SMS alternatywą dla PKI

Oprogramowanie RSA Mobile ma być systemem bezpiecznej identyfikacji i autoryzacji dostępu do serwerów korporacyjnych za pośrednictwem telefonów komórkowych.

Oprogramowanie RSA Mobile ma być systemem bezpiecznej identyfikacji i autoryzacji dostępu do serwerów korporacyjnych za pośrednictwem telefonów komórkowych.

Firma RSA Security opracowała oryginalną koncepcję systemu identyfikacji i zabezpieczania zdalnego dostępu do informacji na serwerach, która wykorzystuje oprogramowanie RSA Mobile oraz funkcję transmisji wiadomości tekstowych SMS w telefonach GSM. Zdaniem przedstawicieli firmy system ten może być atrakcyjną alternatywą dla innych rozwiązań stosowanych obecnie do bezpiecznej identyfikacji użytkowników. Nie wymaga on bowiem instalowania dodatkowych urządzeń lub oprogramowania po stronie odbiorcy usług. Tym samym - zdaniem przedstawicieli RSA - umożliwia łatwe i powszechne zastosowanie.

Wyłącznie komórka

W standardowych, obecnie wykorzystywanych systemach identyfikacji elektronicznej użytkownik z reguły musi nie tylko znać hasło, ale też dysponować komputerem wyposażonym w odpowiednie oprogramowanie i urządzenie, takie jak czytnik kart mikroprocesorowych, linii papilarnych czy też token. Dopiero połączenie tych dwóch elementów umożliwia bezpieczną identyfikację i autoryzację dostępu. Implementacja takiego systemu jest jednak kłopotliwa w razie zastosowań powszechnych, co zdaniem przedstawicieli RSA jest jedną z głównych barier rozwoju handlu elektronicznego, zdalnych transakcji i dostępu do ważnych informacji za pośrednictwem Internetu.

System RSA nie wymaga instalowania dodatkowego sprzętu i oprogramowania przez użytkownika. Jedynym wymogiem jest posiadanie telefonu komórkowego obsługującego funkcję SMS. Dostawca usług lub informacji musi natomiast zainstalować na serwerze pakiet RSA Mobile i dysponować bezpośrednim łączem do operatora telekomunikacyjnego umożliwiającym wysyłanie wiadomości SMS. Systemy GSM są wykorzystywane przede wszystkim w Europie i Azji, dlatego są to główne rynki, na których firma spodziewa się znaleźć odbiorców na swój produkt.

Dostęp przez SMS

Idea RSA Mobile jest prosta. Użytkownik, który chce uzyskać dostęp do danych, wpisuje swoją nazwę i hasło. Oprogramowanie zainstalowane na serwerze weryfikuje informacje i wysyła jednorazowy kod dostępu jako informację tekstową SMS dostarczaną do telefonu komórkowego użytkownika. Dopiero po wpisaniu tego kodu można uzyskać dostęp do odpowiednich zasobów serwera.

Wadą tego rozwiązania może być zbyt długi czas oczekiwania na wiadomość SMS. Jak jednak zapewniają przedstawiciele RSA Security, testy przeprowadzone m.in. w Danii, Francji, Niemczech, Włoszech, Szwecji i Wlk. Brytanii wykazały, że kod dostępu docierał do 90% użytkowników w czasie krótszym niż 8 s, co można uznać za wynik zadowalający. Zdaniem Kevina Bocek, dyrektora RSA Security w regionie EMEA (Europa, Bliski Wschód, Afryka), również w Polsce nie powinno być problemów z czasem transmisji SMS. Podczas prezentacji systemu na konferencji prasowej w Warszawie, SMS z kodem dostępu do serwera RSA znajdującego się w Wlk. Brytanii został dostarczony w ciągu kilku sekund.

Kevin Bocek uważa, że poziom bezpieczeństwa zapewniany przez RSA Mobile jest podobny do oferowanego przez tradycyjne rozwiązania. Choć wiadomość SMS jest szyfrowana tylko przy użyciu względnie słabego klucza 40-bitowego, to czas obowiązywania kodu - określany przez usługodawcę - może być ograniczony do 1-2 minut, a uzyskanie dostępu dotyczy tylko uruchomionej na komputerze sesji.

W skład kosztów wdrożenia RSA Mobile wchodzi - oprócz ceny oprogramowania - koszt bez- pośredniego łącza dzierżawionego od operatora do wysyłania komunikatów SMS. Cena licencji na pakiet RSA Mobile zależy od liczby użytkow- ników i czasu, na który została wykupiona. Na przykład przy nabyciu 3-letniej licencji dla 100 tys. użytkowników cena katalogowa wynosi ok. 600 tys. USD rocznie.

Alternatywne potwierdzenie autentyczności

Choć system RSA Mobile nie zastąpi podpisu elektronicznego, to jednak jest znacznie prostszym i łatwiejszym rozwiązaniem niż systemy identyfikacji wymagające budowy infrastruktury klucza publicznego PKI i wyposażania użytkowników w dodatkowy sprzęt elektroniczny. Implementacja rozwiązania RSA może ułatwić popularyzację transakcji elektronicznych, a także usług i wymiany informacji przez Internet.


TOP 200