В нашей прошлой статье мы рассказывали о настройке двухфакторной аутентификации в VMware Horizon View на основе PKI-инфраструктуры и x509-сертификатов. Сегодня рассмотрим другой вариант 2FA-аутентификации — одноразовые пароли (OTP). Использование PKI-технологии, возможно, более надежное, но в наш век всеобщей мобильности и тенденции BYOD, когда пользователям нужно получать доступ к информационным ресурсам с любых устройств, включая мобильные, использование технологии PKI не всегда удобно, а иногда совсем невозможно. Поэтому аутентификация по одноразовым паролям (OTP) набирает всё большую популярность.
Читать полностью »
Рубрика «PKI» - 3
Настройка двухфакторной аутентификации в VMware Horizon View 7 c использованием OTP и сервера JAS
2017-11-13 в 12:02, admin, рубрики: 2FA-аутентификация, BYOD, JaCarta, JaСarta Authentication Server, otp, PKI, VMware Horizon View, Аладдин Р.Д., аутентификация, Блог компании Аладдин Р.Д., информационная безопасность, криптография, одноразовые пароли, системное программированиеКак на Java c помощью КриптоПро подписать документ PDF
2017-09-11 в 14:00, admin, рубрики: cades, Cryptographic Message Syntax, digital security, digital signature, java, PDF, pkcs7, PKI, public key, public key infrastructure, Блог компании «Альфа-Банк», информационная безопасность, криптография, криптопро, криптопровайдер, электронная подпись
Привет! Я сотрудник Альфа-Банка и занимаюсь разработкой программного обеспечения со встроенными средствами криптографической защиты информации.
В данной статье хочу рассказать о следующих вещах:
- преимуществах формата PDF в качестве документа с электронной подписью;
- платформе Java, библиотеке itextpdf и СКЗИ КриптоПро CSP, как инструментах подписи;
- о том, с какими трудностями пришлось столкнуться, о доработке itextpdf;
- привести пример кода, выполняющего несколько подписей;
- поговорить о целесообразности использования формата PDF в качестве документа с подписью.
Пакет Network Security Services и утилита Pretty-print
2017-08-17 в 9:41, admin, рубрики: certificates, der, linux, nss, open source, openssl, pkcs11, PKI, prettyprint, utf-8, x509 v3, информационная безопасность, искусственный интеллект, ПрограммированиеПакет Network Security Services (NSS) представляет собой набор библиотек, используемых при кроссплатформенной разработке защищенных клиентских и серверных приложений.
Читать полностью »
Про PKI «на пальцах» за 10 минут
2017-08-10 в 9:28, admin, рубрики: HTTPS, openvn, PKI, SSL, администрирование, безопасность, Блог компании Pixonic, системное администрирование
Предложил коллегам провести внутреннюю мини-лекцию по сабжу — идея зашла. Сел писать план лекции и… чот психанул — в итоге очнулся, дописывая небольшой гайд. Подумал, что будет полезно добавить сюда что-то для быстрого понимания, что такое PKI, зачем она нужна и как работает, так как пока готовился, чтобы освежить память, искал информацию в том числе на полюбившемся «Хабрахабре», но статей в таком формате не нашел.
Пишу на примере наших повседневных задач, которые знакомы многим: беспарольный доступ к серверам OpenVPN и защита доступа к ресурсам с помощью HTTPS.Читать полностью »
Двухфакторная аутентификация в Check Point Security Gateway
2017-08-09 в 11:46, admin, рубрики: check point, Check Point Endpoint Security, Check Point Security Gateway, JaCarta, JaCarta Management System, JaCarta PKI, jms, PKI, Token Logon, vpn, Аладдин Р.Д., аутентификация, Блог компании Аладдин Р.Д., вакансия, инженер, информационная безопасность, криптография, пресейл-инженер, системное программирование, смарт-картаВ этом посте мы расскажем о том, как настроить двухфакторную аутентификацию в Check Point Security Gateway с использованием электронных ключей на примере JaCarta PKI российского разработчика решений по информационной безопасности.
О том, что удалённый доступ к ресурсам организации несёт пользу, но и создаёт ряд проблем для IT-департамента, говорится везде очень много. Мы также считаем это важной темой. Поэтому решили посвятить этому следующий пост.
Возможность корректной идентификации пользователей, запрашивающих доступ к информационной системе, достигается за счёт использования комплексных решений контроля доступа.
