Общие сведения о ключах eToken

Смарт-карты и USB-ключи

Смарт-карты, как и Memory-карты, представляют собой пластиковые карты с встроенной микросхемой. Однако смарт-карта – достаточно сложное устройство, которое содержит микропроцессор и операционную систему, контролирующую устройство и доступ к объектам в его памяти. Кроме того, смарт-карты, как правило, обладают возможностью проводить криптографические вычисления.

Несмотря на название – устройство для чтения смарт-карт – большинство оконечных устройств или устройств сопряжения (IFD) способны как считывать, так и записывать, если позволяют возможности смарт-карты и права доступа. Устройство для чтения смарт-карт могут подключаться к компьютеру с помощью:

· Последовательного порта;

· Слота PCMIA;

· Порта USB.

Устройства чтения смарт-карт могут быть интегрированы в клавиатуру.

Некоторые производители выпускают другие аппаратные устройства, в которых смарт-карта объединена с ее устройством чтения. По характеристикам памяти и вычислительным возможностям они аналогичны смарт-картам. Наиболее распространены аппаратные ключи, использующие порт USB. USB-ключи привлекательны для некоторых организаций, поскольку USB становится стандартом, находящим все большее распространение в новых компьютерах: организации не нужно приобретать для пользователей какие бы то ни было считыватели.

Для получения доступа к цифровым сертификатам пользователя на этапе аутентификации в систему и для хранения закрытых ключей пользователей для связки Kerberos + PKINIT в ОС Windows 2000/2003 используются смарт-карты. Служба управления ресурсами смарт-карт интегрирована в операционную систему, и для настройки аутентификации по сертификатам достаточно активизировать данную службу, установив драйверы считывателей смарт-карт. При нахождении в домене графический интерфейс ОС Windows 2000/2003 (GINA) заменяется вариантом с поддержкой работы со смарт-картами.

На смарт-карту записывается цифровой сертификат и связанный с ним закрытый ключ, выписанные на доменном центре сертификации с использованием политик, предусматривающих возможность его использования для интерактивной аутентификации пользователя в системе.

При подключении смарт-карты к рабочей станции для аутентификации пользователя хранящийся на ней сертификат используется для запроса TGT, а операция с закрытым ключом, возможная после ввода PIN-кода, используется для подписи этого запроса.

Модели eToken

Ключ eToken – персональное средство аутентификации и хранения данных, аппаратно поддерживающие работу с цифровыми сертификатами и

электронными цифровыми подписями (ЭЦП). eToken выпускается в форм-факторах USB-ключа или смарт-карты.

USB-ключ eToken подключается к кмпьютеру через порт USB (Universal Serial Bus) и не требует наличия устройства чтения смарт-карт.

eToken обладает защищенной энергозависимой памятью и используется в качестве хранилища секретных данных (ключей шифрования, имен пользователя, паролей, учетных записей, сертификатов и пр.).

В лабораторной работе будет использоваться электронный ключ eToken PRO в форм-факторе USB-ключа.

EToken PRO

eToken PRO имеет микросхему смарт-карты Infineon SLE66C, аппаратно реализующую алгоритмы RSA, DES, TripleDES, SHA-1. eToken PRO снабжен встроенным генератором ключевых пар алгоритма RSA. При этом закрытые ключи никогда не покидают микросхему смарт-карты. Микросхемы семейства Infineon SLE66C работают под управлением операционной системы Siemens CardOS и обеспечивают высокий уровень безопасности (сертификат ITSEC LE4).

Кроме PIN-кода пользователя в eToken PRO предусмотрен пароль администратора. С его помощью, например, можно сменить забытый PIN-код. Пароль администратора также можно менять.

eToken PRO можно форматировать с помощью утилиты eToken Properties, входящей в состав набора драйверов eToken Run Time Environment 3.65. При форматировании:

· Из памяти eToken PRO удаляется вся информация;

· Устанавливается PIN-код;

· Возможно задание пароля администратора;

· Возможно задание ключа форматирования для предотвращения несанкционированного переформатирования.

Выполнение работы

3.1 Установка с помощью программы - мастера инсталляции

Для установки eToken Network Logon выполните указанные действия.

1) Авторизуйтесь на рабочей станции с правами администратора.

2) В зависимости от установленной на рабочей станции ОС запустите соответствующий файл (см. таблицу 3.1). Появится окно с сообщением о подготовке к установке ПО.

В дистрибутив eToken Network Logon входят следующие пакеты установки:

Таблица 3.1

Откроется окно следующего вида:

3) Нажмите кнопку Next (Далее).

Откроется окно с текстом лицензионного соглашения.

1) Ознакомьтесь с текстом лицензионного соглашения и отметьте пункт I accept the license agreement (Я согласен с лицензионным соглашением), чтобы подтвердить свое согласие. Нажмите кнопку Next (Далее).

2) Если вы не понимаете или не согласны по крайней мере с одним из положений лицензионного соглашения, отметьте пункт I do not accept the license agreement (Я не согласен с лицензионным соглашением), чтобы отказаться от установки.

Если Вы не согласны, установка ПО производиться не будет.

Если Вы отметили пункт I accept the license agreement (Я согласен с лицензионным соглашением), откроется окно, где будет предложено выбрать язык интерфейса eToken Network Logon.

Выберите из поля с ниспадающим списком один из доступных языков, на котором будет представлена информация в интерфейсе eToken Network Logon и нажмите кнопку Next (Далее).

3) В следующем окне выводится путь для установки eToken Network Logon. Нажмите кнопку Next (Далее).

Откроется окно выбора типа установки.

4) Выберите тип установки ПО: Custom (Выборочная), т.к. для продукта предусмотрена только выборочная установка. Для этого установите переключатель на соответствующем пункте и нажмите кнопку Next (Далее).

Откроется окно выбора устанавливаемых модулей.

5) В соответствии с операционной системой, установленной на вашем компьютере установите следующие опции.

Для Windows XP, Windows Server 2003 отметьте пункт eToken Network Profile Logon (Вход по Профилю из ключа eToken).

Для Windows Vista, Windows 7, Windows Server 2008, Windows Server 2008 R2 отметьте пункты:

· eToken Network Profile Logon (Вход по Профилю из ключа eToken),

· eToken Management (Управление ключом eToken).

6) Нажмите Next (Далее). Появится окно готовности к началу установки.

7) Нажмите Next (Далее).

На экране появится окно, где будет отображаться процесс установки eToken Network Logon.

По окончании установки на экране появится окно с соответствующим сообщением.

8) Нажмите кнопку Finish (Окончание).

9) Если на экране появится предложение перезапустить компьютер, необходимо ответить утвердительно, нажав кнопку Yes (Да).

Поиск по сайту: