Главная страница
Написать письмо
Карта сайта
OTP-токены и МАС-токены
Безопасность

Для расширенной многофакторной аутентификации и подтверждения документов корпоративных и частных клиентов в систему «iBank 2» встроена поддержка OTP-токенов и MAC-токенов производства компаний VASCO Data Security и ActivIdentity.

О лицензировании

Компания «БИФИТ» заключила с компаниями ActivIdentity и VASCO Data Security эксклюзивные лицензионные соглашения о встраивании и распространении в составе системы «iBank 2» соответствующих серверных программных компонент указанных вендоров. Данные компоненты встроены в состав Сервера Приложения «iBank 2», не требуют отдельного приобретения и лицензирования, и могут использоваться для работы с OTP-токенами и MAC-токенами в системе «iBank 2». Никаких ограничений на количество поддерживаемых OTP-токенов и MAC-токенов не налагается.

Благодаря этому банки, приобретающие у компании «БИФИТ» OTP-токены и MAC-токены для использования в системе «iBank 2», избавлены от необходимости приобретать ПО вендоров ActivIdentity 4TRESS Authentication Server или VASCO IDENTIKEY Server с лицензионной политикой per-user и стоимостью в десятки/сотни тысяч долларов США.

OTP-токены

OTP-токены предназначены для генерации одноразовых паролей. Одноразовый пароль имеет длину 6..8 цифр. Значение одноразового пароля вычисляется как функция секретного ключа устройства и счетчика времени (time-based) и/или счетчика состояний (event-based).

При генерации одноразового пароля используются симметричные криптографические алгоритмы. Малая длина одноразового пароля не позволяет использовать асимметричные криптографические алгоритмы (с открытым ключом) – знание открытого ключа позволяет злоумышленнику подбирать одноразовый пароль методом простого перебора.

В системе «iBank 2» реализована поддержка OTP-токенов VASCO Digipass Go3 и ActivIdentity Mini OTP Token.

OTP-токены VASCO Digipass Go3 и ActivIdentity Mini OTP Token предназначены для генерации одноразовых паролей. Токены максимально просты в использовании. Они имеют единственную кнопку, при нажатии на которую на ЖК-дисплее высвечивается одноразовый пароль.

VASCO Digipass Go3

VASCO Digipass Go3 генерирует одноразовый пароль как функцию от времени и секретного ключа токена (time-based). Используется криптоалгоритм 3DES. Длина одноразового пароля составляет 6 цифр.

ActivIdentity Mini OTP Token

ActivIdentity Mini OTP Token генерирует одноразовый пароль как функцию от времени, значения счетчика состояния и секретного ключа токена (time-based + event-based). Используется криптоалгоритм 3DES. Длина одноразового пароля составляет 8 цифр.

OTP-токены VASCO Digipass Go3 и ActivIdentity Mini OTP Token официально закупаются и ввозятся на территорию РФ.

Срок жизни OTP-токенов составляет 5-7 лет.

MAC-токены

Две основных функции MAC-токена:

  • Генерация одноразового пароля
  • Вычисление электронной подписи (MAC – message authentication code)

Процедура формирования и проверки электронной подписи происходит следующим образом:

  1. Клиент формирует в АРМ электронный документ (например, платежное поручение).
  2. Для отправки в банк электронного документа клиенту необходимо ввести электронную подпись, сгенерированную MAC-токеном.
  3. Клиент вводит в MAC-токен PIN-код и получает доступ к функции генерации MAC.
  4. Клиент вводит с клавиатуры MAC-токена ключевые поля документа, выделенные в АРМ. Например, для платежного поручения вводится сумма, номер счета и БИК банка получателя.
  5. MAC-токен вычисляет электронную подпись. Подпись вычисляется как функция от хранящегося в устройстве секретного ключа, значений введенных клиентом полей и счетчика времени и/или состояний. Электронная подпись отображается клиенту на дисплее MAC-токена.
  6. Клиент вводит значение электронной подписи в АРМ и направляет его на сервер.
  7. Приложение на сервере с использованием секретного ключа устройства, ранее загруженного в приложение и прикрепленного данному клиенту, аналогично формирует электронную подпись и сравнивает с полученной от клиента.
  8. При совпадении электронных подписей авторство и целостность электронного документа считаются верными. При несовпадении приложение отвергает полученный электронный документ.

Малая длина генерируемой MAC-токеном электронной подписи (6..10 цифр) не позволяет использовать асимметричные криптографические алгоритмы (с открытым ключом) для ее формирования – знание открытого ключа позволяет злоумышленнику подбирать электронную подпись методом простого перебора.

Поэтому для формирования и проверки электронной подписи, генерируемой MAC-токеном, используются симметричные криптографические алгоритмы, а ключ для формирования и проверки одноразового пароля и электронной подписи клиента является секретным.

К дополнительным преимуществам MAC токена относится защита доступа к функциям устройства PINкодом. Устройство блокируется после нескольких неуспешных последовательных попыток ввода PIN-кода и может быть разблокировано только при участии банка.

В системе «iBank 2» поддерживаются MAC-токены компании ActivIdentity.

ActivIdentity Token V2

MAC-токен ActivIdentity Token V2 выполнен в тонком корпусе. Используется сменный элемент питания.

Ключевые характеристики устройства:

  • Компактный и легкий (82x52x4.5 мм, 25 г)
  • Срок жизни от одного аккумулятора 3 года (продлевается сменой аккумулятора)
  • Матричный экран на 10 символов
  • Защита PIN-кодом

Средний срок эксплуатации MAC-токена ActivIdentity Token V2 составляет 8 лет.

Функциональность ActivIdentity Token V2:

  • Генерация одноразового пароля (event-based или time-based + event-based)
  • Вычисление электронной подписи (MAC)
  • Режим «Запрос/ответ X9.9»

ActivIdentity Pocket Token

ActivIdentity Pocket Token – более компактный MACтокен с расширенным сроком службы.

Ключевые характеристики устройства:

  • Компактный и легкий (68х48.5x8.5 мм, 28 г)
  • Срок жизни 6 лет (аккумулятор несменный)
  • Матричный экран на 10 символов
  • Защита PIN-кодом

Функциональность ActivIdentity Pocket Token:

  • Генерация одноразового пароля (event-based или time-based + event-based)
  • Вычисление электронной подписи (MAC)
  • Режим «Запрос/ответ X9.9»

Обе модели MAC-токенов поддерживают режим смены PIN-кода клиентом, обеспечивают блокировку токена при последовательных неправильных попытках ввода PIN-кода, поддерживают дистанционное снятие блокировки (требует звонка в банк).

По заказам банков компания «БИФИТ» осуществляет поставки MAC-токенов для использования корпоративными и частными клиентами – пользователями системы «iBank 2». Важно помнить, что при использовании таких токенов в системе «iBank 2» банки избавлены от необходимости приобретать лицензии на сервер аутентификации ActivIdentity 4TRESS Authentication Server.

Задать вопрос

О компании | Решения | Безопасность | Дистрибутивы | Документация | Техподдержка | Цены

Copyright © 1999-2017 BIFIT. Все права защищены.

Россия, 105203, г. Москва, ул. Нижняя Первомайская, дом 46
Тел. +7 (495) 532-15-02 | e-mail: info@bifit.com