Inteligencja w chipie

No i wreszcie mamy do dyspozycji karty inteligentne występujące w kształcie zbliżonym do karty kredytowej, zbudowane wg standardu ISO 7816, bądź wbudowane w kluczyk USB. W pierwszym przypadku wymagany jest osobny czytnik, który będzie w stanie odczytać taką kartę. Z reguły wystarczy dowolny czytnik zgodny ze standardem PC/SC. W drugim mamy kompletne rozwiązanie - czytnik i karta to jedno urządzenie. Tak jak już wspominaliśmy, na karcie przechowywany jest klucz prywatny użytkownika, a dostęp do niego zabezpieczony jest PIN-em. Jedynym akceptowalnym obecnie rozwiązaniem są karty kryptograficzne, które mają na "pokładzie" koprocesor wykonujący operacje kryptograficzne (deszyfracja, podpisywanie) na samej karcie - klucz prywatny nigdy nie opuszcza karty.

Ostatnio na rynku pojawiły się tokeny, które być może w niedalekiej przyszłości zadomowią się na dobre. Chodzi o coś, co eksperci określają mianem PPSD (Portable Personal Security Device). Aż dziw bierze, że jest to nowość. PPSD to połączenie karty inteligentnej w postaci kluczyka USB z typową pamięcią przenośną, np. 2 GB. Nowość polega na tym, że dostęp do części storage'owej jest kontrolowany przez kartę inteligentną. W ten sposób znika podstawowe ograniczenie kart inteligentnych, czyli niewielka pojemność. Token PPSD część swojej przestrzeni udostępnia bez konieczności uwierzytelniania - jak zwykły pendrive. Pozostały obszar jest jednak chroniony. Do tego otrzymujemy typową kartę kryptograficzną (na której możemy przechowywać certyfikaty), a nawet funkcjonalność OTP (żeby przeczytać wartość kodu, konieczne jest podłączenie do komputera). Producenci tacy jak Gemalto czy MXI Security już oferują takie właśnie rozwiązania. Token PPSD może znaleźć zastosowanie na rynku e-commerce i e-banking - można na nim umieścić utwardzoną przeglądarkę i wówczas żadne BHO nie będzie straszne.

Podczas planowania zakupów kart inteligentnych musimy dostarczyć zarządowi argumentów, które usprawiedliwią poniesione koszty. Tym bardziej, że aby faktycznie mówić o wdrożeniu kart inteligentnych, powinniśmy w kosztach ujmować również system, który będzie nimi zarządzał. Plusów wdrożenia kart jest wiele. Po pierwsze, podniesienie bezpieczeństwa firmy, co może mieć bezpośrednie przełożenie na zmniejszenie ryzyka kar finansowych np. z powodu naruszenia norm lub regulacji. Po drugie, jeżeli mamy system kontroli dostępu do pomieszczeń, możemy zastosować rozwiązania hybrydowe, np. łączące funkcjonalność karty inteligentnej i sensora HID, co z kolei wpłynie na zmniejszenie kosztów, które wiązałyby się z zakupem dwóch różnych rozwiązań. Po trzecie, odciążymy też service desk i nie będzie konieczności ciągłej zmiany haseł w różnych systemach.

Według Datamonitor, jeżeli firma przeszłaby na jednorodne rozwiązanie uwierzytelniające, np. wykorzystujące karty inteligentne, czas potrzebny na obsługę serwisową związaną z systemami uwierzytelniania zmniejszyłby się o prawie 40 godzin tygodniowo, czyli o jeden etat. Do tego, gdy obok samych kart inteligentnych wdrożymy mechanizmy SSO, skrócimy czas konieczny do zalogowania się do systemu - zwłaszcza, jeżeli korzystamy np. z oprogramowania FDE (Full Disk Encryption), które też wymaga uwierzytelnienia. Tutaj Datamonitor również zasila nas informacjami. Z jej wyliczeń wynika, że użytkownik korzystający z kilku aplikacji wymagających uwierzytelniania musi wprowadzać hasła (często różne) co najmniej 6 razy dziennie. Zastosowanie kart inteligentnych pozwala też skrócić czas potrzebny na zalogowanie się do aplikacji.

Karty inteligentne znakomicie sprawdzają się w systemach korporacyjnych. Często stosuje się karty zgodne z ISO 7816, z wbudowanym dodatkowo sensorem HID, dzięki czemu otrzymujemy także kartę dostępową do pomieszczeń. Karty inteligentne nie są jednak pozbawione wad. Musi za nimi stać większa infrastruktura w postaci PKI, środowiska do zarządzania samymi kartami. Może pojawić się też konieczność dopisywania wsparcia dla niestandardowych aplikacji.

Obsługa kart w porównaniu np. z tokenami OTP jest również bardziej skomplikowana. Każdą kartę trzeba wziąć do ręki i fizycznie umieścić na niej certyfikat danego użytkownika. Z drugiej jednak strony token OTP ma ograniczoną czasowo żywotność - przede wszystkim ze względu na zasilanie. Po wygaśnięciu jedyne, co możemy z nim zrobić, to dać psu do pogryzienia. Karta inteligentna (oczywiście jeżeli użytkownik jej nie zniszczy) nie ma takiego ograniczenia.

