Token electrónico

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 5 de junio de 2017; las comprobaciones requieren 12 ediciones .

eToken (del inglés  electronic - electronic y el inglés  token - sign, token) - una marca comercial para una línea de herramientas de autenticación personal en forma de llaves USB y tarjetas inteligentes , así como soluciones de software que las utilizan. La marca fue creada por la empresa israelí Aladdin Knowledge Systems., posteriormente adquirida por SafeNet [1] . Posteriormente, SafeNet se fusionó con Gemalto (y en 2019 con Thales Group ). Hoy, Thales / Gemalto es el fabricante oficial de llaves de la familia eToken. Se declara la presencia de certificados del FSB y del FSTEC de Rusia para productos eToken [2] .

Modelos modernos

Lista de modelos actuales

Clasificación

Por funcionalidad

Todos los modelos modernos de eToken tienen funciones de tarjeta inteligente , excepto eToken PASS y SafeNet eToken 3500.

Los dispositivos combinados eToken NG-FLASH y SafeNet eToken 7300 tienen funcionalidad de unidad flash USB .

eToken NG-OTP, eToken PASS, SafeNet eToken 3400 y SafeNet eToken 3500 tienen las funciones de tokens OTP (dispositivos para generar contraseñas de un solo uso ).

Por tipo de garantía

Los distintos modelos de eToken son dispositivos de hardware , a excepción del software eToken Virtual.

Por factores de forma [4]
Factor de forma Modelos Ilustración
llave USB token electrónico 5110
eToken NG-FLASH
eToken PRO [3]
eToken GOST [3]
Token de SafeNet 5100
Token de SafeNet 5200
SafeNet eToken 7300
Llave USB eToken PRO
Llave USB con generador de contraseñas de un solo uso
eToken NG-OTP
eToken NG-OTP (Java)
eToken NG-OTP
ficha de OTP PASE de eToken
PASE de eToken
SafeNet eToken 3500
tarjeta electrónica
eToken PRO [3]
eToken GOST [3]
Safenet eToken 4100
Tarjeta inteligente eToken PRO
tarjeta inteligente con generador de contraseñas de un solo uso SafeNet eToken 3400

Entorno operativo

El software eToken PKI Client, que proporciona la operación de eToken con funciones de tarjeta inteligente , opera bajo el control de los sistemas operativos:

Los tokens OTP de hardware eToken requieren un servidor de gestión TMS que se ejecute en una plataforma Microsoft Windows Server 2003 o 2008 para su funcionamiento .

La herramienta de software eToken Virtual puede funcionar bajo el control de los sistemas operativos:

Aplicaciones

Check Point VPN-1 SecuRemote y VPN-1 SecureClient

Check Point VPN-1 SecuRemote y VPN-1 SecureClient admiten la autenticación basada en el uso de certificados de clave pública y claves privadas almacenadas en tarjetas inteligentes y sus equivalentes. Si el equipo cliente tiene un controlador eToken [5] , puede usar un eToken para establecer una conexión VPN , en cuya memoria hay una clave privada y un certificado de clave pública correspondiente que otorga al propietario el derecho a conectarse.

Inicio de sesión en la red eToken

eToken Network Logon es una aplicación desarrollada por Aladdin Knowledge Systems que le permite almacenar su nombre de usuario, contraseña y nombre de dominio de Windows en la memoria de un eToken y luego utilizar el eToken en el proceso de autenticación . Al asignar una nueva contraseña y cambiar una contraseña, se puede usar el generador de números aleatorios incorporado en eToken Network Logon , como resultado, es posible que el usuario ni siquiera sepa su contraseña y, por lo tanto, no pueda iniciar sesión sin un eToken. . Además de la autenticación mediante contraseñas sustituidas de la memoria eToken, eToken Network Logon admite el mecanismo de autenticación disponible en Windows 2000 - Server 2008 mediante certificados de clave pública y claves privadas almacenadas en tarjetas inteligentes y sus análogos.

eToken SafeData y "Crypto DB"

eToken SafeData [6] y " Crypto DB " son herramientas de protección de información criptográfica (CIPF) desarrolladas por la empresa rusa Aladdin R.D. Le permiten cifrar datos en columnas individuales de tablas de bases de datos de Oracle . En este caso, las claves de cifrado se almacenan en la base de datos cifradas utilizando las claves públicas de los usuarios, y las claves privadas de los usuarios se almacenan en la memoria del eToken. En consecuencia, para acceder a los datos cifrados, los usuarios deben utilizar sus eTokens, que almacenan claves privadas correspondientes a las claves públicas con las que se cifran las claves de cifrado. La diferencia entre eToken SafeData y "Crypto DB" está en los algoritmos criptográficos utilizados por estos CIPF:

eToken SecurLogon para Oracle

eToken SecurLogon para Oracle : desarrollado por Aladdin R.D. una herramienta que implementa el mecanismo de autenticación admitido en Oracle 8i Database Release 3 (8.1.7) Enterprise Edition y versiones posteriores de Oracle DBMS utilizando certificados de clave pública y claves privadas utilizando un eToken como portador de clave. Además de un producto separado, eToken SecurLogon para Oracle es un componente de las herramientas de protección de información criptográfica (CIPF) eToken SafeData y "Crypto DB", instalado en la estación de trabajo de los usuarios de estos CIPF.

eToken SecurLogon para SAP R/3

eToken SecurLogon para SAP R/3 es una herramienta de software desarrollada por AstroSoft que le permite guardar la configuración de conexión del cliente al servidor de aplicaciones SAP R/3 en la memoria eToken y luego usar el eToken con los detalles guardados para la autenticación en SAP R sistema /3.

Inicio de sesión único de eToken

eToken Single Sign-On es una aplicación desarrollada por Aladdin Knowledge Systems que le permite guardar formularios HTML y Windows completos en la memoria eToken y luego insertar automáticamente los datos almacenados en la memoria eToken en estos formularios. Debido a esto, eToken se puede utilizar como una herramienta de autenticación en todas las aplicaciones web donde la interfaz de autenticación es un formulario HTML y en todas las aplicaciones donde la interfaz de autenticación es un cuadro de diálogo de Windows . El trabajo con formularios HTML solo se admite en Internet Explorer y Mozilla Firefox .

IBM Lotus Notes y Domino

A partir de la versión 6.0, IBM Lotus Notes y Domino admiten la autenticación mediante tarjetas inteligentes y sus equivalentes. Si el controlador eToken [5] está instalado en la computadora, el archivo de identificación utilizado para autenticar al usuario o servidor se puede convertir de tal manera que no se pueda usar sin conectar el eToken e ingresar el PIN .

Al acceder a un servidor seguro de Domino a través de una interfaz web mediante el protocolo HTTPS , el eToken se puede utilizar para autenticar al cliente.

Además de la autenticación, eToken se puede usar en Lotus Notes para firmar y descifrar correos electrónicos .

Microsoft Windows

Los tokens electrónicos de hardware con funcionalidad de tarjeta inteligente se pueden usar para la autenticación interactiva en un dominio de Windows 2000 - Server 2008 . Si los controladores eToken [5] están instalados en la computadora, el escritorio de autenticación permite no solo ingresar el nombre de usuario, la contraseña y el nombre de dominio, como de costumbre, después de presionar las teclas CTRL + ALT + DELETE, sino también conectar una tarjeta inteligente ( eToken) en lugar de presionar esta combinación de teclas e ingrese su PIN. Además, a partir de Windows XP , se hizo posible el uso de tarjetas inteligentes, incluido el eToken, para la autenticación cuando se ejecutan aplicaciones en nombre de otro usuario .

Además de usar eToken como medio de autenticación, también se puede usar para garantizar la seguridad del lugar de trabajo en ausencia de un usuario. Windows 2000–Server 2008 se puede configurar para bloquear la computadora cuando se desconecta el eToken.

Para usar eToken como medio de autenticación en un dominio de Windows, necesita una autoridad de certificación empresarial implementada y especialmente configurada (Microsoft Enterprise CA) para este fin. Usando el eToken, se genera un par de claves y la autoridad de certificación emite un certificado de clave pública para el usuario , en el que el elemento "iniciar sesión con una tarjeta inteligente" se incluye en la política de clave privada . Luego, el administrador puede propagar un objeto de política de seguridad al usuario que prohíba el inicio de sesión sin una tarjeta inteligente, evitando que el usuario inicie sesión sin usar un eToken que almacena el certificado de clave pública preparado y su clave privada correspondiente.

Servicio de autenticación modular de Novell

El Servicio de autenticación modular de Novell ( NMAS ) es un componente de eDirectory de Novell que proporciona mecanismos de autenticación a varios sistemas para los usuarios registrados en el servicio de directorio . A partir de la versión 2.1, NMAS le permite usar eToken al autenticar usuarios cuyas estaciones de trabajo ejecutan Microsoft Windows 95 Service Release 2B, NT 4.0 SP 6a o versiones posteriores de Windows.

Servidor de aplicaciones de Oracle

Oracle Application Server admite un mecanismo de autenticación mediante certificados de clave pública y claves privadas . Al almacenar las claves privadas de los usuarios en la memoria de eToken, puede usar eToken para autenticar a los usuarios en Oracle Application Server sin usar eToken Single Sign-On.

Oracle E-Business Suite

Oracle E-Business Suite admite la integración con el mecanismo de autenticación de inicio de sesión único de Oracle Application Server. Con esta integración, los usuarios de Oracle E-Business Suite pueden autenticarse en función de certificados de clave pública y claves privadas en la memoria eToken.

