В eToken Pro Anywhere реализована процедура загрузки драйверов устройства со специального сервера без прав локального администратораКомпания Aladdin объявила о разработке технологии eToken Pro Anywhere, которая позволяет работать с ключами eToken без предварительной установки драйвера этого устройства, что дает возможность использовать их и на чужих компьютерах в слабозащищенной среде. Правда, пока ключи работают только с версиями операционной системы Windows, хотя планируется реализовать аналогичную схему аутентификации и для Linux, и для Mac OS.

Основное нововведение в eToken Pro Anywhere заключается в том, что в USB-ключ интегрирована дополнительная микросхема, которая устанавливает связь с компьютером через USB-интерфейс и распознается как компакт-диск с возможностью автозагрузки приложения. Этот виртуальный диск содержит только одну программу, запуск которой выполняется либо автоматически, либо вручную пользователем. Сама же программа является загрузчиком основных драйверов eToken со специального, заранее установленного сайта. Загрузка выполняется по защищенному SSL-каналу, при создании которого загрузчик проверяет корректность сертификата сервера. Таким способом гарантируется загрузка драйверов из доверенного источника.

Когда полноценные драйверы загружены в систему, устройство переключается в режим работы eToken Pro. Для этого не нужны права локального администратора — драйвер устройства работает на уровне сервиса операционной системы, а не устанавливается в ядро. По завершении работы пользователя все данные, в том числе и загруженные приложения, удаляются с компьютера. Если же на компьютере изначально установлен полноценный PKI-клиент, который настроен на работу с eToken Pro, то никакой загрузки драйвера устройства не происходит — используются локальные драйверы.

Устройства eToken Pro Anywhere предназначены для защиты SSL-соединения, которое устанавливается из недоверенной среды. Идентичность сервера, откуда производится загрузка, и клиента проверяется еще до загрузки драйверов загрузчиком, имеющим доступ к сертификату пользователя на USB-ключе. Причем все операции с закрытым ключом пользователя, которые необходимо выполнить при создании защищенного SSL-канала, никогда не выполняются в памяти компьютера — все они происходят на процессоре USB-ключа, то есть подсмотреть закрытый ключ практически невозможно. Собственно, на ключе может быть реализована в том числе и генерация электронной подписи, например, под небольшими платежными документами или операциями с корпоративными данными.

Поделитесь материалом с коллегами и друзьями

Купить номер с этой статьей в PDF