriores de Oracle DBMS utilizando certificados de clave pública y claves privadas utilizando un eToken como portador de clave. Además de un producto separado, eToken SecurLogon para Oracle es un componente de las herramientas de protección de información criptográfica (CIPF) eToken SafeData y "Crypto DB", instalado en la estación de trabajo de los usuarios de estos CIPF.
eToken SecurLogon para SAP R/3 es una herramienta de software desarrollada por AstroSoft que le permite guardar la configuración de conexión del cliente al servidor de aplicaciones SAP R/3 en la memoria eToken y luego usar el eToken con los detalles guardados para la autenticación en SAP R sistema /3.
eToken Single Sign-On es una aplicación desarrollada por Aladdin Knowledge Systems que le permite guardar formularios HTML y Windows completos en la memoria eToken y luego insertar automáticamente los datos almacenados en la memoria eToken en estos formularios. Debido a esto, eToken se puede utilizar como una herramienta de autenticación en todas las aplicaciones web donde la interfaz de autenticación es un formulario HTML y en todas las aplicaciones donde la interfaz de autenticación es un cuadro de diálogo de Windows . El trabajo con formularios HTML solo se admite en Internet Explorer y Mozilla Firefox .
A partir de la versión 6.0, IBM Lotus Notes y Domino admiten la autenticación mediante tarjetas inteligentes y sus equivalentes. Si el controlador eToken [5] está instalado en la computadora, el archivo de identificación utilizado para autenticar al usuario o servidor se puede convertir de tal manera que no se pueda usar sin conectar el eToken e ingresar el PIN .
Al acceder a un servidor seguro de Domino a través de una interfaz web mediante el protocolo HTTPS , el eToken se puede utilizar para autenticar al cliente.
Además de la autenticación, eToken se puede usar en Lotus Notes para firmar y descifrar correos electrónicos .
Los tokens electrónicos de hardware con funcionalidad de tarjeta inteligente se pueden usar para la autenticación interactiva en un dominio de Windows 2000 - Server 2008 . Si los controladores eToken [5] están instalados en la computadora, el escritorio de autenticación permite no solo ingresar el nombre de usuario, la contraseña y el nombre de dominio, como de costumbre, después de presionar las teclas CTRL + ALT + DELETE, sino también conectar una tarjeta inteligente ( eToken) en lugar de presionar esta combinación de teclas e ingrese su PIN. Además, a partir de Windows XP , se hizo posible el uso de tarjetas inteligentes, incluido el eToken, para la autenticación cuando se ejecutan aplicaciones en nombre de otro usuario .
Además de usar eToken como medio de autenticación, también se puede usar para garantizar la seguridad del lugar de trabajo en ausencia de un usuario. Windows 2000–Server 2008 se puede configurar para bloquear la computadora cuando se desconecta el eToken.
Para usar eToken como medio de autenticación en un dominio de Windows, necesita una autoridad de certificación empresarial implementada y especialmente configurada (Microsoft Enterprise CA) para este fin. Usando el eToken, se genera un par de claves y la autoridad de certificación emite un certificado de clave pública para el usuario , en el que el elemento "iniciar sesión con una tarjeta inteligente" se incluye en la política de clave privada . Luego, el administrador puede propagar un objeto de política de seguridad al usuario que prohíba el inicio de sesión sin una tarjeta inteligente, evitando que el usuario inicie sesión sin usar un eToken que almacena el certificado de clave pública preparado y su clave privada correspondiente.
El Servicio de autenticación modular de Novell ( NMAS ) es un componente de eDirectory de Novell que proporciona mecanismos de autenticación a varios sistemas para los usuarios registrados en el servicio de directorio . A partir de la versión 2.1, NMAS le permite usar eToken al autenticar usuarios cuyas estaciones de trabajo ejecutan Microsoft Windows 95 Service Release 2B, NT 4.0 SP 6a o versiones posteriores de Windows.
Oracle Application Server admite un mecanismo de autenticación mediante certificados de clave pública y claves privadas . Al almacenar las claves privadas de los usuarios en la memoria de eToken, puede usar eToken para autenticar a los usuarios en Oracle Application Server sin usar eToken Single Sign-On.
Oracle E-Business Suite admite la integración con el mecanismo de autenticación de inicio de sesión único de Oracle Application Server. Con esta integración, los usuarios de Oracle E-Business Suite pueden autenticarse en función de certificados de clave pública y claves privadas en la memoria eToken.
Si la integración con Oracle Application Server Single Sign-On no está habilitada, la solución de autenticación de usuario en Oracle E-Business Suite se construye de la siguiente manera:
Token Management System ( TMS ) es una aplicación desarrollada por Aladdin Knowledge Systems que permite la gestión del inventario y el ciclo de vida de los tokens electrónicos en toda la empresa. TMS se integra con Active Directory , asocia cuentas de usuario con eTokens emitidos para ellos, así como certificados de clave pública emitidos y otros detalles. Las políticas de uso de eToken se asignan y aplican exactamente de la misma manera que las políticas de seguridad en un dominio de Windows. Los desarrolladores de varias aplicaciones habilitadas para eToken pueden crear los llamados conectores TMS, a través de los cuales TMS puede controlar el uso de eToken en sus aplicaciones.
Dependiendo del conjunto de su funcionalidad, diferentes modelos de eToken compiten en el mercado con productos de diferentes fabricantes: ActivIdentity, Arcot, Entrust, Eutron, Feitian, Gemalto, Kobil Systems, MultiSoft, RSA Security (una división de EMC ), Vasco, Active , Aladdin R. D., BIFIT, OKB CAD y otros.
Modelos de eToken | Productos de la competencia |
---|---|
Llaves USB eToken PRO, SafeNet Token 5100 y SafeNet Token 5200 | Tokens USB Entrust, Eutron CryptoIdentity, Feitian ePass 1000Auto y 2003, HID ActivID ActivKey SIM Token USB, IDProtect Key LASER, Tokens USB JaCarta PKI, Kobil mIDentity 4smart office, Vasco Digipass Key 101 |
eToken NG-FLASH y SafeNet eToken 7300 | JaCarta PKI/Flash, Feitian StorePass, Vasco Digipass Key 200 y 202. |
eToken NG-OTP | Feitian OTP c400, token USB HID ActivID Display, Vasco Digipass 860 |
PASE de eToken | ActivIdentity Mini OTP Token, Entrust IdentityGuard Mini Token, Feitian OTP c100-c300, c500 y c600, Kobil SecOVID Token III, RSA SecurID 700, Vasco Digipass Go |
tarjetas inteligentes eToken PRO y Safenet eToken 4100 | Tarjeta Feitian PKI, Gemalto IDCore, iBank 2 Key, IDProtect LASER, tarjetas inteligentes JaCarta PKI |
Token virtual | Identificación Arcot |
Los modelos eToken con funciones de tarjeta inteligente tienen desventajas que son inherentes a todos los dispositivos en los que el código PIN no se ingresa desde el propio teclado del dispositivo, sino desde el teclado del terminal al que está conectado el dispositivo: con la ayuda de un troyano, un El atacante puede interceptar el código PIN y realizar repetidas firmas no autorizadas o cifrar cualquier información en nombre del propietario del dispositivo. [8] [9]