1. IDBridge K3000
Безопасный токен для корпоративного использования
Безопасность и простота: все компоненты безопасности
пользователя на одном внешнем носителе
Петр Перцов
ГАММА-КАРТ
2. Зачем нужен токен ID Bridge K3000?
Мои данные нужны мне,
Public
где бы я не находился
Мои конфиденциальные Private
данные должны быть
защищены
Мои приложения должны
быть со мной и быть
готовыми к использованию CD-Rom
Мои настройки должны
действовать в любой среде
Hidden
09/01/2013 2
3. Рынок и предложение
Устройство IDBridge K3000 предназначено для подразделений государственных и частных
организаций, у которых есть необходимость защиты конфиденциальных данных,
находящихся в распоряжении пользователей, работающих удаленно. IDBridge K3000
является ключевым элементом решения Gemalto ExecProtect Solution
(www.gemalto.com/identity/solutions/execprotect.html) для менеджмента организаций.
IDBridge K3000 содержит смарт-карту для PKI формата SIM по вашему выбору, т.е.
позволяет осуществлять:
• строгую аутентификацию, цифровую подпись и шифрование
• Если встроена карта IDPrime .NET – дополнительные возможности – использование с
решениями по шифрованию диска Microsoft (BitLocker, and BitLocker To Go: встроенное
решение), т.е. использовать IDBridge K3000 для целей безопасности всего ПК.
IDBridge K3000 может стать полноценным мобильным офисом при установке безопасной
флэш-памяти для хранения приложений (безопасный браузер, VPN) или функций
безопасного хранилища конфиденциальных данных. Размер флэш-памяти варьируется от 2
до 32 Гб в зависимости от запросов пользователя.
IDBridge K3000 – это одновременно продукт и платформа: партнерам Gemalto
предоставляется доступ к SDK для создания собственных приложений.
09/01/2013 3
4. Позиционирование / сходные устройства те
ля
ва
зо
о ль
п
ы
р ос
Цена п
За
Enterprise S200
MyIdentity
NG Flash SG Core
Cardman 6121 Что нужно пользователю:
Идентификация / аутентификация: CC PKI Smart Card, PKCS#11
Гибкость / возможность настройки: SIM, MicroSD, SDK, HID/CCID switch
Защита данных: AES-шифрование encryption, сертификат FIPS, безопасный
ACR100 браузер, TMS
SIM Flash
Функционал (Уровень кастомизации)
(Шифрование данных и строгая аутентификация)
09/01/2013 4
5. Безопасные сервисы для конечного
пользователя
Безопасный удаленный доступ
Двухфакторная аутентификация на базе сертификата на смарт-карте
Безопасный доступ в Интернет
Мобильный браузер с контролируемой зоной просмотра пользователем
Борьба с фишингом, атаками типа man-in-the-middle и man-in-the-browser
Защита от утечки данных (DLP)
Конфиденциальные данные хранятся на безопасном секторе с AES-шифрованием
Защита от потери документов и несанкционированной копии или передачи
Мобильный офис
Интерфейс VPN-доступом к корпоративным данным и приложениям
Позволяет пользователю работать удаленно или используя публичную точку доступа
09/01/2013 5
6. Что у него внутри?
