Kolejny kamień milowy integracji TPM w laptopach i komputerach z systemami HEUTHES

Zastosowanie TPM w celu zwiększenia bezpieczeństwa będzie zapewne popularne w środowisku bankowym, gdzie oprócz mechanizmów LDAP/Active Directory zapewni dodatkową ochronę przed uruchomieniem aplikacji na komputerach innych niż dopuszczone przez wewnętrzne działy techniczne.

Włączenie TPM połączono ze zmianami w CAK HEUTHES (Centrum Autoryzacji Kluczy). Do tej pory w systemach były udostępniane certyfikaty sprzętowe PKCS #11 oraz programowe PKCS #12, będące kryptograficznym zabezpieczeniem pracy w systemach HEUTHES.

Metoda z TPM dla użytkownika wygląda podobnie jak dotychczasowy proces certyfikacji. Klient uruchamia proces generowania klucza z wykorzystaniem TPM i żądanie certyfikacji jest automatycznie wysyłane do CAK. Następnie CAK generuje certyfikat na podstawie tego żądania i automatycznie aplikacja importuje go do systemowego managera certyfikatów, gdzie jest już kojarzony z odpowiednim kluczem.

Nowa metoda realizuje, znaną w świecie cyberbezpieczeństwa, formułę jednoczesnego „coś wiedzieć” (hasło) i „coś mieć” (fizyczne posiadanie tokena USB lub komputera z układem TPM na płycie głównej).

Dotychczas stosowany Token ePass 2003 wkładany do portu USB zapewnia wysoki poziom bezpieczeństwa dzięki wsparciu algorytmów kryptograficznych RSA 512/1024/2048 bitów, ECDSA 192/256 bitów, DES/3DES, AES 128/192/256 bitów, SHA-1/SHA-256 oraz jest certyfikowany w zakresie spełnienia wymogów Common Criteria EAL 5+. Nowe rozwiązanie z TPM spełnia poziom EAL 4+ i jest to wystarczający poziom dla zastosowań w przemyśle i finansach na stanowiskach, które nie wymagają podwyższonego stopnia zabezpieczeń. Różnica w porównaniu z dotychczasowymi metodami jest taka, że klucz w układzie TPM jest przyporządkowany do komputera i nie ma możliwości przeniesienia go na inne urządzenie. W firmach często stosuje się zasadę, że przy pracy zdalnej pracownicy pracują na sprzęcie powierzonym przez pracodawcę. Nowe rozwiązanie umożliwia ścisłą kontrolę nad używanym sprzętem. Podobnie w sytuacji pracy na prywatnym sprzęcie można wymusić tylko jeden konkretny komputer.

Wraz z obsługą TPM, HEUTHES wprowadzi zabezpieczone sprzętowo certyfikaty na okres 2 lat, przypisane do danej stacji roboczej, co powinno ułatwić pracę użytkownikom systemów HEUTHES. W dalszym ciągu będą dostępne, dotychczas stosowane, certyfikaty plikowe i USB.

Prowadzone prace badawcze pozwalają na podniesienie poziomu bezpieczeństwa w systemie ISOF bez ponoszenia dodatkowych kosztów przez klientów, a metoda z TPM może być w łatwy sposób zastosowana także w pracy z systemami bankowymi opracowanymi przez HEUTHES.

Więcej informacji na stronie www.isof.pl.

Źródło informacji: HEUTHES Sp. z o.o.