Читать полностью »
Есть ли альтернатива MS Windows, IE и CSP при доступе в личные кабинеты порталов Госзакупок, ФНС России и Госуслуг
2017-07-26 в 13:17, admin, рубрики: IT-стандарты, PKCS#11, PKI, Анализ и проектирование систем, браузеры, госзакупки, госуслуги, информационная безопасность, криптография, сертификаты x.509, скзи
И сразу дадим ответ – да, можно и нужно, только не отказаться, а дать гражданам и организациям возможность использовать и другие операционные системы, браузеры и средства криптографической защиты информации (СКЗИ). Ответим на вопрос и как – соблюдать стандарты и технологии. Почему бы для доступа в личные кабинеты не использовать авторизованный доступ по протоколу https? И тогда нет необходимости в использования только CSP а ля Микрософт с поддержкой российской криптографии. Тогда автоматом станут востребованы и токены PKCS#11 и как международный стандарт, так и стандарт, поддерживаемый ТК-26, стандарты PKCS#12 (тем же ТК-26), может что-то другое, но стандартное. В этом случае речь уже будет идти не об MS Windows, Interner Explorer и CSP, а о браузерах или других программ с поддержкой https с российскими шифрсьютами. Это может быть и Internet Explorer, и модификации того же Mozilla Firefox, наконец Google Chrome или прокси типа stunnel.
Читать полностью »
Как при помощи токена сделать Windows домен безопаснее? Часть 1
2017-05-04 в 11:41, admin, рубрики: PKI, Windows Server, аутентификация, Блог компании «Актив», информационная безопасность, криптография, рутокен
Кто-то из вас наверняка слышал про инцидент , который был обнародован совсем недавно. Американский производитель полупроводников Allegro MicroSystem LLC подал в суд на своего бывшего IT-специалиста за саботаж. Нимеш Пател, проработавший в компании 14 лет, уничтожил важные финансовые данные в первую неделю нового фискального года.
Безопасный доступ из любой точки мира средствами Microsoft DirectAccess и Windows To Go. Часть первая – теория
2017-04-02 в 17:35, admin, рубрики: bitlocker, DirectAccess, ipsec, microsoft, NLS, PKI, Windows 8, Windows Server 2012, Windows To Go, администрирование windows, децентрализованные сети, ИБ, информационная безопасность, Серверное администрирование, удаленное подключение, метки: BitLocker, DirectAccess, NLS, Windows To Go, Удаленное подключениеНаиболее частым, применяемым способом удаленного доступа к внутренним ресурсам организаций является настройка VPN-соединения. Данная технология имеет ряд минусов таких как:
- необходимость установки на клиентский компьютер дополнительного программного обеспечения, что не всегда удобно, в некоторых случаях невозможно;
- необходимость прохождения пользователем дополнительной процедуры аутентификации;
- отсутствие возможности контролировать клиентский компьютер службами, отвечающими за техническую поддержку и информационную безопасность организации;
- отсутствие возможности контролировать своевременное обновление системного и прикладного ПО, наличие на нем антивирусного ПО и актуальности антивирусных баз;
- при перемещении удаленный пользователь должен перевозить не всегда легкий ноутбук.
Я предлагаю рассмотреть замену VPN технологией, разработанной компанией Microsoft – DirectAccess. Это позволит расценивать удаленный компьютер в качестве компонента вычислительной сети организации, благодаря чему можно будет выполнять следующие операции по обеспечению информационной безопасности:
- применять к удалённому компьютеру групповые политики;
- подключаться к компьютеру, используя штатные средства – RDP, mmc, удаленный помощник;
- контролировать интернет трафик;
- применять DLP-системы;
- использовать централизованное управление антивирусной защитой;
- и другие средства доступные внутри домена.
DirectAccess я буду рассматривать совместно с Windows To Go. Windows To Go — это операционная система Windows 8 и выше, установленная на внешний USB-носитель со всем необходимым ПО. Установленную таким образом ОС можно загрузить на любом оборудовании соответствующем минимальным требованиям. При этом ПО и данные, на используемом компьютере не затрагиваются.
Читать полностью »
Токены PKCS#11: генерация ключевой пары и неизвлекаемость приватного ключа (Продолжение)
2017-01-20 в 20:08, admin, рубрики: cloud, Google Chrome, mozilla, pkcs11, PKI, private key, x509 v3, браузеры, госуслуги, Железо, информационная безопасность, криптография, облачные сервисы
В предыдущей статье «Токены PKCS#11: сертификаты и закрытые ключи» мы рассмотрели как можно однозначно связать тройку Сертификат x ПубличныйКлюч x ПриватныйКлюч, хранимую на токене/смаркарте с интерфейсом PKCS#11 v.2.40. В данной статье мы поговорим о генерации ключевой пары. Опираться мы будем, как и прошлый раз, на «ГОСТ Р 34.10-2012 Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».Читать полностью »
Пакет Network Security Services и утилита oidcalc
2016-10-30 в 12:27, admin, рубрики: GnuPG, kleopatra, kmail, linux, nss, oid, PKI, я пиарюсь, метки: nssПри реализации проекта, связанного с использованием российской криптографических алгоритмов в почтовом клиенте KMail, в приложении Kleopatra и GnuPG, для перевода российских oid-ов из точечно-десятичной формы в DER-кодировку я решил воспользоваться утилитой oidcalc из пакета NSS (Network Security Services ), который предустановлен во всех дистрибутивах Linux, включая отечественные клоны. Полученный код использовался в работе.
Читать полностью »