Si la integración con Oracle Application Server Single Sign-On no está habilitada, la solución de autenticación de usuario en Oracle E-Business Suite se construye de la siguiente manera:

Sistema de gestión de tokens

Token Management System ( TMS ) es una aplicación desarrollada por Aladdin Knowledge Systems que permite la gestión del inventario y el ciclo de vida de los tokens electrónicos en toda la empresa. TMS se integra con Active Directory , asocia cuentas de usuario con eTokens emitidos para ellos, así como certificados de clave pública emitidos y otros detalles. Las políticas de uso de eToken se asignan y aplican exactamente de la misma manera que las políticas de seguridad en un dominio de Windows. Los desarrolladores de varias aplicaciones habilitadas para eToken pueden crear los llamados conectores TMS, a través de los cuales TMS puede controlar el uso de eToken en sus aplicaciones.

Productos de la competencia

Dependiendo del conjunto de su funcionalidad, diferentes modelos de eToken compiten en el mercado con productos de diferentes fabricantes: ActivIdentity, Arcot, Entrust, Eutron, Feitian, Gemalto, Kobil Systems, MultiSoft, RSA Security (una división de EMC ), Vasco, Active , Aladdin R. D., BIFIT, OKB CAD y otros.

Modelos de eToken Productos de la competencia
Llaves USB eToken PRO, SafeNet Token 5100 y SafeNet Token 5200 Tokens USB Entrust, Eutron CryptoIdentity, Feitian ePass 1000Auto y 2003, HID ActivID ActivKey SIM Token USB, IDProtect Key LASER, Tokens USB JaCarta PKI, Kobil mIDentity 4smart office, Vasco Digipass Key 101
eToken NG-FLASH y SafeNet eToken 7300 JaCarta PKI/Flash, Feitian StorePass, Vasco Digipass Key 200 y 202.
eToken NG-OTP Feitian OTP c400, token USB HID ActivID Display, Vasco Digipass 860
PASE de eToken ActivIdentity Mini OTP Token, Entrust IdentityGuard Mini Token, Feitian OTP c100-c300, c500 y c600, Kobil SecOVID Token III, RSA SecurID 700, Vasco Digipass Go
tarjetas inteligentes eToken PRO y Safenet eToken 4100 Tarjeta Feitian PKI, Gemalto IDCore, iBank 2 Key, IDProtect LASER, tarjetas inteligentes JaCarta PKI
Token virtual Identificación Arcot

Modelos heredados

  • eToken GT es un análogo económico de las llaves USB eToken PRO, que difiere solo en una menor cantidad de memoria;
  • eToken R1 : prototipo del primer dongle USB eToken , no producido en masa [7] ;
  • eToken R2 : una llave USB con un microcontrolador seguro, fabricado por Aladdin Knowledge Systems hasta 2005;
  • eToken RIC es una llave USB con un microcontrolador seguro, producido por la empresa rusa Aladdin hasta 2002.

Desventajas

Los modelos eToken con funciones de tarjeta inteligente tienen desventajas que son inherentes a todos los dispositivos en los que el código PIN no se ingresa desde el propio teclado del dispositivo, sino desde el teclado del terminal al que está conectado el dispositivo: con la ayuda de un troyano, un El atacante puede interceptar el código PIN y realizar repetidas firmas no autorizadas o cifrar cualquier información en nombre del propietario del dispositivo. [8] [9]

Notas

  1. ↑ Aladdin Knowledge Systems adquirido por SafeNet el 31 de marzo de 2010 ). 
  2. certificados para productos eToken Archivado el 4 de julio de 2011.
  3. 1 2 3 4 5 6 eToken PRO y eToken GOST están disponibles en dos factores de forma: llave USB y tarjeta inteligente
  4. Solo los tokens electrónicos de hardware se incluyen en la clasificación del factor de forma.
  5. 1 2 3 Los controladores eToken se distribuyen como parte del paquete eToken PKI Client. El sistema operativo Microsoft Windows XP Embedded utiliza "eToken para Windows XP Embedded" en lugar del eToken PKI Client.
  6. Las primeras versiones de eToken SafeData se llamaban eToken Secret Field.
  7. El motivo de la negativa a liberar el eToken R1 fue una vulnerabilidad descubierta en la arquitectura de este dispositivo que permitía a los atacantes acceder a la memoria protegida sin conocer el código PIN ( eToken R1 Private Information Extraction  (inglés) . Grand Idea Studio. Fecha de acceso: 27 de agosto de 2009. Archivado el 5 de abril de 2012 ).
  8. Descripción detallada del ataque al token mediante un troyano . Consultado el 4 de julio de 2010. Archivado desde el original el 24 de mayo de 2015.
  9. Informe de ataque de token USB (enlace no disponible) . Consultado el 4 de julio de 2010. Archivado desde el original el 23 de abril de 2010. 

Enlaces