Платформа
нового поколения
безопасных токенов:
Высокоскоростной интерфейс USB 2.0 к обширному флэш-
хранилищу
Ридер смарт-карты ID-000 с переключателем HID / CCID
Интерфейс карты Micro SDHC
Дополнительные возможности :
1. Автоматический запуск приложений (эмуляция CD-ROM),
поставщики решений могут автоматически загружать приложения
и исполнять непосредственно с токеном
2. Безопасная флэш-память, использующая алгоритм шифрования
AES 256 и ключ на борту или на смарт-карте
09/01/2013 6
9. Инструменты
Средства конфигурации
Реселлеры могут конфигурировать IDBridge K3000 для
использования в качестве образцов или в пилотных проектах
Формат microSD, загрузка Read Only-контента, управление
пользовательскими данными на токене,
Конфигурация метода коммуникации с интерфейсом смарт-карты (HID,
CCID)
Средства разработки
OEM-партнеры могут разрабатывать собственные решения на
платформе IDBridge K3000 с поддержкой Windows, Linux, Mac OS :
Библиотеки для управления функциями токена (данные на токене,
безопасное хранилище, световые индикаторы, подтверждающая
кнопка…)
Руководство программиста
Примеры программного кода и документация
09/01/2013 9
10. Toolbox features
IDBridge K3000 без изменений Кастомизация
Инициали- Конфигурация Создание Загрузка Конфигурация
зация устройства приложений приложений параметров
памяти безопасности
(µSD)
• Инициализация • Конфигурация ПИН- • Разработка мобильных • Генерация данных • Задание ключей
µSD кода приложений из контента секторов администратора
• Создание и • Конфигурация • Линк приложений к •Загрузка контента на • Удаление данных
модификация публичного и библиотеками токена и токен по умолчанию
таблицы конфиденциального смарт-карты
секторов секторов • Загрузка контента
• Конфигурация секторов
интерфейса со смарт- Инструменты :
картой • Data package
Инструменты : creation plugin Инструменты :
• Примеры приложений •Data package •Credential plugin
Инструменты: Инструменты : •Библиотеки Token SDK download plugin
• Плагин • Settings plugin • Библиотеки Smart card
конфигурации • Secure storage plugin
09/01/2013 10
11. Smart Card Winlogon на токене HID
Мобильное и корпоративное использование
IDBridge K3000 конфигурирован в режиме HID (zero-footprint
token) с PKCS#11 для мобильных приложений
Пример: аутентификация в VPN для удаленного
сотрудника (из дома или из интернет-кафе)
При использовании nв офисе, IDBridge K3000 автоматически
переключается на режим CCID сервисом, исполняемым на
пользовательском ПК для использования с корпоративным
приложением Microsoft на базе смарт-карты
Пример: логин в Windows с использованием смарт-карты
После удаления из ПК, IDBridge K3000 автоматически
переводится назад в режим HID
09/01/2013 11
13. Предложение Gemalto для российского рынка
Решение, готовое для использования со стандартами ГОСТ: токен
(стандарта PC/SC CCID) поддерживает любую карту стандарта ГОСТ
Р34.10-2001 / ГОСТ Р34.11-94 (Магистра, eToken, и т.д.).
Безопасный удаленный доступ благодаря использованию данных
пользователя, сохраненных на сертифицированной смарт-карте и
кастомизированного, безопасного VPN-клиента (КриптоПро Ipsec),
запускаемого с сегмента read-only флэш-памяти токена
Безопасный доступ в Интернет благодаря данным пользователя,
сохраненным на сертифицированной смарт-карте и кастомизированному,
безопасному браузеру (КриптоПро FireFox), запускаемому с сегмента read-
only флэш-памяти токена
Двух- и более факторная аутентификация на базе «того, что у вас есть»
(токена), «того, что вы знаете» (ПИН-код) и «того, что вы контролируете
(кнопка)
09/01/2013 13
14. Преимущества IDBridge K3000
Возможности персонализации – включают электрический
профиль смарт-карты, брендинг оборудования и настройку
секторов флеш-памяти. SDK и инструментарий конфигурации
обеспечивают возможность разработки специальных решений
Легкость интеграции - переключение на уровне прошивки
мобильное использование / корпоративное использование
Гибкость – использование стандартного интерфейса флэш-
памяти µSD и возможности использовать разную величину
дискового пространства (упрощение процесса заказа)
Готовность к массовому внедрению – опыт массовой поставки
ридеров и токенов Gemalto
09/01/2013 14
15. Спасибо
gammacard@gammacard.ru
Тел. +7 495 276 06 33