Wybierajmy z głową

Przed wyborem technologii i konkretnego rozwiązania trzeba postawić sobie wiele pytań: Do czego będziemy wykorzystywać tokeny? Czy będą służyć pracownikom do uwierzytelniania się do komputerów, do podpisywania lub szyfrowania poczty? A może jednak będą służyły tylko pracownikom mobilnym do uwierzytelniania się w systemie VPN. Czy naszym celem jest, aby każdy pracownik miał w kieszeni token, a co za tym idzie wyeliminowanie haseł? Czy raczej "gadżety" te powędrują tylko do rąk osób odpowiedzialnych za utrzymanie krytycznych aplikacji? Jeżeli dostaną je wszyscy, to czy nie powinny jednocześnie być kluczem do pomieszczeń?

Nie bez znaczenia jest też zastanowienie się, jak powinien wyglądać proces wydawania, dystrybucji czy zgłaszania zagubienia tokenów. Jeżeli nasza organizacja jest duża i podzielona geograficznie, zadanie to może okazać się nie lada przedsięwzięciem. Dobry system powinien dawać użytkownikom możliwość zgłoszenia uszkodzenia lub kradzieży tokenu niemalże w dowolnym momencie.

Dla części korporacji do codziennych zastosowań - takich jak uwierzytelnianie na stacji roboczej, szyfrowanie czy podpisywanie poczty elektronicznej - największą wartość przedstawiają karty inteligentne np. w formie kluczyka USB. Jeżeli jednak token ma służyć jako metoda uwierzytelniania do SSL VPN lub kluczowych serwerów (np. linuksowych), to warto rozważyć wybór tokenów OTP. Są prostsze w użyciu. Większość całkiem dobrze integruje się z różnymi systemami. Ponadto nie musimy instalować żadnego klienta, co w przypadku dostępu zdalnego ma niebagatelne znaczenie.

Czego oczekujemy od systemu uwierzytelniania oraz zarządzania tokenami? Powinien przede wszystkim podnieść bezpieczeństwo, jakość pracy, dać się łatwo integrować z innym funkcjonującymi już rozwiązaniami i nie być skomplikowany administracyjnie. Zarządzanie powinno obejmować wszelkie aspekty związane z tokenami - swoisty workflow - od momentu ich wydania, poprzez wszelkie zmiany administracyjne (reset PIN-u, tymczasowe wyłączenie itp.), po sytuacje utraty lub zniszczenia tokenu. To wszystko powinno być okraszone elastycznym modułem raportującym, który szybko pozwoli ustalić powiązanie tokenu z osobą, wyświetli tokeny z upływającym okresem ważności (szczególnie ważne w tokenach OTP) lub powiadomi o zgłoszeniu zagubienia urządzenia.

Pamiętać musimy również, że bez względu na system uwierzytelniania, wdrożenie będzie przedsięwzięciem dosyć kosztownym. Samo rozwiązanie nie musi być kosmicznie drogie, ale gdy okaże się, że mamy niestandardowe aplikacje do zintegrowania, to wydatki będą znaczne. Jeżeli posiadamy już system zarządzania tożsamością (którego implementacja na pewno nie była tania), musimy upewnić się, że nasze nowe rozwiązanie będzie umiało z nim współpracować. Inaczej wyrzucimy pieniądze w błoto i stracimy czas.

W przeprowadzonych testach "na warsztat" wzięliśmy rozwiązanie Aladdin TMS, czyli system zarządzania tokenami. Do testów zbudowaliśmy środowisko, na które składały się serwer TMS, kontroler domeny Active Directory, centrum certyfikacji Microsoft CA oraz dwie stacje klienckie - jedna pracująca pod kontrolą systemu Microsoft Windows XP SP2 z zainstalowanym oprogramowaniem Aladdin PKI Client oraz SSO, a druga z systemem SuSe Linux Enterprise 10.3. Na stacji roboczej zainstalowaliśmy także oprogramowanie do szyfrowania dysków Pointsec PC w celu weryfikacji poprawnego działania tokenu przy takim scenariuszu. W testach korzystaliśmy z tokenu eToken Pro 32k. W razie problemów odwoływaliśmy się do dokumentacji oraz publicznie dostępnej bazy wiedzy. Poza wstępnym spotkaniem z integratorem nie korzystaliśmy z jego pomocy, by nie unikać ewentualnych pułapek.

Instalacja serwera TMS przebiegła sprawnie i zdecydowanie nie należy do szczególnie skomplikowanych. Kilka kliknięć, niewiele parametrów konfiguracyjnych dobrze opisanych w dokumentacji i gotowe. Wraz z SP3, wydanym w maju tego roku, produkt nie wymaga do prawidłowego funkcjonowania AD, jako źródła danych o użytkownikach. Może równie dobrze współpracować zarówno z Microsoft SQL, jak i środowiskiem OpenLDAP. Niemalże w każdym środowisku istnieje AD, ale widać, że producent wykonał ukłon w stronę użytkowników niebędących "w szponach" Microsoftu.