eToken NG-OTP

Выполнен на базе микросхемы смарт-карты
Встроенный генератор одноразовых паролей
Аппаратно реализованные алгоритмы RSA/1024, DES, 3DES, SHA-1, SHA-1 HMAC
Аппаратная генерация ключевых пар RSA/1024
Защищенная память объёмом до 64 КБ на микросхеме смарт-карты

eToken NG-OTP – это первый USB-ключ для информационной безопасности, основанный на микросхеме смарт-карты, с генератором одноразовых паролей (OTP - One Time Password).

eToken NG-OTP поддерживает несколько методов аутентификации, включая:
аутентификацию на основе PKI с использованием цифровых сертификатов стандарта Х.509
одноразовых паролей (ОТР)
паролей, кодов доступа и других данных, хранимых в защищенной памяти ключа данных, что позволяет этому устройству работать на различных программных и аппаратных платформах и с различными и приложениями.
При использовании eToken NG-OTP возможен безопасный доступ к корпоративным ресурсам без установки дополнительного клиентского ПО и без физического подключения к компьютеру.

eToken NG-OTP расширяет спектр аппаратных платформ и операционных систем, на которых возможно использование eToken, добавляя к ним PDA, карманные компьютеры и смартфоны, а также обычные компьютеры, на которых отсутствуют или недоступны USB порты (например, при работе в интернет-кафе или чужом офисе).

При использовании eToken NG-OTP в режиме генератора одноразовых паролей не требуется ни наличие портов, ни драйверов, ни ридеров – сгенерированный одноразовый пароль отображается на дисплее токена и может быть введен в компьютер или PDA через клавиатуру или перьевой ввод.

Функционально eToken NG-OTP аналогичен USB-ключу eToken PRO, но дополнительно оснащен кнопкой и дисплеем для отображения сгенерированных одноразовых паролей, имеет встроенные элементы питания и световой индикатор режимов работы.

Режимы работы eToken NG-OTP:
подсоединенный к USB-порту (возможности смарт-карты + генерация OTP)
автономный (только генерация OTP).

Рекомендации по применению

eToken NG-OTP рекомендуется использовать в проектах, где требуются преимущества двухфакторной аутентификации вне зависимости от доступности USB-портов и возможности устанавливать дополнительное программное обеспечение, например:

для мобильных пользователей и VIP-клиентов, для персонала, работающего удаленно, для работников, находящихся в постоянных разъездах, деловых партнеров, поставщиков и клиентов, которым необходимо обеспечить удобный и безопасный доступ к информационным ресурсам предприятия или банка;
в приложениях электронной коммерции;
в банковских приложениях.

Модификации

Размер памяти
eToken NG-OTP выпускается только в виде USB-ключа в двух модификациях: с размером памяти 32 КБ и 64 КБ.

Эффект от использования

При использовании eToken NG-OTP не требуется переделка существующих приложений, рассчитанных на аутентификацию по имени пользователя и паролю.
Внедрение универсальных и многоцелевых ключей eToken NG-OTP позволяет снизить совокупную стоимость владения информационной системой (TCO) и увеличить возврат на инвестиции (ROI).
Повышается безопасность и управляемость IT-систем предприятия за счет внедрение централизованной системы управления – eToken TMS.

Принцип работы OTP

В eToken NG-OTP реализован алгоритм одноразовых паролей (One-Time Password - OTP), разработанный в рамках инициативы OATH.

Алгоритм генерации одноразовых паролей основан на алгоритме HMAC и использует в качестве входных значений секретный ключ и текущее значение счетчика генераций. Секретный ключ известен только данному токену eToken NG-OTP и серверу аутентификации.

Основной функциональный блок алгоритма HOTP вначале вычисляет значение HMAC-SHA-1, а затем выполняет операцию усечения (выделения) из полученного 160-битового значения 6-ти цифр, являющихся одноразовым паролем:
HOTP (K, N) = Truncate (HMAC-SHA-1(K, N))
где K=секретный ключ, N=счетчик генераций.

Счетчик генераций и секретный ключ генерируются eToken NG-OTP во время регистрации пользователя в системе централизованного управления TMS и в коннекторе OTP.

Во время занесения профиля ОТР на eToken NG параметры OTP (счетчик генераций и секретный ключ) генерируются в eToken NG-OTP и сохраняются в виде виртуального токена в объекте пользователя Active Directory.

Плагин eToken OTP реализуется с использованием АРI дополнения IASE, которое позволяет разработчикам программного обеспечения писать собственные дополнения к IAS.

IASE позволяет плагину eToken реализовывать методы аутентификации OATH в удаленном доступе.

Когда сервер VPN (клиент RADIUS) передает запрос на аутентификацию серверу IAS RADIUS, OTP плагин, установленный на сервере IAS, сравнивает OTP с виртуальным токеном, хранящимся в AD.