Novinky

Více než 30 IDM realizací v České republice i zahraničí

AMI Praha Key Distribution Manager nově podporuje čipové karty
Key Distribution Manager nově podporuje čipové karty

Key Distribution Manager nově podporuje čipové karty

Vedle procesu identity managementu lokálních účtů uživatelů je důležitou součástí KDM správa autentizačních klíčů (PKI).

Dosavadní mechanismus autentizace spočíval v tom, že privátní klíče generuje pouze KDM server, který klíč posílá autentizovanému uživateli do lokálního SSH agenta. A i když v takovém případě není privátní klíč přímo přístupný koncovému uživateli, je přesto dočasně uložen v operační paměti pracovní stanice.

Nově vycházíme vstříc zákazníkům, kteří již mají implementovanou vlastní infrastrukturu pro generování certifikátů, resp. privátních klíčů. Proto jsme rozšířili KDM o možnost využití hardwarových autentizačních prostředků – čipové karty či USB tokeny. V případě, že token podporuje uložení X.509 certifikátu s RSA klíčem, je možné takový prostředek připojit k produktu KDM prostřednictvím knihovny PKCS#11. V současné době je řešení ověřeno již s několika modely čipových karet a USB tokenů.

Nespornou výhodou tohoto přístupu je další zvýšení bezpečnosti při autentizaci, neboť privátní klíč nikdy neopouští čipovou kartu. Hardware je z principu nastaven tak, že klíč nikdy nelze stáhnout, integrovaný mikroprocesor karty pouze obsluhuje požadavky na šifrování. Použití karty je typicky vázáno na zadání PIN a tím je vlastně vedle samotného vlastnictví karty zajištěna dvoufaktorová autentizace uživatele. Výhodou technologie certifikátu X.509 je rovněž to, že jsou klíč i meta informace podepsány certifikační autoritou. To umožňuje nastavit ke klíči platnost a lépe tak například vynutit dočasné přístupy.

AMI Praha aktuálně nasazuje produkt KDM s podporou čipových karet v jedné významné automobilce. Pro implementaci KDM u tohoto zákazníka je využit produkt Evolveum midPoint.